Databehandleraftale (DPA)

Sidst opdateret: Februar 2026

1. Roller og definitioner

I forhold til persondata om foreningns medlemmer og øvrige registrerede er dinforening dataansvarlig og Foreningsstyring fungerer som databehandler påforeningns vegne.

• Dataansvarlig (din forening): Bestemmer formål og midler for behandling af persondata
• Databehandler (Foreningsstyring): Behandler data udelukkende efter foreningns instruktioner

2. Behandlingens genstand og varighed

3. Databehandlerens forpligtelser

Foreningsstyring forpligter sig til at:

• Kun behandle persondata efter dokumenterede instruktioner fra din forening, herunder overførsel til tredjelande
• Sikre at personer, der er autoriseret til at behandle data, er underlagt fortrolighed
• Træffe alle nødvendige sikkerhedsforanstaltninger jf. GDPR artikel 32
• Overholde betingelserne for brug af underdatabehandlere (se afsnit 5)
• Bistå foreningn med at opfylde sine forpligtelser ved anmodninger fra registrerede
• Bistå foreningn med overholdelse af artikel 32-36 (sikkerhed, brud, konsekvensanalyse, høring)
• Efter foreningns valg slette eller returnere alle data ved ophør af tjenesterne
• Stille alle nødvendige oplysninger til rådighed for at påvise overholdelse og tillade revision

4. Sikkerhedsforanstaltninger

Foreningsstyring implementerer følgende tekniske og organisatoriske foranstaltninger:

Kryptering:

• Transport: TLS 1.3 for alle forbindelser
• Adgangskoder: bcrypt med cost factor 12
• Betalingsdata: Håndteres udelukkende af MobilePay
• Backup: Krypteret lagring af alle backup-filer

Adgangskontrol:

• Rollebaseret adgangskontrol (RBAC) med roller: Admin, Bestyrelsesmedlem, Medlem
• Automatisk session timeout efter 30 dages inaktivitet
• Audit log af administrative handlinger

Applikationssikkerhed:

• SQL injection-beskyttelse via Prisma ORM (parametriserede queries)
• XSS-beskyttelse via React's automatiske escaping
• CSRF-beskyttelse via NextAuth tokens
• Rate limiting mod brute force-angreb

Backup og gendannelse:

• Daglig automatisk backup
• 30 dages retention
• Krypteret lagring i EU (Hetzner, Tyskland)
• Recovery Time Objective (RTO): 4 timer
• Recovery Point Objective (RPO): 24 timer

Fysisk og infrastruktur sikkerhed:

• ISO 27001-certificeret datacenter (Hetzner, Tyskland)
• DDoS-beskyttelse via Hetzner
• Firewall og netværkssegmentering
• Regelmæssige sikkerhedsopdateringer

5. Underdatabehandlere

Du giver hermed generel godkendelse til brug af underdatabehandlere. Foreningsstyring informerer dig om ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere, og du har mulighed for at gøre indsigelse.

Aktuelle underdatabehandlere:

6. Overførsel til tredjelande

Alle data opbevares i EU (Tyskland og Frankrig). Overførsel til tredjelande sker kun med passende sikkerhedsforanstaltninger: EU-Kommissionens standardkontraktbestemmelser (SCCs) eller tilstrækkelighedsafgørelser.

7. Brud på persondatasikkerheden

Ved sikkerhedsbrud underretter Foreningsstyring din forening uden unødig forsinkelse (og senest inden 48 timer) efter at være blevet opmærksom på bruddet. Underretningen indeholder beskrivelse af bruddet, kontaktoplysninger, sandsynlige konsekvenser og foranstaltninger der er truffet.

8. Revision

Din forening har ret til at foretage revision af Foreningsstyring's overholdelse af denne databehandleraftale, enten selv eller via en uafhængig revisor. Revision aftales med mindst 14 dages varsel og udføres på en måde, der minimerer forstyrrelse af driften.

9. Dit ansvar som dataansvarlig

Som dataansvarlig er din forening ansvarlig for:

• At have lovligt grundlag for behandling (samtykke, aftale, legitim interesse mv.)
• At informere foreningns medlemmer om behandlingen (via foreningns egen privatlivspolitik)
• At håndtere anmodninger fra registrerede (indsigt, sletning, berigtigelse mv.)
• At vurdere om der er behov for konsekvensanalyse

10. Kontakt