Sidst opdateret 18. maj 2026·v0.4 draft

Skabelongrundlag: Bestemmelse 1-13 nedenfor er Datatilsynets officielt vedtagne standardkontraktsbestemmelser, version 1.2 (jf. databeskyttelsesforordningens artikel 28, stk. 8). Disse bestemmelser er gengivet uændret og må ikke ændres af parterne, da Datatilsynet i så fald ikke vil efterprøve bestemmelserne ved tilsyn. Tilpasningen til Joey sker udelukkende i bilag A-D.

Aftalen indgås mellem den juridiske enhed angivet ved tilmeldingen (håndværkervirksomheden) — herefter "den dataansvarlige" — og Lykkelig AI (CVR-nr. 45884333, C/O Toki Wilkinson, Kong Hans Alle 87, 2860 Søborg, Danmark, email toki@lykkeligai.dk), herefter "databehandleren".

1. Præambel

  1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
  2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (databeskyttelsesforordningen).
  3. I forbindelse med leveringen af Joey (en AI-drevet kommunikations- og kundeintelligensplatform for danske håndværksvirksomheder) behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
  4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
  5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
  6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder formål, karakter, typer af personoplysninger, kategorier af registrerede og varighed.
  7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og listen over godkendte underdatabehandlere.
  8. Bilag C indeholder den dataansvarliges instruks samt minimumssikkerhedsforanstaltninger og tilsynsprocedurer.
  9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke er omfattet af Bestemmelserne.
  10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
  11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser efter databeskyttelsesforordningen eller enhver anden lovgivning.

2. Den dataansvarliges rettigheder og forpligtelser

  1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
  2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
  3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.

3. Databehandleren handler efter instruks

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, men skal altid være dokumenteret og opbevares skriftligt.
  2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med forordningen eller anden databeskyttelseslovgivning.

4. Fortrolighed

  1. Databehandleren må kun give adgang til personoplysninger til personer, som er underlagt databehandlerens instruktionsbeføjelser, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer med adgang skal løbende gennemgås, og adgangen lukkes hvis ikke længere nødvendig.
  2. Databehandleren skal efter anmodning kunne påvise, at de pågældende personer er underlagt ovennævnte tavshedspligt.

5. Behandlingssikkerhed

  1. Databeskyttelsesforordningens artikel 32 fastslår, at parterne under hensyntagen til teknisk niveau, omkostninger og risiko gennemfører passende tekniske og organisatoriske foranstaltninger. Den dataansvarlige skal vurdere risiciene og gennemføre foranstaltninger, herunder hvor relevant pseudonymisering og kryptering, evne til at sikre vedvarende fortrolighed/integritet/tilgængelighed, genoprettelses-evne, og procedurer for regelmæssig evaluering.
  2. Databehandleren skal uafhængigt vurdere risiciene og gennemføre foranstaltninger. Den dataansvarlige skal stille nødvendig information til rådighed for, at databehandleren kan identificere og vurdere risiciene.
  3. Databehandleren skal bistå den dataansvarlige med dennes overholdelse af artikel 32. Hvis yderligere foranstaltninger kræves ud over dem databehandleren allerede har gennemført, skal de angives i bilag C.

6. Anvendelse af underdatabehandlere

  1. Databehandleren skal opfylde betingelserne i databeskyttelsesforordningens artikel 28, stk. 2 og stk. 4 for at gøre brug af en underdatabehandler.
  2. Databehandleren må ikke gøre brug af en underdatabehandler uden forudgående generel skriftlig godkendelse fra den dataansvarlige.
  3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om planlagte ændringer (tilføjelse eller udskiftning) med mindst 30 dages varsel, så den dataansvarlige kan gøre indsigelse. Længere varsel kan angives i bilag B. Listen over godkendte underdatabehandlere fremgår af bilag B.
  4. Når databehandleren gør brug af en underdatabehandler, skal databehandleren gennem en kontrakt pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser. Databehandleren er ansvarlig for at kræve, at underdatabehandleren overholder databehandlerens forpligtelser.
  5. Underdatabehandleraftaler sendes — efter anmodning — i kopi til den dataansvarlige, så denne kan sikre sig overholdelse. Kommercielle vilkår uden databeskyttelsesretligt indhold sendes ikke.
  6. Databehandleren skal indføje den dataansvarlige som begunstiget tredjemand, så den dataansvarlige i tilfælde af databehandlerens konkurs har ret til at opsige underdatabehandleraftalen og instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
  7. Hvis underdatabehandleren ikke opfylder sine forpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige. Dette påvirker ikke de registreredes rettigheder efter artikel 79 og 82.

7. Overførsel til tredjelande eller internationale organisationer

  1. Enhver overførsel til tredjelande må kun foretages på baggrund af dokumenteret instruks fra den dataansvarlige og skal ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
  2. Hvis overførsel kræves i henhold til EU-ret eller medlemsstaternes nationale ret, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre forbudt af hensyn til vigtige samfundsmæssige interesser.
  3. Uden dokumenteret instruks kan databehandleren ikke overføre personoplysninger til tredjeland, overlade behandling til en underdatabehandler i tredjeland eller behandle personoplysninger i tredjeland.
  4. Den dataansvarliges instruks vedrørende overførsel, herunder overførselsgrundlag, skal angives i bilag C.6.
  5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser efter artikel 46, stk. 2, og kan ikke udgøre et grundlag for overførsel efter kapitel V.

8. Bistand til den dataansvarlige

  1. Databehandleren bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af forpligtelsen til at besvare anmodninger om de registreredes rettigheder (kapitel III), herunder:
    • Oplysningspligt ved indsamling (Art 13)
    • Oplysningspligt ved ikke-indsamlede oplysninger (Art 14)
    • Indsigtsret (Art 15)
    • Berigtigelse (Art 16)
    • Sletning (Art 17)
    • Begrænsning af behandling (Art 18)
    • Underretningspligt ved berigtigelse/sletning/begrænsning (Art 19)
    • Dataportabilitet (Art 20)
    • Indsigelse (Art 21)
    • Automatiske afgørelser, herunder profilering (Art 22)
  2. Databehandleren bistår endvidere den dataansvarlige med:
    • Anmeldelse af brud på persondatasikkerheden til Datatilsynet (Art 33) — senest 72 timer
    • Underretning af de registrerede om brud (Art 34) — ved høj risiko
    • Forudgående konsekvensanalyse (Art 35)
    • Forudgående høring af Datatilsynet (Art 36)
  3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige.

9. Underretning om brud på persondatasikkerheden

  1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
  2. Databehandlerens underretning skal om muligt ske senest 48 timer efter, at denne er blevet bekendt med bruddet, så den dataansvarlige kan overholde sin 72-timers anmeldelsesfrist til Datatilsynet jf. art 33.

    Eskalations- og undersøgelsesprocedure:

    • Databehandleren underretter uden unødig forsinkelse, og senest 48 timer efter at være blevet opmærksom på bruddet
    • I de første ca. 24 timer afgrænser databehandleren omfanget og identificerer berørte datakategorier og registrerede
    • Senest ved 48-timers-fristen leverer databehandleren: (a) hvad der er sket, (b) berørte datakategorier, (c) sandsynlige konsekvenser, (d) trufne/påtænkte foranstaltninger
    • Den dataansvarlige bevarer dermed op til 24 timers buffer til egen anmeldelse til Datatilsynet
    • Ved ufuldstændig afgrænsning leveres foreløbig underretning baseret på best-effort, suppleret uden unødig forsinkelse jf. art 33(4)

    Begrundelsen for 48 timer frem for kortere er, at databehandleren som mindre virksomhed har behov for tilstrækkelig tid til forsvarlig forensisk undersøgelse, samtidig med at den dataansvarlige har realistisk margin til 72-timers anmeldelsesfristen.

  3. I overensstemmelse med Bestemmelse 8.2.a skal databehandleren bistå den dataansvarlige med at tilvejebringe den i artikel 33, stk. 3 påkrævede information til Datatilsynet (karakteren, kategorier og omtrentligt antal berørte, sandsynlige konsekvenser, og trufne foranstaltninger).
  4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand.

10. Sletning og returnering af oplysninger

  1. Ved ophør er databehandleren forpligtet til at slette alle personoplysninger behandlet på vegne af den dataansvarlige og bekræfte sletningen, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring. Den dataansvarlige kan dog — forud for sletning og inden for fristen i bilag C.4 — anmode om returnering i et struktureret, almindeligt anvendt og maskinlæsbart format.
  2. Følgende danske regler foreskriver opbevaring efter ophør: Bogføringsloven §10 — regnskabsmateriale (fakturaer, kreditnotaer, kontoudtog, transaktionsspor) skal opbevares i 5 år fra udløbet af det regnskabsår, materialet vedrører. Dette gælder alene regnskabsmateriale, ikke generelle kundeoplysninger eller kommunikation. Databehandleren forpligter sig til alene at behandle personoplysningerne til de(t) formål, i den periode og under de betingelser, som reglerne foreskriver. Adgang til de bevarede regnskabsbilag begrænses til regnskabsmæssig brug og logges.

11. Revision, herunder inspektion

  1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for revisioner.
  2. Procedurerne for revisioner er angivet i Bilag C.7 og C.8.
  3. Databehandleren er forpligtet til at give tilsynsmyndigheder adgang til databehandlerens fysiske faciliteter mod behørig legitimation.

12. Parternes aftale om andre forhold

  1. Parterne kan aftale andre bestemmelser vedrørende tjenesten (fx erstatningsansvar), så længe disse ikke strider imod Bestemmelserne eller forringer de registreredes rettigheder.

13. Ikrafttræden og ophør

  1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
  2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder giver anledning hertil.
  3. Bestemmelserne er gældende, så længe tjenesten varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer tjenesten, aftales mellem parterne.
  4. Hvis tjenesten ophører, og personoplysningerne er slettet eller returneret jf. Bestemmelse 10.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftlig varsel af begge parter.
  5. Underskrift — På vegne af den dataansvarlige: navn, stilling, telefonnummer og email indsættes ved tilmelding; underskrift sker via elektronisk accept ved oprettelse af betalende konto i Joey. På vegne af databehandleren: Toki Wilkinson, Indehaver, Lykkelig AI, toki@lykkeligai.dk; underskrift sker via elektronisk accept ved publicering af gældende version på denne side.

14. Kontaktpersoner hos den dataansvarlige og databehandleren

  1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner.
  2. Parterne er forpligtet til løbende at orientere hinanden om ændringer.

Hos den dataansvarlige: navn, stilling, telefonnummer og email indsættes ved tilmelding eller via Joey-kontoindstillinger (standard er kontoens login-email).

Hos databehandleren: Toki Wilkinson, Indehaver / Privacy Lead, Lykkelig AI, toki@lykkeligai.dk.

Bilag A — Oplysninger om behandlingen

A.1 Formålet med databehandlerens behandling

Databehandleren behandler personoplysninger på vegne af den dataansvarlige med følgende eksplicitte formål:

  1. Lagring og fremvisning af den dataansvarliges kundedata (navne, adresser, telefonnumre, projekthistorik, tilbud, fakturaer, korrespondance) i Joey-platformens brugergrænseflade.
  2. AI-assisteret generering af udkast til tilbud, e-mail-svar, opfølgning og prisestimering på baggrund af den dataansvarliges egne historiske data og udtrykkelig prompt-instruks.
  3. Synkronisering med eksterne systemer, som den dataansvarlige selv har autoriseret (regnskabssystemer, e-mail-konti, kalendersystemer).
  4. Søgning, filtrering, kategorisering og analyse på tværs af kundedata på den dataansvarliges instruks.
  5. Notifikationer og påmindelser baseret på den dataansvarliges egne data og indstillinger.

A.1.1 Eksplicitte forbud (afledte formål)

Databehandleren behandler udelukkende personoplysninger til de formål, der er beskrevet ovenfor. Det er udtrykkeligt forbudt for databehandleren at:

  • bruge den dataansvarliges kundedata til at træne, fintune, evaluere eller på anden måde forbedre databehandlerens egne eller tredjeparters AI-modeller
  • bruge den dataansvarliges kundedata til at udvikle nye produktegenskaber, benchmarks eller analyser, der gavner andre kunder, medmindre data er fuldstændigt anonymiseret og aggregeret på en måde, hvor genidentifikation ikke er teknisk mulig
  • videresælge, dele eller offentliggøre den dataansvarliges kundedata til markedsføring, statistik eller andre afledte kommercielle formål
  • bruge data til andre afledte formål ("derived purposes") uden den dataansvarliges eksplicitte, dokumenterede forhåndsgodkendelse

Dette forbud er en direkte konsekvens af Datatilsynets afgørelse i Chromebook-sagen (januar 2026), som fastslog, at en databehandler ikke lovligt kan behandle personoplysninger til egne afledte formål uden særskilt retsgrundlag hos den dataansvarlige.

Web-søgning via Tavily og Firecrawl: Disse er separate behandlingsaktiviteter, hvor data sendes til amerikanske leverandører uden Zero Data Retention. Brug af disse funktioner kræver, at den dataansvarlige udtrykkeligt aktiverer dem; de er deaktiveret som standard. Indtil DPF-verificering for begge leverandører er afsluttet (jf. Bilag B), bør den dataansvarlige overveje sensitivity af de søgeforespørgsler der måtte udsendes.

A.2 Karakteren af behandlingen

Karakteren er cloud-baseret SaaS-drift med følgende tekniske aktiviteter: indsamling og lagring af kundedata; transmission i krypteret form (TLS 1.3); strukturering, indeksering og søgning i en relationel database (Supabase/PostgreSQL) med vektorudvidelse (pgvector); generering af embeddings via tredjeparts-LLM-tjenester med ZDR; AI-inference via OpenRouter med ZDR; visning af data i Joey-grænsefladen; automatisk eller manuel synkronisering med autoriserede tredjepartssystemer; backup i kryptografisk form; tilvejebringelse af eksport i struktureret, maskinlæsbart format.

A.3 Typer af personoplysninger

Almindelige personoplysninger (Art 6): navne, e-mail, telefonnumre, fysiske adresser, CVR for erhvervskunder, projektrelaterede oplysninger, tilbuds- og fakturadata, indkomne/udgående e-mails fra autoriserede e-mail-konti, kalender-events, notater, eventuelle billeder/fotos af projekter (som kan indeholde indirekte identificerbare oplysninger), lyd-/talelogs ved aktiv stemmeintegration (transskriberet), AI-prompts og AI-svar.

Særlige kategorier (Art 9): Joey er ikke designet til behandling af særlige kategorier. Den dataansvarlige skal afholde sig fra at uploade sådanne. Hvis sådanne alligevel indgår i synkroniserede e-mails, behandles de som almindelige personoplysninger uden særskilt logning eller analyse, men sletning på anmodning er forpligtende.

Strafbare forhold (Art 10): Joey behandler ikke sådanne oplysninger som primært formål. Samme princip som Art 9-data gælder ved forekomst i synkroniserede e-mails.

A.4 Kategorier af registrerede

  • Den dataansvarliges kunder (forbrugere og erhvervsdrivende)
  • Den dataansvarliges potentielle kunder (leads)
  • Den dataansvarliges ansatte og medarbejdere (hvis tilføjet til Joey-kontoen)
  • Kontaktpersoner hos den dataansvarliges leverandører, underentreprenører og samarbejdspartnere
  • Tredjeparter (familiemedlemmer, naboer, repræsentanter), der indirekte fremgår

A.5 Varighed

Behandlingen påbegyndes ved oprettelsen af den dataansvarliges betalende konto hos Joey og fortsætter, så længe abonnementsforholdet består. Ved opsigelse ophører den aktive behandling. Sletning eller returnering sker jf. Bilag C.4.

Bilag B — Underdatabehandlere

B.1 Godkendte underdatabehandlere

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere. En altid opdateret, autoritativ liste vedligeholdes offentligt på joey.dk/underdatabehandlere og udgør en integreret del af denne aftale.

NavnBehandlingsstedBehandlingOverførselsgrundlag
Vercel Inc.EU (Frankfurt, fra1)Hosting og kørselsmiljø; funktioner konfigureret til kun at køre i FrankfurtEU-US DPF + SCC
Supabase Inc.EU (Frankfurt, eu-central-1)Database (PostgreSQL), authentication, filstorage, real-time. Data lagres udelukkende i EU.EU-US DPF + SCC
OpenRouter Inc.EU-routing til Vertex AI Europe, Bedrock EU, Azure EU (ZDR håndhævet)AI-gateway til LLMs; routes alle Joey-forespørgsler til EU-baserede LLM-endpoints med ZDREU-US DPF + SCC. ZDR aktiveret på alle 4 OpenRouter-data-policy-grupper
Google LLC (Vertex AI)EU (Vertex Europe, primært Frankfurt/Belgien)Eksekvering af Google Gemini-modeller via OpenRouter ZDREU-US DPF + SCC
Anthropic PBCEU (Vertex Europe, AWS Bedrock EU)Eksekvering af Claude-modeller via OpenRouter ZDREU-US DPF + SCC
Microsoft Corporation (Azure)EU (Azure EU)Eksekvering af OpenAI GPT-4o-mini via OpenRouter ZDREU-US DPF + SCC
PostHog Inc.EU (PostHog Cloud EU, Frankfurt)Produktanalyse, sessionsoptagelser (memory-mode, inputfelter maskeret)EU-US DPF + SCC
Functional Software Inc. (Sentry)EU (Sentry EU-instans)Fejlsporing; PII strippet via beforeSend-filterEU-US DPF + SCC
Stripe Payments Europe Ltd.EU (primær: Irland) + globalt for betalingsnetværkDual-rolle. Som underdatabehandler: udfører transaktionel abonnementsbetalings-flow. Som selvstændig dataansvarlig: PCI-DSS, AML, svindeldetektering.n/a for EU-til-EU; PCI-DSS for kortnetværk
Visma e-conomic A/SEU (Danmark)Synkronisering af fakturaer, kontaktdata og bogføringsbilag (hvis aktiveret)n/a (EU-til-EU)
AlphaAI Technologies Inc. d/b/a TavilyUSAWeb-søgning som AI-funktionalitet; deaktiveret som standardOVERFØRSELSGRUNDLAG IKKE BEKRÆFTET — DPF-verificering gennemført 2026-05-18: AlphaAI Technologies Inc. er ikke DPF-certificeret, og deres privatlivspolitik nævner ikke SCC. Tavily er deaktiveret som standard og aktiveres kun ved den dataansvarliges udtrykkelige opt-in (se Bilag A.1.1). Brug af funktionen er risiko-accepteret af databehandleren med begrænset omfang (opt-in + sjælden brug).
SideGuide Technologies, Inc. d/b/a FirecrawlUSAURL-ekstraktion til onboarding-research; kun aktiv under onboardingOVERFØRSELSGRUNDLAG IKKE BEKRÆFTET — DPF-verificering gennemført 2026-05-18: SideGuide Technologies, Inc. er ikke DPF-certificeret, og deres privatlivspolitik nævner ikke SCC. Firecrawl anvendes kun under onboarding og kun for URL'er som den dataansvarlige selv angiver (ingen automatisk afsendelse af end-customer PII). Brug af funktionen er risiko-accepteret af databehandleren med begrænset omfang.

Stripe dual-rolle:Den selvstændige dataansvarlige rolle udspringer af Stripe's "Direct Services" vilkår, hvor Stripe selvstændigt bestemmer formål og midler for compliance- og svindeldetekteringsbehandlingen. Stripe vedligeholder sin egen privatlivspolitik på stripe.com/privacy. Databehandlerens DPA dækker alene den behandling, hvor Stripe handler på databehandlerens instruks. Stripe Payments Europe Ltd. kan videresende visse data til Stripe Inc. (USA) som led i kortnetværk-clearing og svindeldetektering. Disse onward-overførsler er reguleret af Stripes egen DPA og DPF-deltagelse.

Verificering af underdatabehandleres overførselsgrundlag:Databehandleren verificerer mindst kvartalsvist hver underdatabehandlers DPF-deltagelse mod Department of Commerce's officielle liste på dataprivacyframework.gov. For leverandører hvor DPF-verificering er undervejs, indgår databehandleren EU-Kommissionens standardkontraktbestemmelser (SCC) direkte med leverandøren.

Stacked-vendor flow-down (særligt om AI-modelleverandører): Databehandleren har ikke direkte kontraktforhold med Anthropic, Google og Microsoft, men anvender disse leverandører gennem OpenRouter med Zero Data Retention håndhævet. Risici ved manglende kontraktlig flow-down mitigeres ved: (a) løbende konfigurations-monitorering af OpenRouter ZDR-status, (b) kvartalsvis verificering af upstream-leverandørernes egne ZDR-politikker (Google Vertex AI, AWS Bedrock, Microsoft Azure OpenAI Service), og (c) at upstream-leverandørerne hver især offentligt har forpligtet sig til ikke at træne på data routet gennem deres enterprise-tjenester. Hvis upstream-konfiguration ændres på en måde der bryder ZDR-kæden, behandles dette som en sub-processor-ændring jf. bilag B.2.

B.1.1 Tredjepartstjenester aktiveret via OAuth (uden for processor-kæden)

Følgende tjenester aktiveres af den dataansvarlige selv via OAuth-autorisation. Joey fungerer alene som OAuth-klient, der læser data fra den dataansvarliges egen konto. Den dataansvarlige har selvstændig ToS-relation med Google og Microsoft. Google og Microsoft er selvstændige dataansvarlige for de underliggende tjenester og er ikke underdatabehandlereunder Joey's processor-kæde i streng Art 28-forstand.

TjenesteLeverandørens rolleJoey's adgang og formålHvor data lagres
Google Gmail (via Gmail API)Selvstændig dataansvarligOAuth-klient med read-only scope. Læser e-mails fra den dataansvarliges Gmail-konto for at knytte dem til kunderecords i JoeyOriginalen forbliver hos Google; uddrag lagres i Joey's database (Supabase, EU)
Microsoft Outlook + kalender (via Graph API)Selvstændig dataansvarligOAuth-klient. Læser e-mails og kalender-events fra den dataansvarliges Outlook-kontoOriginalen forbliver hos Microsoft; uddrag lagres i Joey's database

Den dataansvarlige kan til enhver tid trække OAuth-autorisationen tilbage. Allerede synkroniserede uddrag forbliver indtil den dataansvarlige sletter dem manuelt eller opsiger abonnementet.

Den dataansvarliges OAuth-warranty: Den dataansvarlige indestår overfor databehandleren for, at den dataansvarliges egen aftale med Google og/eller Microsoft tillader den udlæsning af data, som den dataansvarlige instruerer Joey i at foretage via OAuth-autorisationen. Visse Workspace- eller Microsoft 365-aftaler i regulerede brancher (jura, sundhed) kan indeholde data-residens- eller data-eksport-restriktioner, som den dataansvarlige selv er forpligtet til at overholde.

B.2 Varsel for godkendelse af underdatabehandlere

Databehandleren skal underrette den dataansvarlige om planlagte ændringer i listen — herunder tilføjelse af nye, udskiftning af eksisterende eller udvidet anvendelse — mindst 30 dage før ændringen træder i kraft, via email til den dataansvarliges registrerede kontakt-e-mail, in-app notifikation, og opdatering af den offentlige liste på joey.dk/underdatabehandlere.

Den dataansvarlige kan inden ikrafttræden gøre skriftlig indsigelse til toki@lykkeligai.dk. Hvis indsigelsen er rimeligt begrundet, skal databehandleren enten (a) afstå fra at anvende den foreslåede underdatabehandler, (b) tilbyde en rimelig alternativ løsning, eller (c) acceptere at den dataansvarlige opsiger abonnementet med øjeblikkelig virkning og forholdsmæssigt refundere ikke-anvendt forudbetalt abonnementsbeløb.

Notice-effektivitet: Den dataansvarlige indestår for, at de angivne kontaktoplysninger er aktuelle og funktionsdygtige. Hvis varsel returneres som ikke-leveret, betragtes varslet alligevel som givet, hvis det er publiceret på joey.dk/underdatabehandlere i den foreskrevne varslingsperiode.

Bilag C — Instruks vedrørende behandling af personoplysninger

C.1 Behandlingens genstand/instruks

Databehandlerens behandling sker ved at databehandleren udfører følgende:

  1. Modtagelse, lagring og fremvisning af de personoplysninger, som den dataansvarlige uploader eller synkroniserer til Joey.
  2. Behandling af AI-forespørgsler via OpenRouter med Zero Data Retention konfigureret, og returnering af modelsvar.
  3. Synkronisering med tredjepartssystemer som den dataansvarlige selv har autoriseret via OAuth.
  4. Tilvejebringelse af eksport-funktionalitet i struktureret, almindeligt anvendt og maskinlæsbart format.
  5. Tilvejebringelse af sletnings-funktionalitet for enkelte kundeposter eller den samlede konto.
  6. Backup, drift og vedligeholdelse af den underliggende infrastruktur.

Databehandleren må ikke uden den dataansvarliges udtrykkelige instruks behandle personoplysningerne til andre formål end de ovenfor angivne, jf. desuden bilag A.1.1.

C.2 Behandlingssikkerhed

Sikkerhedsniveauet skal afspejle, at behandlingen omfatter almindelige personoplysninger (Art 6), at volumen kan være betydelig for hver dataansvarlig, at behandlingen omfatter AI-baseret generering, og at den dataansvarlige typisk er en lille håndværksvirksomhed uden interne sikkerhedsressourcer.

Der etableres et "middelhøjt" sikkerhedsniveau. Databehandleren skal som minimum gennemføre følgende:

C.2.1 Pseudonymisering og kryptering

  • Kryptering i hvile: AES-256 på alle data lagret hos Supabase (database, fil-storage, backups). Krypteringsnøgler administreres af Supabase med adskillelse fra databasen.
  • Kryptering i transit: TLS 1.3 på alle forbindelser.
  • PII-stripping i fejllog: beforeSend-filter fjerner felter som aiInput, aiOutput, messages, prompt, content før afsending til Sentry.
  • Inputfelt-maskering: maskAllInputs=true i PostHog-sessionsoptagelser.
  • Pseudonymisering anvendes hvor det er teknisk gennemførligt.

C.2.2 Vedvarende fortrolighed, integritet, tilgængelighed og robusthed

  • Row-Level Security (RLS) i PostgreSQL sikrer logisk isolation mellem dataansvarlige.
  • Rollebaseret adgang internt: kun drift/support-personer har adgang til produktionsdata, ad hoc.
  • Multi-faktor authentication (MFA) obligatorisk for alle administrative konti.
  • Netværkssegmentering: isolerede serverless-kontekster med strenge IAM-roller.
  • Region pinning (verificeret): Vercel-funktioner kører udelukkende i Frankfurt (fra1), teknisk verificeret 17. maj 2026 via vercel inspect på deployment dpl_4pfJdPENmcCSAGXYyYqVat8wBxyn.

C.2.3 Genopretning

  • Daglige automatiske backups af databasen hos Supabase med 7-dages Point-in-Time Recovery.
  • Disaster recovery: RTO 24 timer, RPO 4 timer.
  • Tested restore: Backup-restore testes mindst kvartalsvist på testmiljø.

C.2.4 Regelmæssig afprøvning, vurdering og evaluering

  • Pre-commit hooks: typecheck og test-suite køres automatisk.
  • Continuous Integration: tests på alle pull requests; ingen deploy uden grøn pipeline.
  • Sikkerhedsscanning: Snyk eller tilsvarende SAST-værktøj kører kontinuerligt.
  • Årlig sikkerhedsgennemgang med opdatering af DPA-bilag C accordingly.
  • Incident-postmortems ved enhver sikkerhedshændelse.

C.2.5 Adgang via internettet

  • Gyldig brugerkonto med email + krypteret password hash hos Supabase
  • Eller SSO via godkendt identitetsudbyder (Google, Microsoft)
  • 2-faktor authentication anbefales og kan aktiveres pr. konto
  • Inaktive sessioner timer ud; brute-force-beskyttelse mod loginforsøg

C.2.6 Beskyttelse under transmission

  • TLS 1.3 på alle eksterne forbindelser
  • HSTS håndhævet
  • Certificate pinning eller tilsvarende kontrol mod MITM-angreb
  • Krypteret transmission internt mellem applikationslag og database

C.2.7 Beskyttelse under opbevaring

  • AES-256 krypteret database (Supabase default)
  • Krypterede backups
  • Filer i Supabase Storage krypteret i hvile
  • Krypteringsnøgler administreres separat fra data

C.2.8 Fysisk sikring

Databehandleren behandler ikke selv personoplysninger på fysiske lokaliteter; behandlingen sker i underdatabehandlernes datacentre (primært Supabase Frankfurt, Vercel Frankfurt). Disse er certificeret efter ISO 27001 eller tilsvarende, med 24/7 bemanding, biometrisk adgang og video-overvågning. Databehandlerens arbejdsstation er krypteret med FileVault.

C.2.9 Hjemme-/fjernarbejdspladser

Databehandleren arbejder hovedsageligt fra hjemmearbejdsplads i Søborg. Foranstaltninger: disk-kryptering (FileVault AES-XTS), skærmlås efter inaktivitet, password manager, VPN/sikker WiFi ved arbejde uden for hjemmet, ingen offline lokal opbevaring af den dataansvarliges kundedata.

C.2.10 Logning

  • Audit log i applikationen: vigtige handlinger logges (login, sletning, eksport, ændringer i AI-modeller eller underdatabehandler-konfiguration)
  • System log hos Supabase: alle databaseforespørgsler, fejl, autentificeringsforsøg
  • Application log hos Vercel: alle HTTP-anmodninger med metadata (uden indhold)
  • Logs: opbevares i op til 90 dage for fejlsporing og sikkerhedsformål

C.3 Bistand til den dataansvarlige

C.3.1 De registreredes rettigheder (Bestemmelse 8.1)

RettighedBistand fra databehandleren
Oplysningspligt (Art 13/14)Databehandleren stiller skabeloner og vejledning til rådighed. Support indenfor rimelig tid.
Indsigt (Art 15)Den dataansvarlige kan eksportere komplette kunde-records via Joey's eksport (CSV/JSON/PDF) inden for 5 hverdage fra anmodning.
Berigtigelse (Art 16)Den dataansvarlige har direkte redigeringsadgang til alle kundedata.
Sletning (Art 17)Den dataansvarlige kan slette direkte i Joey's grænseflade. Sletninger propageres til underdatabehandlere indenfor 30 dage.
Begrænsning (Art 18)Den dataansvarlige kan markere enkelte kunder/projekter som "ikke aktiv behandling", hvilket fjerner dem fra AI-context og synkroniseringer.
Dataportabilitet (Art 20)Eksport i struktureret, almindeligt anvendt og maskinlæsbart format (JSON og CSV).
Indsigelse (Art 21)Databehandleren bistår med at vurdere indsigelser ved på anmodning at dokumentere konkret behandling.
Automatiske afgørelser (Art 22)Joey træffer ikke automatiske afgørelser med retsvirkning eller tilsvarende væsentlig betydning. AI'en genererer udelukkende udkast, som den dataansvarlige skal verificere og godkende manuelt.

C.3.2 Bistand vedrørende artikel 32-36

  • Brud på persondatasikkerheden (Art 33-34): se Bestemmelse 9 og bilag C.3.3
  • Konsekvensanalyse (DPIA) (Art 35): databehandleren stiller information til rådighed inden for 10 hverdage
  • Forudgående høring (Art 36): databehandleren leverer teknisk dokumentation

C.3.3 Information ved underretning om brud

Når databehandleren underretter om et brud, jf. Bestemmelse 9.1, skal underretningen så vidt muligt indeholde:

  • Karakteren af bruddet (uautoriseret adgang, datatab, integritetsbrud, tilgængelighedsbrud, mv.)
  • Tidspunkt for opståelse og opdagelse
  • Berørte datakategorier
  • Omtrentligt omfang (antal berørte registrerede og poster, med usikkerhedsbredde)
  • Sandsynlige konsekvenser
  • Trufne foranstaltninger
  • Foreslåede foranstaltninger
  • Kontaktperson hos databehandleren

Hvis al information ikke er tilgængelig ved første underretning, leverer databehandleren manglende information i opdaterede underretninger uden unødig forsinkelse, så længe undersøgelsen pågår. Den dataansvarliges egen underretning til Datatilsynet kan suppleres med yderligere oplysninger uden tidsfrist, jf. databeskyttelsesforordningens artikel 33, stk. 4.

AI-specifikke hændelser: Hvis databehandleren bliver opmærksom på, at en eller flere af de anvendte AI-modeller systematisk producerer fejlagtige resultater (model-drift, hallucination i specifikke domæner, prompt-injection-sårbarheder), underretter databehandleren den dataansvarlige uden unødig forsinkelse via in-app notifikation og statusside (status.joey.dk). Dette er en separat informationsforpligtelse uden for den almindelige brud-procedure, da AI-output-fejl ikke nødvendigvis udgør et persondatabrud i artikel 33-forstand.

C.4 Opbevaringsperiode / sletterutine

Under aktivt abonnement: Den dataansvarliges data opbevares så længe abonnementsforholdet består og er aktivt anvendt.

Ved ophør: Standardvalget er sletning. Databehandleren sletter alle personoplysninger indenfor 30 dage efter ophør og bekræfter sletningen skriftligt.

Eksport før sletning: Den dataansvarlige kan inden for de første 30 dage efter ophør anmode om at få returneret alle personoplysninger i struktureret, maskinlæsbart format (JSON og CSV). Eksporten leveres senest 14 dage efter anmodning.

Backup-vinduer: Personoplysninger kan forekomme i krypterede backups i op til 30 dage efter sletning fra produktionsmiljøet, indtil backup-rotation har overskrevet dem. Disse backups anvendes alene til disaster-recovery.

Telemetri-data (databehandleren som dataansvarlig): Telemetri-data behandlet af databehandleren med henblik på drift, fejlsporing og produktanalyse opbevares som følger: Sentry fejlspor: 90 dage. PostHog produktanalyse: 12 måneder. PostHog sessionsoptagelser: 30 dage (10%-prøve). Disse retentioner gælder data, hvor databehandleren er dataansvarlig (jf. Privatlivspolitik), ikke den dataansvarliges kundedata.

Lovpligtige undtagelser: Joey's abonnementsfakturaer indeholder ikke direkte den dataansvarliges kundedata, men kan indeholde aggregerede usage-tællere. Sådanne aggregerede tællere opbevares under Bogføringslovens § 10 i 5 år. Identificerbare end-customer-data fremgår ikke af bogføringsbilagene.

C.5 Lokalitet for behandling

Behandling kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:

LokalitetUnderdatabehandlerBehandling
Frankfurt, TysklandVercel Inc. (region fra1)Hosting, serverless-funktioner
Frankfurt, TysklandSupabase Inc. (eu-central-1)Database, authentication, filstorage
EU-regionerOpenRouter, Google, Anthropic, MicrosoftAI-inference med ZDR
Frankfurt, TysklandPostHog Inc.Produktanalyse
EU-regionFunctional Software Inc. (Sentry)Fejlsporing
IrlandStripe Payments Europe Ltd.Betalingsbehandling
DanmarkVisma e-conomic A/SRegnskabsintegration
USA + EUGoogle (Gmail API), Microsoft (Graph API)E-mail-integration via OAuth, read-only
USATavily, FirecrawlWeb-søgning som AI-værktøj
DanmarkLykkelig AI (Toki Wilkinsons arbejdsstation)Drift, support, fejlhåndtering — ad hoc adgang via krypterede sessioner

C.6 Instruks vedrørende overførsel til tredjelande

Den dataansvarlige instruerer databehandleren i, at personoplysninger må overføres til tredjelande, i det omfang nødvendigt for tjenesten og omfattet af følgende overførselsgrundlag:

  1. EU-US Data Privacy Framework (DPF): Anvendes for alle underdatabehandlere registreret som DPF-deltagere på Department of Commerce's DPF-liste, jf. EU-Kommissionens adekvansafgørelse C(2023) 4745. Inkluderer som minimum: Vercel, Supabase, OpenRouter, PostHog, Stripe (US), Google, Microsoft, Anthropic, Sentry.
  2. EU-Kommissionens standardkontraktbestemmelser (SCC, Module 2): Anvendes som supplerende og fallback-grundlag for samtlige underdatabehandlere uden for EU/EØS, uafhængigt af DPF-status.
  3. Transfer Impact Assessment (TIA): Databehandleren udarbejder formel TIA for hver tredjeland-leverandør og publicerer sammendrag på joey.dk/legal/tia inden lancering til betalende kunder ud over Startholdet. Vurderingen omfatter, om de relevante adekvansafgørelser og standardkontraktbestemmelser sammen med supplerende foranstaltninger giver et beskyttelsesniveau, der i alt væsentligt svarer til EU-niveauet, jf. Schrems II (C-311/18). Supplerende foranstaltninger for AI-behandling: ZDR konfigureret på OpenRouter-niveau, EU-region pinning hos LLM-leverandører.
  4. OpenRouter EU-only-or-fail routing: OpenRouter er konfigureret til EU-only routing — anmodninger der ikke kan opfyldes inden for EU-regioner vil fejle frem for at falde tilbage til ikke-EU endpoints. Konfigurationen verificeres mindst kvartalsvist via openrouter.ai/settings/privacy. Fejlrate overvåges via status.joey.dk.

C.7 Procedurer for den dataansvarliges revisioner

Databehandleren skal én gang årligt for egen regning indhente en revisionserklæring eller tilsvarende dokumentation fra en uafhængig tredjepart vedrørende overholdelsen.

Følgende typer kan anvendes:

  • Intern revisionsrapport (i de første 24 måneder): pragmatisk for en mindre virksomhed under opbygning
  • ISAE 3000 / ISAE 3402 revisionsrapport (fra senest 24 måneder efter ikrafttræden)
  • Underdatabehandlernes egne SOC 2 Type II / ISO 27001 / lignende rapporter

Den dataansvarlige eller dennes repræsentant har adgang til inspektioner med mindst 30 dages varsel, medmindre særlige omstændigheder.

Omkostninger: Standard årlig revision afholdes af databehandleren. Ad hoc inspektion uden konkret mistanke: den dataansvarlige afholder egne udgifter og rimelig dækning af databehandlerens tidsforbrug. Ad hoc ved konkret begrundet mistanke eller hvis inspektion afslører væsentlig non-conformance: databehandleren afholder.

C.8 Procedurer for revisioner med underdatabehandlere

Databehandleren skal én gang årligt indhente og gennemgå offentligt tilgængelig sikkerhedsdokumentation fra hver underdatabehandler. Acceptable former: SOC 2 Type II, ISO/IEC 27001, ISO/IEC 27018, underdatabehandlerens egen DPA, public security trust portal.

Den dataansvarlige kan initiere og deltage på en fysisk inspektion hos en underdatabehandler, hvis nødvendigt. Databehandlerens og underdatabehandlerens udgifter er den dataansvarlige uvedkommende.

Bilag D — Parternes regulering af andre forhold

D.1 Forhold til andre kontrakter

Disse Bestemmelser udgør parternes komplette aftale om databehandling. Ved konflikt med andre aftaler — herunder Joey's Handelsbetingelser — har disse Bestemmelser forrang for så vidt angår databehandlingens lovlighed, sikkerhed og overholdelse af databeskyttelsesforordningen. For andre forhold (pris, opsigelsesfrist, abonnementsbetingelser, ansvarsbegrænsning) gælder Handelsbetingelserne.

D.2 Versionering og ændring af bilag

Databehandleren kan løbende opdatere bilag A, B, C og D for at tilføje/fjerne/ændre underdatabehandlere (med 30 dages varsel), opdatere tekniske foranstaltninger, tilpasse formuleringer for at afspejle ny vejledning fra Datatilsynet, eller rette typografiske fejl.

Større ændringer, der materielt påvirker den dataansvarliges rettigheder, varsles på samme måde som ændringer af underdatabehandler-listen (30 dages varsel, indsigelses- og opsigelses-ret).

Den til enhver tid gældende version offentliggøres på joey.dk/databehandleraftale og er den retligt bindende version.

D.3 Ansvar

Ansvarsbegrænsning er reguleret i Handelsbetingelserne, §12. Databehandleren undersøger løbende muligheder for cyber- og persondatabrud-forsikring og forpligter sig til at tegne sådan dækning, når det er kommercielt tilgængeligt for en enkeltmandsvirksomhed af databehandlerens størrelse. Per 17. maj 2026 er sådan forsikring ikke tegnet.

D.3.1 Ansvar for AI-output

Den dataansvarlige anerkender, at AI-genereret indhold (tilbudsudkast, e-mail-udkast, prisestimering, opfølgningsforslag) er forslag, der skal verificeres og godkendes af den dataansvarlige inden afsendelse til tredjepart. Databehandleren har ingen kontrol over og påtager sig intet ansvar for indholdets faglige korrekthed, juridiske gyldighed eller forretningsmæssige hensigtsmæssighed. Databehandlerens ansvar for fejl i AI-output er begrænset til den i Handelsbetingelserne fastsatte beløbsgrænse, jf. dansk rets almindelige regler om begrænsninger i fritagelsesklausuler (Aftaleloven §36 forbeholdt).

D.3.2 Ejendomsret til AI-genereret indhold

Ejendomsret til AI-genereret indhold tilfalder den dataansvarlige. Databehandleren gør intet ejendomsforbehold gældende over AI-genereret indhold leveret til den dataansvarlige.

D.4 Tvister og værneting

Eventuelle tvister afgøres efter dansk ret ved Sø- og Handelsretten i København som første instans, alternativt ved Københavns Byret.

D.5 Lovvalg

Disse Bestemmelser er underlagt dansk ret. Databeskyttelsesforordningen og dansk databeskyttelseslovgivning er ufravigelig og finder anvendelse uanset lovvalgsklausulen.

D.6 Delvis ugyldighed

Hvis enkelte bestemmelser måtte være eller blive ugyldige, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne forpligter sig til i god tro at erstatte den ugyldige bestemmelse med en gyldig, der så vidt muligt har samme økonomiske og juridiske effekt.

D.7 Underretning og kommunikation

Al formel kommunikation sker pr. e-mail til de i Bestemmelse 14 angivne kontaktpersoner. Kommunikation pr. e-mail anses som modtaget på afsendelsestidspunktet, dog senest førstkommende hverdag kl. 09:00 hvis afsendt uden for almindelig kontortid (08:00-17:00 hverdage). For underretninger om brud (jf. Bestemmelse 9) suppleres email med in-app notifikation for at sikre rettidig levering.

D.8 Designation af databeskyttelsesrådgiver (DPO)

Databehandleren har vurderet, at databeskyttelsesforordningens artikel 37, stk. 1, ikke kræver formel DPO-designation, fordi: (a) databehandleren ikke er en offentlig myndighed, (b) databehandlingen omfatter ikke særlige kategorier af personoplysninger på stor skala efter artikel 9, og (c) databehandlerens kerneaktivitet er SaaS-drift, ikke systematisk overvågning af registrerede. Toki Wilkinson varetager kontaktrollen for databeskyttelsesspørgsmål og fungerer som single point of contact for tilsynsmyndighed og dataansvarlige. Vurderingen genovervejes mindst årligt og ved væsentlige ændringer i behandlingens karakter eller omfang.