Denne skabelon-version er senest opdateret: 8. juni 2026
Denne databehandleraftale ("Aftalen") er indgået mellem
Dataansvarlig (kunden):
__________________________ (navn)
__________________________ (CVR)
__________________________ (adresse)
__________________________ (kontakt / e-mail)
(herefter "Dataansvarlig")
og
Databehandler:
Oscar Hangaard
Vilkestrupvej 1
4623 Lille Skensved
Danmark
Kontakt: kontakt@zolva.io
(herefter "Databehandler" eller "Zolva")
Tilsammen "Parterne".
Ikrafttrædelsesdato: ______________ (udfyldes ved underskrift)
Denne skabelon-version er senest opdateret: 8. juni 2026
Dataansvarlig har indgået en aftale med Databehandler om levering af Zolva — en personlig AI-assistent for mail, kalender og påmindelser ("Hovedaftalen"). I forbindelse med leveringen behandler Databehandler personoplysninger på vegne af Dataansvarlig.
Formålet med Aftalen er at fastsætte de forpligtelser, der påhviler Databehandler efter artikel 28 i Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 ("GDPR") og efter dansk databeskyttelsesret.
Aftalen har forrang for modstridende bestemmelser i Hovedaftalen eller andre aftaler mellem Parterne, for så vidt angår behandling af personoplysninger.
Begreberne "personoplysninger", "behandling", "dataansvarlig", "databehandler", "registrerede", "brud på persondatasikkerheden" mv. har samme betydning som i GDPR artikel 4.
Behandlingens genstand, varighed, art, formål, kategorier af registrerede og typer af personoplysninger er beskrevet i Bilag A.
Dataansvarlig er ansvarlig over for de registrerede for Databehandlers behandling af personoplysninger og afgør formål og midler. Dataansvarlig har ret og pligt til at fastsætte de instrukser, efter hvilke Databehandler må foretage behandling.
Dataansvarlig garanterer, at der er et lovligt grundlag for behandlingen efter GDPR artikel 6 (og artikel 9, hvis relevant), og at de registrerede er informeret i henhold til GDPR artikel 13–14.
Databehandler må udelukkende behandle personoplysninger efter dokumenteret instruks fra Dataansvarlig — herunder vedrørende overførsler til tredjelande — medmindre behandlingen er påkrævet efter EU-ret eller dansk ret, som Databehandler er underlagt. I så fald underretter Databehandler Dataansvarlig om dette retskrav før behandlingen, medmindre den pågældende ret forbyder sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Instruks fra Dataansvarlig sker gennem (i) brug af Tjenesten i overensstemmelse med dokumentationen, (ii) indstillinger, som Dataansvarlig vælger i appen eller via admin-grænseflader, og (iii) skriftlige henvendelser til kontakt@zolva.io.
Databehandler underretter omgående Dataansvarlig, hvis en instruks efter Databehandlers mening er i strid med GDPR eller anden EU-/medlemsstats ret om databeskyttelse.
Databehandler sikrer, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt passende lovbestemt tavshedspligt. Adgang til data er begrænset til medarbejdere, hvis funktion kræver det.
Databehandler træffer alle fornødne tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til de risici, behandlingen indebærer, jf. GDPR artikel 32. De foranstaltninger, Databehandler har implementeret, fremgår af Bilag C.
Databehandler underretter løbende Dataansvarlig om væsentlige ændringer til foranstaltningerne. Dataansvarlig kan ikke påberåbe sig manglende viden om ændringer, hvis Databehandler har informeret via de sædvanlige kanaler.
Databehandler må anvende de underdatabehandlere, der er anført i Bilag B. Dataansvarlig giver herved Databehandler generel forhåndsgodkendelse til at anvende disse.
Ved tilføjelse eller udskiftning af underdatabehandlere underretter Databehandler Dataansvarlig skriftligt mindst 30 dage før ændringen træder i kraft, med oplysning om underdatabehandlerens navn, rolle og placering. Dataansvarlig kan i denne periode skriftligt gøre indsigelse med saglig begrundelse relateret til databeskyttelse.
Kan Parterne ikke nå til enighed om en ny underdatabehandler, er Dataansvarlig berettiget til at opsige Hovedaftalen med virkning fra det tidspunkt, hvor ændringen træder i kraft, uden yderligere betalingsforpligtelse end for allerede leverede ydelser.
Databehandler pålægger hver underdatabehandler samme databeskyttelsesforpligtelser som fastsat i Aftalen, og Databehandler er fortsat fuldt ansvarlig over for Dataansvarlig for underdatabehandleres opfyldelse.
Hvis Databehandler — selv eller via en underdatabehandler — overfører personoplysninger til et tredjeland eller en international organisation, sker det kun på et gyldigt overførselsgrundlag efter GDPR kapitel V, herunder
Gældende overførselsgrundlag pr. underdatabehandler fremgår af Bilag B.
Under hensyntagen til behandlingens karakter bistår Databehandler Dataansvarlig — så vidt muligt — ved passende tekniske og organisatoriske foranstaltninger med at opfylde Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder efter GDPR kapitel III (indsigt, berigtigelse, sletning, begrænsning, indsigelse, dataportabilitet).
Databehandler stiller desuden de nødvendige oplysninger til rådighed for Dataansvarligs overholdelse af forpligtelser efter GDPR artikel 32–36 — herunder sikkerhed, brud, konsekvensanalyser og forudgående høring — og bistår i rimeligt omfang.
Bistand, der går væsentligt ud over den normale drift af Tjenesten, kan faktureres til Databehandlers sædvanlige timesats.
Databehandler underretter uden unødig forsinkelse — og senest 48 timer efter kendskab — Dataansvarlig om brud på persondatasikkerheden. Underretningen sker til den kontaktadresse, Dataansvarlig har oplyst, og indeholder i det mindste
Pligten til at anmelde brud til Datatilsynet og til at underrette de registrerede ligger hos Dataansvarlig.
Ved ophør af Hovedaftalen sletter Databehandler alle personoplysninger behandlet på Dataansvarliges vegne — eller tilbagelevere dem efter Dataansvarliges valg — medmindre opbevaring er påkrævet efter EU-ret eller dansk ret.
Sletning omfatter backup-kopier i overensstemmelse med Databehandlers normale sletnings-rutine for backups (typisk inden for 35 dage efter sletning fra produktionssystemer).
Dataansvarlig kan anmode om sletning skriftligt til kontakt@zolva.io.
Databehandler stiller — efter skriftlig anmodning fra Dataansvarlig med rimeligt varsel og ikke oftere end én gang om året, medmindre der er konkret mistanke om misligholdelse — følgende til rådighed:
Dataansvarlig kan, for egen regning og efter 30 dages skriftligt varsel, udpege en uafhængig, gensidigt godkendt auditor til at gennemføre en audit i det omfang, det er nødvendigt for at dokumentere Databehandlers overholdelse af Aftalen. Auditor skal underskrive en fortrolighedserklæring. Audit må ikke påvirke Databehandlers drift unødigt.
Omkostningerne ved audits bæres af Dataansvarlig, medmindre audit afdækker væsentlig misligholdelse fra Databehandlers side, i hvilket tilfælde Databehandler bærer rimelige omkostninger.
Parternes ansvar efter Aftalen er reguleret af den ansvarsbegrænsning, der fremgår af Hovedaftalen, dog således at ansvarsbegrænsninger ikke gælder for ansvar, der ikke kan fraskrives efter ufravigelig ret — herunder bøder pålagt en Part af en tilsynsmyndighed, hvor den anden Parts overtrædelse har bidraget væsentligt til bøden.
Hver Part er ansvarlig for eget brud på GDPR og hæfter over for de registrerede i overensstemmelse med GDPR artikel 82.
Aftalen træder i kraft på Ikrafttrædelsesdatoen og gælder, så længe Databehandler behandler personoplysninger på vegne af Dataansvarlig i henhold til Hovedaftalen. Bestemmelser, der efter deres natur skal gælde efter ophør — herunder om sletning, fortrolighed og ansvarsbegrænsning — forbliver i kraft.
Aftalen kan ikke opsiges særskilt af Hovedaftalen. Opsiges Hovedaftalen, ophører Aftalen samtidig, og Databehandler sletter data efter klausul 12.
Databehandler kan ændre Aftalen i det omfang, det er nødvendigt for at afspejle (i) ændringer i lovgivning, (ii) tilsynsmyndigheders vejledning, eller (iii) ændringer i den tekniske opsætning af Tjenesten. Væsentlige ændringer varsles skriftligt med mindst 30 dages varsel. Hvis Dataansvarlig ikke kan acceptere ændringer, der materielt svækker Dataansvarliges rettigheder, kan Dataansvarlig opsige Hovedaftalen med virkning fra ændringens ikrafttræden.
Øvrige ændringer kræver skriftlig aftale mellem Parterne.
Aftalen er underlagt dansk ret. Tvister afgøres ved Retten i Roskilde som første instans, medmindre andet følger af ufravigelig lov.
For Dataansvarlig:
Navn: __________________________
Titel: __________________________
Dato: ______________
Underskrift: __________________________
For Databehandler (Zolva):
Navn: Oscar Hangaard
Titel: Indehaver
Dato: ______________
Underskrift: __________________________
Levering af Tjenesten Zolva — personlig AI-assistent for mail, kalender og påmindelser — til Dataansvarliges medarbejdere og brugere.
Behandling af særlige kategorier af personoplysninger (GDPR art. 9) er ikke formålet med Tjenesten. Hvis sådanne oplysninger utilsigtet forekommer i mail- eller kalender-indhold, behandles de efter samme sikkerhedsniveau som øvrige data, men Dataansvarlig opfordres til at begrænse dette i sin egen interne brug.
Data behandles, så længe brugerens konto er aktiv, og slettes ved kontosletning eller ved ophør af Hovedaftalen, jf. klausul 12.
Databehandler anvender følgende underdatabehandlere pr. Ikrafttrædelsesdatoen:
| Navn | Rolle | Lokation | Overførselsgrundlag |
|---|---|---|---|
| Supabase Inc. | Database, autentificering og edge-functions. Primært datalager. | EU (eu-west-1, Irland). Virksomhed med hovedsæde i USA. | Data bor i EU. For eventuel administrativ adgang fra USA: EU-US Data Privacy Framework / SCC'er. |
| Anthropic PBC | AI-model (Claude) til generering af svar og opsummeringer. | USA. | EU-US Data Privacy Framework (hvor certificeret) og/eller SCC'er. Opbevarer prompts i op til 30 dage til misbrugsovervågning; bruger ikke data til træning. |
| Expo Application Services | Push-notifikationer via Apple Push Notification service og Firebase Cloud Messaging. | USA. | SCC'er. Kun push-token og notifikationstekst behandles. |
| Google LLC | OAuth, Gmail API, Google Calendar API. Aktiveres kun, hvis brugeren forbinder sin Google-konto. | USA. Data bor hos brugerens egen Google-konto. | EU-US Data Privacy Framework / SCC'er. Data tilgås via brugerens eget refresh-token. |
| Microsoft Corp. | OAuth, Microsoft Graph. Aktiveres kun, hvis brugeren forbinder sin Microsoft-konto. | USA. Data bor hos brugerens egen Microsoft-konto. | EU-US Data Privacy Framework / SCC'er. Data tilgås via brugerens eget refresh-token. |
| Apple Inc. | App-distribution, Sign in with Apple, Push Notification service samt iCloud Mail/Kalender (IMAP/CalDAV), når brugeren forbinder en iCloud-konto. | USA. Postkasse-/kalenderdata ligger i brugerens egen iCloud-konto. | EU-US Data Privacy Framework / SCC'er. Tilgås via brugerens app-specifikke adgangskode. |
| RevenueCat, Inc. | Administration af abonnement og rettigheder. Aktiveres kun, hvis brugeren køber et abonnement. | USA. | SCC'er. Modtager et pseudonymt bruger-id og abonnementshændelser; ingen mail-, kalender- eller kortdata. |
Den til enhver tid opdaterede liste over underdatabehandlere offentliggøres på zolva.io/privacy. Ændringer varsles efter klausul 8.
Databehandler har implementeret følgende foranstaltninger efter GDPR artikel 32, under hensyntagen til aktuelt teknisk niveau, implementeringsomkostninger, behandlingens karakter og risici for de registrerede: