Denne side opsummerer komplai's standard-Databehandleraftale (DPA) på dansk. Den underskriftsklare version leveres som .docx samme dag uden NDA — skriv til hej@komplai.dk eller brug Procurement-fanen. Version 1.0 — udgivet 19. maj 2026.

2026-05-19

Parter og formål

Dataansvarlig: jeres organisation (kommunen, advokatkontoret eller den private virksomhed der har indgået hovedaftale med komplai). Databehandler: Progressify ApS, CVR 40351981, der leverer komplai-suite (hub, docs, templates, redact, Word-plugin, browser-extension). Formålet er at behandle personoplysninger på vegne af jer som led i jeres egen sagsbehandling, dokumentproduktion og PII-anonymisering.

Behandlingens art

komplai behandler personoplysninger i tre kategorier: (1) almindelige kontakt-/identitetsdata om jeres ansatte til auth (e-mail, navn, organisationstilknytning) — opbevaret i Zitadel; (2) dokumentindhold I selv opretter eller importerer i docs/templates — opbevaret krypteret i Postgres; (3) midlertidig behandling i hukommelsen af tekst sendt til PII-detektion i redact og redact-detect — slettes umiddelbart efter responsen er returneret, gemmes ikke.

Varighed

Behandlingen følger hovedaftalens løbetid. Ved opsigelse: sletning eller tilbagelevering (på jeres valg) af alle personoplysninger indenfor 30 dage. Backup-rotation slettes automatisk indenfor yderligere 30 dage. Skriftlig bekræftelse af sletning udstedes på anmodning.

Underdatabehandlere

komplai anvender de underdatabehandlere der er anført på Underdatabehandler-fanen. Brug af en ny underdatabehandler eller ændring af en eksisterende kræver 30 dages skriftligt varsel; I kan gøre indsigelse, og hvis vi ikke kan finde en løsning der dækker indsigelsen, kan I opsige hovedaftalen uden krav om opfyldelse af opsigelsesvarsel. Underdatabehandlere er forpligtet under tilsvarende vilkår som denne DPA.

Sikkerhedsforanstaltninger

Tekniske foranstaltninger: TLS 1.3 på alle ydre kanaler; AES-256 på alle persisterede LLM-API-nøgler; OIDC + MFA-understøttende auth via Zitadel; rolle- og tenant-baseret adgangskontrol via OpenFGA; hash-kædede revisionssports-events for hver mutation. Organisatoriske foranstaltninger: principle of least privilege på alle interne adgange; obligatorisk gennemgang ved nyansættelser; ingen produktionsdata på personlige enheder. ISAE 3402 Type II-rapport: under indkøring (kontaktperiode jul-dec 2026); præ-revisionsdokumentation kan tilsendes.

Hvor data ligger

Primær drift: Hetzner Online GmbH, Falkenstein, Tyskland (EU-residency). Backups: samme leverandør, samme lokation. On-prem LLM (DGX Spark): hos komplai i Danmark. Hvis I i jeres tenant-indstillinger aktivt vælger en ekstern AI-leverandør (Anthropic, OpenAI m.fl.), behandles teksten der kommer i nærheden af LLM'en hos den leverandør; dette dokumenteres separat som ekstra underdatabehandler. Standardvalget er lokal model — ingen data forlader EU.

Brud på persondatasikkerheden

komplai notificerer jer skriftligt indenfor 24 timer efter konstatering af et brud, der medfører risiko for de registreredes rettigheder og frihedsrettigheder. Notifikationen indeholder GDPR art. 33-elementerne: art og omfang, kategorier af registrerede og oplysninger, sandsynlige konsekvenser, og foreslåede afhjælpningsforanstaltninger. Vi udleverer kopi af alle relevante logs og bistår jer ved jeres anmeldelse til Datatilsynet.

Bistand til den dataansvarlige

komplai bistår jer i at opfylde jeres forpligtelser efter GDPR art. 32–36 (sikkerhed, DPIA, forudgående høring) og art. 12–22 (registreredes rettigheder) — herunder ved at levere data i et struktureret format, slette specifikke registrerede på anmodning, og frembringe revisionsspor til Datatilsynet. Bistand der går ud over rimelig drift faktureres efter timer; det er normalt 0 kroner i praksis.

Lovvalg og værneting

Dansk ret. Værneting København. Aftalen er underlagt GDPR + databeskyttelsesloven.

Bestil den underskriftsklare version

Skriv til hej@komplai.dk eller brug Procurement-fanen — vi sender .docx-versionen samme dag uden NDA. DPA'en er parate til at signeres med MitID, jeres digitale signaturløsning, eller på papir.