Denne databehandleraftale ("DPA") indgås mellem den dataansvarlige ("Kunden") og databehandleren Kompas Indsigt ApS, CVR: 46307739 ("Kompas") i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR) art. 28 samt den danske databeskyttelseslov.

DPA'en er en integreret del af samarbejdsaftalen ("Aftalen") mellem Parterne og træder i kraft ved underskrift af Ordreformularen.

1. Baggrund og formål

1.1 Kunden er dataansvarlig for de personoplysninger, der behandles i Kompas-platformen. Kompas fungerer som databehandler og behandler udelukkende personoplysninger på vegne af og efter dokumenteret instruks fra Kunden.

1.2 Denne DPA fastsætter de vilkår, hvorunder Kompas behandler personoplysninger på vegne af Kunden, herunder formål, varighed, art og omfang af behandlingen.

2. Behandlingens genstand

2.1 Formålet med behandlingen er at levere Kompas-platformen til Kunden, herunder driftsøkonomisk styring, rapportering, prisfastsættelse, vagtplanlægning og tilhørende funktionalitet for bosteder og opholdssteder.

2.2 Behandlingen varer så længe Aftalen er gældende, samt i en periode herefter til sletning/returnering er gennemført.

2.3 Typer af personoplysninger der behandles kan omfatte:

• Navn, e-mail, telefonnummer, rolle og stilling
• Økonomidata (budget, forbrug, løndata)
• Borgerrelaterede data (afhængigt af Kundens brug)
• Vagtplandata
• Organisatoriske data

2.4 Kategorier af registrerede kan omfatte:

• Kundens medarbejdere og ledelse
• Borgere/beboere tilknyttet Kundens tilbud
• Pårørende (i det omfang Kunden registrerer disse)
• Eksterne samarbejdspartnere

3. Kompas' forpligtelser

3.1 Kompas behandler alene personoplysninger efter dokumenteret instruks fra Kunden, herunder med hensyn til overførsel af personoplysninger til tredjelande. Denne DPA udgør, sammen med Aftalen, Kundens dokumenterede instruks.

3.2 Kompas sikrer, at personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt fortrolighedsforpligtelse.

3.3 Kompas træffer alle foranstaltninger, der kræves i henhold til GDPR art. 32, herunder:

• Kryptering af personoplysninger under overførsel (TLS/HTTPS) og i hvile
• Adgangskontrol baseret på princippet om mindst mulige rettigheder
• Løbende overvågning og logning
• Regelmæssige sikkerhedsvurderinger
• Procedurer for regelmæssig test og vurdering af sikkerhedsforanstaltningernes effektivitet

3.4 Kompas bistår Kunden med opfyldelse af den dataansvarliges forpligtelser vedrørende: besvarelse af anmodninger fra registrerede om udøvelse af deres rettigheder (GDPR art. 15–22), overholdelse af forpligtelserne i GDPR art. 32–36 (sikkerhed, brud-anmeldelse, konsekvensanalyser og forhåndshøring).

3.5 Kompas underretter Kunden uden unødig forsinkelse og så vidt muligt inden for 48 timer efter at være blevet opmærksom på et brud på persondatasikkerheden. Underretningen skal som minimum indeholde:

• En beskrivelse af bruddets art
• Kategorier og omtrentligt antal registrerede berørt
• Kontaktoplysninger til Kompas' kontaktperson
• En beskrivelse af de sandsynlige konsekvenser
• De foranstaltninger, der er truffet eller foreslås truffet for at afhjælpe bruddet

4. Underdatabehandlere

4.1 Kunden giver hermed Kompas en generel skriftlig godkendelse til at anvende underdatabehandlere. Kompas underretter Kunden om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel, således at Kunden har mulighed for at gøre indsigelse mod sådanne ændringer.

4.2 Kompas sikrer, at underdatabehandlere er underlagt de samme databeskyttelsesforpligtelser som fastsat i denne DPA via en databehandleraftale. Kompas er ansvarlig over for Kunden for underdatabehandlerens opfyldelse af sine forpligtelser.

4.3 Den aktuelle liste over underdatabehandlere er:

4.4 En opdateret liste kan til enhver tid rekvireres ved henvendelse til kontakt@kompas-indsigt.dk.

5. Overførsel til tredjelande

5.1 Personoplysninger opbevares som udgangspunkt inden for EU/EØS.

5.2 I det omfang underdatabehandlere er etableret i tredjelande (herunder USA), sker overførsel på grundlag af:

• EU-U.S. Data Privacy Framework - for certificerede underdatabehandlere (Clerk, Sentry, OpenAI)
• EU-Kommissionens standardkontraktbestemmelser (SCCs) - som supplement eller primært overførselsgrundlag (Render, Resend)
• Andre godkendte overførselsmekanismer - i henhold til GDPR kapitel V

5.3 Kompas foretager nødvendige risikovurderinger (Transfer Impact Assessments) for overførsler til tredjelande.

6. Revision og tilsyn

6.1 Kompas stiller alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR art. 28, til rådighed for Kunden.

6.2 Kompas giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en af Kunden bemyndiget revisor. Sådanne revisioner varsles med mindst 20 arbejdsdage og gennemføres under rimelig hensyntagen til Kompas' forretningsmæssige forhold.

6.3 Kompas underretter omgående Kunden, hvis en instruks efter Kompas' opfattelse er i strid med GDPR eller anden EU- eller national databeskyttelseslovgivning.

7. Sletning og returnering

7.1 Ved ophør af Aftalen sletter eller returnerer Kompas alle personoplysninger behandlet på vegne af Kunden, medmindre EU-ret eller national ret foreskriver opbevaring.

7.2 Kunden kan anmode om returnering af personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format inden for 30 dage efter Aftalens ophør.

7.3 Sletning gennemføres senest 90 dage efter Aftalens ophør, medmindre lovgivning kræver længere opbevaring (herunder bogføringslovens § 10).

7.4 Kompas bekræfter skriftligt gennemført sletning på Kundens anmodning.

8. Ikrafttræden og varighed

8.1 Denne DPA træder i kraft ved underskrift af Ordreformularen og gælder så længe Kompas behandler personoplysninger på vegne af Kunden.

8.2 Bestemmelserne om sletning/returnering (punkt 7), fortrolighed og revision (punkt 6) forbliver i kraft også efter Aftalens ophør.

Senest opdateret: Marts 2026