Standard Databehandleraftale
Version 1.0 — gældende fra 1. maj 2026
Bilag til Forretningsbetingelser for FrankSign.
1. Parter
Den dataansvarlige ("Kunden") — Den virksomhed eller organisation, der opretter konto og sender dokumenter til signering via FrankSign.
Databehandleren — Frankston ApS, CVR 34621195, Travervænget 3, 2920 Charlottenlund. Kontakt: [email protected]
2. Præambel
2.1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser ved behandling af personoplysninger på vegne af den dataansvarlige.
2.2. Bestemmelserne er udformet jf. GDPR artikel 28, stk. 3.
3. Databehandleren handler efter instruks
3.1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.
3.2. Databehandleren underretter den dataansvarlige, hvis en instruks er i strid med GDPR.
4. Fortrolighed
Adgang til personoplysninger gives kun til personer underlagt fortrolighed eller lovbestemt tavshedspligt.
5. Behandlingssikkerhed
- Kryptering under overførsel (TLS 1.2+) og at-rest (signaturdata)
- Session-baseret adgangskontrol med UUID-baserede URL'er og kryptografiske tokens
- Webhook-signaturvalidering (HMAC) og CSRF-beskyttelse
- Logning af alle signeringshændelser
- Regelmæssig backup af database og filer
6. Underdatabehandlere
| Navn | Formål | Lokation |
|---|---|---|
| Criipto A/S / Idura ApS CVR 35142207 | MitID-autentifikation, PAdES-signering | København, DK |
| Resend Inc. | E-mail-levering | US (EU SCC'er) |
| Laravel Cloud | Hosting | EU |
Ændringer varsles med mindst 30 dages varsel.
7. Brud på persondatasikkerheden
7.1. Databehandleren underretter den dataansvarlige senest 24 timer efter at være blevet bekendt med brud.
7.2. Underretningen indeholder: karakteren af bruddet, omtrentligt antal berørte, konsekvenser og trufne foranstaltninger.
8. Sletning
8.1. Ved ophør slettes alle personoplysninger inden 90 dage efter kontolukning.
8.2. Data underlagt lovpligtig opbevaring (fx bogføringslovens 5-års krav) er undtaget.
9. Revision
Databehandleren stiller nødvendige oplysninger til rådighed for at påvise overholdelse af GDPR art. 28 og giver mulighed for revisioner efter rimelig aftale.
10. Ændringer
Væsentlige ændringer meddeles med mindst 30 dages varsel via e-mail. Fortsat brug anses som accept.
Bilag A — Behandlingens karakter
Aktiviteter
- Upload og opbevaring af PDF-dokumenter
- Identifikation af underskrivere via MitID (Criipto/Idura)
- Facilitering af elektronisk signatur (PAdES-format)
- E-mail-kommunikation med underskrivere og seere
- Logning af signeringshændelser (audit trail)
Typer af personoplysninger
- Navn og e-mailadresse
- MitID-identifikator (pseudonymiseret)
- IP-adresse og user agent
- Signeringstidsstempler og signaturpakke (krypteret)
- Enhver personoplysning i uploadede dokumenter
Da Kunden uploader dokumenter frit, kan disse indeholde enhver type personoplysninger. Det er Kundens ansvar at sikre lovligt behandlingsgrundlag.