Skip to main content
Databehandleraftale
Gyldig fra 17. maj 2026v1.0

Yovalesdatabehandleraftale

Denne databehandleraftale (DBA) udgør en del af aftalen mellem Yovale og kunden og finder anvendelse, når Yovale behandler personoplysninger på vegne af kunden i forbindelse med tjenesten. Den er udformet til at opfylde kravene i EU's databeskyttelsesforordning (GDPR) og tilsvarende bestemmelser i UK GDPR og tilstødende regelsæt.

Centrale forpligtelser
Yovale handler som databehandler; kunden handler som dataansvarlig for personoplysninger, der behandles via tjenesten.
Yovale behandler kun personoplysninger på dokumenterede instruktioner fra kunden og kun i tjenestens varighed.
Underdatabehandlere er offentligt oplistet, hver under skriftlig kontrakt med tilsvarende forpligtelser.
Brud på persondatasikkerheden anmeldes til kunden uden unødig forsinkelse og inden for 72 timer efter bekræftelse.
DBA-navigator

Læs databehandleraftalen afsnit for afsnit

Aftalen følger GDPR Artikel 28. Brug knapperne til at hoppe til en klausul; hele dokumentet vises nedenfor i rækkefølge.

På denne side
01

Definitioner og roller

De definerede begreber, der bruges i denne DBA, og parternes GDPR-roller.

clause1.1

Definerede begreber

«Tjenesten» betyder den af Yovale administrerede WordPress-hostingtjeneste, der stilles til rådighed i henhold til Yovales slutbrugerlicensaftale.

«Kundepersonoplysninger» betyder personoplysninger, som Yovale behandler på vegne af kunden i forbindelse med tjenesten.

«Registreret» betyder en identificeret eller identificerbar fysisk person, hvis personoplysninger er indeholdt i kundepersonoplysningerne.

«Underdatabehandler» betyder enhver tredjepart, der er engageret af Yovale til at behandle kundepersonoplysninger i forbindelse med tjenesten.

Begreber, der ikke er defineret her — herunder «Dataansvarlig», «Databehandler», «Personoplysninger», «Behandling», «Brud på persondatasikkerheden» og «Tilsynsmyndighed» — har den betydning, der er angivet i Artikel 4 i GDPR.

clause1.2

Parternes roller

Kunden er den dataansvarlige for kundepersonoplysningerne. Kunden bestemmer formålene med og midlerne til behandlingen.

Yovale er databehandler for kundepersonoplysningerne. Yovale behandler kun kundepersonoplysninger på dokumenterede instruktioner fra kunden, herunder dem, der er indeholdt i den tjenestekonfiguration, kunden angiver via Yovale-dashboardet.

Når Yovale indsamler personoplysninger direkte fra enkeltpersoner til egne formål — f.eks. i forholdet til kontoindehaveren — handler Yovale som dataansvarlig for disse oplysninger, og denne behandling er underlagt Yovales fortrolighedspolitik og ikke denne DBA.

02

Emne, varighed og formål

Omfanget af den behandling, Yovale udfører som databehandler på kundens vegne.

clause2.1

Emne og varighed

Emnet for behandlingen er hosting, lagring, transmission, backup og operationel vedligeholdelse af kundepersonoplysninger inden for kundens WordPress-websteder og tilknyttede dashboardoverflader.

Varigheden af behandlingen svarer til tjenestens varighed. Yovales forpligtelser i henhold til denne DBA fortsætter, indtil alle kundepersonoplysninger er slettet eller returneret i overensstemmelse med Afsnit 10.

clause2.2

Behandlingens karakter og formål

Behandlingens karakter omfatter indsamling, registrering, organisering, strukturering, lagring, hentning, transmission, hosting og sletning af kundepersonoplysninger, i det omfang det er nødvendigt for at levere tjenesten.

Formålet med behandlingen er at sætte kunden i stand til at drive det eller de WordPress-websted(er), der hostes af tjenesten, herunder levering af webstedsindhold til besøgende, modtagelse af formularindsendelser, levering af det administrative dashboard, generering af sikkerhedskopier, visning af logfiler og støtte til kundevalgte integrationer.

clause2.3

Datakategorier og registrerede

Kategorier af kundepersonoplysninger: identifikationsdata (navne, e-mailadresser, kontoidentifikatorer), kontaktoplysninger indsendt via formularer på kundewebsteder, indhold udformet af kundens brugere, transaktionsdata inden for WooCommerce-websteder, hvor relevant, tekniske signaler (IP-adresser, brugeragenter, tidsstempler) og alle andre personoplysninger, som kunden vælger at gemme i tjenesten.

Kategorier af registrerede: kundens egne brugere og personale, kundens webstedsbesøgende, kundens kunder og medlemmer og andre fysiske personer, hvis personoplysninger kunden vælger at behandle via tjenesten.

Særlige kategorier af personoplysninger: kunden bør ikke uploade særlige kategorier af personoplysninger som defineret i Artikel 9 GDPR uden forudgående skriftlig underretning af Yovale.

03

Kundens instruktioner og fortrolighed

Hvordan Yovale modtager og følger kundens behandlingsinstruktioner, og hvordan Yovales personale er bundet af fortrolighed.

clause3.1

Dokumenterede instruktioner

Yovale behandler kun kundepersonoplysninger på dokumenterede instruktioner fra kunden. Instruktionerne er: (i) denne DBA, (ii) Yovales slutbrugerlicensaftale, (iii) den tjenestekonfiguration, kunden angiver via dashboardet, og (iv) eventuelle yderligere skriftlige instruktioner, som kunden udsteder til Yovale pr. e-mail til dpo@yovale.com.

Hvis Yovale i henhold til EU-ret eller national ret er forpligtet til at behandle kundepersonoplysninger på anden måde end på kundens instruktioner, underretter Yovale kunden om dette lovkrav inden behandlingen, medmindre den pågældende lov forbyder en sådan underretning af vigtige hensyn til offentlig interesse.

clause3.2

Fortrolighed for autoriseret personale

Yovale sikrer, at personale, der er autoriseret til at behandle kundepersonoplysninger, er bundet af passende fortrolighedsforpligtelser, enten via deres ansættelseskontrakt eller via tilsvarende skriftlige tilsagn.

Adgangen til kundepersonoplysninger inden for Yovale er begrænset til personale, der har brug for adgang for at udføre deres rolle, og logges til revisionsformål.

04

Sikkerhed ved behandlingen

De tekniske og organisatoriske foranstaltninger, som Yovale opretholder for at beskytte kundepersonoplysninger, som krævet af Artikel 32 GDPR.

clause4.1

Tekniske foranstaltninger

Netværk: TLS 1.2 eller højere for alle data under transmission. Cloudflare DDoS-beskyttelse på hvert kundewebsted. WAF-regler tilpasset WordPress-trusselsmønstre.

Beregning: hvert WordPress-websted for en kunde kører i en dedikeret Docker-container med isoleret filsystem, hukommelseslofter og dedikerede PHP-FPM-arbejdere. Ingen delt PHP-runtime mellem kunder.

Lagring: kryptering i hvile for backup-lagring (Cloudflare R2) ved hjælp af AES-256. Krypteringsnøgler administreret under standard udbyderkontrakt for nøgleadministration.

Godkendelse: dashboardadgang kræver e-mailverificerede legitimationsoplysninger. Inter-service-opkald mellem dashboardet og VPS-agenter er HMAC-signeret med serverspecifikke hemmeligheder.

Overvågning: aktivitetslogfiler pr. websted og AI-crawlerlogfiler vist i kundedashboardet; infrastrukturmetrikker opbevaret og gennemgået for anomalidetektering.

clause4.2

Organisatoriske foranstaltninger

Yovale opretholder en skriftlig informationssikkerhedspolitik, der gennemgås mindst en gang om året.

Personale med adgang til produktionssystemer er underlagt en dokumenteret onboarding- og offboardingproces, herunder udstedelse, tilbagekaldelse og adgangsgennemgang af legitimationsoplysninger.

Ændringsstyring af produktionsinfrastruktur gennemgås og logges. Kritiske ændringer valideres i et testmiljø inden implementering.

Sikkerhedskopier testes for gendannelighed på kvartalsbasis som minimum.

clause4.3

Periodiske test

Yovale udfører periodiske test, vurderinger og evalueringer af effektiviteten af sine tekniske og organisatoriske foranstaltninger, herunder sårbarhedsscanning af produktionsstakken og gennemgang af adgangslogfiler.

Væsentlige svagheder identificeret via test håndteres via Yovales ændringsstyringsproces. Relevante fund for kunder — f.eks. sårbarheder, der påvirker hostet WordPress-kerne — kommunikeres til kunder via dashboardet eller pr. e-mail.

05

Underdatabehandlere

De tredjeparter, som Yovale engagerer til behandling af kundepersonoplysninger, og betingelserne for tilføjelse eller udskiftning.

clause5.1

Generel godkendelse

Kunden bemyndiger Yovale til at engagere underdatabehandlere til behandling af kundepersonoplysninger med forbehold for betingelserne i dette Afsnit 5. Yovale opretholder den aktuelle liste over underdatabehandlere på sin tillidsside og giver mindst 30 dages forudgående varsel om eventuelle tilføjelser eller udskiftninger.

clause5.2

Aktuel liste over underdatabehandlere

Infrastruktur: Hetzner (DE), OVH (FR, CA, DE), Vultr (flere regioner), Cloudflare (global edge, DNS, WAF, R2-lagring).

E-maillevering: Postmark, når kunden aktiverer Yovale-sendt transaktionel e-mail. Hvis kunden konfigurerer sin egen SMTP-udbyder, er den udbyder ikke en Yovale-underdatabehandler.

Betalinger: Razorpay (primær), PayPal (sekundær), Stripe (hvor relevant). Betalingsprocessorer modtager kun de data, der er nødvendige for at behandle en transaktion.

Kundesupport: kundens kontaktoplysninger og supportkommunikation behandles i Yovales interne helpdesksystem.

clause5.3

Underdatabehandleres forpligtelser og kundens indsigelsesret

Hver underdatabehandler engageres under en skriftlig kontrakt indeholdende databeskyttelsesforpligtelser, der i substans er tilsvarende dem, der er fastsat i denne DBA, herunder sikkerhedsforpligtelser i henhold til Artikel 32 GDPR.

Hvis kunden inden for 30 dage efter underretning rejser rimeligt begrundet indsigelse mod en ny underdatabehandler af databeskyttelsesmæssige grunde, vil parterne drøfte indsigelsen i god tro. Hvis der ikke kan opnås enighed, kan kunden opsige den berørte del af tjenesten af væsentlige grunde uden straf, med virkning fra den foreslåede onboardingdato for underdatabehandleren.

06

Bistand med registreredes rettigheder

Hvordan Yovale hjælper kunden med at besvare anmodninger fra registrerede.

clause6.1

Kundekontrollerede værktøjer

Kunden kan direkte eksportere, ændre eller slette kundepersonoplysninger, der er gemt i tjenesten, via Yovale-dashboardet, WP-CLI-adgang og WordPress-administrationsgrænsefladen.

Disse selvbetjeningsværktøjer er normalt tilstrækkelige til, at kunden kan besvare anmodninger om adgang, berigtigelse, sletning, begrænsning og portabilitet i henhold til Artiklerne 15-20 GDPR.

clause6.2

Yovale-assisterede anmodninger

Hvor selvbetjeningsværktøjerne er utilstrækkelige — f.eks. hentning af data fra et slettet miljø — kan kunden indsende en skriftlig anmodning til dpo@yovale.com. Yovale yder rimelig bistand inden for 10 arbejdsdage efter modtagelse, med forbehold for juridiske og tekniske begrænsninger, og uden yderligere gebyr medmindre anmodningen kræver uforholdsmæssig stor indsats.

Hvis en registreret kontakter Yovale direkte vedrørende kundepersonoplysninger, vil Yovale ikke besvare anmodningens indhold og vil i stedet videresende den til den relevante kunde uden unødig forsinkelse.

07

Anmeldelse af brud på persondatasikkerheden

Hvordan Yovale underretter kunden om et brud på persondatasikkerheden.

clause7.1

Anmeldelsestidspunkt

Yovale underretter kunden om ethvert bekræftet brud på persondatasikkerheden, der berører kundepersonoplysninger, uden unødig forsinkelse og under alle omstændigheder inden for 72 timer efter bekræftelse.

Underretningen sendes til den e-mailadresse, der er tilknyttet kundekontoen. Hvis denne kanal er utilgængelig, forsøger Yovale at underrette via Yovale-dashboardet og eventuelle alternative kontaktoplysninger på fil.

clause7.2

Underretningens indhold

Hver underretning vil, i det omfang det er muligt på det pågældende tidspunkt, beskrive bruddets karakter, kategorierne og det omtrentlige antal berørte registrerede og personoplysningsposter, de sandsynlige konsekvenser af bruddet samt de foranstaltninger, der er truffet eller foreslås for at afhjælpe det og begrænse dets mulige negative virkninger.

Oplysninger, der ikke er tilgængelige inden for den indledende 72-timers frist, leveres i efterfølgende opdateringer, efterhånden som de foreligger. Yovale samarbejder med kunden om opfyldelsen af eventuelle forpligtelser, kunden har til at underrette tilsynsmyndigheder eller registrerede i henhold til Artiklerne 33 og 34 GDPR.

08

Revisioner og inspektioner

Hvordan kunden kan verificere Yovales overholdelse af denne DBA.

clause8.1

Informationslevering

Yovale stiller de oplysninger til rådighed for kunden, der med rimelighed er nødvendige for at påvise overholdelse af Artikel 28 GDPR, herunder denne DBA, den offentlige liste over underdatabehandlere og Yovales sikkerhedsoversigt offentliggjort på /security.

På rimelig skriftlig anmodning svarer Yovale inden for 30 dage på specifikke spørgsmål, der med rimelighed er nødvendige for at sætte kunden i stand til at overholde sine egne GDPR-forpligtelser.

clause8.2

Revisioner på stedet

Når kunden med rimelighed mener, at ovenstående oplysninger ikke giver tilstrækkelig dokumentation for overholdelse, kan kunden anmode om en revision af Yovales behandlingsaktiviteter. Revisioner er begrænset til én gang pr. tolvmåneders periode, skal gennemføres i normal arbejdstid, må ikke forstyrre Yovales drift eller kompromittere sikkerheden for andre kunder, og skal udføres af kunden eller af en uafhængig tredjeparts revisor under en fortrolighedsforpligtelse, der er acceptabel for Yovale.

Kunden bærer omkostningerne ved enhver revision, som kunden initierer i henhold til dette afsnit, medmindre revisionen afslører et væsentligt brud på denne DBA af Yovale, i hvilket tilfælde Yovale bærer rimelige revisionsomkostninger.

09

Internationale overførsler

Hvordan Yovale håndterer overførsler af kundepersonoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde og Det Forenede Kongerige.

clause9.1

Regionsvalg

Kunder kan vælge deres hostingregion ved klargøring. Yovale driver infrastruktur i Den Europæiske Union (Hetzner DE, OVH FR/DE) og flere ikke-EU-regioner. Kundepersonoplysninger forbliver i den region, kunden vælger, med forbehold for den nødvendige edge-cache-adfærd hos Cloudflare og den globale rækkevidde for dashboardets kontrolplan.

clause9.2

Standardkontraktbestemmelser

Når kundepersonoplysninger overføres uden for Det Europæiske Økonomiske Samarbejdsområde, Det Forenede Kongerige eller Schweiz til et land, der ikke er underlagt en relevant afgørelse om tilstrækkelighed, er overførslen underlagt EU's standardkontraktbestemmelser (2021/914) og UK International Data Transfer Addendum, som er inkorporeret i denne DBA ved reference og automatisk finder anvendelse på sådanne overførsler.

Yovale og eventuelle ikke-EØS-underdatabehandlere agerer henholdsvis som dataeksportør og dataimportør med henblik på standardkontraktbestemmelserne. Yovale stiller en kopi af de relevante bestemmelser til rådighed efter anmodning.

10

Tilbagelevering eller sletning ved ophør

Hvad der sker med kundepersonoplysninger, når tjenesten ophører.

clause10.1

Tilbagelevering eller sletning

Ved tjenestens ophør kan kunden inden for 30 dage fra ophørsdatoen anmode om tilbagelevering af kundepersonoplysninger via de standardeksportværktøjer, der er tilgængelige i dashboardet, eller anmode Yovale om at slette dem.

Efter dette 30-dages vindue sletter Yovale permanent kundepersonoplysninger inden for yderligere 30 dage, medmindre opbevaring er påkrævet i henhold til EU-ret eller national ret, i hvilket tilfælde Yovale fortsat anvender sikkerheds- og fortrolighedsforpligtelserne i denne DBA, så længe oplysningerne opbevares.

clause10.2

Opbevaring af sikkerhedskopier

Rutinemæssige sikkerhedskopier af produktionsmiljøet kan fortsat indeholde resterende kopier af slettede kundepersonoplysninger i op til 90 dage fra slettedatoen. Sådanne resterende kopier er underlagt de samme sikkerhedsforpligtelser og bruges ikke til noget andet formål.

11

Generelt

Ansvar, forrang og kontakt.

clause11.1

Ansvar og forrang

Ansvar i henhold til denne DBA er underlagt de begrænsninger, der er fastsat i Yovales slutbrugerlicensaftale.

Hvis en bestemmelse i denne DBA strider mod Yovales slutbrugerlicensaftale om et databeskyttelsesspørgsmål, har denne DBA forrang i det omfang konflikten gælder.

clause11.2

Kontakt

Kontakt til databeskyttelsesrådgiver: dpo@yovale.com. Generelle databeskyttelsesforespørgsler kan også sendes til support@yovale.com.

Yovales EU-repræsentant kan kontaktes efter anmodning via dpo@yovale.com.

Databeskyttelsesanmodninger, indsigelser mod underdatabehandlere og revisionsanmodninger kan sendes til dpo@yovale.com. Den aktuelle liste over underdatabehandlere og sikkerhedsoversigten er også offentliggjort på Yovales tillidsside.