Sitecheck Your website, fully covered

Databehandleraftale

Sidst opdateret: 15. maj 2026

Indledning

Denne databehandleraftale ("DPA") er en del af servicevilkårene mellem dig ("Dataansvarlig") og Elunor (CVR-nr. 46462041), en enkeltmandsvirksomhed registreret i Danmark, som driver Sitecheck ("Databehandleren", "Sitecheck", "vi", "os"). Den finder anvendelse, når Databehandleren behandler personoplysninger på vegne af den Dataansvarlige som omhandlet i GDPR art. 28. DPA'en gælder ikke for personoplysninger, hvor Sitecheck handler som selvstændig dataansvarlig (f.eks. faktureringsdata, OAuth-identitetsdata og driftslogfiler), hvilket reguleres af vores privatlivspolitik.

Ved at bruge Sitecheck på vegne af en virksomhed, organisation eller anden tredjepart — herunder ethvert tilfælde, hvor du indsender URL'er, indhold eller scanningskonfigurationer, der kan relatere sig til identificerbare fysiske personer ud over dig selv — accepterer du denne DPA. Accepterer du den ikke, må du ikke bruge Sitecheck på vegne af andre.

Definitioner

Begreber i denne DPA har den betydning, der følger af Databeskyttelsesforordningen 2016/679 ("GDPR"). "Dataansvarlig", "Databehandler", "personoplysninger", "den registrerede", "behandling", "underdatabehandler" og "brud på persondatasikkerheden" har den betydning, der er fastsat i GDPR art. 4.

Genstand, varighed, art og formål

  • Genstand: levering af Sitecheck-tjenesten — automatiseret hjemmesideanalyse, tilgængelighedsscanning, performance- og SEO-revision, sitemap- og uptime-overvågning samt tilhørende rapportering.
  • Varighed: DPA'en gælder, så længe den Dataansvarlige har en aktiv Sitecheck-konto eller indtil opsigelse i overensstemmelse med servicevilkårene. Forpligtelser, der efter deres natur bør overleve (tavshedspligt, brudshåndtering, sletning), overlever ophør.
  • Behandlingens art: indsamling, opbevaring, hentning, strukturering, transmission og (efter instruks) sletning af personoplysninger nødvendige for at vise scanningsresultater, opbevare skærmbilleder, generere rapporter, levere dashboards og yde teknisk support.
  • Behandlingens formål: alene at levere Sitecheck-tjenesten til den Dataansvarlige i overensstemmelse med servicevilkårene og den Dataansvarliges dokumenterede instrukser.

Kategorier af registrerede og personoplysninger

Kategorier af registrerede

  • Den Dataansvarliges medarbejdere, konsulenter og autoriserede brugere, der tilgår Sitecheck
  • Besøgende og andre personer, der kan identificeres på de hjemmesider, den Dataansvarlige indsender til scanning (utilsigtet behandling — Sitecheck målretter ikke besøgendes data, men renderede sider og skærmbilleder kan indeholde personoplysninger offentliggjort på den scannede side)

Kategorier af personoplysninger

  • Konto- og adgangsdata: navn, e-mail, hashet adgangskode, OAuth-identitetsdata (når Google/GitHub-login anvendes)
  • Tjenestedata: indsendte URL'er, scanningskonfigurationer, planlagte scanninger, sitemap-indstillinger, uptime-overvågning
  • Scanningsoutput: renderet HTML, tilgængelighedsrapporter, performance-målinger, skærmbilleder og sikkerhedsheadere fanget under en scanning. Kan utilsigtet indeholde personoplysninger, der er synlige på den offentlige overflade af den scannede hjemmeside (f.eks. navne, e-mailadresser eller billeder vist på kontaktsider)
  • Supportkommunikation: e-mails og indhold af supportforespørgsler

Ingen særlige kategorier: Sitecheck er ikke designet til at behandle særlige kategorier af personoplysninger efter GDPR art. 9 (f.eks. helbreds-, biometriske, religiøse eller politiske oplysninger) eller oplysninger om strafbare forhold efter art. 10. Den Dataansvarlige accepterer ikke at bruge Sitecheck til at behandle sådanne data.

Den Dataansvarliges forpligtelser

  • Sikre et lovligt behandlingsgrundlag efter GDPR art. 6 for den behandling, der udføres via Sitecheck
  • Give fuldstændige, nøjagtige og lovlige behandlingsinstrukser til Databehandleren. Dokumenterede instrukser gives ved (a) accept af denne DPA og servicevilkårene, (b) konfigurationsvalg foretaget i Sitecheck-applikationen og (c) skriftlig kommunikation til support@sitecheck.dk
  • Kun indsende URL'er, som den Dataansvarlige er juridisk berettiget til at scanne, og kun konfigurere overvågning, der er tilladt efter gældende lov
  • Informere egne registrerede om den behandling, der udføres af Sitecheck, hvor det kræves efter GDPR art. 13–14
  • Straks underrette Databehandleren, hvis den Dataansvarlige bliver bekendt med, at behandlingsinstrukser overtræder GDPR eller anden gældende databeskyttelseslovgivning

Databehandlerens forpligtelser

  • Kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder vedrørende overførsler af personoplysninger til tredjelande, medmindre andet kræves efter EU-ret eller national ret
  • Sikre, at personer, der er bemyndiget til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
  • Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger (se Bilag II)
  • Overholde betingelserne for engagement af underdatabehandlere som angivet nedenfor og i Bilag III
  • Bistå den Dataansvarlige, under hensyntagen til behandlingens art og de tilgængelige oplysninger, med at besvare anmodninger fra registrerede og opfylde forpligtelserne i GDPR art. 32–36
  • Efter den Dataansvarliges valg slette eller tilbagelevere alle personoplysninger til den Dataansvarlige ved ophør af tjenester relateret til behandlingen og slette eksisterende kopier, medmindre opbevaring er påkrævet efter EU-ret eller national ret (særligt bogføringsloven for regnskabsmateriale)
  • Stille al information til rådighed for den Dataansvarlige, som er nødvendig for at påvise overholdelse af GDPR art. 28, og give mulighed for og bidrage til audits, jf. afsnittet om audits nedenfor

Underdatabehandlere

Den Dataansvarlige giver Databehandleren generel skriftlig bemyndigelse til at engagere underdatabehandlere til at bistå med levering af tjenesten på de betingelser, der er fastsat i denne bestemmelse.

Den aktuelle liste over underdatabehandlere fremgår af Bilag III og afspejler de tredjepartstjenester, der er oplyst i vores privatlivspolitik.

Databehandleren giver mindst 30 dages forudgående varsel om planlagte ændringer i listen over underdatabehandlere pr. e-mail til den Dataansvarliges kontoens e-mailadresse samt ved opdatering af Bilag III. Den Dataansvarlige kan gøre indsigelse mod en foreslået underdatabehandler på rimelige databeskyttelsesgrundlag inden for 30 dage efter varslet; kan en indsigelse ikke løses, kan den Dataansvarlige opsige de berørte tjenester uden gebyr for resten af den forudbetalte periode.

Databehandleren pålægger hver underdatabehandler databeskyttelsesforpligtelser, der ikke er mindre beskyttende end de i denne DPA fastsatte, ved skriftlig kontrakt.

Internationale dataoverførsler

Hvor Databehandleren eller dennes underdatabehandlere overfører personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), sker overførsler på grundlag af en tilstrækkelighedsafgørelse efter GDPR art. 45 (herunder EU-U.S. Data Privacy Framework, hvor det er relevant for modtageren) eller på grundlag af Standard Contractual Clauses vedtaget af Europa-Kommissionen efter GDPR art. 46, stk. 2, litra c). Den Dataansvarlige anerkender og bemyndiger sådanne overførsler som en nødvendig del af leveringen af tjenesten.

Behandlingssikkerhed

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger samt behandlingens art, omfang, sammenhæng og formål samt risikoen for fysiske personers rettigheder og frihedsrettigheder, implementerer Databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til risikoen. De aktuelle foranstaltninger er beskrevet i Bilag II. Databehandleren kan opdatere Bilag II fra tid til anden, forudsat at en sådan opdatering ikke væsentligt reducerer det samlede sikkerhedsniveau.

Anmeldelse af brud på persondatasikkerheden

  • Databehandleren underretter den Dataansvarlige uden unødig forsinkelse, og under alle omstændigheder senest 24 timer efter at være blevet bekendt med et brud på persondatasikkerheden, der berører den Dataansvarliges personoplysninger
  • Underretningen skal omfatte, i det omfang det er kendt: bruddets karakter, herunder så vidt muligt kategorier og det omtrentlige antal berørte registrerede og berørte registreringer; de sandsynlige konsekvenser; samt de foranstaltninger, der er truffet eller foreslås for at imødegå bruddet og afbøde dets eventuelle negative virkninger
  • Hvor og i det omfang det ikke er muligt at give oplysningerne samtidig, kan de gives i etaper uden yderligere unødig forsinkelse
  • Databehandleren bistår rimeligt den Dataansvarlige med at opfylde sine anmeldelsesforpligtelser over for Datatilsynet efter GDPR art. 33 og, hvor det kræves, over for registrerede efter GDPR art. 34

Bistand med registreredes rettigheder

Databehandleren bistår, under hensyntagen til behandlingens art, den Dataansvarlige ved passende tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, med at opfylde den Dataansvarliges forpligtelse til at besvare anmodninger fra registrerede, der udøver deres rettigheder efter GDPR kapitel III (art. 15–22).

Hvor den Dataansvarlige kan opfylde en anmodning fra en registreret via Sitechecks selvbetjeningsfunktioner — herunder kontoeksport på /api/account/export og kontosletning på /api/account/delete — skal den Dataansvarlige gøre dette. Databehandleren er ikke forpligtet til manuelt at udføre en anmodning, som den Dataansvarlige kan opfylde via de tilgængelige selvbetjeningsfunktioner.

For formelle anmodninger fra registrerede, der ikke kan håndteres via selvbetjening, svarer Databehandleren inden for 5 arbejdsdage efter modtagelsen af den Dataansvarliges instruks.

Audits og dokumentation

Databehandleren stiller alle oplysninger, der med rimelighed er nødvendige for at påvise overholdelse af GDPR art. 28, til rådighed for den Dataansvarlige, herunder denne DPA, privatlivspolitikken, servicevilkårene og Bilag II. Efter rimelig skriftlig anmodning og ikke mere end én gang pr. kalenderår besvarer Databehandleren skriftligt et sikkerhedsspørgeskema, der dækker forholdene i Bilag II. Den Dataansvarlige er ikke berettiget til fysisk inspektion af Databehandlerens lokaler eller underdatabehandlerinfrastruktur af sikkerheds- og fortrolighedshensyn; Databehandleren stiller, hvor det er muligt, tredjepartsauditrapporter eller certificeringer til rådighed i stedet for fysiske audits.

Den Dataansvarlige afholder sine egne omkostninger ved gennemførelse af en audit og refunderer Databehandlerens rimelige tids- og omkostningsforbrug ved besvarelsen (faktureret til Databehandlerens standardtakster), medmindre en audit afdækker væsentlig manglende overholdelse af denne DPA eller GDPR fra Databehandlerens side, i hvilket tilfælde Databehandleren afholder sine egne omkostninger og refunderer den Dataansvarliges rimelige omkostninger.

Sletning eller tilbagelevering ved ophør

  • Ved ophør af tjenesterne eller skriftlig anmodning fra den Dataansvarlige sletter eller tilbageleverer Databehandleren, efter den Dataansvarliges valg, alle personoplysninger, der er behandlet på vegne af den Dataansvarlige, og sletter eksisterende kopier inden for 30 dage
  • Sikkerhedskopier, der opbevares i krypterede offsite-backups, overskrives i overensstemmelse med den rullende backup-opbevaringsplan beskrevet i Bilag II (maksimalt 30 dage)
  • Databehandleren kan opbevare personoplysninger i det omfang og i den periode, der kræves efter EU-ret eller national ret — særligt opbevares regnskabsmateriale (fakturaer, kvitteringer, Stripe-transaktionsmetadata) i 5 år fra udgangen af det relevante regnskabsår som krævet af bogføringsloven §10
  • Den Dataansvarlige er ansvarlig for at eksportere data, som ønskes bevaret, før sletning anmodes; når sletning er udført, kan den ikke fortrydes

Ansvar

Hver parts ansvar, der udspringer af eller relaterer sig til denne DPA, er underlagt de ansvarsbegrænsninger og -udelukkelser, der er fastsat i servicevilkårene. Intet i denne DPA begrænser eller udelukker en parts ansvar for forhold, der ikke kan begrænses eller udelukkes efter gældende ufravigelig lovgivning (herunder ansvar for død eller personskade forårsaget af uagtsomhed, for svig eller for administrative bøder pålagt en part direkte efter GDPR art. 83).

Overdragelse

Databehandleren kan overdrage denne DPA sammen med servicevilkårene til en successor i forbindelse med en fusion, virksomhedsovertagelse, omstrukturering eller kontrolskifte (herunder enhver omdannelse af Elunor fra enkeltmandsvirksomhed til et selskab med begrænset ansvar), forudsat at successoren skriftligt påtager sig forpligtelserne under denne DPA. Den Dataansvarlige må ikke overdrage denne DPA uden Databehandlerens forudgående skriftlige samtykke, undtagen til et associeret selskab eller en successor for hovedparten af den Dataansvarliges virksomhed.

Overlevelse

Bestemmelser, der efter deres natur bør overleve ophør af denne DPA — herunder tavshedspligt, forpligtelser vedrørende tilbagelevering eller sletning af personoplysninger, anmeldelsesforpligtelser for hændelser indtruffet i kontraktperioden, ansvar, lovvalg og tvistløsning — overlever ophør, så længe Databehandleren eller en underdatabehandler opbevarer personoplysninger behandlet på vegne af den Dataansvarlige, og så længe det kræves efter gældende lovgivning.

Lovvalg og værneting

Denne DPA er underlagt dansk ret med undtagelse af lovvalgsregler. Tvister, der udspringer af eller har forbindelse med denne DPA, er underlagt de danske domstoles jurisdiktion, med Retten i Odense som værneting, uden at det berører den registreredes ret til at indlede sag på sit bopælssted.

Ændringer af denne DPA

Databehandleren kan opdatere denne DPA fra tid til anden for at afspejle ændringer i lovgivning, regulatorisk vejledning eller behandlingsarrangementer. Væsentlige ændringer varsles den Dataansvarlige pr. e-mail og via Sitecheck-applikationen mindst 30 dage før ikrafttræden. Fortsat brug af tjenesten efter ikrafttrædelsesdatoen udgør accept af den reviderede DPA.

Bilag I — Behandlingens detaljer

  • Kategorier af registrerede: som angivet i afsnittet "Kategorier af registrerede og personoplysninger" ovenfor
  • Kategorier af personoplysninger: som angivet i afsnittet "Kategorier af registrerede og personoplysninger" ovenfor
  • Følsomme data: behandles ikke (se undtagelsen ovenfor)
  • Behandlingsfrekvens: løbende i tjenestens varighed
  • Behandlingens art: automatiseret scanning, opbevaring, rendering, rapportering, transmission og sletning efter instruks
  • Behandlingens formål: levering af Sitecheck-tjenesten i overensstemmelse med servicevilkårene
  • Behandlingens varighed: i den Dataansvarliges kontos varighed plus de opbevaringsperioder, der er angivet i privatlivspolitikken og i afsnittet "Sletning eller tilbagelevering ved ophør"

Bilag II — Tekniske og organisatoriske sikkerhedsforanstaltninger

Databehandleren implementerer følgende tekniske og organisatoriske foranstaltninger (TOM) for at beskytte personoplysninger:

Tekniske foranstaltninger

  • TLS 1.2+ kryptering af alle data under transport
  • Kryptering at rest for database og sikkerhedskopier
  • Saltet password-hashing via Supabase Auth (Argon2/bcrypt)
  • Postgres Row-Level Security, der håndhæver dataisolering pr. bruger
  • Service-role-nøgler opbevares kun på serversiden; aldrig eksponeret i browseren
  • Multi-faktor-autentificering kræves til administrativ adgang til produktionssystemer
  • Automatiserede daglige sikkerhedskopier med maksimalt 30 dages opbevaring; sikkerhedskopier krypteret at rest
  • Netværkskontroller: kun HTTPS-endpoints, begrænset databaseadgang, rate limiting på offentlige API'er
  • Sårbarhedsscanning af afhængigheder og hurtig patching af kritiske CVE'er
  • Applikationslogfiler opbevares i 30 dage til hændelsesundersøgelse

Organisatoriske foranstaltninger

  • Adgang til produktionsdata begrænset til autoriseret personale efter need-to-know-princippet
  • Tavshedspligt pålagt alt personale og alle underdatabehandlere
  • Dokumenterede procedurer for hændelsesrespons og brudsmeddelelse (24-timers SLA til den Dataansvarlige)
  • Dokumenterede procedurer for håndtering af anmodninger fra registrerede
  • Årlig gennemgang af denne DPA og Bilag II
  • Due diligence af underdatabehandlere før engagement

Bilag III — Liste over underdatabehandlere

De aktuelle underdatabehandlere, deres rolle, de data, de behandler, og deres placering er som følger:

  • Supabase Inc. — autentificering, Postgres-database, fillagring. EU (Frankfurt). DPA indgået.
  • PostHog Inc. — EU Cloud — opt-in produktanalyse. EU. DPA indgået.
  • Resend, Inc. — levering af transaktionelle e-mails (auth, fakturering, uptime-alarmer). DPA indgået.
  • BlitzBrowser — hosted headless-Chrome-rendering brugt til at hente og analysere URL'er indsendt til scanning.
  • Vercel Inc. — applikationshosting og edge-levering. USA, overførsler dækket af SCC. DPA indgået.
  • Hetzner Online GmbH — serverinfrastruktur og S3-kompatibel objektlagring til scanningsartefakter. EU (Tyskland/Finland). DPA indgået.

Stripe, Google (OAuth og PageSpeed Insights) og GitHub er ikke underdatabehandlere under denne DPA — de fungerer som selvstændige dataansvarlige for den behandling, de udfører. De er ikke desto mindre oplyst i vores privatlivspolitik af hensyn til gennemsigtighed.

Kontakt

Vedrørende spørgsmål til denne DPA, herunder anmodninger om varsling af underdatabehandlerændringer, sikkerhedsspørgeskemaer eller brudskorrespondance, kontakt os på:

E-mail: support@sitecheck.dk

Servicevilkår Privatlivspolitik