Databehandleraftale
Senest opdateret: 18. juni 2026
Kort fortalt
Denne databehandleraftale gælder, når Numina fører dit regnskab og dermed behandler personoplysninger på dine vegne — f.eks. oplysninger om din virksomheds kunder, leverandører og ansatte. Her er du dataansvarlig, og Numina er databehandler. Aftalen er indgået efter databeskyttelsesforordningens artikel 28 og udgør sammen med dit Aftalebrev og vores Handelsbetingelser en del af Aftalen mellem os.
Den behandling, hvor Numina selv er dataansvarlig (f.eks. kundeadministration og hvidvask), er i stedet beskrevet i vores Persondatapolitik.
Denne databehandleraftale ("Bestemmelserne") er indgået i henhold til artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger mellem:
- den dataansvarlige: Kunden som angivet i Aftalebrevet (herefter "den dataansvarlige"), og
- databehandleren: Numina Regnskab ApS, CVR-nr. 46553705, Kanonbådsvej 2, 1437 København K (herefter "databehandleren"),
der hver især er en "part" og sammen udgør "parterne".
Bestemmelserne fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige. Bestemmelserne udgør en integreret del af Aftalen, jf. Handelsbetingelserne, og finder anvendelse i det omfang, databehandleren behandler personoplysninger på den dataansvarliges vegne. Dette gælder også for personoplysninger, som den dataansvarlige lægger ind i eller uploader til Platformen i en Prøveperiode, jf. Handelsbetingelserne. Begreber, der er defineret i Handelsbetingelserne, har samme betydning her.
1. Præambel
1.1: Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
1.2: Bestemmelserne er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i databeskyttelsesforordningen.
1.3: I forbindelse med leveringen af bogførings- og regnskabsydelser behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
1.4: Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, for så vidt angår behandling af personoplysninger.
1.5: Der hører tre appendikser (Appendiks A–C) til disse Bestemmelser, og de udgør en integreret del heraf. Appendiks A indeholder nærmere oplysninger om behandlingen, herunder formål, karakter, typen af personoplysninger, kategorierne af registrerede og behandlingens varighed. Appendiks B indeholder betingelserne for databehandlerens brug af underdatabehandlere og en liste over godkendte underdatabehandlere. Appendiks C indeholder den dataansvarliges instruks samt en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum gennemfører.
1.6: Bestemmelserne med tilhørende bilag opbevares skriftligt, herunder elektronisk, af begge parter.
1.7: Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.
2. Den dataansvarliges rettigheder og forpligtelser
2.1: Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
2.2: Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler der må ske behandling af personoplysninger.
2.3: Den dataansvarlige er blandt andet ansvarlig for at sikre, at der er et behandlingsgrundlag for den behandling, som databehandleren instrueres i at foretage.
3. Databehandleren handler efter instruks
3.1: Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3.2: Den dataansvarliges instruks fremgår af disse Bestemmelser med appendikser, af Aftalebrevet og af Handelsbetingelserne. En foreløbig instruks er beskrevet i Appendiks C. Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den dataansvarlige ved skriftlig meddelelse til databehandleren.
3.3: Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller anden databeskyttelsesretlig regulering.
4. Fortrolighed
4.1: Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på den dataansvarliges vegne. Adgangen til oplysningerne lukkes derfor straks ned, hvis autorisationen fratages eller udløber.
4.2: Databehandleren giver kun adgang til personoplysningerne til de personer, for hvem det er nødvendigt at have adgang for at kunne opfylde databehandlerens forpligtelser over for den dataansvarlige.
4.3: Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.4: Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer er underlagt ovennævnte tavshedspligt.
5. Behandlingssikkerhed
5.1: Databehandleren gennemfører — under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder — passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, jf. databeskyttelsesforordningens artikel 32. De foranstaltninger, databehandleren som minimum gennemfører, fremgår af Appendiks C.
5.2: Databehandleren bistår den dataansvarlige med dennes overholdelse af forpligtelsen efter forordningens artikel 32 ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført.
6. Anvendelse af underdatabehandlere
6.1: Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
6.2: Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Listen over underdatabehandlere, som den dataansvarlige har godkendt, fremgår af Appendiks B.
6.3: Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer, inden den pågældende underdatabehandler tages i brug.
6.4: Når databehandleren gør brug af en underdatabehandler, pålægger databehandleren gennem en kontrakt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, herunder de fornødne garantier for passende tekniske og organisatoriske foranstaltninger.
6.5: Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
7. Overførsel til tredjelande eller internationale organisationer
7.1: Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
7.2: Numina behandler alle personoplysninger, der er omfattet af denne Databehandleraftale, inden for EU/EØS, herunder AI-behandling, på Microsoft Azure-datacentre i EU. Samtlige underdatabehandlere i Appendiks B behandler personoplysninger inden for EU/EØS. Databehandleren overfører ikke personoplysninger til tredjelande eller internationale organisationer uden den dataansvarliges dokumenterede instruks, medmindre det kræves i henhold til EU-ret eller national ret; i så fald underretter databehandleren den dataansvarlige om kravet inden behandling, medmindre underretning er forbudt. Sker en sådan overførsel, gennemføres den på et gyldigt overførselsgrundlag efter kapitel V, f.eks. EU-Kommissionens standardkontraktbestemmelser (SCC).
8. Bistand til den dataansvarlige
8.1: Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, jf. databeskyttelsesforordningens kapitel III, herunder:
- oplysningspligten ved indsamling af oplysninger hos den registrerede
- oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
- indsigtsretten
- retten til berigtigelse
- retten til sletning ("retten til at blive glemt")
- retten til begrænsning af behandling
- underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
- retten til dataportabilitet
- retten til indsigelse
- retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
8.2: Databehandleren bistår endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med overholdelse af forpligtelserne efter databeskyttelsesforordningens artikel 32-36, herunder:
- anmeldelse af brud på persondatasikkerheden til Datatilsynet, om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet
- underretning af de registrerede om brud på persondatasikkerheden
- gennemførelse af en konsekvensanalyse vedrørende databeskyttelse (DPIA)
- forudgående høring af Datatilsynet
8.3: Databehandleren har krav på betaling efter medgået tid for bistand efter dette afsnit, i det omfang bistanden går ud over, hvad databehandleren selv er forpligtet til efter forordningen, jf. Handelsbetingelserne.
9. Underretning om brud på persondatasikkerheden
9.1: Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden. Underretningen skal om muligt ske senest 72 timer efter, at databehandleren er blevet bekendt med bruddet, så den dataansvarlige kan overholde sin eventuelle forpligtelse til at anmelde bruddet til Datatilsynet, jf. forordningens artikel 33.
9.2: Databehandleren bistår den dataansvarlige med at tilvejebringe den information, der efter artikel 33, stk. 3, skal indgå i den dataansvarliges anmeldelse, herunder:
- karakteren af bruddet, herunder om muligt kategorierne og det omtrentlige antal berørte registrerede samt registreringer af personoplysninger
- de sandsynlige konsekvenser af bruddet
- de foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet, herunder for at begrænse dets mulige skadevirkninger
10. Sletning og returnering af oplysninger
10.1: Følgende regler foreskriver opbevaring af personoplysninger efter ophør af behandlingen: pligten til at opbevare oplysninger indhentet i forbindelse med kundekendskab efter § 30 i hvidvaskloven (5 år efter forretningsforbindelsens ophør) samt pligten til at opbevare regnskabsmateriale efter bogføringsloven (5 år fra udgangen af det pågældende regnskabsår). Databehandleren behandler i den periode alene oplysningerne til disse formål.
10.2: Ved ophør af behandlingen, og når den lovpligtige opbevaring i afsnit 10.1 er udløbet, skal databehandleren efter den dataansvarliges valg enten slette eller tilbagelevere og slette eksisterende kopier af alle personoplysninger, som databehandleren har behandlet på vegne af den dataansvarlige, medmindre EU-ret eller national ret foreskriver fortsat opbevaring.
10.3: Den dataansvarlige kan anmode om nødvendig dokumentation for, at sletning eller tilbagelevering er sket.
11. Revision, herunder inspektion
11.1: Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
11.2: Revisioner og inspektioner gennemføres med rimeligt varsel, i normal arbejdstid og uden unødig forstyrrelse af databehandlerens drift. Databehandleren kan dokumentere overholdelsen ved hjælp af aktuelle revisionserklæringer eller certificeringer, hvor sådanne foreligger.
11.3: Databehandleren giver tilsynsmyndigheder, der efter gældende lovgivning har adgang hertil, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
12. Parternes aftale om andre forhold
12.1: Bestemmelser om f.eks. erstatningsansvar mellem parterne er reguleret i Handelsbetingelserne og Aftalebrevet. Sådanne bestemmelser må ikke direkte eller indirekte stride imod disse Bestemmelser eller forringe de registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.
13. Ikrafttræden og ophør
13.1: Bestemmelserne træder i kraft samtidig med Aftalen, jf. Handelsbetingelserne, og er gældende, så længe behandlingen af personoplysninger på den dataansvarliges vegne varer.
13.2: Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder giver anledning hertil.
13.3: Bestemmelserne kan ikke opsiges særskilt, så længe behandlingen varer. Når behandlingen ophører, og personoplysningerne er slettet eller tilbageleveret i overensstemmelse med afsnit 10, ophører Bestemmelserne automatisk.
13.4: Afsnit 4 (Fortrolighed) og de forpligtelser, der efter deres natur skal have virkning efter ophør, forbliver i kraft efter Bestemmelsernes ophør.
Appendiks A – Oplysninger om behandlingen
A.1. Formål og karakter
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker med henblik på at levere de aftalte bogførings- og regnskabsydelser, herunder løbende bogføring, kontering, bankafstemning, debitor- og kreditorhåndtering, bilags- og udgiftshåndtering, fakturering samt — hvor det er aftalt — moms- og skatteindberetning og udarbejdelse af årsrapport. Behandlingen omfatter indsamling, registrering, organisering, opbevaring, brug, sammenstilling (herunder ved hjælp af kunstig intelligens under menneskeligt tilsyn) samt sletning eller tilbagelevering af oplysningerne.
A.2. Typer af personoplysninger
Behandlingen omfatter blandt andet almindelige personoplysninger såsom navn, kontaktoplysninger (e-mail, telefon, adresse) og stilling, samt økonomiske oplysninger, transaktions- og fakturadata og bankoplysninger (f.eks. kontonumre). Behandlingen kan i regnskabsmaterialet undtagelsesvis omfatte CPR-numre. I det omfang scanning og filtrering af den dataansvarliges e-mailtrafik (f.eks. Gmail) indgår i ydelsen, kan behandlingen desuden omfatte følsomme personoplysninger, jf. forordningens artikel 9, samt oplysninger om strafbare forhold, jf. artikel 10, hvis sådanne oplysninger forekommer i den e-mailtrafik, der scannes på den dataansvarliges vegne.
A.3. Kategorier af registrerede
Behandlingen omfatter personoplysninger om den dataansvarliges ledelse, ejere og ansatte samt om den dataansvarliges egne kunder, leverandører og øvrige forretningsforbindelser, i det omfang sådanne oplysninger indgår i regnskabsmaterialet.
A.4. Varighed
Behandlingen påbegyndes ved Bestemmelsernes ikrafttræden og varer, så længe databehandleren leverer ydelserne. Herefter slettes eller tilbageleveres oplysningerne, jf. afsnit 10, med forbehold for den lovpligtige opbevaring efter hvidvaskloven og bogføringsloven (5 år).
Appendiks B – Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandler:
- Numina Technologies ApS (CVR-nr. 44991225) — databehandlerens moderselskab, der udvikler, ejer og driver Platformen og leverer den til databehandleren. Behandling sker inden for EU/EØS.
- Microsoft (Microsoft Azure) — hosting samt AI-inferens. Behandling sker inden for EU/EØS, i datacentre i EU.
- Google (Google Workspace) — e-mail og kommunikation. Behandling sker inden for EU/EØS (EU-dataregion).
- Enable Banking (Enable Banking Oy) — sikker kontoadgang (PSD2) til at hente banktransaktioner. Behandling sker inden for EU/EØS.
Databehandleren konfigurerer sine AI-leverandører, så den dataansvarliges data ikke gemmes hos eller bruges til at træne leverandørens modeller. En opdateret liste over underdatabehandlere kan til enhver tid rekvireres ved at kontakte support@numina.app.
Tredjepartstjenester, som den dataansvarlige selv vælger at forbinde til platformen (f.eks. bank, Stripe og Gmail), er ikke databehandlerens underdatabehandlere, men er underlagt den pågældende udbyders egne vilkår, jf. Handelsbetingelserne.
Leverandører, der alene behandler personoplysninger, hvor Numina selv er dataansvarlig — f.eks. hosting af hjemmesiden og produktanalyse — er ikke underdatabehandlere efter denne Databehandleraftale og fremgår i stedet af Persondatapolitikken.
B.2. Varsel ved nye underdatabehandlere
Databehandleren underretter den dataansvarlige skriftligt om planlagte tilføjelser eller udskiftninger af underdatabehandlere med mindst 30 dages varsel, så den dataansvarlige kan gøre indsigelse, jf. afsnit 6.3.
Appendiks C – Instruks og sikkerhedsforanstaltninger
C.1. Behandlingens genstand
Databehandleren behandler personoplysninger på vegne af den dataansvarlige med det formål at levere de bogførings- og regnskabsydelser, der er aftalt i Aftalebrevet, herunder den AI-assisterede behandling under menneskeligt tilsyn. Anonymiserede og aggregerede data, der ikke længere kan henføres til nogen enkeltperson, kan anvendes til at forbedre databehandlerens ydelser og AI; dette udgør en del af den dataansvarliges instruks, og den dataansvarlige kan til enhver tid gøre indsigelse herimod. Denne forbedringsanvendelse finder ikke sted i en Prøveperiode, jf. Handelsbetingelserne afsnit 3.9. For data, der hidrører fra Google-tjenester, gælder desuden de særlige Limited Use-begrænsninger, der er beskrevet i Persondatapolitikken.
C.2. Sikkerhedsforanstaltninger
Databehandleren gennemfører som minimum følgende tekniske og organisatoriske foranstaltninger, jf. forordningens artikel 32:
- al behandling, herunder AI-behandling, sker inden for EU/EØS, på Microsoft Azure-datacentre i EU
- kryptering af personoplysninger under transmission og ved lagring
- adgangsstyring efter mindste-privilegie-princippet og brug af flerfaktorgodkendelse for at forhindre uautoriseret adgang
- adgang til den dataansvarliges data begrænses til autoriserede medarbejdere og lukkes, når adgangen ikke længere er nødvendig
- logning og overvågning af adgang til og behandling af oplysningerne
- regelmæssig sikkerhedskopiering og afprøvede procedurer for genoprettelse af data
- fortrolighedsforpligtelse for alle medarbejdere, der behandler oplysningerne
- konfiguration af AI-leverandører, så oplysningerne ikke gemmes hos eller bruges til at træne leverandørens modeller
C.3. Opbevaring og sletning
Personoplysninger opbevares i overensstemmelse med opbevaringspligten i § 30 i hvidvaskloven (5 år efter forretningsforbindelsens ophør) og bogføringsloven. Herefter sletter eller tilbageleverer databehandleren oplysningerne efter den dataansvarliges valg, jf. afsnit 10.