Databehandleraftale (DPA)
Når en forening bruger Andelo, er foreningen dataansvarlig for de personoplysninger, der behandles i platformen. Andelo ApS (CVR: 46237323) er databehandler.
I henhold til GDPR artikel 28 skal der foreligge en databehandleraftale mellem dataansvarlig og databehandler. Vores databehandleraftale er baseret på Datatilsynets standardkontraktbestemmelser, som er godkendt af Det Europæiske Databeskyttelsesråd (EDPB).
Databehandleraftalen regulerer:
- Formålet med og varigheden af behandlingen
- Typer af personoplysninger og kategorier af registrerede
- Andelos forpligtelser som databehandler
- Tekniske og organisatoriske sikkerhedsforanstaltninger
- Betingelser for brug af underdatabehandlere
- Bistand med registreredes rettigheder
- Sletning eller tilbagelevering af data ved ophør
- Revisionsrettigheder
Databehandleraftale
Kontakt os på persondata@andelo.dk for at modtage vores standard databehandleraftale. Den er baseret på Datatilsynets godkendte skabelon.
Underdatabehandlere
Andelo bruger følgende underdatabehandlere til at levere vores platform. I henhold til GDPR artikel 28, stk. 2, informerer vi vores kunder om ændringer med mindst 30 dages varsel.
Sidst opdateret: 2. april 2026
Infrastruktur
| Underdatabehandler | Formål | Lokation |
|---|---|---|
| Supabase Inc. | Database (PostgreSQL), autentificering (Magic Link), fillagring og realtidsfunktioner | EU |
| Cloudflare Inc. | Objektlagring (R2), dokumentbehandling (Workers), e-mail-routing og opgavekøer (Queues) | EU |
| Amazon Web Services EMEA SARL | Transaktionelle e-mails (SES) | EU (Stockholm) |
Tjenester
| Underdatabehandler | Formål | Lokation |
|---|---|---|
| PostHog Inc. | Produktanalyse og fejlsporing | EU |
| Plausible Insights OÜ | Website-analyse (cookiefri) | EU |
| Stripe Payments Europe Ltd. | Betalingsbehandling | EU/US |
| Idura (tidl. Criipto) | MitID-verifikation til ejeridentificering | Danmark |
AI og sprogmodeller
Andelo bruger AI-baserede funktioner til dokumentsøgning og en assistent i platformen. AI-funktionerne er kun aktive, når de bruges af kundens brugere.
| Underdatabehandler | Formål | Lokation |
|---|---|---|
| OpenAI LLC | Dokumentsøgning (embeddings) og assistentfunktion (chat) | US |
Kun dokumentindhold i tekstform sendes til OpenAI. CPR-numre og andre direkte personhenførbare oplysninger sendes ikke. OpenAI bruger ikke kundedata til modeltræning via API-adgang, og data opbevares ikke efter behandling (zero data retention).
Kontakt os på persondata@andelo.dk for at modtage besked om ændringer i listen over underdatabehandlere.
Tredjelandsoverførsler
Hovedparten af Andelos databehandling sker inden for EU/EØS. For tjenester placeret uden for EU/EØS sikrer vi et tilstrækkeligt beskyttelsesniveau:
| Tjeneste | Land | Overførselsgrundlag |
|---|---|---|
| OpenAI (AI-funktioner) | USA | EU Standard Contractual Clauses (SCCs) samt supplerende sikkerhedsforanstaltninger (kryptering i transit, zero data retention, ingen modeltræning) |
| Stripe (betaling) | EU/USA | EU Standard Contractual Clauses (SCCs) og EU-US Data Privacy Framework |
Danske offentlige registre
Andelo foretager opslag i danske offentlige registre for at levere platformens funktionalitet. Disse opslag sker på kundens instruks og er ikke underdatabehandling:
- BBR (Bygnings- og Boligregistret) til bygnings- og enhedsoplysninger
- CPR (Det Centrale Personregister) til adresseopslag ved ejerverifikation
- CVR (Det Centrale Virksomhedsregister) til foreningsoplysninger
- EJF (Ejerfortegnelsen) til ejerforhold
- DAR (Danmarks Adresseregister) til adressevalidering
- Dataforsyningen til luftfotos af bygninger
Alle opslag sker via sikrede forbindelser med certifikatbaseret autentificering.
CPR-behandling
Andelo behandler CPR-numre i forbindelse med ejerverifikation via MitID (leveret af Idura, tidl. Criipto). Behandlingen sker for at sikre korrekt identifikation af ejere i andels- og ejerforeninger.
Sikkerhedsforanstaltninger for CPR-data:
- CPR-numre krypteres i hvile (AES-256)
- CPR-numre logges aldrig i klartekst
- Adgang til CPR-data er begrænset og logget
- CPR-snapshots slettes ved kontraktophør
Vores behandling som databehandler
Kategorier af registrerede
- Bestyrelsesmedlemmer i kundens forening
- Beboere og andelshavere
- Eksterne parter med tidsbegrænset adgang (revisorer, vurderingspersoner, rådgivere)
Typer af personoplysninger
- Kontaktoplysninger (navn, e-mail, telefon, adresse)
- CPR-numre (til ejerverifikation via MitID)
- Boligoplysninger (adresse, forbedringer, restværdier)
- Dokumenter uploadet af foreningen
- Aktivitetslog (handlinger i platformen)
- AI-chathistorik (samtaler med assistenten)
Behandlingens formål
Vi behandler personoplysninger udelukkende med det formål at levere vores platform til kunden i henhold til abonnementsaftalen. Vi bruger aldrig kundens data til egne formål.
Tekniske og organisatoriske sikkerhedsforanstaltninger
Andelo har implementeret tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger mod uautoriseret adgang, ændring, videregivelse eller sletning. Det omfatter bl.a.:
- Kryptering af data i transit (TLS 1.3) og i hvile (AES-256)
- Rollebaseret adgangsstyring (Row-Level Security)
- Komplet audit log over systemhandlinger
- Automatisk daglig backup med testede genopretningsprocedurer
- Hosting i EU hos certificerede datacentre
Se vores sikkerhedsside for en uddybende oversigt.
Kontakt
Har du spørgsmål om vores databehandling, kontakt os på persondata@andelo.dk.