SkinSync

Databehandleraftale

Senest opdateret: 23. april 2026

Denne databehandleraftale (“DPA”) udgør en integreret del af Klinikaftalen mellem den klinik, som har accepteret Klinikaftalen (“den Dataansvarlige”), og

SkinSync
Finlandsvej 82, 4.tv
7100 Vejle, Danmark
E-mail: ikm@skinsync.dk
(“Databehandleren”)

Aftalen opfylder kravene i artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR).

1. Genstand og varighed

Databehandleren behandler personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af SkinSync-platformen. Aftalen gælder så længe Klinikaftalen er i kraft, og i op til 90 dage derefter til brug for datamigrering eller sletning.

2. Kategorier af registrerede

  • Kunder hos den Dataansvarlige (klinikkens kunder).
  • Medarbejdere hos den Dataansvarlige med adgang til platformen.

3. Kategorier af personoplysninger

Almindelige personoplysninger:

  • Navn, e-mail, telefonnummer, fødselsdato, køn, adresse (hvis indtastet).
  • Konto- og loginoplysninger, sessionstokens, enhedsoplysninger.
  • Notater, rutiner, korrespondance mellem klinik og kunde.
  • Fakturadata på klinikniveau.

Særlige kategorier af personoplysninger (helbredsoplysninger, GDPR art. 9):

  • Scanningsbilleder af hud og hårbund.
  • Udledte målinger: hydrering, oliedannelse, pigmentering, pore, rødme, skæl, hårtykkelse mv.
  • Behandlings- og plejehistorik knyttet til kundens hud- eller hårtilstand.

4. Behandlingens formål

  • At levere klinisk dashboard, kundeportal, rapportering og AI-anbefalinger til den Dataansvarlige og dennes kunder.
  • At drive support, fejlsøge, overvåge sikkerhed og sikre tjenestens stabilitet.
  • At generere aggregeret, anonym statistik om platformens brug.

Databehandleren må kun behandle personoplysninger i overensstemmelse med de formål, den Dataansvarlige har fastlagt, og efter dennes dokumenterede instruks. Klinikaftalen og denne DPA udgør den Dataansvarliges dokumenterede instruks. Eventuelle yderligere instrukser gives skriftligt.

5. Databehandlerens forpligtelser

Databehandleren skal:

  • kun behandle personoplysninger efter den Dataansvarliges dokumenterede instruks,
  • sikre at personer, der behandler data, er pålagt tavshedspligt,
  • træffe passende tekniske og organisatoriske foranstaltninger, jf. afsnit 8,
  • bistå den Dataansvarlige med at opfylde registreredes rettigheder og GDPR-forpligtelser (art. 32–36),
  • underrette den Dataansvarlige om databrud uden unødig forsinkelse og senest inden for 48 timer efter konstatering,
  • slette eller tilbagelevere alle personoplysninger ved aftalens ophør, jf. afsnit 11.

6. Underdatabehandlere

Den Dataansvarlige giver generelt samtykke til, at Databehandleren kan anvende de underdatabehandlere, der fremgår af listen over underdatabehandlere. Listen kan ændres; den Dataansvarlige varsles via e-mail mindst 30 dage før en væsentlig ændring træder i kraft.

Den Dataansvarlige kan gøre indsigelse mod en ny underdatabehandler. Kan parterne ikke enes om en løsning, har den Dataansvarlige ret til at opsige Klinikaftalen uden varsel med forholdsmæssigt tilbagebetalt abonnement for den resterende periode.

Databehandleren indgår skriftlige databehandleraftaler med alle underdatabehandlere, som pålægger mindst samme databeskyttelsespligter som denne DPA.

7. Overførsel til tredjelande

Primær databehandling (database, auth, fil-lagring) sker i EU. Hvor overførsel til tredjelande er nødvendig — fx til Anthropic, som driver AI-modellerne fra USA — sker overførslen på grundlag af Europa-Kommissionens Standard Contractual Clauses (SCC) og passende supplerende foranstaltninger. Oversigt over hver enkelt underdatabehandlers behandlingslokation fremgår af listen.

8. Sikkerhed

Databehandleren implementerer og opretholder passende tekniske og organisatoriske foranstaltninger svarende til risikoniveauet, herunder:

  • Kryptering i transit (TLS 1.2+) og i hvile (AES-256).
  • Rollebaseret adgangsstyring og multifaktor-autentifikation for alle medarbejdere med produktionsadgang.
  • Isolation pr. klient på databaseniveau (Row Level Security i Postgres).
  • Audit-logning af adgang til personoplysninger, opbevaret i 12 måneder.
  • Regelmæssige sikkerhedskopier med passende geografisk redundans og testet genskabelse.
  • Årlig gennemgang af sikkerhedsforanstaltninger og adgangsrettigheder.

9. Databrud

Ved konstatering af et brud på persondatasikkerheden underretter Databehandleren den Dataansvarlige uden unødig forsinkelse og senest 48 timer efter konstatering. Underretningen skal indeholde:

  • karakteren af bruddet og de berørte kategorier af personer og oplysninger,
  • det sandsynlige omfang,
  • de iværksatte eller foreslåede foranstaltninger,
  • navn og kontaktoplysninger på Databehandlerens kontaktperson.

10. Den Dataansvarliges rettigheder

Den Dataansvarlige kan én gang årligt anmode om en revision af Databehandlerens overholdelse af denne aftale. Revisionen gennemføres enten ved (a) gennemgang af en uafhængig revisors erklæring (ISO 27001, SOC 2 eller tilsvarende) eller (b) på stedet efter aftale med mindst 30 dages varsel. Omkostninger til egen revision bæres af den Dataansvarlige, med mindre væsentlige mangler afdækkes.

11. Sletning og tilbagelevering

Ved aftalens ophør eksporterer Databehandleren på anmodning alle personoplysninger i et struktureret, almindeligt anvendt format (JSON/CSV + billedfiler i ZIP) og sletter eller anonymiserer herefter alle kopier senest 90 dage efter ophør. Kopier kan opbevares længere, hvis EU-retten eller dansk ret kræver det (fx bogføring); i så fald behandles data alene til opbevaringsformålet.

12. Ansvar

Parternes ansvar efter denne DPA følger GDPR artikel 82 og Klinikaftalen, dog således at ansvarsbegrænsningen i Klinikaftalen ikke gælder for bøder pålagt af Datatilsynet eller anden tilsynsmyndighed som følge af en parts overtrædelse af GDPR.

13. Ikrafttræden og ophør

DPA'en træder i kraft samtidig med Klinikaftalen og består indtil al behandling af personoplysninger på vegne af den Dataansvarlige er ophørt, herunder sletning eller tilbagelevering efter afsnit 11.

14. Lovvalg og værneting

DPA'en er underlagt dansk ret. Eventuelle tvister afgøres ved Retten i Kolding som første instans.

Bilag A: Underdatabehandlere

Den opdaterede liste over underdatabehandlere findes på /legal/underdatabehandlere.

Bilag B: Tekniske og organisatoriske foranstaltninger

Som beskrevet i afsnit 8. SkinSync udleverer på anmodning den til enhver tid gældende oversigt over sikkerhedsforanstaltninger og eventuelle tredjepartsrevisioner.