03 / Juridisk

Databehandleraftale

Sidst opdateret · 21. juni 2026 Sidst opdateret · 25. juni 2026

1. Parter og formål

Denne databehandleraftale ("Aftalen") indgås mellem:

  • Den dataansvarlige ("Kunden"): Den virksomhed, der har oprettet en konto og bruger Midora som led i sin egen erhvervsaktivitet.
  • Databehandleren: Midora v/ Kristian Theilmann Gregersen, CVR-nr. 42549967, Hans Hedtofts Gade 8, 4. tv, 2300 København S, e-mail kontakt@midora.dk.

Aftalen regulerer Midoras behandling af personoplysninger på Kundens vegne og udgør en integreret del af de Vilkår, Kunden har accepteret. Aftalen er udarbejdet med udgangspunkt i Datatilsynets standardkontrakt og GDPR art. 28.

2. Roller

Midora er "databehandler" og Kunden er "dataansvarlig" i GDPR's forstand for de personoplysninger, som Kunden eller personer tilknyttet Kundens organisation lægger ind i Midora om Kundens egne kunder, projekter og samarbejdspartnere.

  • For Midoras egne brugeroplysninger (f.eks. login og kontooplysninger om Kundens medarbejdere) er Midora selv dataansvarlig. Det fremgår af vores Privatlivspolitik.
  • Denne Aftale gælder kun for personoplysninger, hvor Midora handler på Kundens instruks (typisk slutkundeoplysninger i kvalitetssikringsrapporter, tilbud og fotodokumentation).

3. Behandlingens karakter, formål og varighed

Midora behandler personoplysninger med henblik på at levere Tjenesten til Kunden, herunder opbevaring, visning, deling inden for Kundens organisation samt eksport og sletning.

  • Formål: Levering af kvalitetssikring, fotodokumentation, tilbud og projektsamarbejde
  • Varighed: Så længe Kundens abonnement er aktivt, med tillæg af en eksport- og sletteperiode på 30 dage efter ophør
  • Art af behandling: Indsamling, registrering, opbevaring, brug, videregivelse til underdatabehandlere, sletning

4. Kategorier af registrerede og personoplysninger

Midora behandler typisk følgende kategorier på Kundens vegne:

  • Registrerede: Kundens medarbejdere, gæstebrugere, samarbejdspartnere og slutkunder (f.eks. boligejere)
  • Almindelige oplysninger: Navn, adresse, e-mail, telefonnummer, projektrelaterede noter, fotos (der kan indeholde personer eller lokationsdata) og øvrige oplysninger, Kunden vælger at registrere
  • Følsomme oplysninger: Midora er ikke designet til følsomme kategorier (GDPR art. 9) eller oplysninger om strafbare forhold (art. 10). Kunden skal undlade at uploade sådanne oplysninger

5. Kundens instruks

Midora behandler alene personoplysninger efter dokumenteret instruks fra Kunden. Denne Aftale, de accepterede Vilkår og Kundens brug af Tjenestens funktioner udgør den dokumenterede instruks. Yderligere instrukser aftales skriftligt (f.eks. via e-mail).

6. Fortrolighed

Midora sikrer, at personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Adgang gives efter et "need to know"-princip.

7. Sikkerhedsforanstaltninger

Midora træffer passende tekniske og organisatoriske foranstaltninger i henhold til GDPR art. 32, herunder:

  • Kryptering under transport (TLS) og hvile
  • Rollebaseret adgangskontrol og multifaktor-autentifikation for administrativ adgang
  • Logning af adgang til produktionssystemer
  • Backup og procedurer for genetablering efter hændelser
  • Løbende opdatering af afhængigheder og underliggende systemer
  • Adskillelse af data mellem kunder på applikationsniveau

8. Underdatabehandlere

Kunden giver ved indgåelse af Aftalen en generel skriftlig forhåndsgodkendelse til, at Midora kan anvende underdatabehandlere. Midoras aktuelle underdatabehandlere er:

  • Hetzner Online GmbH (Tyskland) – hosting, database og filopbevaring; al data opbevares på servere i Tyskland (EU). Midoras synkroniseringsmotor og loginsystem drives som selvhostet software på denne infrastruktur og udgør ikke selvstændige underdatabehandlere
  • Hetzner Online GmbH (Tyskland) – hosting, database og filopbevaring; al data opbevares på servere i Tyskland (EU). Midoras synkroniseringsmotor og loginsystem drives som selvhostet software på denne infrastruktur og udgør ikke selvstændige underdatabehandlere
  • Resend, Inc. (USA) – afsendelse af transaktionsmails
  • Stripe, Inc. (USA/Irland) – behandling af betalinger (endnu ikke aktiveret; tages først i brug, når betaling aktiveres)
  • OpenAI, L.L.C. (USA) – transskribering og tolkning af stemmememoer via OpenAI's API. Lydoptagelser, relevante projektnavne og den resulterende tekst behandles udelukkende for at levere stemmefunktionen. OpenAI anvender ikke data sendt via API'et til modeltræning og opbevarer dem højst 30 dage til misbrugskontrol
  • Stripe, Inc. (USA/Irland) – behandling af betalinger (endnu ikke aktiveret; tages først i brug, når betaling aktiveres)

Midora varsler ændringer i listen over underdatabehandlere mindst 30 dage før ikrafttræden via e-mail eller i appen. Kunden kan gøre indsigelse mod en ny underdatabehandler ved skriftligt at opsige Aftalen med virkning fra den varslede ændring, hvis Kunden ikke kan acceptere den pågældende underdatabehandler.

9. Overførsel til tredjelande

Hetzner hoster Kundens data på servere i Tyskland (EU), og kernebehandlingen – database, filopbevaring, synkronisering og login – forbliver derfor i EU. Underdatabehandlere uden for EU – Resend, OpenAI og Stripe – er etableret i USA, og overførsler hertil sker på følgende grundlag:

  • EU–U.S. Data Privacy Framework: Hvor underdatabehandleren er certificeret under rammen, overføres data på grundlag af Europa-Kommissionens tilstrækkelighedsafgørelse
  • Standardkontraktbestemmelser (SCC): Hvor DPF ikke finder anvendelse, indgår Midora EU-Kommissionens SCC'er med underdatabehandleren (modul 3: processor til processor) og gennemfører en vurdering af overførselsrisikoen
  • Supplerende foranstaltninger: Kryptering, adgangsbegrænsninger og aftalte forpligtelser om underretning ved myndighedsanmodninger

10. Bistand til Kunden

Midora bistår Kunden, i det omfang det er muligt og rimeligt, med at opfylde dennes forpligtelser i henhold til GDPR, herunder:

  • Besvarelse af anmodninger fra registrerede om rettigheder (indsigt, berigtigelse, sletning mv.)
  • Sikkerhed ved behandling (art. 32)
  • Anmeldelse af brud på persondatasikkerheden (art. 33-34)
  • Konsekvensanalyser og forudgående høring (art. 35-36), hvor relevant

Midora kan opkræve rimelig betaling for bistand, der går væsentligt ud over, hvad der er nødvendigt for at levere Tjenesten.

11. Brud på persondatasikkerheden

Midora underretter Kunden uden unødig forsinkelse og senest 48 timer efter at være blevet bekendt med et brud på persondatasikkerheden, der involverer Kundens data. Underretningen indeholder så vidt muligt:

  • Karakteren af bruddet, herunder kategorier og antal berørte registrerede og datasæt
  • Sandsynlige konsekvenser af bruddet
  • Foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet
  • Kontaktoplysninger hvor yderligere information kan indhentes

12. Sletning og tilbagelevering ved ophør

Ved ophør af Aftalen sletter eller tilbageleverer Midora efter Kundens valg alle personoplysninger, der behandles på Kundens vegne, og sletter eksisterende kopier, medmindre EU-retten eller dansk ret kræver opbevaring.

  • Kunden har adgang til at eksportere sine data i en periode på 30 dage efter ophør
  • Efter udløb af eksportperioden slettes Kundens data inden for yderligere 30 dage fra Midoras produktionssystemer
  • Backup-kopier overskrives i den almindelige backup-rotation (typisk inden for 90 dage)

13. Revision og dokumentation

Midora stiller på Kundens skriftlige anmodning den information til rådighed, der er nødvendig for at påvise overholdelse af GDPR art. 28.

  • Dokumentation sker som udgangspunkt gennem skriftlige svar, dokumentation af sikkerhedsforanstaltninger og eventuelle tredjeparts-revisionsrapporter fra underdatabehandlere
  • Fysiske on-site revisioner gennemføres kun, hvis tilsynsmyndigheder kræver det eller ved begrundet mistanke om væsentlig misligholdelse, efter skriftligt varsel på mindst 30 dage
  • Revisioner gennemføres uden forstyrrelse af Midoras drift og under hensyn til tavshedspligt
  • Kunden afholder egne omkostninger ved revision; Midora kan opkræve rimelig betaling for anvendt tid, der væsentligt overstiger sædvanlig dokumentation

14. Ansvar

Parternes ansvar i henhold til Aftalen følger ansvarsbegrænsningerne i Vilkårene. Ansvarsbegrænsningerne gælder dog ikke ved forsæt, grov uagtsomhed eller hvor ufravigelig lovgivning foreskriver andet.

15. Varighed og opsigelse

Aftalen gælder, så længe Midora behandler personoplysninger på Kundens vegne. Aftalen bortfalder automatisk, når Kundens abonnement ophører og sletteperioden er udløbet.

16. Ændringer

Midora kan opdatere Aftalen for at afspejle ændringer i lovgivning, praksis eller Tjenestens funktioner. Væsentlige ændringer varsles mindst 30 dage før ikrafttræden. Kan Kunden ikke acceptere ændringerne, kan Kunden opsige abonnementet med virkning fra ændringens ikrafttræden.

17. Gældende lov og værneting

Aftalen er underlagt dansk ret. Tvister afgøres ved Københavns Byret som aftalt værneting i første instans, medmindre andet følger af ufravigelig lovgivning.

Midora — byggebranchens bedste AI drevent sagsstyringsplatform.

© 2026 MIDORA · CVR 42549967BUILT IN COPENHAGEN