Databehandleraftale
Sidst opdateret: 3. april 2026
1. Parter
Dataansvarlig: Du ("Kunden") — AI-deployeren, bureauet eller platformen der bruger Audact-tjenester.
Databehandler: Audact Ltd ("Audact") — behandler interaktionsmetadata på dine vegne.
2. Behandlingens omfang
Datakategorier: Opkaldsmetadata (tidsstempler, jurisdiktionsidentifikatorer, politikbeslutninger, valideringsresultater, bevishashes, samtykkeregistre).
Ikke behandlet: Samtalers indhold, lydoptagelser, PII ud over hvad der er nødvendigt for compliance-validering. Al PII krypteres med per-emne nøgler og er underlagt krypto-makulering ved sletningsanmodning.
Formål: Compliance-validering, bevisgenerering og vedligeholdelse af revisionsspor som instrueret af Kunden.
3. Underdatabehandlere
Alle tredjeparter der behandler data på vegne af Audact eller vores klienter. Denne liste vedligeholdes som krævet under GDPR Artikel 28.
| Underdatabehandler | Formål | Behandlede data | Placering |
|---|---|---|---|
| AWS (Frankfurt) | Infrastrukturhosting | Alle platformdata | EU (Frankfurt) |
| Cloudflare | CDN, DNS, DDoS-beskyttelse | Anmodningsmetadata | EU + globale edge |
| Telnyx | SIP-telefoni | Lydopkald under transit, telefonimetadata | EU PoPs — SCCs |
| LiveKit Cloud | WebRTC-transport, vendedetektion | Lyd under transit (ingen opbevaring) | EU-region |
| Deepgram Nova-3 | Tale-til-tekst (standard) | Lyd under transit (ingen opbevaring konfigureret) | USA (EU-endpoint) — SCCs |
| ElevenLabs Flash | Tekst-til-tale (standard) | LLM-genereret tekst | USA/EU — SCCs |
| OpenAI / Anthropic | LLM-inferens (GPT-4o-mini standard, Claude Sonnet premium) | Samtalebaseret tekst (ingen opbevaring konfigureret) | USA (EU-endpoint hvor tilgængeligt) — SCCs |
| Google Workspace | E-mail, dokumenter | Forretningskommunikation | USA/EU — SCCs |
| Slack | Intern kommunikation | Interne beskeder | USA — SCCs |
| Notion | Wiki / projektledelse | Interne driftsdata | USA — SCCs |
| 1Password | Legitimationsstyring | Krypterede legitimationsoplysninger | Canada/EU |
| Stripe (når live) | Betalingsbehandling | Faktureringsdata | USA/IE — SCCs |
USA-baserede underdatabehandlere opererer under Standard Contractual Clauses (SCCs) som overførselsmekanisme i overensstemmelse med GDPR Kapitel V.
Vi giver dig besked 30 dage inden tilføjelse eller udskiftning af en underdatabehandler. Du kan gøre indsigelse inden for 14 dage.
Sidst opdateret: 12. april 2026
4. Databopæl
Alle kundens compliance-data (interaktionsmetadata, beviskæder, revisionslogfiler) opbevares og behandles udelukkende inden for Det Europæiske Økonomiske Samarbejdsområde (EØS) på AWS eu-central-1 (Frankfurt).
Visse underdatabehandlere nævnt ovenfor er baseret i USA og behandler begrænsede driftsdata under Standard Contractual Clauses (SCCs). Ingen kunders compliance-data forlader EØS.
5. Sikkerhedsforanstaltninger (GDPR Art. 32)
- Kryptering i hvile (AES-256) og under transit (TLS 1.3)
- Per-emne krypteringsnøgler til PII (krypto-makuleringsevne)
- SHA-256 hash-kæder til bevisintegritet
- Rollebaseret adgangskontrol (RBAC)
- SOC 2 Type II planlagt 2027
- Regelmæssig penetrationstest og sårbarhedsscanning
6. Registreredes rettigheder
Audact bistår Kunden med at opfylde anmodninger fra registrerede (adgang, rettelse, sletning, portabilitet) inden for 72 timer efter meddelelse. Sletning implementeres via krypto-makulering: den per-emne krypteringsnøgle destrueres, hvilket gør personoplysninger permanent ulæselige, mens beviskædens integritet bevares.
7. Brudanmeldelse
Audact giver Kunden besked om ethvert brud på persondatasikkerheden inden for 36 timer efter at have fået kendskab til det. Meddelelsen omfatter: brudets art, kategorier af berørte data, omtrentligt antal poster, sandsynlige konsekvenser og trufne foranstaltninger.
8. Varighed & Opsigelse
Denne DPA er gældende i serviceaftalens varighed. Ved opsigelse sletter eller returnerer Audact alle kundedata inden for 30 dage, medmindre opbevaring er krævet ved lov (EU AI Act beviskrav).
9. Kontakt
DPA-forespørgsler: dpo@audact.ai