Payfriend

Databehandleraftale

Sidst opdateret: Marts 2026

1. Parter og baggrund

Denne databehandleraftale ("Aftalen") er indgået mellem:

  • Den dataansvarlige ("Kunden"): Den virksomhed, der har oprettet en konto på Payfriend-platformen og uploadet debitoroplysninger.
  • Databehandleren ("Payfriend"): NextLab Ventures ApS, CVR: 46176847, E-mail: kontakt@payfriend.io, Telefon: 31 19 24 69.

Aftalen regulerer Payfriends behandling af personoplysninger på vegne af Kunden i forbindelse med levering af Payfriend-tjenesten og er indgået i henhold til GDPR artikel 28.

Aftalen udgør en integreret del af den overordnede tjenesteaftale mellem parterne (se handelsbetingelser).

2. Databehandlingens formål og omfang

Payfriend behandler personoplysninger på vegne af Kunden med det formål at levere Payfriend-tjenesten, herunder:

  • Import og opbevaring af debitoroplysninger fra Kundens regnskabssystem.
  • AI-drevet analyse af betalingsmønstre og risikoprofiler for at optimere opfølgningsstrategien.
  • Automatisk udsendelse af betalingspåmindelser via SMS og e-mail til Kundens debitorer.
  • Generering af rapporter og dashboards over opfølgningsaktiviteter og betalingsstatus.
  • Modtagelse og registrering af betalinger fra debitorer.

2.1 Kategorier af registrerede

De registrerede er Kundens debitorer (fakturakunder) samt eventuelt kontaktpersoner hos debitorerne.

2.2 Typer af personoplysninger

  • Kontaktoplysninger: Navn, e-mailadresse, telefonnummer, adresse.
  • Virksomhedsoplysninger: Virksomhedsnavn, CVR-nummer.
  • Fakturadata: Fakturanumre, beløb, forfaldsdatoer, betalingsstatus.
  • Betalingshistorik: Registrerede betalinger, betalingsdatoer.
  • Kommunikationsdata: Tidspunkter og indhold af sendte SMS-beskeder og e-mails.

2.3 Behandlingens varighed

Behandlingen finder sted i hele abonnementsperioden og fortsætter i den periode, der er nødvendig for at opfylde forpligtelser under denne Aftale, herunder sletning efter ophør (se afsnit 9).

3. Payfriends forpligtelser

Payfriend forpligter sig til at:

  1. Kun behandle personoplysninger efter dokumenteret instruks fra Kunden, medmindre det kræves i henhold til EU-ret eller dansk ret. Hvis lovgivning kræver behandling, underretter Payfriend Kunden herom inden behandlingen, medmindre lovgivningen forbyder dette.
  2. Sikre, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  3. Træffe alle foranstaltninger, der kræves i henhold til GDPR artikel 32 (sikkerhed af behandling).
  4. Overholde betingelserne i denne Aftale vedrørende brug af underbehandlere (se afsnit 6).
  5. Under hensyntagen til behandlingens karakter bistå Kunden med passende tekniske og organisatoriske foranstaltninger til opfyldelse af Kundens forpligtelser over for de registrerede.
  6. Bistå Kunden med at sikre overholdelse af forpligtelserne i GDPR artikel 32-36, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Payfriend.
  7. Ved ophør af tjenesten slette eller tilbagelevere alle personoplysninger i overensstemmelse med afsnit 9.
  8. Stille alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR artikel 28, til rådighed for Kunden og muliggøre og bidrage til revisioner, herunder inspektioner (se afsnit 8).

4. Sikkerhedsforanstaltninger

Payfriend har implementeret passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, herunder:

  • Kryptering: Alle data krypteres under overførsel (TLS 1.2+) og i hvile (AES-256).
  • Adgangskontrol: Rollebaserede rettigheder med to-faktor-autentifikation (2FA) for alle administratorkonti.
  • Logning: Regelmæssig sikkerhedsovervågning og logning af al adgang til personoplysninger med opbevaringsperiode på 12 måneder.
  • Netværkssikkerhed: Firewall, DDoS-beskyttelse og segmentering af netværk.
  • Hosting: Data hostes på DigitalOcean-servere i EU-regionen (Danmark/Tyskland). Der anvendes ikke servere uden for EU/EØS til opbevaring af personoplysninger.
  • Backup: Daglige automatiserede backups med kryptering. Backups opbevares i EU og testes regelmæssigt.
  • Personale: Alle medarbejdere med adgang til personoplysninger har gennemgået sikkerhedstræning og er underlagt fortrolighedsaftaler.
  • Sårbarheder: Regelmæssig sårbarhedsscanning og patching af systemer.

5. Kundens instruktioner

Payfriend behandler kun personoplysninger efter Kundens dokumenterede instruktioner. Kundens instruktioner anses for at være dokumenteret ved accept af disse betingelser samt ved Kundens konfiguration og brug af Platformen.

Hvis Payfriend vurderer, at en instruks fra Kunden er i strid med GDPR eller anden gældende databeskyttelseslovgivning, vil Payfriend straks underrette Kunden herom.

6. Underbehandlere

Kunden giver hermed generel godkendelse til, at Payfriend kan gøre brug af underbehandlere. Payfriend benytter aktuelt følgende underbehandlere:

UnderbehandlerYdelseLokation
DigitalOcean LLCInfrastruktur og datalagring (hosting)EU (Amsterdam/Frankfurt)
Stripe Inc.BetalingshåndteringEU / USA (SCC)
Twilio Inc.SMS-udsendelse af påmindelserEU / USA (SCC)
Postmark (ActiveCampaign)E-mail-udsendelse af påmindelserUSA (SCC)
OpenAIAI-analyse af betalingsmønstre (anonymiseret)USA (SCC)

Payfriend informerer Kunden skriftligt (via e-mail) om enhver planlagt tilføjelse eller udskiftning af underbehandlere med mindst 30 dages varsel. Kunden har ret til at gøre begrundet indsigelse mod nye underbehandlere inden for varslingsperioden. Hvis Kunden gør indsigelse, og parterne ikke kan nå til enighed, har Kunden ret til at opsige aftalen med virkning fra den dato, den nye underbehandler ville være taget i brug.

Payfriend sikrer, at alle underbehandlere er underlagt skriftlige aftaler med databeskyttelsesforpligtelser, der mindst svarer til dem i denne Aftale. Payfriend er ansvarlig over for Kunden for underbehandlerens opfyldelse af sine databeskyttelsesforpligtelser.

7. Overførsel til tredjelande

Personoplysninger opbevares som udgangspunkt inden for EU/EØS. Visse underbehandlere (Stripe, Twilio, Postmark, OpenAI) kan behandle data i USA. I alle tilfælde sikrer Payfriend et gyldigt overførselsgrundlag i henhold til GDPR kapitel V, herunder:

  • EU-Kommissionens standardkontraktbestemmelser (SCC) som vedtaget den 4. juni 2021.
  • Supplementerende foranstaltninger, herunder kryptering og adgangsbegrænsning, i overensstemmelse med EDPB's anbefalinger.

Kunden kan til enhver tid anmode om dokumentation for de anvendte overførselsgrundlag.

8. Revision og audit

Payfriend stiller alle nødvendige oplysninger til rådighed for Kunden for at påvise overholdelse af forpligtelserne i denne Aftale og GDPR artikel 28.

Kunden eller en af Kunden udpeget uafhængig revisor har ret til at foretage audit af Payfriends behandlingsaktiviteter, herunder fysisk inspektion, forudsat at:

  • Kunden giver mindst 30 dages skriftligt varsel om audit.
  • Auditten gennemføres i normal arbejdstid og med rimelig hensyntagen til Payfriends drift.
  • Revisor er underlagt passende fortrolighedsforpligtelser.
  • Kunden afholder omkostningerne til auditten, medmindre auditten afslører væsentlige overtrædelser af denne Aftale.

9. Sletning og tilbagelevering

Ved ophør af abonnementet eller denne Aftale vil Payfriend:

  1. Give Kunden mulighed for at eksportere alle personoplysninger i et maskinlæsbart format (CSV/JSON) i en periode på 30 dage efter ophør.
  2. Slette alle personoplysninger, der er behandlet på vegne af Kunden, inden for 90 dage efter ophør, medmindre lovgivningen kræver fortsat opbevaring (f.eks. bogføringsloven).
  3. Skriftligt bekræfte over for Kunden, at sletning er gennemført, hvis Kunden anmoder herom.

Forpligtelsen til sletning gælder også for eventuelle kopier, herunder backups, som slettes i overensstemmelse med den almindelige backup-rotation (maksimalt 30 dage).

10. Brud på persondatasikkerheden

Payfriend underretter Kunden uden unødig forsinkelse og senest inden for 24 timer efter at være blevet bekendt med et brud på persondatasikkerheden, der berører Kundens personoplysninger.

Underretningen skal som minimum indeholde:

  • En beskrivelse af bruddets karakter, herunder de berørte kategorier og omtrentlige antal registrerede.
  • Kontaktoplysninger for yderligere information.
  • En beskrivelse af de sandsynlige konsekvenser af bruddet.
  • En beskrivelse af de foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet og begrænse eventuelle negative virkninger.

Payfriend bistår Kunden med at opfylde Kundens forpligtelser i henhold til GDPR artikel 33 og 34 (anmeldelse til tilsynsmyndigheden og underretning af de registrerede).

11. Registreredes rettigheder

Payfriend bistår Kunden med at opfylde sine forpligtelser over for de registrerede i henhold til GDPR kapitel III, herunder håndtering af anmodninger om:

  • Indsigt (art. 15)
  • Berigtigelse (art. 16)
  • Sletning (art. 17)
  • Begrænsning af behandling (art. 18)
  • Dataportabilitet (art. 20)
  • Indsigelse (art. 21)

Hvis Payfriend modtager en henvendelse direkte fra en registreret, vil Payfriend uden unødig forsinkelse videresende henvendelsen til Kunden og afvente Kundens instruktioner, inden der foretages yderligere.

12. Lovvalg og tvister

Denne Aftale er underlagt dansk ret. Eventuelle tvister, som ikke kan løses i mindelighed, afgøres ved Københavns Byret som første instans.

13. Kontakt

Spørgsmål vedrørende denne databehandleraftale kan rettes til:

NextLab Ventures ApS
CVR: 46176847
E-mail: kontakt@payfriend.io
Telefon: 31 19 24 69