Databehandleraftale

    Konverto Performance ApS

    Senest opdateret: 16. juni 2026

    Denne databehandleraftale er indgået mellem kunden (den Dataansvarlige) og Konverto Performance ApS (Databehandleren) og udgør en integreret del af Konvertos handelsbetingelser. Aftalen regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige i henhold til GDPR.

    1. Parter

    Databehandler: Konverto Performance ApS, CVR-nr. 45602052, Dunkerquegade 17, 2th, 2150 Nordhavn, support@konverto.dk

    Dataansvarlig: Den virksomhed eller person, der har oprettet en konto hos Konverto og bruger platformen til at behandle leads og kommunikation.

    2. Baggrund og formål

    Kunden bruger Konvertos platform til automatiseret håndtering af leads og kommunikation (e-mail og SMS). I den forbindelse behandler Konverto personoplysninger om Kundens leads og kontakter på vegne af Kunden.

    Denne aftale fastsætter parternes rettigheder og forpligtelser i forbindelse med Konvertos behandling af personoplysninger på vegne af Kunden, jf. GDPR artikel 28.

    3. Behandlingens genstand og varighed

    3.1 Genstand

    Databehandleren behandler personoplysninger med det formål at levere Konvertos SaaS-platform, herunder:

    • Modtagelse og opbevaring af leads fra Facebook Lead Ads og andre kilder
    • Automatiseret e-mailkommunikation på vegne af Kunden
    • SMS-kommunikation til Kundens leads
    • AI-assisteret generering af svarforslag
    • CRM-funktionalitet til håndtering af leads
    • Telefoni via et dedikeret telefonnummer, herunder modtagelse af indgående opkald og udgående opkald fra platformens opkaldsfunktion
    • Optagelse af telefonsamtaler samt automatisk transskription (tale til tekst) og AI-analyse af optagelser, når denne funktion anvendes af Kunden

    3.2 Varighed

    Behandlingen finder sted så længe Kunden har en aktiv konto hos Konverto. Ved opsigelse eller sletning af Kundens konto ophører behandlingen, og data slettes i overensstemmelse med afsnit 10.

    4. Kategorier af registrerede og personoplysninger

    4.1 Kategorier af registrerede

    • Kundens leads og potentielle kunder
    • Kundens eksisterende kontakter
    • Afsendere af e-mails til Kundens tilknyttede e-mailkonto
    • Personer der ringer til eller ringes op via Kundens telefonnummer/opkaldsfunktion

    4.2 Kategorier af personoplysninger

    • Kontaktoplysninger: Navn, e-mailadresse, telefonnummer
    • Kommunikationsdata: E-mailindhold, SMS-indhold, lydoptagelser af telefonsamtaler og transskriptioner heraf, opkalds-metadata (varighed, retning, tidspunkt), tidspunkter og samtalehistorik
    • Lead-metadata: Kilde (f.eks. Facebook Lead Ads), tidspunkt for henvendelse, status

    4.3 Følsomme personoplysninger

    Konverto er ikke designet til behandling af følsomme personoplysninger (GDPR artikel 9). Kunden bør ikke uploade eller behandle følsomme oplysninger via platformen.

    5. Databehandlerens forpligtelser

    Databehandleren forpligter sig til:

    • Kun at behandle efter instruks: Personoplysninger behandles udelukkende efter dokumenteret instruks fra den Dataansvarlige (GDPR artikel 28, stk. 3, litra a).
    • Fortrolighed: Alle personer med adgang til personoplysninger er underlagt fortrolighed (GDPR artikel 28, stk. 3, litra b).
    • Sikkerhedsforanstaltninger: At implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger, jf. afsnit 6 (GDPR artikel 28, stk. 3, litra c).
    • Underdatabehandlere: Kun at anvende underdatabehandlere med den Dataansvarliges forudgående generelle skriftlige godkendelse, jf. afsnit 7 (GDPR artikel 28, stk. 2).
    • Bistand til rettigheder: At bistå den Dataansvarlige med opfyldelse af dennes forpligtelser i forbindelse med de registreredes rettigheder (GDPR artikel 28, stk. 3, litra e).
    • Bistand ved brud: At underrette den Dataansvarlige uden unødig forsinkelse ved brud på persondatasikkerheden (GDPR artikel 28, stk. 3, litra f).
    • Sletning ved ophør: At slette alle personoplysninger ved aftalens ophør (GDPR artikel 28, stk. 3, litra g).
    • Dokumentation og audit: At stille alle oplysninger til rådighed der er nødvendige for at påvise overholdelse, og at muliggøre revisioner (GDPR artikel 28, stk. 3, litra h).

    6. Sikkerhedsforanstaltninger

    Databehandleren har implementeret følgende sikkerhedsforanstaltninger, jf. GDPR artikel 32:

    6.1 Tekniske foranstaltninger

    • Kryptering af data under transport (TLS/HTTPS)
    • Kryptering af følsomme tokens og adgangskoder i hvile (AES-kryptering). Øvrige personoplysninger opbevares i en adgangsbegrænset database (Row Level Security) og krypteres under transport (TLS); de er ikke kolonne-krypteret i hvile, men beskyttes af adgangskontrol og udbyderens kryptering af lagermedier
    • Row Level Security (RLS) på alle databasetabeller
    • Adgangskontrol via autentificering og autorisering (JWT-baseret)
    • Automatisk sletning af data i henhold til fastsatte opbevaringsperioder
    • Sikker opbevaring af OAuth-tokens med automatisk sletning ved frakobling

    6.2 Organisatoriske foranstaltninger

    • Adgang til personoplysninger begrænset til nødvendigt personale
    • Løbende sikkerhedsopdateringer af systemer og infrastruktur
    • Overvågning af systemer for uautoriseret adgang
    • Regelmæssig gennemgang af sikkerhedsforanstaltninger

    7. Underdatabehandlere

    7.1 Godkendelse

    Den Dataansvarlige giver hermed generel skriftlig godkendelse til, at Databehandleren anvender de underdatabehandlere, der er anført i afsnit 7.3, jf. GDPR artikel 28, stk. 2.

    7.2 Underretning om ændringer

    Databehandleren underretter den Dataansvarlige via e-mail mindst 30 dage før tilføjelse eller udskiftning af en underdatabehandler. Hvis den Dataansvarlige gør indsigelse, kan Kunden opsige aftalen med øjeblikkelig virkning.

    7.3 Aktuelle underdatabehandlere

    Supabase Inc.

    Database, hosting og autentificering

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    OpenAI LLC

    AI-assisteret generering af svarforslag på e-mail og SMS, transskription af telefonopkald (tale til tekst) samt AI-analyse og kvalitetsbedømmelse af opkalds- og samtaleindhold

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Anthropic PBC

    AI-assisteret udtræk af kalenderoplysninger fra e-mailindhold

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Twilio Inc.

    SMS-udsendelse og -modtagelse samt telefoni (indgående og udgående opkald), opkaldsoptagelse og hosting af lydoptagelser

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Google LLC

    E-mailintegration (Gmail API)

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Google LLC (Firebase Cloud Messaging)

    Udsendelse af push-notifikationer til mobil-appen

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Microsoft Corporation

    E-mailintegration (Microsoft Graph)

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Meta Platforms

    Lead-indsamling via Facebook Lead Ads

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Resend Inc.

    Transaktionelle e-mails (system-notifikationer)

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Functional Software, Inc. (Sentry)

    Fejl- og nedbrudsovervågning (diagnostik)

    Lokation: USA
    Overførselsgrundlag: EU-SCC
    Hostinger International Ltd.

    Serverhosting og infrastruktur (VPS)

    Lokation: Litauen (EU)
    Overførselsgrundlag: Ikke påkrævet (EU)
    Stripe Inc.

    Betalingshåndtering og abonnementsstyring

    Lokation: USA
    Overførselsgrundlag: EU-SCC

    7.4 Krav til underdatabehandlere

    Databehandleren sikrer, at der er indgået en databehandleraftale med hver underdatabehandler, som pålægger underdatabehandleren de samme databeskyttelsesforpligtelser som fastsat i denne aftale, jf. GDPR artikel 28, stk. 4.

    8. Overførsel til tredjelande

    Personoplysninger overføres til underdatabehandlere i USA som angivet i afsnit 7.3. Overførslen sker på grundlag af EU-Kommissionens standardkontraktbestemmelser (EU-SCC), jf. GDPR artikel 46, stk. 2, litra c.

    Databehandleren har foretaget en Transfer Impact Assessment og vurderet, at der med de supplerende foranstaltninger (kryptering, adgangskontrol, kontraktlige forpligtelser) er tilstrækkelig beskyttelse af personoplysningerne.

    9. Brud på persondatasikkerheden

    Databehandleren underretter den Dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden, jf. GDPR artikel 33.

    Underretningen skal som minimum indeholde:

    • En beskrivelse af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede
    • Kontaktoplysninger til Databehandlerens kontaktperson
    • En beskrivelse af de sandsynlige konsekvenser af bruddet
    • En beskrivelse af de foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet

    10. Sletning og tilbagelevering af data

    Ved ophør af aftalen sletter Databehandleren alle personoplysninger behandlet på vegne af den Dataansvarlige, medmindre EU-ret eller national ret foreskriver opbevaring.

    10.1 Eksport af data

    Inden sletning kan den Dataansvarlige eksportere sine leads, kontakter samt e-mail- og SMS-korrespondance via platformens eksportfunktion (Indstillinger > Konto > Eksportér data). Data leveres i JSON-format. Øvrige data, herunder opkaldsoptagelser, kan udleveres på anmodning.

    10.2 Sletningsproces

    Ved sletning af konto fjernes følgende fuldstændigt:

    • Alle leads og tilhørende data
    • Al e-mail- og SMS-korrespondance
    • Alle integrationer og tilhørende tokens
    • Profil- og kontodata
    • Data i den eksterne database (Supabase) samt frigivelse af Kundens telefonnummer hos vores telefoni-leverandør

    Lydoptagelser lagret hos vores telefoni-underdatabehandler (Twilio) slettes i overensstemmelse med leverandørens opbevaringsindstillinger; vi kan på anmodning iværksætte sletning af disse optagelser.

    10.3 Automatisk oprydning

    • Leads: Slettes automatisk efter 24 måneders inaktivitet
    • SMS-logs: Slettes automatisk efter 12 måneder
    • E-mailkorrespondance: Slettes automatisk efter 5 år
    • Opkaldsoptagelser og transskriptioner: Opbevares så længe Kundens konto er aktiv og det tilknyttede lead findes; de slettes ved sletning af det tilknyttede lead eller ved sletning af Kundens konto. Der er p.t. ikke fastsat en kortere automatisk opbevaringsgrænse for denne datatype

    11. Bistand til den Dataansvarlige

    Databehandleren bistår den Dataansvarlige med at opfylde sine forpligtelser, herunder:

    • Registreredes rettigheder (GDPR artikel 15-22): Databehandleren bistår med at besvare anmodninger om indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse.
    • Konsekvensanalyse (GDPR artikel 35): Databehandleren stiller nødvendige oplysninger til rådighed for den Dataansvarliges eventuelle konsekvensanalyse (DPIA).
    • Forudgående høring (GDPR artikel 36): Databehandleren bistår den Dataansvarlige ved eventuel forudgående høring af Datatilsynet.

    12. Revision og audit

    Databehandleren stiller alle nødvendige oplysninger til rådighed for den Dataansvarlige og muliggør revisioner, jf. GDPR artikel 28, stk. 3, litra h.

    Den Dataansvarlige skal give mindst 30 dages varsel ved ønske om revision.

    13. Den Dataansvarliges forpligtelser

    Den Dataansvarlige forpligter sig til:

    • At sikre gyldigt retsgrundlag for behandling af personoplysninger om sine leads og kontakter.
    • At informere sine registrerede om behandlingen, herunder at Konverto anvendes som databehandler.
    • At overholde gældende markedsføringslovgivning ved kommunikation til leads via e-mail og SMS.
    • Ikke at uploade følsomme personoplysninger (GDPR artikel 9) til platformen.
    • At give Databehandleren klare og lovlige instrukser vedrørende behandlingen af personoplysninger.

    14. Ansvar

    Hver part er ansvarlig i overensstemmelse med GDPR for den del af behandlingen, som parten er ansvarlig for. Databehandlerens ansvar er begrænset til behandling, der sker i strid med de forpligtelser, der specifikt er pålagt databehandlere i GDPR, jf. GDPR artikel 82.

    15. Ændringer

    Ændringer til denne aftale skal ske skriftligt. Databehandleren underretter den Dataansvarlige via e-mail om væsentlige ændringer mindst 30 dage før de træder i kraft.

    16. Lovvalg og værneting

    Denne aftale er underlagt dansk ret. Eventuelle tvister skal afgøres ved Københavns Byret som første instans.

    17. Ikrafttræden

    Denne databehandleraftale træder i kraft ved oprettelse af en konto hos Konverto og udgør en integreret del af Konvertos handelsbetingelser. Ved at oprette en konto accepterer Kunden denne databehandleraftale.

    18. Kontakt

    Konverto Performance ApS
    E-mail: support@konverto.dk
    Website: konverto.dk

    KonvertoKonverto

    AI der svarer på dine kundehenvendelser og booker dine møder, så du aldrig mister en kunde.

    App StoreGoogle Play
    © 2026 Konverto Performance ApS · CVR 45602052Anmeld os på Trustpilot

    Vi bruger cookies til at sikre, at vores hjemmeside fungerer korrekt. Derudover bruger vi statistik- og marketing-cookies (Google Analytics og Meta Pixel) til at forstå hvordan hjemmesiden bruges og måle effekten af vores annoncer. Disse sættes kun, hvis du giver samtykke, og du kan til enhver tid trække dit samtykke tilbage. Læs mere i vores privatlivspolitik