GDPR & Databehandling
Senest opdateret: 2. maj 2026
1. Vores tilgang til GDPR
BestSupport er bygget med GDPR-compliance som grundprincip. Som dansk virksomhed der behandler EU-borgeres data, tager vi databeskyttelse alvorligt og overholder Den Generelle Forordning om Databeskyttelse (GDPR) og dansk databeskyttelseslovgivning.
2. Roller og ansvar
Når BestSupport bruges af en webshop er rollerne således:
| Datatype | Dataansvarlig | Databehandler |
|---|---|---|
| Webshop-ejer (merchant) | BestSupport (Vel Media) | — |
| Slutkunder af webshop | Webshop-ejer (merchant) | BestSupport (Vel Media) |
- • For merchant-data er vi dataansvarlige
- • For slutkunders data er merchant dataansvarlig, og vi er databehandler
- • Slutkunder skal kontakte den webshop de har handlet hos vedrørende deres rettigheder
3. Databehandleraftale (DPA)
Som databehandler indgår vi automatisk en Databehandleraftale med alle merchants ved oprettelse af konto, jf. GDPR art. 28.
DPA'en regulerer:
- Hvilke data vi behandler
- Til hvilke formål
- Hvor længe data opbevares
- Hvilke underleverandører vi bruger
- Sikkerhedsforanstaltninger
- Hvordan vi assisterer ved indsigtsanmodninger
DPA'en er tilgængelig i dashboardet under Indstillinger → Juridisk.
4. Underleverandører (sub-processors)
BestSupport bruger følgende underleverandører til at levere Tjenesten:
4.1 EU-baserede underleverandører
| Underleverandør | Formål | Lokation |
|---|---|---|
| Vercel | Hosting | Frankfurt, DE |
| Supabase | Database | EU-region |
| Nango | OAuth-håndtering | EU-region |
4.2 USA-baserede underleverandører
| Underleverandør | Formål | Lokation | Retsgrundlag for overførsel |
|---|---|---|---|
| Anthropic | AI-generering (Claude API) | USA | Standard Contractual Clauses (SCC) |
| Resend | Email-afsendelse | USA | Standard Contractual Clauses (SCC) |
| Shopify | Webshop-integration | Canada/USA | Standard Contractual Clauses (SCC) |
4.3 Hvorfor sender vi data til USA?
For at kunne generere AI-svar bruger vi Anthropic's Claude API, som hostes i USA. Dette er nødvendigt for at levere kerneproduktet. Vi har:
- Indgået en formel databehandleraftale (DPA) med Anthropic
- Sikret at overførslen sker under EU-Kommissionens Standard Contractual Clauses (SCC)
- Verificeret at Anthropic ikke gemmer data til træning af deres modeller
- Verificeret at Anthropic sletter data efter behandling
5. Sikkerhed
5.1 Tekniske foranstaltninger
- Kryptering at rest: AES-256 for følsomme data (API-nøgler, OAuth-tokens)
- Kryptering in transit: TLS 1.3 på alle forbindelser
- HMAC-validering: På alle Shopify-webhooks
- Adgangslogs: Alle adgange til kundedata logges
- Rolle-baseret adgangskontrol (RBAC) internt
- Daglige krypterede backups
- Regelmæssige sikkerhedsopdateringer
5.2 Organisatoriske foranstaltninger
- Adgang til kundedata er begrænset til personer med arbejdsmæssigt behov
- Personale er underlagt tavshedspligt
- Sikkerhedsbrudsprocedurer er etableret
6. Brud på persondatasikkerheden
Hvis vi opdager et brud på persondatasikkerheden:
- Inden 72 timer: Anmelder vi bruddet til Datatilsynet, jf. GDPR art. 33
- Uden unødig forsinkelse: Underretter vi berørte merchants
- Hvis høj risiko: Sikrer vi at slutkunder også informeres
Vores sikkerhedsbruds-procedure er dokumenteret og testet regelmæssigt.
7. Datalokation og overførsel
Vi opbevarer primært data i EU (Frankfurt, Tyskland). Visse data behandles i USA, jf. afsnit 4.2.
Vi sælger eller deler aldrig data med tredjeparter til marketing-formål.
8. Den registreredes rettigheder
EU-borgere har følgende rettigheder under GDPR:
| Rettighed | Hvad det betyder |
|---|---|
| Indsigt (art. 15) | Få at vide hvilke data vi har om dig |
| Berigtigelse (art. 16) | Få rettet forkerte oplysninger |
| Sletning (art. 17) | Få slettet dine data |
| Begrænsning (art. 18) | Få begrænset behandlingen |
| Dataportabilitet (art. 20) | Få udleveret dine data i struktureret format |
| Indsigelse (art. 21) | Gøre indsigelse mod behandling |
| Tilbagekaldelse (art. 7) | Tilbagekalde samtykke |
8.1 Hvordan udøver jeg mine rettigheder?
Hvis du er merchant (webshop-ejer der bruger BestSupport):
Kontakt kris@bestsupport.dk
Hvis du er slutkunde (har handlet hos en webshop der bruger BestSupport):
Kontakt den webshop du har handlet hos. De vil videreformidle anmodningen til os.
Vi besvarer alle henvendelser inden for 30 dage.
9. Shopify-specifikke GDPR-forpligtelser
Som godkendt Shopify-app overholder vi Shopify's krav om obligatoriske GDPR-webhooks:
9.1 customers/data_request
Når en slutkunde anmoder om indsigt via Shopify, modtager vi automatisk anmodningen. Vi udleverer alle data vi har om kunden inden for 30 dage.
9.2 customers/redact
Når en merchant beder om at slette en kundes data, anonymiserer vi automatisk:
- Kundenavn
- Telefonnummer
- Andre direkte identifikatorer
— i alle tickets og dokumenter relateret til kunden.
9.3 shop/redact
Når en merchant afinstallerer BestSupport fra Shopify, sletter vi automatisk inden for 30 dage:
- Alle merchant-data
- Alle tickets og emails
- Alle ordrelinks
- Alle krypterede integration-nøgler
Vi beholder kun data vi er lovmæssigt forpligtet til (fx faktureringsdata i 5 år).
10. Datatilsynet
Hvis du mener vi behandler dine oplysninger i strid med GDPR, kan du klage til:
Datatilsynet
Carl Jacobsens Vej 35, 2500 Valby
Tlf.: +45 33 19 32 00
Email: dt@datatilsynet.dk
Web: www.datatilsynet.dk
11. Kontakt
Spørgsmål til vores GDPR-tilgang eller databehandling:
Se vores fulde Privatlivspolitik for yderligere detaljer.