Databehandleraftale

Denne side beskriver de databehandlervilkår, som GoGrant stiller til rådighed for professionelle kunder. For organisationer med behov for en underskrevet databehandleraftale kan aftalen formaliseres ved skriftlig accept eller særskilt dokument.

Vilkårene er udarbejdet med udgangspunkt i kravene til databehandleraftaler i GDPR artikel 28. De erstatter ikke kundens egen juridiske vurdering af rollefordeling, behandlingsgrundlag og interne compliancekrav.

Kunden er som udgangspunkt dataansvarlig for de oplysninger, kundens brugere selv indtaster i GoGrant, herunder pipeline-noter, ansvarlige, interne deadlines, team boards og interne vurderinger.

Unify ApS, der driver GoGrant, fungerer som databehandler for denne behandling, når GoGrant behandler oplysningerne for at levere, vedligeholde og supportere platformen efter kundens instruks.

• Databehandler: Unify ApS, CVR 46432258.
• Kontakt: info@gogrant.dk, telefon 60 88 08 22.
• Tjeneste: GoGrant, digital SaaS-platform til grant discovery, pipeline management, team boards og notifikationer.

GoGrant behandler kundens oplysninger med det formål at levere den aftalte SaaS-tjeneste, give adgang til pipeline- og teamfunktioner, sende relevante systemmails og sikre drift, support og sikkerhed.

• Konto- og brugeroplysninger: navn, email, rolle, teamtilknytning og adgangsstatus.
• Pipeline-data: gemte grants, status, ansvarlig, noter, interne deadlines og kalenderrelaterede oplysninger.
• Teamdata: team boards, invitationer, medlemskab, roller og accept/afvisning af invitationer.
• Driftsdata: login-log, mail-log, fejl-log, sikkerhedslogning, tekniske events og nødvendige cookies.
• Supportdata: oplysninger som kunden selv sender til GoGrant ved supporthenvendelser.

Kunden må ikke indtaste CPR-numre, patientoplysninger, helbredsoplysninger, fortrolige forskningsdata eller andre følsomme personoplysninger i fritekstfelter, noter eller pipelinefelter.

GoGrant behandler kun kundens oplysninger efter kundens dokumenterede instruks. Instruksen består af kundens brug af platformen, abonnementsaftalen, handelsbetingelserne, denne databehandleraftale og eventuelle skriftlige instrukser, som GoGrant har accepteret.

Hvis GoGrant vurderer, at en instruks er i strid med gældende databeskyttelsesret, underretter GoGrant kunden, medmindre lovgivning forhindrer dette.

GoGrant sikrer, at personer med adgang til kundens oplysninger er underlagt passende fortrolighedsforpligtelser og kun får adgang, når det er nødvendigt for drift, support, sikkerhed eller vedligeholdelse af tjenesten.

GoGrant gennemfører passende tekniske og organisatoriske sikkerhedsforanstaltninger under hensyn til tjenestens karakter, risiko, datatyper og behandlingsomfang.

• Adgangskontrol med login, hashed adgangskoder, sessionsstyring og adgangsbegrænsning efter bruger og team.
• Sessions har absolut udløb og idle-timeout, så ubrugt adgang lukkes automatisk.
• Team pipeline-data isoleres pr. team board, så brugere kun kan se data i pipelines, de har adgang til.
• Transportkryptering via HTTPS.
• Hosting og produktion driftet på europæisk VPS-infrastruktur.
• Stripe anvendes til kortbetaling, så GoGrant ikke selv behandler fulde kortoplysninger.
• Zoho Mail anvendes til systemmails og notifikationer.
• Adminlogs for fejl, login og mails, så driftshændelser kan følges op.
• Cookie- og marketingtracking holdes ude af den autentificerede app.

En mere samlet beskrivelse findes på siden Sikkerhed.

GoGrant kan anvende underdatabehandlere, når det er nødvendigt for at levere tjenesten. GoGrant skal sikre, at underdatabehandlere er pålagt databeskyttelsesforpligtelser, der i det væsentlige svarer til kravene i denne aftale.

• Hosting/VPS og infrastruktur i Europa.
• Stripe til kortbetaling og abonnementsadministration.
• Zoho Mail til afsendelse og modtagelse af drifts-, support- og systemmails.
• Eventuelle tekniske leverandører til drift, sikkerhed, backup, logging og fejlmonitorering.

Kunden kan kontakte GoGrant på info@gogrant.dk for en aktuel liste over underdatabehandlere. Væsentlige ændringer varsles rimeligt, så kunden kan gøre relevante indsigelser gældende.

GoGrant tilstræber, at produktdata og drift af platformen sker i Europa. Hvis en underdatabehandler indebærer overførsel til et land uden for EU/EØS, skal GoGrant sikre et gyldigt overførselsgrundlag, for eksempel EU-Kommissionens standardkontraktbestemmelser og relevante supplerende foranstaltninger, hvor det er nødvendigt.

GoGrant bistår kunden i det omfang, det er rimeligt og teknisk muligt, med at opfylde kundens forpligtelser efter GDPR, herunder håndtering af anmodninger fra registrerede, sikkerhedsbrud, konsekvensanalyser og dokumentation for behandlingens sikkerhed.

Hvis GoGrant modtager en anmodning direkte fra en registreret om oplysninger, som kunden er dataansvarlig for, videresender GoGrant som udgangspunkt anmodningen til kunden, medmindre GoGrant selv er dataansvarlig for den konkrete behandling.

Hvis GoGrant bliver bekendt med et brud på persondatasikkerheden, som vedrører kundens data, underretter GoGrant kunden uden unødig forsinkelse. Underretningen skal så vidt muligt beskrive hændelsen, berørte oplysninger, sandsynlige konsekvenser og iværksatte eller foreslåede afhjælpende tiltag.

Kunden er som dataansvarlig ansvarlig for eventuelle anmeldelser til Datatilsynet og underretning til registrerede, medmindre andet følger af den konkrete rollefordeling.

Ved aftalens ophør sletter eller tilbageleverer GoGrant kundens personoplysninger efter kundens instruks, medmindre GoGrant er forpligtet til at opbevare oplysninger efter lovgivning eller for at dokumentere betaling, sikkerhed, drift eller retskrav.

Backups og tekniske logdata kan opbevares i en begrænset periode og slettes efter almindelige driftsrutiner.

GoGrant stiller efter rimelig anmodning nødvendig information til rådighed, så kunden kan dokumentere overholdelse af denne aftale. Tilsyn gennemføres som udgangspunkt ved skriftlig dokumentation, sikkerhedsbeskrivelse, spørgeskema eller møde.

Fysiske audits eller særlige revisionskrav skal aftales særskilt og planlægges, så de ikke kompromitterer andre kunders data, driftsstabilitet eller sikkerhed.

Spørgsmål om databehandleraftale, sikkerhed eller en underskrevet aftale kan sendes til info@gogrant.dk eller telefon 60 88 08 22.