Persondatapolitik
Sådan behandler vi dine oplysninger
Sidst opdateret: 23. maj 2026
1. Dataansvarlig
Vurderingshuset ApS (CVR 38221337), Levkøjvej 1, 2820 Gentofte, er dataansvarlig for behandlingen af personoplysninger på denne platform.
Spørgsmål om persondata rettes til vurdering@vuhu.dk.
2. Hvilke oplysninger behandler vi?
- Kontaktoplysninger: navn, adresse, postnummer, by, telefonnummer og e-mail.
- Sagsoplysninger: oplysninger om din andelsbolig, forbedringer, mangler og uploadede dokumenter (tilstandsrapporter, fakturaer, billeder).
- Korrespondance: e-mails og beskeder mellem dig og Vurderingshuset.
- Tekniske oplysninger: autentifikations-tokens, IP-adresse ved indsendelse af kontaktformularer (kun til bot-beskyttelse), og minimalt nødvendige cookies for at holde dig logget ind.
3. Formål og hjemmel
| Formål | Hjemmel | Opbevaring |
|---|---|---|
| Levering af vurderingsydelse | GDPR art. 6, stk. 1, litra b (kontrakt) | 5 år efter sagens afslutning |
| Bogføring | GDPR art. 6, stk. 1, litra c (retlig forpligtelse) | 5 år + indeværende regnskabsår jf. bogføringsloven |
| Besvarelse af henvendelser | GDPR art. 6, stk. 1, litra f (interesseafvejning) | Op til 12 måneder, hvis ikke konverteret til sag |
| Bot-beskyttelse på kontaktformular | GDPR art. 6, stk. 1, litra f (interesseafvejning) | IP-adresse opbevares kun midlertidigt |
4. Databehandlere og videregivelse
Vi anvender følgende databehandlere. Alle har indgået databehandleraftale (DPA) med Vurderingshuset, og overførsler uden for EU/EØS er afsikret med EU‑Kommissionens standardkontraktbestemmelser (SCC).
| Databehandler | Formål | Region | Grundlag |
|---|---|---|---|
| Supabase Inc. | Database, autentifikation og fil-storage for kundeportalen. | EU (Frankfurt) — afhængig af projektkonfiguration | Databehandleraftale (DPA) |
| Vercel Inc. | Hosting og edge-routing af webapplikationen. | Global edge / USA | DPA + EU Standard Contractual Clauses |
| Resend Inc. | Levering af transaktionelle e-mails (kvitteringer, invitationer). | USA | DPA + EU Standard Contractual Clauses |
| Microsoft Corporation (Microsoft 365 / Graph) | Synkronisering af medarbejder-postkasser, så sagsmails kan kobles til den rigtige sag. | EU | DPA |
| xAI Inc. (Grok) | AI-assistent for medarbejdere. Ingen kundedata ved customer-vendte flows. | USA | DPA + EU Standard Contractual Clauses |
| Google LLC (Generative AI) | Alternativ AI-provider for interne medarbejder-værktøjer. | USA / EU | DPA + EU Standard Contractual Clauses |
| Cloudflare Inc. (Turnstile) | Bot-beskyttelse på offentlige formularer. | Global | DPA |
Vi videregiver ikke personoplysninger til andre tredjeparter, med mindre vi er forpligtet hertil ved lov, fx i forbindelse med regnskabsmæssig revision.
5. AI-behandling
Vurderingshusets medarbejdere benytter AI-værktøjer (xAI Grok, Google Generative AI) som hjælp i den interne sagsbehandling. AI‑assistenten har adgang til CRM-data via tools, men tool-resultater bliver renset for følsomme felter (CPR, tokens, hemmeligheder, signerede URL’er) før de sendes til modellen, og brugerinput valideres mod prompt‑injektion.
Customer‑portalen bruger ikke AI mod kunderne — ingen kundedata behandles automatisk af AI uden en medarbejders eksplicitte handling.
6. Dine rettigheder
Du har under GDPR ret til:
- Indsigt i de oplysninger vi behandler om dig (art. 15).
- Berigtigelse af forkerte oplysninger (art. 16).
- Sletning ("retten til at blive glemt") når oplysningerne ikke længere er nødvendige (art. 17). Bemærk at bogføringspligten kan kræve fortsat opbevaring af visse oplysninger.
- Begrænsning af behandlingen (art. 18).
- Dataportabilitet — udlevering af de oplysninger du har givet os, i et struktureret format (art. 20).
- Indsigelse mod behandling baseret på interesseafvejning (art. 21).
Henvendelser om rettigheder besvares inden for 30 dage. Send mail til vurdering@vuhu.dk med emnet "GDPR" og oplys hvilken ret du ønsker at gøre brug af.
7. Klage
Du kan klage til Datatilsynet over vores behandling af dine personoplysninger:
Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby — datatilsynet.dk
8. Sikkerhed
- Al kommunikation sker krypteret via HTTPS med HSTS i produktion.
- Adgang til data er rolle‑baseret (RBAC) med Postgres Row‑Level Security som primær håndhævelse.
- Adgangskoder hashes og opbevares aldrig i klartekst.
- Filuploads valideres på MIME‑type og "magic bytes" før de gemmes.
- Webhook‑integrationer (Microsoft Graph, Power Automate) signeres med HMAC‑SHA256 og afvises efter 5 minutter.
9. Cookies
Vi bruger kun strengt nødvendige cookies — primært autentifikations‑cookies fra Supabase som holder dig logget ind. Læs mere på vores cookie‑side.
10. Ændringer
Vi kan opdatere denne politik. Sidst opdateret: 23. maj 2026. Væsentlige ændringer varsles på forsiden eller direkte til registrerede kunder.