Databehandling & DPA
En faglig oversigt over, hvad Lovable's Data Processing Agreement (DPA) dækker — og hvad den ikke dækker — når KnowMe4All samarbejder med hospitaler, kommuner og universiteter.
Denne side vedligeholdes af KnowMe4All for at besvare almindelige spørgsmål om sikkerhed og databeskyttelse. Den erstatter ikke juridisk rådgivning eller en selvstændig DPO-gennemgang.
Hvad DPA'en dækker
Lovable's standard DPA (tilgængelig for Business- og Enterprise-planer) indeholder følgende forpligtelser.
Behandling på vegne af KnowMe4All
Lovable fungerer som databehandler og behandler persondata udelukkende på instruks fra KnowMe4All (dataansvarlig).
AI Gateway & sub-processors
DPA'en dækker Lovable AI Gateway, der videresender anmodninger til underbehandlere (sub-processors) som Google (Gemini) og OpenAI.
Sikkerhedsforanstaltninger
Kryptering i hvile og under overførsel, adgangskontrol, autentificering og aktivitetsovervågning (audit logs) er omfattet.
Datalokation
Som standard lagres data i EU. DPA'en omfatter Lovable's infrastruktur og garanti for EU-baseret databehandling.
Incident notification
Lovable forpligter sig til at underrette KnowMe4All inden for 72 timer ved persondatabrud og sikkerhedsincidenter.
Underbehandler-godkendelse
Lovable opretholder en offentlig liste over godkendte underbehandlere og underretter ved ændringer med forudgående varsel.
Hvad DPA'en IKKE dækker
Følgende forhold ligger uden for DPA'ens dækning eller kræver særskilt aftale / interne procedurer.
No-training opt-out kræver Business-plan
Sikkerhed for at AI-modeller ikke trænes på jeres data kræver en aktiv opt-out, som kun er tilgængelig på Business-planen.
Data residency-garanti er Enterprise
En juridisk bindende garanti for at data aldrig forlader EU (EU-only residency) er en betalt Enterprise-funktion.
Egen DPIA er jeres ansvar
Lovable stiller ikke en færdig GDPR-vurdering (DPIA) til rådighed for AI-brug i sundhedskontekst. Dette skal I selv udarbejde.
Lokale danske krav ud over GDPR
DPA'en dækker GDPR, men ikke specifikke danske sundhedslovsbestemmelser, kommunal ret eller regionspecifikke it-sikkerhedskrav.
Patientdata i AI-chatten
Hvis brugere indtaster identificerbare patientdata i refleksionsassistenten, påtager KnowMe4All sig ansvaret for dette — ikke Lovable.
Sundhedslovgivning generelt
DPA'en er en databehandlingsaftale under GDPR. Den dækker ikke compliance med dansk sundhedslovgivning, journalsikkerhed eller kliniske standarder.
Anbefalinger til pilotprojekter
Sådan sikrer I, at både KnowMe4All og jeres organisation er klar til samarbejdet.
- 1Opgrader til Business-plan for at aktivere no-training opt-out, før piloten starter.
- 2Udarbejd en egnethedserklæring og teknisk dokumentation (TIA) som supplement til DPA'en.
- 3Gennemfør en Data Protection Impact Assessment (DPIA) for AI-refleksionsassistenten i sundhedskontekst.
- 4Lad organisationens databeskyttelsesrådgiver (DPO) eller it-sikkerhed reviewe DPA'en før underskrift.
- 5Fastlæg interne retningslinjer for, hvad der må indtastes i AI-chatten (ingen CPR, navn, journalnumre).
- 6Overvej Enterprise-plan med data residency-garanti, hvis piloten udvides til permanent drift med personfølsomme data.
Ansvarsfordeling
KnowMe4All (dataansvarlig)
- Bestemmer formål og midler for databehandlingen.
- Sikrer, at indholdet i AI-chatten er anonymiseret og fagligt forsvarligt.
- Informere brugere om, at platformen ikke erstatter klinisk beslutningsstøtte.
- Udarbejder privacy policy, cookie-information og brugervilkår.
Lovable (databehandler)
- Drifter infrastruktur, hosting og AI Gateway.
- Sikrer teknisk adgangskontrol, kryptering og logging.
- Underretter ved sikkerhedsbrud og ændringer i underbehandlere.
- Opbevarer data efter instruks og sletter ved aftalens ophør.
Har I spørgsmål om compliance?
Vi samarbejder gerne om at tilpasse dokumentationen til jeres organisation, it-sikkerhed og DPO.
