Underdatabehandlere

NPG Pulse anvender følgende eksterne tjenester ("underdatabehandlere") til drift af platformen. Listen er den autoritative kilde, holdes synkroniseret med klinik-DPA'ens Bilag B, og opdateres med 30 dages varsel ved tilføjelse eller udskiftning (jf. DPA-klausul 6.3).

Sidst opdateret: 2026-06-04 · Spørgsmål: privacy@nordicpatientgroup.dk

Underdatabehandlere der berører klinikkens patient-data

Disse parter behandler patient-data på klinikkens vegne (databehandler-rolle for NPG). De optræder i klinik-DPA'ens Bilag B.

VEKST Solutions LLC

VEKST Solutions LLC (EIN 98-1931362)

Patient-dataSynligheds-dataPlatforms-infrastruktur

Drift af NPG Pulse-platformen — applikationslogik, integrationer og databehandling på vegne af NPG.

Land: USA (Florida)
Dataplacering: USA (kontraktlig modpart) + EU (primær lagring hos Supabase i Stockholm).
Overførselsgrundlag: SCCs (EU-Kommissionens standardkontraktbestemmelser)
Engageret siden: 2026-04-23

Primær underdatabehandler. SCCs Modul 3 (databehandler→underdatabehandler) underskrives mellem NPG og VS-LLC i en separat underdatabehandleraftale. TIA i DPA'ens bilag D.

DPA underskrevet bilateraltPrivatlivs-politik ↗

Supabase

Supabase Inc.

Patient-dataSynligheds-dataPlatforms-infrastruktur

Primær applikationsdatabase (PostgreSQL) inkl. autentifikation og auto-backup.

Land: USA (kontraktlig modpart)
Dataplacering: Stockholm, Sverige (eu-north-1).
Overførselsgrundlag: SCCs (EU-Kommissionens standardkontraktbestemmelser)
Engageret siden: 2026-04-21

Data lagres fysisk i EU; kontraktlig modpart er US-baseret, derfor SCCs som transfer-grundlag.

Vendor-DPA ↗Privatlivs-politik ↗

Vercel

Vercel Inc.

Patient-dataSynligheds-dataPlatforms-infrastruktur

Applikations-hosting (Next.js). Edge-regioner foretrukket i EU.

Land: USA
Dataplacering: EU edge-regioner foretrækkes; control plane i USA.
Overførselsgrundlag: SCCs (EU-Kommissionens standardkontraktbestemmelser)
Engageret siden: 2026-04-21

Vendor-DPA ↗Privatlivs-politik ↗

Vercel Blob

Vercel Inc.

Patient-dataPlatforms-infrastruktur

Filopbevaring — klinik-logoer og evt. patient-data-eksporter ved DSAR.

Land: USA
Dataplacering: EU regioner.
Overførselsgrundlag: SCCs (EU-Kommissionens standardkontraktbestemmelser)
Engageret siden: 2026-04-22

Vendor-DPA ↗Privatlivs-politik ↗

Postmark

AC PM LLC (Postmark, an ActiveCampaign company)

Patient-data

Transaktionel e-mail — udsendelse af NPS-invitationer (og senere klinik-staff autentifikations-mails) fra NPG Pulse-databasen til modtagernes indbakker. Kanonisk lager forbliver i NPG Pulse-databasen; Postmark modtager kun render-klar HTML/tekst + modtager-data ved selve afsendelsen.

Land: USA
Dataplacering: USA (Chicago + AWS US).
Overførselsgrundlag: SCCs + EU-US DPF
Engageret siden: 2026-05-04

Transaktionel e-mail-afsendelse for alle patient-spørgeskemaer + klinik-ejer-invitationer. Stream-adskillelse håndhæves: NPS-invitationer på 'transactional' message stream; broadcast-stream reserveret til evt. fremtidige klinik-staff produkt-meddelelser. Ingen marketing-emails sendes via Postmark. DKIM + Return-Path verificeret på vekst.dk.

Vendor-DPA ↗Privatlivs-politik ↗

OpenRouter

OpenRouter, Inc.

Patient-data

AI-inferens for klinik-aggregerede feedback-indsigter. Modellen modtager feedback-tekst men ikke direkte patient-identifikatorer (e-mail / navn).

Land: USA
Dataplacering: USA (model-leverandør-afhængig).
Overførselsgrundlag: SCCs (EU-Kommissionens standardkontraktbestemmelser)
Engageret siden: 2026-04-17

Trænes ikke på vores prompts (zero-data-retention konfigureret hos OpenRouter). Pseudonymisering: identifikatorer fjernes inden tekst sendes til model.

Vendor-DPA ↗Privatlivs-politik ↗

Underdatabehandlere for synligheds-data (offentlige anmeldelser)

Disse parter behandler offentligt tilgængelige Google- og Facebook-anmeldelser. NPG handler her som dataansvarlig (ikke databehandler), så disse vendors fremgår af privatlivspolitikken — ikke klinik-DPA'en.

Review-data collection

Third-party provider (EU/EEA)

Synligheds-data

Indsamling af offentligt tilgængelige Google- og Facebook-anmeldelser til synlighedsanalyse for klinikken.

Land: EU/EØS
Dataplacering: EU
Overførselsgrundlag: Intern-EØS (intet specifikt grundlag krævet)
Engageret siden: 2026-04-15

Behandler kun offentligt tilgængelige anmeldelser. NPG er dataansvarlig (ikke databehandler) for synlighedsdata — denne tjeneste optræder derfor IKKE i klinik-DPA'ens bilag B, men i NPG's privatlivs-politik.

DPA underskrevet bilateraltPrivatlivs-politik ↗

Ændringer i listen

Tilføjelse, udskiftning eller fjernelse af en underdatabehandler varsles til klinikker med mindst 30 dages varsel via e-mail og dashboard-besked, jf. databehandleraftalens klausul 6.3. Klinikken har samme periode til at gøre indsigelse.

Det fulde sub-processor-grundlag (formål, dataplacering, overførselsgrundlag, links til vendor-DPA og privatlivs-politik) findes i tabellerne ovenfor.