GDPR-venlig domæneovervågning fra Danmark: hvad det betyder for jeres compliance

Hvis I administrerer kundedomæner som en del af et bureau eller en konsulentpraksis, har I sandsynligvis allerede oplevet at en kunde har spurgt: "Hvor ligger de data du har om vores domæner egentlig?" Det er et fair spørgsmål, og svaret har konkrete konsekvenser for jeres egen databehandleraftale med kunden.

Hvad GDPR egentlig kræver af jeres tooling

Når I overvåger en kundes domæne, behandler I typisk ikke voldsomt følsomme data — WHOIS-records, SSL-certifikatudløb og DNS-records er offentligt tilgængelige. Men I behandler:

• Kontaktoplysninger på den person i jeres organisation der modtager alerts.
• En liste over hvilke domæner jeres kunde ejer eller administrerer (det er ikke nødvendigvis offentligt).
• Audit-data om hvem fra jeres team der har set hvad, og hvornår.

Det er nok til at GDPR's databehandler-regler træder i kraft, og jeres kunde har ret til at vide:

1. Hvem er databehandleren (jer, eller det værktøj I bruger?).
2. Hvor ligger data fysisk (EU, USA, andet)?
3. Hvilke underdatabehandlere bliver brugt?
4. Hvad sker der hvis kontrakten ophører?

Hvis det værktøj I bruger ikke kan give jer skriftlige svar på de fire spørgsmål, er det jer der står med problemet hver gang en compliance-bevidst kunde spørger.

Hvorfor EU-hosting reelt betyder noget

Schrems II-dommen i 2020 gjorde det praktisk relevant hvor data ligger. EU-domstolen fastslog at amerikansk overvågningslovgivning (FISA 702, Executive Order 12333) gør det vanskeligt for amerikanske cloud-leverandører at garantere det beskyttelsesniveau GDPR kræver — også når selve serveren står i Frankfurt.

Standard Contractual Clauses (SCC) og Trans-Atlantic Data Privacy Framework (TADPF) hjælper på papiret, men kun for de leverandører der har valgt at få det certificeret, og den juridiske usikkerhed er ikke væk. Konkret: hvis en amerikansk myndighed beder en amerikansk cloud-udbyder om data om jeres kunde, er det ikke garanteret at jeres kunde får besked.

Det betyder ikke at I ikke må bruge amerikanske SaaS-værktøjer — meget kommunikation til kunder kører fint på Stripe, Google Workspace eller AWS. Men det betyder at jeres kunde har en rimelig forventning om at I kan dokumentere hvor data ligger, og at I har overvejet hvad alternative valg ville være.

Det praktiske spørgsmål: kan jeres tooling skrive en DPA?

En databehandleraftale (DPA) er det dokument jeres kunde har ret til at få underskrevet. De fleste større SaaS-leverandører har en standard DPA klar; nogle små niche-leverandører har det ikke. Det er værd at tjekke:

• Findes der en standard-DPA jeres kunde kan læse, ideelt offentligt på leverandørens site?
• Er underdatabehandlere listet konkret (Hetzner, AWS, Mailgun…), eller er det vagt formuleret?
• Er der varsel ved nye underdatabehandlere?
• Er retentionspolitik klart formuleret (fx "data slettes 30 dage efter opsigelse")?

Det er ikke fordi nogle af de spørgsmål er svære. Det er fordi en del værktøjer simpelthen ikke har lavet hjemmearbejdet.

Hvor domainwd står

domainwd er bygget eksplicit til danske og europæiske bureauer der gerne vil kunne svare på de fire spørgsmål ovenfor med et "ja, det er offentligt dokumenteret":

• Server, database og backups ligger i Frankfurt (DigitalOcean). Ingen multi-region replikering der utilsigtet kopierer data ud af EU.
• Transaktionsmail går via Mailgun EU-region.
• Betaling håndteres af Stripe Payments Europe (Irland).
• Standard DPA ligger offentligt på /databehandleraftale og er bindende ved brug. Skal I bruge en konkret co-signeret version til jeres egen compliance-audit, koordinerer vi det.
• Vi er CVR-registreret i Danmark (43021249), så hvis en tvist ender et sted, er det dansk ret og Københavns Byret.

Det er ikke et marketing-stunt. Det er hvad det koster os at bygge det rigtigt fra start, fordi vi selv er et dansk firma og selv har siddet med samme spørgsmål fra vores egne kunder. Vi tilbyder ikke fancy AI-features eller geografisk redundans; vi tilbyder at jeres compliance-svar er forberedt på forhånd.

Hvis I bruger noget andet i dag og det fungerer fint for jeres kunder: behold det. Hvis I står med en kunde der lige har bedt om en DPA og I ikke kan finde leverandørens, er det måske et fingerpeg om at det er værd at gentænke valget.