Privatlivspolitik

Hvordan Lykkelig AI (Joey) behandler personoplysninger om dig som bruger af Joey. Behandling af dine egne kunders data sker udelukkende på din instruks som dataansvarlig, og er reguleret af vores Databehandleraftale (separat dokument).

Sidst opdateret 18. maj 2026·v0.3 draft

1. Dataansvarlig

Vi er dataansvarlig for behandlingen af de personoplysninger, som vi behandler om dig som bruger af Joey.

Lykkelig AI
CVR-nr.: 45884333
C/O Toki Wilkinson, Kong Hans Alle 87, 2860 Søborg, Danmark
Email: toki@lykkeligai.dk

Joey er et produkt drevet af Lykkelig AI. Lykkelig AI er en enkeltmandsvirksomhed, og kontakt til virksomheden går altid via Toki Wilkinson.

Vi er ikke forpligtet til at have en ekstern Databeskyttelsesrådgiver (DPO), og har ingen udpeget. Vurderingen er, at databeskyttelsesforordningens artikel 37, stk. 1, ikke kræver formel DPO-designation, fordi (a) Lykkelig AI ikke er en offentlig myndighed, (b) databehandlingen omfatter ikke særlige kategorier af personoplysninger på stor skala, og (c) kerneaktiviteten er SaaS-drift, ikke systematisk overvågning. Vi genovervejer denne vurdering mindst årligt. Hvis du har spørgsmål til behandlingen af dine personoplysninger, kan du kontakte Toki direkte via toki@lykkeligai.dk.

2. Hvad vi behandler — om dig som bruger

Når du opretter en konto på Joey og bruger tjenesten, behandler vi disse kategorier af personoplysninger om dig:

2.1 Konto- og loginoplysninger

Navn og email-adresse
Virksomhedsnavn og CVR-nummer
Krypteret adgangskode (gemt af vores leverandør Supabase)
Telefonnummer (valgfrit)
Stamdata om dit fag (tømrer, tagdækker, VVS, elektriker, osv.)

Formål: Levere adgang til Joey, identificere din virksomhed, sende dig service-relateret kommunikation.
Retsgrundlag: Databeskyttelsesforordningens artikel 6, stk. 1, litra b (kontraktopfyldelse).
Opbevaring: Mens du har en aktiv konto, plus 90 dage efter sletning for at håndtere eventuelle tvister.

2.2 Betalings- og fakturainformation

Faktureringsadresse
Reference til den betalingsmetode, Stripe har gemt for dig — Joey-databasen indeholder ikke selv kortdata eller kortfragmenter. Når vi viser de sidste 4 cifre i din kontoindstilling, hentes de via Stripe's API på forespørgsel
Faktura- og transaktionshistorik
Abonnementsstatus

Formål: Opkræve abonnement, udstede fakturaer, overholde bogføringsloven.
Retsgrundlag: Artikel 6, stk. 1, litra b (kontraktopfyldelse) for opkrævningen. Artikel 6, stk. 1, litra c (retlig forpligtelse) for opbevaringspligten under bogføringsloven.
Opbevaring: Mindst 5 år efter udløb af det regnskabsår, fakturaen vedrører, jf. bogføringsloven § 10.

2.3 Brugs- og fejldata

Hvilke funktioner du klikker på og bruger
Tidsstempler for handlinger
Tekniske fejl der opstår (stack traces, anonymiserede)
Anonymiserede sessionsoptagelser (10% sample i produktion, alle inputfelter automatisk maskeret)

Formål: Finde og rette fejl, forstå hvad der virker dårligt for vores brugere, gøre Joey bedre.
Retsgrundlag: Databeskyttelsesforordningens artikel 6, stk. 1, litra a (samtykke). Vi behandler kun disse data, hvis du har givet samtykke via vores cookie-banner. Du kan til enhver tid trække samtykket tilbage via "Cookie-indstillinger" nederst på vores hjemmeside; fremadrettet behandling stopper med det samme.
Opbevaring: Brugsdata 12 måneder, fejldata 90 dage, sessionsoptagelser 30 dage.

2.4 Kommunikation med dig

Emails du sender til os via hej@joey.dk eller via support-formularen
Vores svar til dig
Mødeoptegnelser hvis vi taler over telefon eller video

Formål: Yde support, dokumentere dialog.
Retsgrundlag: Artikel 6, stk. 1, litra f (legitim interesse). Vi har gennemført en interesseafvejning (LIA), der dokumenterer formålet, nødvendigheden og at vores interesse i at kunne dokumentere supportdialog vejer tungere end din ret til privatlivsbeskyttelse i lyset af de implementerede sikkerhedsforanstaltninger. Du kan anmode om et sammendrag af interesseafvejningen.
Opbevaring: Op til 2 år efter sidste kontakt, eller indtil tvist er afsluttet hvis relevant.

2.5 Markedsføring (kun hvis du aktivt har sagt ja)

Email-adresse til nyhedsbrev
Tracking af om du åbner mails og klikker på links
Annoncepræferencer

Formål: Sende dig produktnyheder, opdateringer, og relevante tilbud om Joey.
Retsgrundlag: Artikel 6, stk. 1, litra a (samtykke). Du kan altid trække dit samtykke tilbage via afmelde-linket nederst i hver mail.
Opbevaring: Indtil du afmelder. Vi gemmer dit samtykke-bevis i yderligere 2 år efter afmelding, jf. Forbrugerombudsmandens spam-vejledning.

3. Hvad vi ikke behandler under denne politik

Som håndværker uploader du oplysninger om dine egne kunder til Joey — for eksempel kunders navne, adresser, projektdetaljer, fakturaer, tilbud og emailkorrespondance. Når Joey behandler disse oplysninger, gør vi det udelukkende på din instruks som dataansvarlig for dine kunder.

Denne behandling er reguleret af vores Databehandleraftale, ikke af denne Privatlivspolitik. Du indgår automatisk Databehandleraftalen når du opretter en betalende konto.

4. Hvor længe opbevarer vi dine data

Vi opbevarer dine personoplysninger kun så længe det er nødvendigt for de formål, vi har indsamlet dem til.

Datatype	Opbevaringsperiode	Hvorfor
Konto- og loginoplysninger	Aktiv konto + 90 dage	Mulighed for at gendanne konto, håndtere tvister
Faktura- og transaktionsdata	5 år + indeværende regnskabsår	Bogføringsloven § 10
Brugs- og analysedata	12 måneder	Trendanalyse og produktforbedring
Fejllog (Sentry)	90 dage	Fejlfinding og sikkerhedsundersøgelse
Applikations- og auditlog (Supabase, Vercel)	90 dage	Drift, fejlfinding, sikkerhedsundersøgelse
Sessionsoptagelser (PostHog)	30 dage	Stikprøveanalyse af brugeradfærd
Support-emails	2 år efter sidste kontakt	Dokumentation af aftaler
Markedsføringssamtykke	2 år efter afmelding	Spam-vejledningens forældelsesfrist

Hvis du beder om at få slettet din konto, sletter vi alle data hvor det er muligt. Faktura- og bogføringsdata kan vi ikke slette før udløb af den lovpligtige opbevaringsperiode — men de er adgangsbegrænset til regnskab og bruges ikke til andet.

5. Hvem deler vi dine data med

Vi sælger ikke dine data. Vi deler dem kun med leverandører der hjælper os med at drive Joey, og som er underlagt skriftlige databehandleraftaler med os.

Vores leverandører (underdatabehandlere) er listet i sin helhed på vores underdatabehandlere-side. Her er de vigtigste kategorier:

Kategori	Leverandør	Behandlingssted	Overførselsgrundlag
Hosting og kørselsmiljø	Vercel Inc.	EU (Frankfurt, region fra1)	DPF + SCC
Database og auth	Supabase Inc.	EU (Frankfurt)	DPF + SCC
Email- og kalenderintegration (OAuth)	Google, Microsoft	Globalt (selvstændige dataansvarlige under dit eget abonnement)	DPF + SCC
AI-modelgateway	OpenRouter Inc. (USA) — inference routes via EU-endpoints med ZDR håndhævet	EU (Vertex Europe, Bedrock EU, Azure EU)	DPF + SCC
AI-modelleverandør (Anthropic Claude)	Anthropic PBC	EU (Vertex Europe, Bedrock EU)	DPF + SCC, ZDR håndhævet
AI-modelleverandør (Google Gemini)	Google LLC	EU (Vertex Europe)	DPF + SCC, ZDR håndhævet
AI-modelleverandør (Microsoft Azure OpenAI)	Microsoft Corporation	EU (Azure EU)	DPF + SCC, ZDR håndhævet
Betalinger	Stripe Payments Europe Ltd.	EU (Irland) + global Stripe-infrastruktur	EU-resident primær; DPF + SCC for global infrastruktur
Produktanalyse	PostHog Inc.	EU (Frankfurt)	DPF + SCC
Fejlsporing	Functional Software Inc. (Sentry)	EU	DPF + SCC
Regnskabsintegration (valgfri)	Visma e-conomic A/S	EU (Danmark)	EU-resident
Web-søgning til AI (opt-in for Tavily, kun onboarding for Firecrawl)	AlphaAI Technologies Inc. d/b/a Tavily; SideGuide Technologies, Inc. d/b/a Firecrawl	USA	Ingen DPF-certificering bekræftet (verificering 2026-05-18). Begge funktioner kører med begrænset omfang; bruges kun efter den dataansvarliges udtrykkelige opt-in (Tavily) eller for URL'er den dataansvarlige selv angiver (Firecrawl). Detaljer i DPA Bilag B.

Stripe har en dobbeltrolle:Som underdatabehandler udfører Stripe den betalings-flow vi instruerer, og som selvstændig dataansvarlig behandler Stripe data til opfyldelse af PCI-DSS, anti-hvidvask og svindeldetektering. For sidstnævnte behandling gælder Stripe's egen privatlivspolitik på stripe.com/privacy.

Verificering:Vi verificerer mindst kvartalsvist, at vores leverandører faktisk er DPF-deltagere på Department of Commerce's officielle liste på dataprivacyframework.gov. For leverandører hvor verificering er undervejs eller DPF ikke er gældende, er der indgået EU-Kommissionens standardkontraktbestemmelser (SCC) direkte. Verificeringsstatus og dato for hver leverandør fremgår af vores underdatabehandlere-side.

Ud over dette deler vi kun data hvis:

Vi er retligt forpligtet til det (for eksempel skattevæsen, retskendelse)
Du udtrykkeligt har bedt om det (for eksempel integration med en tredjepart du har valgt)
Det er nødvendigt for at forsvare retskrav

6. Tredjelandeoverførsler

Vi behandler så vidt muligt dine data inden for EU og EØS. Vores primære infrastruktur (hosting, database, produktanalyse, AI-processering) er konfigureret til EU-regioner:

Vercel kører vores funktioner i Frankfurt (fra1) — verificeret 17. maj 2026
Supabase hoster vores database i Frankfurt
PostHog og Sentry anvender deres EU-cloud
OpenRouter er konfigureret til EU-only routing — anmodninger der ikke kan opfyldes inden for EU-regioner (Google Vertex Europe, AWS Bedrock EU, Microsoft Azure EU) vil fejle frem for at falde tilbage til ikke-EU endpoints

Enkelte leverandører er etableret i USA (for eksempel OpenRouter Inc. selv som contracting entity, Stripe globale infrastruktur, Tavily, Firecrawl). For disse er overførsel beskyttet af EU-US Data Privacy Framework (DPF) og EU-Kommissionens standardkontraktbestemmelser (SCC).

Vi har konfigureret OpenRouter til at håndhæve Zero Data Retention (ZDR) på alle AI-forespørgsler. Det betyder at vores AI-leverandører (Google, Anthropic, OpenAI via Azure) ikke gemmer dine prompter eller svar efter behandlingen, og ikke bruger dem til at træne deres modeller. Den fulde flow-down-kæde + verificeringsregister fremgår af vores underdatabehandlere-side.

7. Dine rettigheder

Du har efter databeskyttelsesforordningen en række rettigheder:

Indsigt — du kan få at vide hvilke oplysninger vi har om dig
Berigtigelse — du kan få rettet forkerte oplysninger
Sletning ("retten til at blive glemt") — du kan i visse tilfælde få slettet oplysninger
Begrænsning — du kan i visse tilfælde få begrænset hvordan vi bruger oplysningerne
Indsigelse — du kan gøre indsigelse mod behandling baseret på legitim interesse
Dataportabilitet — du kan få dine data udleveret i et struktureret, maskinlæsbart format
Automatiske afgørelser — du har ret til ikke at være underlagt afgørelser, der alene er baseret på automatisk behandling (herunder profilering) og som har retsvirkning eller tilsvarende væsentlig betydning. Se §8 for, hvordan Joey håndterer dette i praksis.
Tilbagetrækning af samtykke — for behandling baseret på samtykke, kan du altid trække samtykket tilbage med fremadrettet virkning

For at udnytte dine rettigheder, send en email til toki@lykkeligai.dk. Vi svarer senest 30 dage efter modtagelse. I komplekse sager kan vi forlænge med yderligere 60 dage, men giver dig besked i så fald.

Du kan også klage til Datatilsynet hvis du er utilfreds med vores behandling:

Datatilsynet, Borgergade 28, 5., 1300 København K
Tlf: 33 19 32 00 · Email: dt@datatilsynet.dk · Web: datatilsynet.dk

8. AI-behandling i Joey

Joey er en AI-drevet platform. Når du chatter med Joey eller bruger AI-funktioner (for eksempel prisestimering, automatiske udkast til svar, opfølgning på tilbud), sender vi den tekst du har skrevet — sammen med relevant kontekst fra dine egne data — til en stor sprogmodel for at generere et svar.

Hvilke modeller bruger vi: Den til enhver tid aktuelle liste over AI-modeller og deres routing er publiceret på joey.dk/legal/ai-modeller. Vi opdaterer denne liste når vi tilføjer, fjerner eller skifter model. Større ændringer i hvilke leverandører der bruges, varsler vi i overensstemmelse med §11.

Hvad vi har gjort for at beskytte dine data:

Alle AI-forespørgsler routes via OpenRouter med Zero Data Retention aktiveret. Leverandørerne gemmer ikke dine prompter eller svar.
AI-modellerne bruger ikke dine data til at træne deres egne modeller.
Behandlingen sker primært i EU (Frankfurt, EU-vest, EU-central regioner) — OpenRouter er konfigureret til EU-only routing.
Vi maskerer automatisk inputfelter når sessions optages.

Træffer Joey afgørelser om dig automatisk?Joey laver ikke automatiske afgørelser med retsvirkning eller tilsvarende væsentlig betydning for dig, jf. GDPR Art 22. AI'en hjælper dig med forslag og udkast — du beslutter altid selv hvad der bliver sendt til dine kunder, hvilke priser du tilbyder, og hvilke handlinger der udføres.

9. Cookies og lokale lagringsteknologier

Vi bruger cookies og lignende teknologier sparsomt. Den fulde gennemgang findes i vores Cookiepolitik.

Vores tracking-værktøjer er konfigureret til cookieless mode hvor det er muligt — det betyder at PostHog ikke gemmer noget i din browser via cookies eller localStorage, kun i hukommelsen indtil din fane lukkes.

Bemærk: "Cookieless" betyder, at vi ikke gemmer en cookie eller localStorage-værdi i din browser. Det betyder ikke, at vi ikke registrerer din interaktion. Hvis du har samtykket til analyse-cookies, sender vi anonymiserede begivenheder (klik, sidevisning, fejl) til PostHog, hvor de gemmes serverside som beskrevet i §4. Sessionsoptagelser (stikprøve, 10%) gemmes hos PostHog i 30 dage med inputfelter maskeret.

De cookies vi bruger er udelukkende:

Nødvendige cookies: Supabase-sessionscookies så du kan være logget ind
Stripe-cookies: Bedrageribekæmpelse under betaling

Disse kræver ikke samtykke under cookielovgivningen fordi de er strengt nødvendige for at levere tjenesten du har bedt om.

Hvis du har samtykket til analyse i vores cookie-banner, kan vi yderligere aktivere PostHog-tracking. Vi har i dag ingen aktive markedsføringscookies. Hvis vi tilføjer markedsføringsværktøjer i fremtiden, opdaterer vi denne politik og varsler dig før de aktiveres, så du kan tage stilling separat. Du kan til enhver tid trække samtykket tilbage via "Cookie-indstillinger" nederst på vores hjemmeside.

10. Sikkerhed

Vi har truffet passende tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger:

Kryptering i transit: Alle forbindelser bruger TLS 1.3
Kryptering i hvile: Database-data er krypteret med AES-256 hos Supabase
Adgangskontrol: Row-Level Security (RLS) i databasen, rollebaseret adgang for medarbejdere
Backup: Daglige automatiske backups hos Supabase, opbevaret i EU
Audit log: Vigtige handlinger logges
PII-stripping: Stack traces til Sentry har personoplysninger automatisk fjernet før de sendes

I tilfælde af et databrud underretter vi Datatilsynet senest 72 timer efter, vi er blevet opmærksomme på det. Hvis bruddet udgør høj risiko for dig, underretter vi dig direkte.

11. Ændringer til denne politik

Vi opdaterer denne politik når vi ændrer i hvordan vi behandler data — for eksempel når vi tilføjer nye leverandører, ændrer formål, eller når lovgivningen ændrer sig.

Større ændringer (der påvirker dine rettigheder eller udvider behandlingen væsentligt) varsler vi mindst 30 dage før de træder i kraft, via email eller in-app notifikation.

Mindre ændringer (sproglige justeringer, præciseringer) lægger vi op på siden uden særskilt varsel, men opdaterer altid "sidst opdateret"-datoen øverst.

12. Kontakt

Spørgsmål, klager eller anmodninger om dine rettigheder?

Email: toki@lykkeligai.dk
Post: Lykkelig AI, C/O Toki Wilkinson, Kong Hans Alle 87, 2860 Søborg

Vi svarer normalt indenfor en uge.