Kontakt os
Juridisk · GDPR & EU AI Act

Privatlivspolitik
for People's Group

Senest opdateret: 22. april 2026

Denne politik beskriver, hvilke personoplysninger People's Doctor ApS behandler i forbindelse med People's Group, hvorfor vi behandler dem, hvordan vi beskytter dem, og hvilke rettigheder du har. Politikken dækker besøg på peoplesgroup.com samt kunders brug af Group-platformen som sovereign AI-infrastruktur.

1 Hvem er vi

People's Group er et infrastruktur-brand for regulerede industrier, leveret af People's Doctor ApS, Teglværksvej 2, 5600 Faaborg, Danmark (CVR 40930809).

Henvendelser kan rettes til:

2 Roller — dataansvarlig og databehandler

People's Group optræder i to roller, afhængigt af hvilken data der behandles:

Som dataansvarlig for data vi behandler fra besøgende på peoplesgroup.com: kontaktformular, support-korrespondance, fakturering af Group-kunder og tekniske driftslogs.

Som databehandler for Group-kunder — typisk banker, hospitaler, forsvar og offentlig sektor — der driver egne systemer på Lab's AI-infrastruktur. Kunden er dataansvarlig for slutbruger-data, og People's Doctor ApS behandler data udelukkende efter kundens dokumenterede instruks via databehandleraftale (GDPR Art. 28).

Denne politik dækker den dataansvarlige rolle. For kunders slutbruger-data henvises til den indgåede databehandleraftale.

3 Hvilke data vi behandler

Vi behandler følgende kategorier af data fra dig som besøgende eller kunde:

  • Kontaktformular: navn, arbejdsmail, organisation, rolle, sektor og din besked til os.
  • Tekniske metadata: referrer, sprogpræference, tidsstempel, eventuelle UTM-parametre.
  • Sessionsdata: anonymiseret session-id og formularens flow-tid (elapsed_ms) til bot-beskyttelse.
  • Analytics (kun ved samtykke): anonymiseret brugsdata via cookie-baseret tracking.
  • Kundedata (for aftaler): kontaktperson, fakturaadresse, CVR og betalingshistorik.

Vi behandler ikke særlige kategorier af personoplysninger (GDPR Art. 9) gennem hjemmesiden. Hvis en Group-kunde håndterer sådanne data gennem infrastrukturen, reguleres det i databehandleraftalen.

4 Formål og retsgrundlag

Hver kategori af oplysninger behandles til et bestemt formål med et bestemt retsgrundlag:

  • Kontaktformular — formål: besvare henvendelse og foretage kommerciel opfølgning. Retsgrundlag: samtykke (GDPR Art. 6, stk. 1, litra a).
  • Tekniske metadata og sessionsdata — formål: driftssikkerhed, bot-beskyttelse og dokumentation af adgang. Retsgrundlag: legitim interesse (GDPR Art. 6, stk. 1, litra f). Interesseafvejning: behovet for at beskytte infrastruktur og brugere mod misbrug vejer tungere end den enkelte besøgendes interesse i fuldstændig fraværende logging.
  • Analytics — formål: forbedre hjemmesiden og dens indhold. Retsgrundlag: samtykke (GDPR Art. 6, stk. 1, litra a).
  • Kundedata — formål: opfylde aftaleforpligtelser og bogføringspligt. Retsgrundlag: kontraktopfyldelse (GDPR Art. 6, stk. 1, litra b) og retlig forpligtelse (litra c), sammenholdt med Bogføringsloven (5 års opbevaringspligt).

5 AI, automatisering og menneskelig kontrol

People's Group leverer infrastruktur — ikke beslutninger. Når en Group-kunde bygger AI-systemer på vores infrastruktur, er kunden ansvarlig for systemets klassificering under EU AI Act (Forordning (EU) 2024/1689) og for de påkrævede kontroller, herunder menneskelig kontrol (Art. 14) og risikovurdering (Art. 9).

For besøgende på peoplesgroup.com foregår ingen automatiseret beslutningstagning efter GDPR Art. 22. Kontaktformularen besvares manuelt af vores team.

6 Ingen træning på kundedata

Vores AI-infrastruktur drives i inference-only-tilstand for kunder. Kundedata sendes aldrig til eksterne AI-API'er — heller ikke til OpenAI, Anthropic, Google eller andre tredjepartsudbydere — og anvendes ikke til træning, finetuning eller modeloptimering, hverken i identificerbar, anonymiseret eller aggregeret form.

Modelopdateringer kommer fra eksterne, dokumenterede kilder og gennemgår intern validering før de sættes i produktion.

7 Opbevaring og sletning

Vi opbevarer kun oplysninger så længe det er nødvendigt for det formål, de er indsamlet til:

DatakategoriOpbevaringsperiode
Kontaktformular (ikke-aftaler)24 måneder fra modtagelse
Kontaktformular (aftaler)Aftalens varighed + 5 år (Bogføringsloven)
Tekniske driftslogs185 dage
Analytics-dataSlettes ved samtykke-tilbagetrækning eller senest efter 26 måneder
Faktureringsdata5 år (Bogføringsloven)
Krypterede backupsIndgår i ovenstående perioder; sletteanmodninger reapplikeres på restorerede backups

Sletning er teknisk uigenkaldelig efter retentionperioden. Anmodninger om tidligere sletning rettes til support@peoplesdoctor.com.

8 Underdatabehandlere

Vi anvender underdatabehandlere i følgende kategorier:

  • Cloud-hosting af peoplesgroup.com i EU-region.
  • AI-compute for Group-platformen på dansk infrastruktur.
  • Form-håndtering på EU-hostet infrastruktur.

Opdateret liste over specifikke underdatabehandlere rekvireres fra support@peoplesdoctor.com. Kunder der har indgået databehandleraftale modtager besked ved ændringer med mindst 30 dages varsel, jf. databehandleraftalen.

9 Dataplacering

Group-platformens kerneinfrastruktur — compute, lagring og AI-inferens for kundedata — kører udelukkende på dansk infrastruktur. Kundedata forlader ikke EU.

Denne hjemmeside (peoplesgroup.com) hostes hos en leverandør i EU-region. Kontaktformular-data passerer gennem EU-hostet infrastruktur.

10 Overførsler uden for EU/EØS

For Group-platformens kerne: ingen overførsler uden for EU/EØS. Kundedata, AI-inferens og backups forbliver på dansk infrastruktur.

For hjemmesidens hosting anvendes en leverandør med primær forretningsaktivitet uden for EU, i EU-region. Der kan teoretisk forekomme transfer af drifts-metadata (ikke formulardata) til USA gennem leverandørens globale infrastruktur. Sådan overførsel er dækket af EU Standard Contractual Clauses (SCC). Kontaktformular-data, der indeholder personoplysninger, behandles udelukkende i EU-hostet infrastruktur.

11 Tekniske og organisatoriske sikkerhedsforanstaltninger

Vi har truffet de foranstaltninger, der efter GDPR Art. 32 er passende i forhold til risikoen, herunder særligt skærpede krav for regulerede industrier:

Kryptering:

  • I transit: TLS 1.2 eller nyere på al netværkstrafik.
  • At rest: fuldt-disk-kryptering på databaseservere.
  • Backups: AES-256-kryptering på separat EU-lagring.

Adgangskontrol:

  • Rollebaseret adgangskontrol (RBAC) med princip om mindste nødvendige rettigheder.
  • MFA/TOTP påkrævet for al privilegeret adgang.
  • VPN påkrævet for administrativ adgang til produktion.
  • 4-øjne-princip ved produktionsændringer.

Overvågning og integritet:

  • File integrity monitoring på produktionsnoder.
  • Centralt indsamlede systemlogs.
  • SHA-256-hashing af kritiske transaktionslogs (immutable audit trail).

Organisatorisk:

  • Personalet har som udgangspunkt ikke adgang til kundedata (no-access support model). Adgang i konkrete supportsituationer kræver kundens forudgående godkendelse og dokumenteres.
  • Tavshedserklæringer for alt personale med adgang til produktionsmiljøet.
  • Regelmæssig sikkerhedstræning.

12 Revision og certificering

Vores kontroller er revideret efter ISAE 3000 Type 1. Rapporten er tilgængelig for kunder og potentielle kunder på anmodning under fortrolighedsaftale.

13 Dine rettigheder

Du har følgende rettigheder efter GDPR. Hvilken vej din anmodning skal gå afhænger af, om vi behandler dine oplysninger som dataansvarlig (website-besøg, kundekonto, fakturering) eller som databehandler (kundedata på Group-platformen):

  • Indsigt (Art. 15): få bekræftelse på, om vi behandler oplysninger om dig, samt kopi af oplysningerne.
  • Berigtigelse (Art. 16): få rettet ukorrekte oplysninger.
  • Sletning (Art. 17): få slettet oplysninger uden unødig forsinkelse, når betingelserne i Art. 17, stk. 1 er opfyldt.
  • Begrænsning (Art. 18): begrænse vores behandling i konkrete situationer.
  • Dataportabilitet (Art. 20): få oplysninger udleveret i et struktureret, almindeligt anvendt og maskinlæsbart format.
  • Indsigelse (Art. 21): gøre indsigelse mod behandling baseret på legitim interesse.
  • Tilbagetrækning af samtykke (Art. 7, stk. 3): hvor behandling sker på grundlag af samtykke, kan samtykket trækkes tilbage med virkning fremadrettet.

Sådan udøver du rettighederne:

  • For kundedata på Group-platformen (vi er databehandler): kontakt den kunde-organisation, der har indgået aftalen.
  • For website-besøg, kundekonto og fakturering (vi er dataansvarlig): kontakt support@peoplesdoctor.com.

Vi svarer inden for 30 dage, jf. GDPR Art. 12, stk. 3. Komplekse anmodninger kan forlænges med op til to måneder med begrundet varsel inden for samme frist. Vi opkræver ikke gebyr, medmindre anmodningen er åbenbart grundløs eller overdreven (Art. 12, stk. 5).

14 Sikkerhedsbrud

Hvis et brud på persondatasikkerheden opstår:

  • Datatilsynet underrettes inden 72 timer efter konstatering, jf. GDPR Art. 33.
  • Berørte kunder (dataansvarlige) underrettes så hurtigt som muligt — internt mål 48 timer fra brudkonstatering.
  • Berørte registrerede underrettes af den dataansvarlige efter Art. 34, hvis bruddet sandsynligvis indebærer høj risiko for deres rettigheder og frihedsrettigheder.

Sikkerhedshændelser kan rapporteres til support@peoplesdoctor.com.

15 Cookies og website-tracking

peoplesgroup.com bruger for nuværende udelukkende strengt nødvendige cookies (sessions-id og sprogpræference). Vi anvender ikke marketing-trackers, fingerprinting eller cross-site-tracking.

Ved fremtidig tilføjelse af analytics- eller marketingcookies indhentes samtykke via cookie-banner, før sådanne cookies sættes. Samtykket kan til enhver tid tilbagetrækkes via "Cookie-indstillinger" nederst på siden.

16 Klage til Datatilsynet

Du kan klage til Datatilsynet, hvis du mener, at vores behandling af dine oplysninger er i strid med databeskyttelsesreglerne:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
Telefon: 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk

Du behøver ikke have henvendt dig til os først, men vi opfordrer til at give os mulighed for at finde en løsning, før du klager.

17 Ændringer til denne politik

Væsentlige ændringer kommunikeres til registrerede kunder via e-mail mindst 30 dage før ikrafttræden. Mindre ændringer (præciseringer, opdaterede kontaktoplysninger) kan publiceres uden særskilt varsel.

Tidligere versioner kan rekvireres via support@peoplesdoctor.com.