Privatlivspolitik

Senest opdateret: 28. maj 2026

Denne privatlivspolitik beskriver, hvordan Mutuum ApS behandler dine personoplysninger, når du bruger appen og tjenesten Låneklar. Mutuum er dataansvarlig for behandlingen.

1. Dataansvarlig

Mutuum ApS
CVR-nr.: 45330672
Adresse: Kronprinsessegade 78, 1306 København K
E-mail: support@mutuum.dk

Mutuum er registreret som boligkreditformidler hos Finanstilsynet, FT-id 43076.

Henvendelser om behandling af personoplysninger, herunder udøvelse af registreredes rettigheder, kan rettes til support@mutuum.dk.

2. Hvilke personoplysninger behandler vi?

Når du opretter en konto og bruger Låneklar, behandler vi de oplysninger, der er nødvendige for at levere tjenesten og for at formidle boligkredit. Vi behandler følgende kategorier af personoplysninger:

Kategori	Eksempler	Kilde
Identitets- og kontaktoplysninger	Navn, adresse, alder, civilstand, e-mail, telefonnummer	Dig selv
CPR-nummer	CPR-nummer (indhentes først, når du anmoder om at sende ansøgning til en konkret kreditgiver)	Dig selv
Personlige forhold	Uddannelsesniveau, beskæftigelsesforhold, husstandens sammensætning	Dig selv
Loginoplysninger	Magic-link-token, sessionsidentifikatorer	Genereret af systemet
Økonomiske oplysninger	Indkomstforhold, gældsforhold, løbende forpligtelser, opsparing og formue, budget og rådighedsbeløb, boligoplysninger (købesum, ejendomstype mv.), lønsedler, årsopgørelser, gældsopgørelser	Dig selv og dine officielle dokumenter
Bank- og kontooplysninger	Kontoindehaver, kontonummer, saldo og transaktioner (beløb, dato, modpart, tekst)	Din bank via PSD2 (Open Banking) gennem autoriseret tredjepart
Afledte økonomiske oplysninger	Kategoriserede transaktioner, abonnementer, månedligt rådighedsbeløb, lånekapacitet	Beregnet af Låneklar på baggrund af dine oplysninger
Tekniske oplysninger	IP-adresse, logdata, samtykkelog og tidsstempler, enhedstype, OS- og app-version, fejldata	Din enhed og vores systemer
Korrespondance	Beskeder du sender til support	Dig selv

2.1 Indirekte følsomme oplysninger

Mutuum behandler som udgangspunkt ikke følsomme personoplysninger omfattet af artikel 9 i databeskyttelsesforordningen. Dine transaktionsdata kan dog indirekte indeholde oplysninger af følsom karakter, for eksempel betalinger til politiske partier, fagforeninger eller religiøse trossamfund. Sådanne oplysninger identificeres ikke særskilt i appen. De grupperes automatisk under neutrale kategorier (for eksempel "Kontingenter og medlemskaber"), så dit budget kan beregnes korrekt, uden at de følsomme oplysninger fremhæves eller bruges som selvstændigt beslutningsgrundlag.

2.2 Fælles ansøgere (medansøger)

Hvis du søger boliglån sammen med en anden person, kan I gennemføre ansøgningen som hovedansøger og medansøger. Hovedansøgeren opretter ansøgningen og inviterer medansøgeren via e-mail eller link. Medansøgeren skal selv oprette en konto i Låneklar og selv give samtykke til, at vi behandler vedkommendes personoplysninger og henter bankdata via PSD2. Vi henter ikke en medansøgers oplysninger på baggrund af hovedansøgerens samtykke alene.

Når en ansøgning er fælles, kan begge ansøgere se de oplysninger, der er relevante for den fælles ansøgning, herunder samlet økonomi, gæld, indtægter og det beregnede rådighedsbeløb. Den enkeltes detaljerede transaktionshistorik vises kun for vedkommende selv. Hver ansøger kan til enhver tid trække sit samtykke tilbage. Trækker en medansøger samtykket tilbage, fortsætter ansøgningen som individuel ansøgning for hovedansøgeren.

3. Formål og retsgrundlag

Formål	Retsgrundlag (GDPR)
Boligkreditformidling: indhente, strukturere og sammenstille relevante oplysninger med henblik på at formidle boligkreditaftaler	Art. 6, stk. 1, litra b: opfyldelse af aftale
Videregivelse af oplysninger til kreditgivere efter din anmodning	Art. 6, stk. 1, litra a: udtrykkeligt samtykke
Indhentning af kontooplysninger via PSD2-tredjepart	Art. 6, stk. 1, litra a: udtrykkeligt samtykke
At kategorisere transaktioner og forbedre kategoriseringsmodellen	Art. 6, stk. 1, litra b og litra f: legitim interesse i at levere et brugbart produkt
At analysere anonymiserede data med henblik på statistik og produktforbedring	Art. 6, stk. 1, litra f: legitim interesse. Data anonymiseres, så de ikke kan henføres til dig
At dokumentere samtykke, oplysningspligt og sagsforløb samt opfylde lovkrav (bogføring, hvidvask, oplysningspligt som boligkreditformidler)	Art. 6, stk. 1, litra c: retlig forpligtelse
IT-sikkerhed, fejlsøgning og forebyggelse af misbrug	Art. 6, stk. 1, litra f: legitim interesse
At sende servicebeskeder (for eksempel udløb af banksamtykke)	Art. 6, stk. 1, litra b
At sende markedsføring	Art. 6, stk. 1, litra a: samtykke (kan til enhver tid tilbagekaldes)

4. PSD2: kobling til din bank

Mutuum agerer ikke som selvstændig kontooplysningstjeneste. Når du forbinder en bankkonto, sker det efter dit udtrykkelige samtykke via en autoriseret PSD2-tredjepartsudbyder, der fungerer som databehandler for Mutuum. Forbindelsen er krypteret (TLS), og selve banklogin foretager du direkte hos din bank på bankens egen sikre side.

Mutuum modtager, ser eller gemmer på intet tidspunkt dit bank-brugernavn, din adgangskode eller din MitID-kode. Vi modtager alene de kontooplysninger (saldo og transaktioner), som du eksplicit har givet samtykke til at dele via PSD2-tjenesten.

Banksamtykket gælder i op til 180 dage og kan til enhver tid tilbagekaldes i appen under Profil → Fjern banksamtykke eller direkte hos din bank.

5. Modtagere og databehandlere

Vi videregiver kun dine oplysninger, når det er nødvendigt for at levere tjenesten, eller når vi er forpligtet til det ved lov. Databehandlere behandler alene personoplysninger efter dokumenteret instruks fra Mutuum, og der er indgået databehandleraftaler (DPA) i overensstemmelse med artikel 28 i databeskyttelsesforordningen.

Leverandør	Formål	Placering
Microsoft Azure (Microsoft Ireland Operations Ltd.)	Cloud-hosting, drift og databaselagring	EU (primært Nordeuropa)
Yapily Connect Ltd.	PSD2-kontooplysningstjeneste (indhentning af kontooplysninger efter samtykke)	EU/UK (med standardkontraktbestemmelser)
Nordea Open Banking	PSD2-bankforbindelse	EU
HubSpot	CRM og samtykkehåndtering	EU/USA (Data Privacy Framework og standardkontraktbestemmelser)
Brevo (Sendinblue SAS)	Transaktions- og servicebeskeder via e-mail	EU (Frankrig)
ONLINECITY.IO ApS	SMS-bekræftelser og engangskoder	EU (Danmark)

Vi videregiver kun oplysninger til kreditgivere, som du selv vælger at sende en låneansøgning til. Du giver et eksplicit samtykke i appen, før vi videresender oplysninger til en konkret kreditgiver.

6. Overførsel til tredjelande

Mutuum tilstræber som udgangspunkt, at personoplysninger behandles inden for EU/EØS. Hvor enkelte databehandlere eller underdatabehandlere behandler personoplysninger uden for EU/EØS, sker overførslen i overensstemmelse med kapitel V i databeskyttelsesforordningen, på grundlag af en af følgende:

EU-Kommissionens afgørelse om tilstrækkeligt beskyttelsesniveau, herunder EU-U.S. Data Privacy Framework, hvor relevant
EU-Kommissionens standardkontraktbestemmelser (SCC)
Binding Corporate Rules (BCR), hvor relevant

Mutuum foretager forudgående vurdering af databehandleres overførselsgrundlag og sikrer, at der er implementeret passende supplerende tekniske og organisatoriske sikkerhedsforanstaltninger.

7. Opbevaring og sletning

Personoplysninger opbevares ikke længere end nødvendigt i forhold til formålet med behandlingen og gældende lovgivning.

Aktiv konto: så længe du har en konto hos Låneklar.
Sager om boligkreditformidling: oplysninger opbevares som udgangspunkt i 5 år fra afslutning af den pågældende sag, med henblik på dokumentation af samtykke og oplysningspligt, overholdelse af finansiel regulering, opfyldelse af bogførings- og dokumentationskrav samt håndtering af eventuelle tvister eller klager.
Slettet konto uden aktiv sag: dine personoplysninger slettes fra de aktive systemer, når du anmoder om sletning. Visse data skal vi opbevare længere efter de øvrige opbevaringsperioder nedenfor.
Bogføringsmateriale opbevares i 5 år fra udløbet af det regnskabsår, materialet vedrører, jf. bogføringsloven.
Dokumentation efter hvidvasklovgivningen opbevares i 5 år efter forretningsforbindelsens ophør.
Korrespondance med support opbevares i op til 3 år.

Når opbevaringsperioden udløber, slettes eller anonymiseres oplysningerne sikkert, herunder fra aktive systemer og backups efter gældende rotationspolitik.

8. Dine rettigheder

Du har efter databeskyttelsesforordningen følgende rettigheder:

Indsigt (art. 15) i hvilke oplysninger vi behandler om dig.
Berigtigelse (art. 16) af urigtige eller ufuldstændige oplysninger.
Sletning (art. 17), når behandlingen ikke længere er nødvendig, eller hvis du tilbagekalder dit samtykke. Retten kan være begrænset, hvis fortsat opbevaring er nødvendig for at overholde retlige forpligtelser, dokumentere overholdelse af finansiel regulering, eller fastlægge, gøre gældende eller forsvare retskrav.
Begrænsning (art. 18) af behandlingen i visse situationer.
Indsigelse (art. 21) mod behandling baseret på legitim interesse.
Dataportabilitet (art. 20): modtage oplysninger, som du selv har afgivet, i et struktureret og maskinlæsbart format, når behandlingen er baseret på samtykke eller kontrakt.
Tilbagekaldelse af samtykke til enhver tid, hvor behandlingen er baseret på samtykke. Tilbagekaldelse virker fremadrettet og påvirker ikke lovligheden af behandling foretaget før tilbagekaldelsen.

Anmodninger kan sendes til support@mutuum.dk. Vi besvarer henvendelser uden unødig forsinkelse og senest inden for 30 dage. Du kan også slette din konto direkte i appen under Indstillinger → Slet konto eller via denne side.

8.1 Klage til Datatilsynet

Du har ret til at klage til Datatilsynet, hvis du mener, at behandlingen af dine personoplysninger ikke sker i overensstemmelse med gældende databeskyttelseslovgivning.
Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, datatilsynet.dk.

9. Sikkerhed og fortrolighed

Mutuum har implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger i overensstemmelse med artikel 32 i databeskyttelsesforordningen, herunder:

Adgang efter mindst privilegie-princippet og rollebaseret adgangsstyring (RBAC)
Individuelle brugeradgange og multi-factor authentication (MFA) for relevante systemer
Adgange gennemgås mindst kvartalsvist og ved fratrædelse
Kryptering i transit (TLS) og af følsomme og økonomiske oplysninger
Logning af systemadgang og væsentlige hændelser samt registrering af ændringer i sagsdata med tidsstempel
Overvågning af uautoriserede adgangsforsøg
Procedurer for hændelseshåndtering og beredskab
Løbende risikovurdering af behandlingsaktiviteter og sikkerhedsforanstaltninger

Alle medarbejdere er underlagt fortrolighedsforpligtelse, og der gennemføres årlig træning i databeskyttelse og informationssikkerhed. Kun udvalgte medarbejdere har adgang til personoplysninger, og kun i det omfang det er nødvendigt for at levere og drifte tjenesten.

10. Brud på persondatasikkerheden

Ved brud på persondatasikkerheden følger Mutuum en struktureret hændelseshåndteringsproces i overensstemmelse med artikel 33 og 34 i databeskyttelsesforordningen.

Hvis et brud indebærer risiko for fysiske personers rettigheder og frihedsrettigheder, underretter Mutuum Datatilsynet uden unødig forsinkelse og senest 72 timer efter, at Mutuum er blevet bekendt med bruddet. Hvis bruddet indebærer høj risiko for de berørte, underrettes de pågældende registrerede uden unødig forsinkelse.

11. Cookies

Selve appen anvender ikke cookies. På laaneklar.dk bruger vi nødvendige cookies samt, med dit samtykke, statistik-cookies. Du kan altid ændre dit valg via cookieindstillingerne på sitet.

12. Ændringer

Vi kan opdatere denne privatlivspolitik. Ved væsentlige ændringer informerer vi dig via e-mail eller i appen, inden ændringerne træder i kraft. Den til enhver tid gældende version kan findes på laaneklar.dk/legal/privatlivspolitik.

13. Kontakt

Spørgsmål til denne politik kan sendes til support@mutuum.dk.