Dine elevers data er i trygge hænder

Tavly er bygget med GDPR fra dag ét. Ikke som et eftertænksomt tilvalg.

Hvad vi gør

Efterskoler behandler persondata om mindreårige. Det kræver ekstra omhu. Tavly er designet så I automatisk overholder de vigtigste GDPR-krav, uden at I selv skal tænke over det.

EU-hosting

Jeres data hostes på Railway i Irland (EU). Ingen data forlader EU. Ingen US Cloud Act-eksponering.

Kryptering

Al datatransmission over HTTPS/TLS. Passwords hashed med bcrypt. Ingen persondata i logfiler.

Tenant-isolering

Hver efterskole er fuldstændig isoleret. Jeres data er aldrig synlig for andre skoler. Row-level security i databasen.

Samtykke-log

Alle samtykke-ændringer logges med tidsstempel. Aldrig email uden check af afmelding. Double opt-in understøttet.

Automatisk sletning

Data slettes automatisk efter opbevaringsperioden. GDPR-cleanup kører som baggrundsjob.

DPA inkluderet

Databehandleraftale (art. 28) er inkluderet i alle planer. Ingen ekstra forhandling nødvendig.

Særligt om mindreårige

Efterskoler behandler data om unge mellem 14 og 18 år. Det stiller særlige krav:

  • Samtykke-alder: I Danmark er den digitale samtykke-alder 15 år (hævet fra 13 år i 2024). For elever under 15 kræves forældresamtykke.
  • Forældresamtykke: Tavly understøtter registrering af forældresamtykke på kontakter under 15.
  • Dataminimering: Vi opfordrer til kun at indsamle nødvendige oplysninger. Tilmeldingsformularer kan tilpasses så I kun spørger om det I har brug for.
  • Rettigheder: Elever (og forældre) har ret til indsigt, rettelse og sletning. Tavly understøtter eksport og sletning af enkeltpersoners data.

Databehandleraftale (DPA)

Når jeres efterskole bruger Tavly, er I dataansvarlig og vi er databehandler. Det kræver en databehandleraftale jf. GDPR art. 28.

  • DPA er inkluderet i alle Tavly-planer og dækker al behandling af persondata i systemet.
  • Aftalen specificerer kategorier af registrerede, typer af persondata, behandlingens formål og varighed.
  • Ved opsigelse slettes al data inden for 90 dage (eller hurtigere på anmodning).

Kontakt os på kontakt@gezar.dk for at modtage en kopi af DPA'en.

Underdatabehandlere

Tavly bruger følgende underdatabehandlere:

Railway
Hosting og database
EU (Irland)
Resend
Transaktionelle emails
EU-infrastruktur
Cloudinary
Billedlagring og -transformation
EU (Irland)

Vi varsler ved ændringer i listen af underdatabehandlere.

Teknisk sikkerhed

  • Rate limiting: Login (5 forsøg/15 min), kontaktformularer, tilmeldinger og uploads har rate limits for at forhindre misbrug.
  • XSS-beskyttelse: Al brugerinput saniteres. Rich text-indhold filtreres for farlige scripts.
  • Sikkerhedsheaders: X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
  • Session-sikkerhed: httpOnly cookies, SameSite=Lax, Secure i produktion, 7 dages max-levetid.
  • Adgangskontrol: Rollebaseret (administrator/redaktør). Alle API-kald verificerer brugerens rolle og tenant-tilhørsforhold.
  • Password-krav: Minimum 8 tegn, store og små bogstaver + tal. Hashed med bcrypt (10 runder).
  • SSRF-beskyttelse: Webhook-URLs blokeres mod private IP-ranges.

Jeres rettigheder

Som registrerede har elever, forældre og kontakter følgende rettigheder under GDPR:

  • Ret til indsigt (art. 15): Se hvilke data der behandles om dem.
  • Ret til berigtigelse (art. 16): Få rettet forkerte oplysninger.
  • Ret til sletning (art. 17): Få slettet deres data.
  • Ret til dataportabilitet (art. 20): Modtage data i et maskinlæsbart format (CSV-eksport).
  • Ret til at klage (art. 77): Klage til Datatilsynet (datatilsynet.dk).

Tavly understøtter alle disse rettigheder direkte fra admin-panelet: indsigt, eksport og sletning af enkeltpersoners data.

Spørgsmål om GDPR?

Kontakt os hvis I har spørgsmål om datasikkerhed, DPA eller compliance.

Skriv til os Ring +45 21 96 58 66