Tallyx

Databehandleraftale

Version 1.0 — maj 2026

Når du som virksomhed ("dataansvarlig") gemmer kunde- og medarbejder­oplysninger i Tallyx, behandler vi disse oplysninger på dine vegne. Denne databehandleraftale ("DPA") regulerer hvordan, og du accepterer den implicit ved at oprette en konto. Du kan downloade en signerbar PDF-version ved at skrive til hej@tallyx.dk.

1. Parternes roller

Dataansvarlig: dig (din virksomhed). Du bestemmer formålet med og midlerne for behandlingen af personoplysninger om dine kunder, leverandører og ansatte.
Databehandler: Tallyx, der behandler oplysninger på dine vegne i overensstemmelse med dine instrukser og denne aftale.

2. Behandlingens karakter og formål

Vi behandler personoplysninger udelukkende for at levere Tallyx-tjenesten: opbevare og vise data, generere fakturaer/bilag, sende e-mails på dine vegne, og foretage de bogførings- og rapporteringshandlinger du anmoder om.

3. Typer af personoplysninger

  • Kontaktoplysninger om dine kunder/leverandører (navn, adresse, e-mail, telefon, CVR).
  • Bogføringsdata (fakturaer, bilag, betalinger).
  • Eventuelle felter du selv tilføjer som notater.

Vi behandler ikke følsomme oplysninger eller CPR-numre i tjenesten.

4. Underdatabehandlere

Vi anvender følgende underdatabehandlere:

  • Stripe Payments Europe Ltd. — abonnementsbetaling. EU/USA.
  • Wildbit Postmark — e-mail-levering ind/ud. USA (DPF).
  • Egne servere i Danmark — applikation + database.

Du varsles via e-mail mindst 30 dage før vi tilføjer eller skifter underdatabehandler. Du har ret til at gøre indsigelse — i så fald kan du opsige aftalen uden bindings.

5. Sikkerhed

  • TLS 1.3 til al netværkstrafik.
  • Argon2id til kodeordshashing.
  • Database-niveau isolation mellem kunder (PostgreSQL Row-Level Security med FORCE RLS).
  • Krypterede backups, daglig rotation, 14 dages historik.
  • Append-only audit-log over alle adgang/ændringer.
  • 2FA tilgængelig for alle brugere.

6. Brud på persondatasikkerheden

I tilfælde af et brud, der berører dine data, underretter vi dig uden unødigt ophold og senest inden for 24 timer efter vi bliver bekendt med bruddet. Vi bistår dig med din egen anmeldelse til Datatilsynet inden for 72-timers fristen.

7. Sletning ved aftaleophør

Ved opsigelse sletter eller anonymiserer vi dine personlige kontooplysninger inden for 30 dage. Bogføringsdata bevares i 5 år jf. bogføringsloven §12 og slettes herefter automatisk.

8. Inspektion

Du kan en gang årligt anmode om dokumentation for vores sikkerhedsforanstaltninger. Vi leverer typisk dette som en opdateret kopi af denne DPA samt vores interne sikkerhedsoversigt.