Tallyx

Databehandleraftale

Version 1.0 — maj 2026

Når du som virksomhed ("dataansvarlig") gemmer kunde- og medarbejder­oplysninger i Tallyx, behandler vi disse oplysninger på dine vegne. Denne databehandleraftale ("DPA") regulerer hvordan, og du accepterer den implicit ved at oprette en konto. Du kan downloade en signerbar PDF-version ved at skrive til [email protected].

1. Parternes roller

Dataansvarlig: dig (din virksomhed). Du bestemmer formålet med og midlerne for behandlingen af personoplysninger om dine kunder, leverandører og ansatte.
Databehandler: Tallyx, der behandler oplysninger på dine vegne i overensstemmelse med dine instrukser og denne aftale.

2. Behandlingens karakter og formål

Vi behandler personoplysninger udelukkende for at levere Tallyx-tjenesten: opbevare og vise data, generere fakturaer/bilag, sende e-mails på dine vegne, og foretage de bogførings- og rapporteringshandlinger du anmoder om.

3. Typer af personoplysninger

  • Kontaktoplysninger om dine kunder/leverandører (navn, adresse, e-mail, telefon, CVR).
  • Bogføringsdata (fakturaer, bilag, betalinger).
  • Eventuelle felter du selv tilføjer som notater.

Vi behandler ikke følsomme oplysninger eller CPR-numre i tjenesten.

4. Underdatabehandlere

Vi anvender følgende underdatabehandlere:

  • Stripe Payments Europe Ltd. — abonnementsbetaling. EU/USA.
  • Wildbit Postmark — e-mail-levering ind/ud. USA (DPF).
  • Egne servere i Danmark — applikation + database.

Du varsles via e-mail mindst 30 dage før vi tilføjer eller skifter underdatabehandler. Du har ret til at gøre indsigelse — i så fald kan du opsige aftalen uden bindings.

5. Sikkerhed

  • TLS 1.3 til al netværkstrafik.
  • Argon2id til kodeordshashing.
  • Database-niveau isolation mellem kunder (PostgreSQL Row-Level Security med FORCE RLS).
  • Krypterede backups, daglig rotation, 14 dages historik.
  • Append-only audit-log over alle adgang/ændringer.
  • 2FA tilgængelig for alle brugere.

6. Brud på persondatasikkerheden

I tilfælde af et brud, der berører dine data, underretter vi dig uden unødigt ophold og senest inden for 24 timer efter vi bliver bekendt med bruddet. Vi bistår dig med din egen anmeldelse til Datatilsynet inden for 72-timers fristen.

7. Sletning ved aftaleophør

Når du klikker "Slet konto" deaktiveres din login-konto straks — du kan ikke længere logge ind, alle aktive sessions afbrydes, og vores cron-job permanent-anonymiserer dine personoplysninger (email, navn, password) efter 30 dages grace-periode. I dette vindue kan du fortryde ved at skrive til [email protected]; vi genskaber kontoen + sender dig et password-reset link.

Grace-perioden er accepteret praksis iht. GDPR Art. 17 ("uden unødig forsinkelse") — Google, GitHub, Apple m.fl. anvender samme model. Den beskytter mod utilsigtede sletninger uden at undergrave din ret til sletning.

Bogføringsdata (fakturaer, bilag, journal-entries, audit-trail) bevares i 5 år iht. bogføringsloven §12 — også efter at dine personoplysninger er anonymiseret. Det er en gyldig undtagelse iht. GDPR Art. 17 stk. 3 b (juridisk forpligtelse).

8. Inspektion

Du kan en gang årligt anmode om dokumentation for vores sikkerhedsforanstaltninger. Vi leverer typisk dette som en opdateret kopi af denne DPA samt vores interne sikkerhedsoversigt.