Databehandleraftale

Mellem: Skolestarter ApS (databehandler) og institution (dataansvarlig)Version: 2.1 · 2. juni 2026

Denne databehandleraftale (“DPA”) er indgået mellem Skolestarter ApS (CVR 33809328, Baltorpvej 245, st. 3, 2750 Ballerup, herefter “Databehandleren”) og [Institutionens navn] (herefter “Dataansvarlige”) i henhold til Databeskyttelsesforordningen (GDPR) artikel 28.

§ 1 — Formål og baggrund

Databehandleren leverer en digital læringsplatform til børn 3-9 år. Dataansvarlige (skolen/institutionen) behandler personoplysninger om elever og medarbejdere ved brug af platformen. Denne aftale regulerer Databehandlerens behandling på vegne af Dataansvarlige.

§ 2 — Genstand og varighed

Genstand: Behandling af elev- og medarbejderdata i forbindelse med brug af Skolestarter-platformen.
Varighed: Aftalen gælder i hele samarbejdsperioden mellem parterne + 90 dages opbevaringsperiode efter ophør.
Lovgrundlag: GDPR art. 28, dansk Databeskyttelseslov § 2.

§ 3 — Karakteren af behandlingen

Kategori	Beskrivelse
Type af personoplysninger	Almindelige personoplysninger om elever (fornavn, klassetrin, læringsdata, evt. lyd-optagelse), medarbejdere (navn, email, rolle).
Kategorier af registrerede	Elever 3-9 år, lærere/pædagoger, skole-administratorer.
Behandlingsaktiviteter	Indsamling, opbevaring, sammenstilling, analyse, sletning.
Formål	Levering af læringsplatform, generering af forældrerapporter, adaptiv tilpasning af opgaver.

§ 4 — Databehandlerens forpligtelser

Databehandleren skal:

Kun behandle personoplysninger efter dokumenteret instruks fra Dataansvarlige.
Sikre at personer med adgang har påtaget sig tavshedspligt.
Træffe alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger (jf. § 7).
Underrette Dataansvarlige uden ufornødent ophold ved sikkerhedsbrud — senest 24 timer efter konstatering.
Bistå Dataansvarlige med opfyldelse af registreredes rettigheder (indsigt, berigtigelse, sletning, dataportabilitet).
Slette eller tilbagelevere alle personoplysninger ved aftalens ophør (senest 90 dage).

§ 5 — Underdatabehandlere

Databehandleren bruger følgende underdatabehandlere. Dataansvarlige giver generelt samtykke. Ændringer varsles 30 dage før implementering.

Underdatabehandler	Formål	Lokation
Vercel Inc.	Web-hosting	Frankfurt, EU
Neon Inc.	Database (Postgres)	EU-vest
Stripe Payments Europe Ltd.	Betalingsbehandling	Dublin, EU
Resend Inc.	Transaktionel email	EU-region
ElevenLabs Inc.	Text-to-speech (Bjørn-stemme)	EU-region
Sentry GmbH	Fejl-rapportering (sendDefaultPii: false)	Frankfurt, EU
Anthropic Ireland Ltd.	AI-content-generation (admin only)	EU-region
OpenAI Ireland Ltd.	AI-content-generation (admin only)	EU-region

§ 6 — Overførsel til tredjeland

Databehandleren overfører ikke personoplysninger uden for EU/EØS. Hvis det undtagelsesvis bliver nødvendigt, sker det kun med Dataansvarliges forudgående skriftlige godkendelse og kun til lande med tilstrækkeligt beskyttelsesniveau eller med standardkontraktbestemmelser (Standard Contractual Clauses, SCC).

§ 7 — Tekniske og organisatoriske sikkerhedsforanstaltninger

TLS 1.3 kryptering i transit. AES-256 kryptering at rest.
Password-hashing: scrypt (memory-hard). PIN-hashing: PBKDF2-SHA256 200.000 iterationer.
Session-tokens: HMAC-SHA256, HttpOnly + Secure + SameSite=lax cookies, 7-dages TTL.
Rate-limiting og brute-force-beskyttelse på alle auth-endpoints.
Audit-log på alle sensitive handlinger (7 års retention).
Stripe webhook signature-verification + event-id idempotency.
Vulnerability disclosure policy: security@skolestarter.dk.

Komplet sikkerheds-dokumentation: skolestarter.dk/sikkerhed.

§ 8 — Databrud (GDPR art. 33-34)

Databehandleren underretter Dataansvarlige uden ufornødent ophold — senest 24 timer efter konstatering — ved databrud. Underretningen indeholder:

Karakter af bruddet, omfang og berørte kategorier.
Sandsynlige konsekvenser.
Afhjælpende foranstaltninger.
Kontaktoplysninger til Databehandlerens databeskyttelsesrådgiver.

§ 9 — Audit og inspektion

Dataansvarlige har ret til at få revisorrapporter, ISO27001-certifikater eller anden dokumentation for Databehandlerens compliance. Egen audit kan udføres mod 30 dages skriftlig varsel.

§ 10 — Sletning ved aftalens ophør

Ved aftalens ophør sletter Databehandleren alle personoplysninger senest 90 dage efter ophør. Dataansvarlige kan forinden trække data ud som JSON via selvbetjening eller via DPO (dpo@skolestarter.dk).

§ 11 — Lovvalg og værneting

Aftalen er underlagt dansk ret. Eventuelle tvister afgøres ved de almindelige danske domstole med Københavns Byret som første instans.

For Dataansvarlige (institutionen):

Underskrift

Navn (blokbogstaver)

Titel · Dato

For Databehandleren (Skolestarter ApS):

Sebastian Ozbek, Founder & CTO

Dato

Databehandleraftale (DPA)Tryk Ctrl+P / ⌘P for at gemme som PDF