Tilbage til brickstack.dkBrickStack

Privatlivspolitik

Sidst opdateret: [Sidst opdateret: DD.MM.ÅÅÅÅ]

Hos BrickStack (drevet af Skouenborg ApS) respekterer vi dit privatliv og behandler dine personoplysninger ansvarligt i overensstemmelse med EU's databeskyttelsesforordning (GDPR, forordning 2016/679) og den danske databeskyttelseslov. Denne politik beskriver, hvilke oplysninger vi indsamler, hvorfor og hvordan vi bruger dem.

1. Dataansvarlig

Den dataansvarlige for behandlingen af dine personoplysninger er:

BrickStack har ikke pligt til at udpege en databeskyttelsesrådgiver (DPO) i henhold til GDPR Art. 37, men du er altid velkommen til at rette henvendelse til ovenstående kontaktadresse med GDPR-relaterede spørgsmål.

2. Hvilke data behandler vi

Vi kan behandle følgende kategorier af oplysninger om dig:

Identitets- og kontaktoplysninger
  • Fuldt navn
  • E-mailadresse
  • Virksomhedsnavn og CVR-nummer (for B2B-kunder)
  • Adresse (til fakturaformål)
Kontooplysninger og aktivitet
  • Loginoplysninger (håndteres krypteret via Clerk)
  • Brugeraktivitet og handlingslogfiler på platformen
  • Abonnements- og faktureringshistorik
  • Support-korrespondance
Upload-indhold (ejendomsdata)
  • Dokumenter, prospekter og Excel-filer uploadet af dig til platformen (f.eks. BBR-udskrifter, valuarrapporter, lejeopgørelser)
  • Ejendomsoplysninger og investeringsanalyser oprettet i platformen
  • Datarum-indhold pr. ejendom
Tekniske oplysninger
  • IP-adresse
  • Browsertype og -version
  • Operativsystem
  • Session- og enheds-id'er
  • Fejlrapporter og tekniske logs (via Sentry)
Cookies
  • Se pkt. 8 for detaljer om cookies.

3. Formål med behandlingen

Vi behandler dine oplysninger til følgende formål:

  • Levering af tjenesten: Oprettelse og administration af din konto, adgang til platformens funktioner, behandling af uploadede dokumenter og visning af ejendomsdata.
  • Fakturering og betaling: Oprettelse af fakturaer, behandling af betalinger via Stripe og håndtering af abonnement.
  • Kundesupport: Besvarelse af forespørgsler, fejlfinding og assistance.
  • Sikkerhed og fejlsporing: Forebyggelse af uautoriseret adgang, overvågning af tekniske fejl og sikring af platformens stabilitet.
  • Produktforbedring: Analyse af brugsdata (anonymiseret) med henblik på at forbedre platformen.
  • Juridiske forpligtelser: Opfyldelse af lovkrav, herunder bogføringsloven og skattelovgivning.

4. Retligt grundlag

Vi behandler dine oplysninger på følgende retsgrundlag (GDPR Art. 6):

  • Kontraktopfyldelse (Art. 6(1)(b)): Behandling der er nødvendig for at levere tjenesten i henhold til aftalen med dig — herunder kontooprettelse, fakturering og platformadgang.
  • Legitime interesser (Art. 6(1)(f)): Behandling til sikkerhedsformål, fejlsporing, forebyggelse af misbrug og forbedring af tjenesten. Disse interesser er afvejet mod dine rettigheder og grundlæggende frihedsrettigheder.
  • Retlig forpligtelse (Art. 6(1)(c)): Behandling der er nødvendig for at overholde lovgivning, f.eks. bogføringsloven (opbevaring af regnskabsmateriale i 5 år).
  • Samtykke (Art. 6(1)(a)): For ikke-essentielle analytics-cookies indhentes dit samtykke separat. Samtykke kan til enhver tid trækkes tilbage.

5. Opbevaringsperiode

Vi opbevarer dine personoplysninger, så længe det er nødvendigt til de angivne formål:

  • Kontooplysninger: Opbevares i aktivt kundeforhold og slettes 90 dage efter abonnementets ophør (medmindre andet er aftalt eller krævet ved lov).
  • Faktura- og betalingsdata: Opbevares i 5 år efter regnskabsårets afslutning jf. bogføringsloven § 10.
  • Support-korrespondance: Opbevares i 3 år efter afslutning af supportforholdet af hensyn til eventuelle tvister.
  • Tekniske logs og fejlrapporter: Slettes løbende og opbevares maksimalt 90 dage.
  • Analytics-data (samtykkebaseret): Opbevares maksimalt 26 måneder fra indsamlingstidspunktet.

6. Modtagere og sub-processors

Vi deler dine oplysninger med følgende tekniske underleverandører (sub-processors) i det omfang, det er nødvendigt for at levere tjenesten:

  • Clerk, Inc. — Brugerauthentificering, session- og adgangsstyring. Behandler navn, e-mail og loginoplysninger. Data lagres i EU-region.
  • Neon, Inc. — Cloud-databaseplatform (PostgreSQL). Lagrer strukturerede platform-data inkl. ejendomsdata og brugerdata. EU-region (AWS Frankfurt).
  • Vercel, Inc. — Cloud-hosting og edge-netværk. Behandler request-data inkl. IP-adresser og headers. EU-region tilgængelig.
  • Stripe, Inc. — Betalingsprocessering. Behandler faktura- og betalingsdata. PCI DSS-certificeret. EU-region.
  • Resend, Inc. — Transaktionel e-mail (kontoforsendelser, fakturaer, notifikationer). Behandler e-mailadresser og e-mailindhold.
  • Sentry, Inc. — Fejlsporing og performance monitoring. Behandler tekniske fejldata inkl. anonymiserede staktraces. Data kan indeholde e-mail ved fejl i authed-flow. EU-region (sentry.io/eu).
  • Mapbox, Inc. — Kortvisning og geokodning. Behandler søgeforespørgsler og kortvisninger inkl. tilnærmet placeringsdata. Behandler ikke personhenførbare oplysninger direkte.

En fuld og opdateret liste over sub-processors samt indgåede databehandleraftaler er tilgængelig på anmodning til datavarlig@brickstack.dk. Vi informerer om væsentlige ændringer i sub-processor-listen med mindst 30 dages varsel.

7. Dine rettigheder

Du har følgende rettigheder under GDPR. Du kan gøre disse gældende ved at kontakte os på datavarlig@brickstack.dk:

  • Indsigt (Art. 15): Du har ret til at få oplyst, hvilke personoplysninger vi behandler om dig.
  • Berigtigelse (Art. 16): Du har ret til at få urigtige oplysninger om dig berigtiget.
  • Sletning (Art. 17): Du har ret til at få slettet dine personoplysninger (“retten til at blive glemt”), medmindre vi er forpligtet til at opbevare dem ved lov.
  • Begrænsning (Art. 18): Du har ret til at få behandlingen af dine oplysninger begrænset i visse tilfælde.
  • Dataportabilitet (Art. 20): Du har ret til at modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format. Alle visninger i BrickStack har eksportfunktioner (CSV, Excel, PDF) til dette formål.
  • Indsigelse (Art. 21): Du har ret til at gøre indsigelse mod behandling af dine personoplysninger, der er baseret på legitime interesser.
  • Tilbagetrækning af samtykke: Hvis behandlingen baseres på samtykke, kan du til enhver tid tilbagetrække dit samtykke uden at dette berører lovligheden af behandlingen forud for tilbagetrækningen.

Vi besvarer henvendelser om dine rettigheder inden for 30 dage. Komplekse anmodninger kan forlænges med yderligere 2 måneder, hvorom du vil blive underrettet.

8. Cookies

BrickStack anvender cookies og lignende teknologier. Vi skelner mellem:

Essentielle cookies (altid aktive)
  • Session-cookies: Nødvendige for at opretholde din session og sikker adgang til platformen. Udstedes af Clerk. Slettes ved sessionslukning eller udløb.
  • CSRF-token: Beskytter mod cross-site request forgery-angreb.
  • Cookie-præference: Gemmer din accept/afvisning af ikke-essentielle cookies.
Analytics-cookies (valgfrit, kræver samtykke)
  • Vercel Analytics: Anonymiseret trafikanalyse (sidevisninger, brugerflows). Ingen personhenførbar data. Aktiveres kun ved dit samtykke.

Du kan til enhver tid trække dit samtykke til analytics-cookies tilbage via cookiebanneret på platformen eller ved at kontakte os.

9. Sikkerhed

Vi tager sikkerheden af dine personoplysninger alvorligt og anvender følgende tekniske og organisatoriske foranstaltninger:

  • Kryptering i transit: Al kommunikation mellem din browser og platformen er krypteret via TLS 1.2/1.3 (HTTPS).
  • Kryptering at rest: Databaseindhold og uploadede filer krypteres i hvile (AES-256 eller tilsvarende) af henholdsvis Neon og Vercel.
  • Adgangsstyring: Adgang til produktionssystemer er begrænset til autoriseret personale med princippet om mindste privilegium (least privilege).
  • Multi-faktor-autentificering (MFA): MFA er tilgængeligt for alle brugere og anbefales stærkt. Kan aktiveres via kontoindstillinger.
  • Fejlsporing: Automatisk fejldetektering via Sentry sikrer hurtig reaktion på sikkerhedshændelser.
  • Multi-tenant isolering: Data fra forskellige kunder er logisk adskilt på databaseniveau med row-level security og tenant-scoped queries.

Ved sikkerhedshændelser der kan påvirke dine oplysninger underetter vi dig og Datatilsynet inden for 72 timer i overensstemmelse med GDPR Art. 33-34.

10. International overførsel af data

Vi tilstræber at holde alle behandlinger inden for EU/EØS. Nedenfor ses den aktuelle datalokaliseringsmatrix:

  • Neon (database): AWS EU-West (Frankfurt, eu-central-1) — inden for EU.
  • Vercel (hosting): Edge-netværk med EU-region aktiveret. Statiske assets kan caches globalt via CDN.
  • Clerk (auth): EU-datacenter tilgængeligt og aktiveret.
  • Stripe (betaling): EU-region (Irland). Stripe er certificeret under EU-US Data Privacy Framework.
  • Resend (e-mail): Infrastruktur primært i USA. Overførsel baseres på EU-standardkontraktklausuler (SCC).
  • Sentry (fejlsporing): EU-region (sentry.io/eu) — inden for EU.
  • Mapbox (kort): USA. Kortvisningsforespørgsler behandles af Mapbox. Overførsel baseres på SCC. Personhenførbare oplysninger behandles ikke direkte af Mapbox.

For overførsler til lande uden for EU/EØS sikres et passende beskyttelsesniveau via EU-standardkontraktklausuler (SCC) i overensstemmelse med GDPR Art. 46.

11. Kontakt vedr. GDPR og databeskyttelse

Spørgsmål om vores behandling af personoplysninger, udøvelse af dine rettigheder eller ønsker om en kopi af databehandleraftalen kan rettes til:

Vi bestræber os på at besvare alle henvendelser inden for 10 arbejdsdage.

12. Tilsynsmyndighed

Hvis du mener, at vores behandling af dine personoplysninger er i strid med databeskyttelseslovgivningen, har du ret til at indgive en klage til den kompetente tilsynsmyndighed:

Vi opfordrer dig dog til at kontakte os direkte i første omgang, da vi ønsker mulighed for at løse eventuelle uenigheder hurtigst muligt.