Databehandleraftale - Banestyring

1. Parter

Dataansvarlig: Kunden (den organisation der opretter en konto på Banestyring)
Databehandler: Nahbo ApS ("Banestyring")

Denne aftale regulerer Banestyring's behandling af personoplysninger på vegne af Kunden.

2. Behandlingens art og formål

Banestyring behandler personoplysninger med det formål at levere en cloud-baseret løsning til banebooking, medlemshåndtering og betaling. Behandlingen omfatter:

Opbevaring og visning af medlemsdata
Håndtering af bookinger og betalinger
Afsendelse af email- og SMS-notifikationer
Generering af rapporter og statistik

3. Kategorier af registrerede

Kundens administratorer og medarbejdere
Klubmedlemmer
Gæster der booker baner

4. Typer af personoplysninger

Kontaktoplysninger: navn, email, telefon, adresse
Medlemsdata: medlemsnummer, fødselsdato, medlemskabstype
Bookingdata: tidspunkter, baner, betalingsstatus
Betalingsdata: transaktionshistorik (kortnumre håndteres af Stripe)
Tekniske data: IP-adresser, brugeragent (til sikkerhed)

5. Databehandlerens forpligtelser

Kun behandle data efter dokumenteret instruks fra Kunden
Sikre at personer med adgang til data er underlagt fortrolighed
Træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger
Bistå Kunden med opfyldelse af registreredes rettigheder
Slette eller returnere data ved ophør af aftalen
Stille nødvendig dokumentation til rådighed for audits

6. Sikkerhedsforanstaltninger

Kryptering: TLS 1.2/1.3 i transit, krypterede backups
Adgangskontrol: Rollebaseret adgang, bcrypt password hashing
Backup: Daglige automatiske backups, 7 dages retention, WAL archiving
Monitoring: Health monitoring, automatisk genstart ved fejl
Infrastruktur: Hetzner datacenter (ISO 27001), Cloudflare WAF
Container-sikkerhed: Read-only filesystem, minimal capabilities

7. Underdatabehandlere

Banestyring anvender følgende underdatabehandlere:

Virksomhed	Formål	Lokation
Hetzner Online GmbH	Server-hosting	Tyskland/Finland
Cloudflare Inc.	CDN, DDoS-beskyttelse	USA/EU
Stripe Inc.	Betalingsbehandling	USA/EU
Resend Inc.	Email-afsendelse	EU
GatewayAPI ApS	SMS-afsendelse	Danmark
Sentry (Functional Software)	Fejlsporing	USA/EU

Kunden underrettes om ændringer i underdatabehandlere med 30 dages varsel.

8. Overførsel til tredjelande

Personoplysninger opbevares primært i EU (Hetzner, Finland/Tyskland). Underdatabehandlere i USA er omfattet af EU-US Data Privacy Framework eller Standard Contractual Clauses (SCC).

9. Brud på persondatasikkerheden

Banestyring underretter Kunden om brud på persondatasikkerheden uden unødig forsinkelse og senest 48 timer efter at bruddet er opdaget. Underretningen indeholder en beskrivelse af bruddet, berørte data, konsekvenser og trufne foranstaltninger.

10. Varighed og ophør

Denne aftale gælder så længe Kunden har en aktiv konto. Ved ophør slettes alle personoplysninger inden 30 dage, medmindre opbevaring er påkrævet ved lov (f.eks. bogføringslovens 5-årige opbevaringspligt).

11. Kontakt

Nahbo ApS
Email: [email protected]
Web: banestyring.dk