Kort version (60 sekunder)
Vi gemmer dit navn, din e-mail og dine prøveresultater. Det er det.
Vi sælger ikke dine data. Vi sender ikke reklamer. Vi bruger ingen tredjepartstrackere. Du kan altid bede os slette alt, og det sker inden 30 dage.
1 Dataansvarlig
LæsSmartAI drives som enkeltmandsvirksomhed i Danmark og er dataansvarlig for de personoplysninger som behandles via tjenesten. Vi har ikke pligt til at udpege en databeskyttelsesrådgiver (DPO), men du kan altid skrive til os om alle persondata-spørgsmål:
- Navn: Lukas Lund (kontaktperson for LæsSmartAI)
- E-mail: lukas@laessmartai.dk
- Web: læssmartai.dk
- Land: Danmark
Vi svarer normalt inden 5 hverdage. Henvendelser om dine GDPR-rettigheder besvares senest 30 dage efter modtagelse, jf. GDPR art. 12, stk. 3.
2 Hvilke persondata behandler vi?
Vi følger princippet om dataminimering (GDPR art. 5, stk. 1, litra c): vi indsamler kun det der er nødvendigt for at levere tjenesten. Konkret behandler vi:
| Datatype | Hvad gemmes | Hvor |
|---|---|---|
| Kontooplysninger | Navn, e-mail, hashet adgangskode (vi kan ikke selv læse den) | Supabase Auth (EU) |
| Prøveresultater | Karakter, antal rigtige, svar pr. spørgsmål, dato, varighed, sværhedsgrad | Supabase DB (EU) |
| Læringsfremskridt | Streaks, trofæer, badges, XP, læsetræ-fremdrift | Supabase DB (EU) |
| Konkurrencerum | Hvilke rum du er medlem af, dine scores i rummet, dit kælenavn (kun synligt for andre i rummet) | Supabase DB (EU) |
| Lærer-noter | Hvis du er lærer: tekstbeskeder du sender til elever — kun synlige for dig og modtageren | Supabase DB (EU) |
| Sessions-token | Et JWT-token i din browser så du forbliver logget ind (udløber automatisk) | Din browser (lokal lagring) |
| Server-logs | IP-adresse, tidspunkt, fejlbeskeder — automatisk genereret, anvendes kun til drift og fejlsøgning | Cloudflare & Supabase |
- Din IP til marketing, profilering eller annoncering
- Din browser-historik eller hvilke sites du ellers besøger
- Din placering (GPS, IP-geolokation eller andet)
- Følsomme persondata (sundhed, religion, politiske holdninger osv. — GDPR art. 9)
- Personoplysninger om dine familiemedlemmer eller venner
- CPR-numre eller anden officiel ID
3 Formål & retsgrundlag
Vi behandler dine data til specifikke, udtrykkeligt angivne og legitime formål. For hvert formål har vi et retsgrundlag i GDPR art. 6:
| Formål | Retsgrundlag (GDPR art. 6) |
|---|---|
| Levere kontoadgang og holde dig logget ind | Art. 6, stk. 1, litra b — opfyldelse af kontrakt |
| Gemme og vise dine prøveresultater og fremskridt | Art. 6, stk. 1, litra b — opfyldelse af kontrakt |
| Vise dit kælenavn i konkurrencerum til klassekammerater | Art. 6, stk. 1, litra a — samtykke (du vælger selv at joine) |
| Sende bekræftelses-mails og nulstil-adgangskode-mails | Art. 6, stk. 1, litra b — opfyldelse af kontrakt |
| Drive og fejlsøge platformen (server-logs) | Art. 6, stk. 1, litra f — legitim interesse i sikker drift |
| Overholde lovkrav (fx ved retskendelse) | Art. 6, stk. 1, litra c — retlig forpligtelse |
Vi udfører ingen automatiseret beslutningstagning eller profilering med retsvirkning for dig (GDPR art. 22). AI-feedback i appen er udelukkende vejledende og påvirker ikke din karakter til den rigtige FP9-prøve.
4 Hvem deler vi data med?
Vi sælger aldrig dine data, og vi deler dem ikke til marketing- eller annonceformål. Vi bruger følgende databehandlere for at kunne drive tjenesten. Der er indgået databehandleraftale (DPA) med hver enkelt i overensstemmelse med GDPR art. 28:
| Underleverandør | Funktion | Region |
|---|---|---|
| Supabase, Inc. | Hosting af database, authentication og e-mail-udsendelse | EU (Frankfurt) |
| Cloudflare, Inc. | Hosting af statiske filer (frontend) og DDoS-beskyttelse | EU + global edge |
| Google Fonts | Indlæsning af tekstskrifttype (Inter) ved sidens visning | Global CDN |
Vi videregiver kun persondata til offentlige myndigheder hvis vi er retligt forpligtet til det (fx ved retskendelse) jf. GDPR art. 6, stk. 1, litra c.
5 Tredjelandsoverførsler
Som udgangspunkt opbevares alle dine personoplysninger på servere inden for EU/EØS (Supabase i Frankfurt, Tyskland).
I begrænset omfang kan tekniske metadata (fx fejl-logs) blive behandlet via Cloudflares globale netværk, herunder USA. Når dette sker, sker det på grundlag af:
- EU's standardkontraktbestemmelser (SCC) i den seneste version af 2021, jf. GDPR art. 46, stk. 2, litra c
- Cloudflare og Supabases certificeringer under EU-US Data Privacy Framework
- Supplerende tekniske foranstaltninger (TLS-kryptering under overførsel, kryptering at-rest)
Du kan få en kopi af det relevante overførselsgrundlag ved at skrive til os.
6 Hvor længe gemmer vi dine data?
Vi opbevarer dine data så længe du har en aktiv konto. Konkret:
- Aktiv konto: Alle data gemmes så længe kontoen eksisterer.
- Inaktiv konto (ingen login i 24 måneder): Vi sender en påmindelse på e-mail. Reagerer du ikke inden 30 dage, sletter vi kontoen og alle tilknyttede data automatisk.
- Hvis du selv beder om sletning: Alle persondata slettes inden 30 dage. Anonymiserede aggregeringer (samlet antal prøver taget på platformen osv.) kan bevares.
- Server-logs: Tekniske logs slettes automatisk efter 30 dage.
- Bogføringsmateriale: Hvis du har betalt for en plan, opbevares fakturaoplysninger i 5 år, jf. bogføringsloven § 12.
7 Dine rettigheder
Du har efter GDPR kapitel III en række rettigheder. Du kan til enhver tid udøve dem ved at skrive til os på lukas@laessmartai.dk. Det er gratis, og vi svarer senest inden 30 dage.
Ret til indsigt
Få at vide hvilke data vi har om dig — og få en kopi tilsendt. (Art. 15)
Ret til berigtigelse
Få rettet forkerte eller ufuldstændige oplysninger. (Art. 16)
Ret til sletning
Få slettet dine data — "retten til at blive glemt". (Art. 17)
Ret til begrænsning
Bed os om midlertidigt at standse behandlingen. (Art. 18)
Dataportabilitet
Få dine data udleveret i et maskinlæsbart format (JSON). (Art. 20)
Ret til indsigelse
Gør indsigelse mod behandling baseret på legitim interesse. (Art. 21)
Tilbagekald samtykke
Træk dit samtykke tilbage — uden konsekvenser for dig. (Art. 7, stk. 3)
Klageret
Klag til Datatilsynet hvis du er utilfreds. (Art. 77 — se §12)
For at sikre os at vi ikke giver dine data til en uvedkommende, kan vi i sjældne tilfælde bede dig bekræfte din identitet ved at logge ind eller besvare et spørgsmål fra kontoens oprettelse. Vi beder aldrig om CPR eller billede af pas.
8 Børn og unge under 15 år
LæsSmartAI er målrettet elever i 8. og 9. klasse (typisk 14–16 år). I Danmark er den digitale samtykkealder 13 år, jf. databeskyttelsesloven § 6, stk. 3. Brugere over 13 år kan altså selv give samtykke til at oprette en konto.
Vi tager ekstra hensyn til alle mindreårige brugere:
- Kælenavnet i konkurrencerum vises kun for andre medlemmer af samme rum — aldrig offentligt
- Vi viser ingen reklamer — heller ikke fra tredjeparter
- Vi sælger aldrig data om mindreårige
- Forældre kan til enhver tid skrive til os og bede om indsigt eller sletning på deres barns vegne
9 Cookies og lokal lagring
Vi bruger kun strengt nødvendige cookies til at få tjenesten til at virke. Vi bruger ingen marketing-, analyse- eller trackingcookies. Derfor viser vi heller ikke en irriterende cookie-banner — du behøver ikke samtykke til noget vi ikke gør.
| Cookie / lagring | Formål | Varighed |
|---|---|---|
| sb-access-token (localStorage) | Holder dig logget ind | Op til 1 uge / til du logger ud |
| sb-refresh-token (localStorage) | Forny login uden at du skal taste kodeord igen | Op til 30 dage |
| laessmartai-prefs (localStorage) | Husker dine UI-indstillinger (lyd, tema, side-tilstand) | Permanent indtil du sletter |
Du kan slette alt lokalt lagret data ved at logge ud, eller ved at rydde browserens data for læssmartai.dk.
10 Sikkerhed
Vi har implementeret passende tekniske og organisatoriske foranstaltninger, jf. GDPR art. 32:
- HTTPS / TLS 1.3 på alle forbindelser — ingen data sendes ukrypteret
- Hashing af adgangskoder med bcrypt — vi kan ikke se din kode, end ikke vi selv
- Row-Level Security (RLS) i databasen — du kan kun se dine egne rækker
- Kryptering at-rest via Supabase (AES-256)
- Daglige backups af databasen i 7 dage
- Adgangsstyring — kun den dataansvarlige har adgang til produktionsdatabasen
- To-faktor-godkendelse (2FA) på alle administrative konti
11 Du kan klage til Datatilsynet
Hvis du mener at vi ikke behandler dine data korrekt, vil vi meget gerne høre fra dig først — så vi har en chance for at rette op på det. Men du har altid ret til at klage direkte til den danske tilsynsmyndighed:
Datatilsynet
Carl Jacobsens Vej 35, 2500 Valby
Telefon: 33 19 32 00
E-mail: dt@datatilsynet.dk
Web: www.datatilsynet.dk
12 Ændringer i denne politik
Vi kan opdatere denne privatlivspolitik når lovgivningen ændrer sig, eller hvis vi tilføjer nye funktioner i appen. Når vi gør det:
- Den øverste dato (senest opdateret) på siden bliver opdateret
- Versionsnummeret går op
- Ved væsentlige ændringer (fx nye datakategorier eller nye databehandlere) sender vi en e-mail til alle aktive brugere mindst 14 dage før ændringen træder i kraft
- Hvis ændringen kræver nyt samtykke, beder vi om det aktivt inden vi anvender det
Tidligere versioner af politikken kan rekvireres ved henvendelse.
13 Spørgsmål? Skriv til os.
Vi tager dine spørgsmål alvorligt og svarer altid. Skriv hvis du vil have indsigt, hvis du ønsker noget rettet eller slettet, eller hvis du bare vil forstå hvordan en specifik ting fungerer.
✉ lukas@laessmartai.dk ↑ Tilbage til forsiden