Norly
Tilbage til forsiden

Juridisk

Privatlivspolitik

Vi behandler kun de personoplysninger der er nødvendige for at drive Norly. Her er præcis hvilke data vi gemmer, hvorfor, hvor længe, hvem vi deler med — og hvilke rettigheder du har.

Sidst opdateret: 29. april 2026

1.Dataansvarlig

Cloud Ninja Consulting ApS er dataansvarlig for behandlingen af dine personoplysninger på Norly.io.

Selskab

Cloud Ninja Consulting ApS

CVR

46044118

Land

Danmark

Kontakt

hey@norly.io

Vi har ikke en formel databeskyttelsesrådgiver (DPO), da vi ikke opfylder kriterierne i GDPR artikel 37. Henvendelser om persondata besvares dog altid inden for 30 dage, jf. GDPR.

2.Hvilke data vi indsamler

Når du opretter en konto (fan eller skaber)

  • Email-adresse
  • Adgangskode (kun gemt som krypteret hash, vi kan ikke se den)
  • Navn (valgfrit)
  • For skabere: en URL til den kanal du udgiver indhold på (RSS-feed, YouTube-kanal eller blog)
  • For skabere: profil-data (kort beskrivelse, avatar, FAQ, eksterne links) som du selv vælger at udfylde

Når du støtter en skaber

  • Kortoplysninger: går direkte til Stripe. Norly ser eller gemmer aldrig dit kortnummer, udløbsdato eller CVV. Vi gemmer kun et opaque token (Stripe Customer ID og Payment Method ID) der bruges til fremtidige opkrævninger du selv har godkendt.
  • Email og navn: du indtaster dem ved checkout, så skaberen kan kvittere for støtten og vi kan sende dig kvitteringer.
  • Beløb og dato for hver støtte/transaktion.
  • For pr. udgivelse-støtte: hvilket månedligt loft du har sat.

Når du modtager støtte (skaber)

  • Stripe Connect-account ID. Stripe foretager selv en KYC-procedure hvor de indhenter CPR/CVR, adresse, fødselsdato osv. Disse data gemmes hos Stripe, ikke hos Norly. Vi modtager kun en boolean der fortæller om din konto er klar til at modtage betalinger.
  • Aggregerede statistik om indkomne støtter (beløb, antal, datoer).

Tekniske og adfærdsmæssige data

  • IP-adresse, der bruges til sikkerhed (rate limiting, fraud detection) og dernæst slettes/aggregeres efter 30 dage.
  • Browser-string (User-Agent), kun til debugging af platform-fejl.
  • Aggregeret sidevisning på offentlige skaber-profiler (anonymt tæller — ingen cookie, ingen unik identifikation pr. besøgende).
  • Session-cookie (auth_token) når du er logget ind — sættes af Supabase Auth.

3.Hvorfor vi behandler dine data (formål og retsgrundlag)

Vi behandler kun data til specifikke formål med et klart juridisk grundlag.

Opfyldelse af aftale (GDPR art. 6, stk. 1, litra b)

  • At gennemføre dine støtter til skabere (kerneformålet ved tjenesten)
  • At give dig adgang til Mine abonnementer og lade dig administrere dem
  • At sende dig kvitteringer for hver gennemført betaling

Lovkrav (GDPR art. 6, stk. 1, litra c)

  • At opbevare regnskabsdata (transaktioner, beløb, datoer) i 5 år jf. bogføringsloven §10 — også efter du har slettet din konto
  • At udlevere oplysninger til skattemyndighederne på korrekt forespørgsel

Legitim interesse (GDPR art. 6, stk. 1, litra f)

  • At forebygge svindel og misbrug af platformen — vores legitime interesse i at drive en sikker tjeneste vejer her tungere end den marginale indvirkning på dit privatliv
  • At forbedre platformen via aggregerede sidevisninger og fejl-logning (intet personligt sporing)
  • At dele dit navn og email med den specifikke skaber du støtter, så de kan kvittere for din støtte. Du kan til enhver tid bede om at blive anonym (skriv til hey@norly.io)

Vi behandler ikke dine data til markedsføring uden dit aktive samtykke, og vi sælger eller udlejer aldrig data til tredjepart.

4.Hvor længe vi gemmer data

  • Kontodata (email, navn, profil): så længe din konto er aktiv. Sletter du kontoen, fjernes disse data inden for 48 timer.
  • Finansielle records (transaktioner, beløb, tidspunkter): 5 år efter regnskabsårets afslutning, jf. bogføringsloven. Disse data anonymiseres når kontoen slettes — navn, email og andet PII fjernes, men det rene transaktionstal (anonym) gemmes.
  • Stripe-tokens: slettes ved kontosletning ved at kontakte Stripe direkte.
  • IP-adresser i logs: 30 dage, derefter aggregeres til daglige tællere uden personhenvisning.
  • Webhook-events fra Stripe: 90 dage — vi bruger dem til at debugge betalingsproblemer og rekonciliere data.

5.Hvem vi deler data med

Vi deler kun data med de databehandlere der er nødvendige for at drive Norly. Hver af dem har en databehandleraftale med os, og er forpligtet til at behandle data i overensstemmelse med GDPR.

Stripe

Betalingsbehandling og KYC for skabere. Stripe Payments Europe Ltd, Irland, og Stripe Inc, USA. Overførsel til USA sker under Stripes Standard Contractual Clauses.

Supabase

Database og authentication. Supabase Inc, USA, men databasen er fysisk hostet i EU (Frankfurt-region). Standard Contractual Clauses.

Vercel

Hosting af selve webapplikationen. Vercel Inc, USA, hostet i EU-regioner. Standard Contractual Clauses.

Skaberen du støtter

Modtager dit navn og email så de kan kvittere for støtten og kontakte dig hvis nødvendigt. Du kan vælge at være anonym.

Vi deler ikke data med annoncenetværk, datamæglere eller andre tredjeparter til markedsføringsformål.

6.Internationale overførsler

Nogle af vores databehandlere (Stripe, Supabase, Vercel) er amerikansk-ejede. For at sikre at dine data er beskyttet på samme niveau som under EU-retten, overføres de udelukkende under EU Kommissionens Standard Contractual Clauses (2021/914), og — hvor relevant — under EU-US Data Privacy Framework hvor underleverandøren er certificeret.

Du kan rekvirere kopi af disse aftaler ved at skrive til hey@norly.io.

7.Dine rettigheder

Som registreret har du efter GDPR følgende rettigheder. De fleste af dem kan du udøve direkte i appen under Mine abonnementer → Mine data.

  • Indsigt — du kan downloade en JSON-fil med alle de data vi har om dig direkte fra appen.
  • Berigtigelse — opdater dit navn og email under kontoindstillinger; for andre rettelser, skriv til os.
  • Sletning — slet din konto direkte fra appen. Aktive støtter annulleres, dine personoplysninger fjernes, og kun anonymiserede regnskabstal bevares (lovkrav).
  • Begrænsning af behandling — kontakt os hvis du vil pause behandlingen af dine data midlertidigt.
  • Indsigelse — særligt mod behandling baseret på legitim interesse. Skriv til os og vi standser den specifikke behandling, med mindre vi kan dokumentere tvingende grunde der går forud for dine interesser.
  • Dataportabilitet — JSON-eksporten er i et maskinlæsbart format og kan importeres andetsteds.
  • Tilbagekaldelse af samtykke — i det omfang vores behandling beror på samtykke (sjældent, da vi primært baserer os på kontrakt og legitim interesse), kan du trække det tilbage uden at det påvirker tidligere lovlig behandling.

8.Cookies og lokal lagring

Norly bruger kun strengt nødvendige cookies til at holde dig logget ind. Vi sætter ikke analytiske cookies, marketing-cookies eller third-party-trackers. Læs detaljerne på /cookies.

9.Sikkerhed

Vi tager sikkerhed alvorligt. Konkret:

  • Al kommunikation til/fra Norly er TLS 1.2+ krypteret
  • Adgangskoder gemmes som bcrypt-hash via Supabase Auth — vi har aldrig din kode i klartekst
  • Kortdata håndteres udelukkende af Stripe (PCI-DSS Level 1 certificeret)
  • Database-adgang er begrænset af Row-Level Security policies; selv vores egne medarbejdere kan ikke læse en fans data uden at det logges
  • Vi reviewer alle ændringer før deployment og kører automatiserede tests for at fange regressioner

Skulle der opstå et databrud der kan udgøre høj risiko for dig, er vi forpligtet til at underrette dig og Datatilsynet inden for 72 timer jf. GDPR art. 33-34.

10.Klage

Hvis du mener vi behandler dine data i strid med GDPR, vil vi gerne høre fra dig først, så vi har chancen for at rette op: hey@norly.io.

Du kan også indgive klage direkte til Datatilsynet:

Datatilsynet

Carl Jacobsens Vej 35, 2500 Valby

Telefon

33 19 32 00

Web

datatilsynet.dk

11.Ændringer af denne politik

Hvis vi opdaterer politikken — f.eks. fordi vi tilføjer en ny databehandler eller udvider tjenesten — sender vi besked til den email der er tilknyttet din konto mindst 14 dage før ændringen træder i kraft, så du har mulighed for at gøre indsigelse eller slette din konto.

Datoen øverst på siden viser hvornår politikken senest blev opdateret.