Sikkerhed og arkitektur

Hvordan vi beskytter jeres data

Senest opdateret: 26. juni 2026

Den her side er til jeres IT- og compliance-team. Den giver et hurtigt overblik over Launchrs arkitektur, sikkerhedsforanstaltninger og databehandling, så I kan vurdere om Launchr passer ind i jeres governance, inden vi taler om DPA-signing eller pilotprojekt.

Kort fortalt

Otte løfter

Det vigtigste først. Hvert løfte er underbygget af arkitektur og dokumentation længere nede, og af vores databehandleraftale, DPIA og Transfer Impact Assessment.

1

Jeres data deles ikke og sælges aldrig

Kun de underdatabehandlere der skal til for at levere tjenesten. Aldrig videresalg, aldrig markedsføring.

2

Der trænes ikke AI på jeres data

Anthropic, Google og ElevenLabs forbyder kontraktuelt træning på jeres indhold. Zero-retention og EU-residens kan slås til.

3

Alt krypteres

TLS 1.2+ i transit, AES-256 at hvile: database, fil-storage og sessions.

4

Data behandles og opbevares i EU/EØS

Compute i Stockholm, database i Zürich (EU-adequacy), storage og worker i EU. Kun AI-kald går til USA, under SCC.

5

GDPR fra bunden

I er dataansvarlig, vi er databehandler. DPA (art. 28), gennemført DPIA og fuld underdatabehandler-liste klar.

6

Isoleret fra alle andre kunder

Hver række er låst til jeres organisation via PostgreSQL Row-Level Security i deny-by-default.

7

Fuldt audit-spor

Hver handling logges med tidspunkt, bruger og hændelse, i en uudslettelig stream.

8

Sletning når I vil

Ved ophør slettes alle persondata inden 30 dage. Filer slettes permanent.

Når I dykker ned

Det fulde tekniske billede: arkitektur, data-residens, kryptering, adgangskontrol, underdatabehandlere og GDPR-processer.

Arkitektur i én sætning

Launchr er en multi-tenant SaaS-platform bygget på en serverless Next.js 16-applikation, hostet på Vercel med serverless-funktioner i EU (Stockholm/arn1), PostgreSQL (Supabase, Zürich) som primær database, Cloudflare R2 til fil-storage, Clerk til identitets-styring og en hærdet Fly.io- worker i Stockholm til video- og lyd-behandling.

Data-residency

Alle persondata og kundeoplevet data ligger i EU/EØS eller lande med EU-adequacy-beslutning:

  • PostgreSQL-database: Supabase, Zürich (Schweiz), land med EU-adequacy-beslutning
  • Fil-storage (video, lyd, billeder): Cloudflare R2, EU-region
  • Transcoding-worker: Fly.io, Stockholm (Sverige)
  • Email-levering (transaktionel + inbound): Resend, EU-region
  • Fejl-monitoring: Sentry, EU-region
  • Compute + hosting: Vercel, serverless-funktioner i EU (Stockholm/arn1) + global edge-cache

Identitets-styringen hos Clerk er den eneste komponent med tvær-regional infrastruktur, og bruger SCC + EU-data-residency for sessions-data.

Multi-tenant isolation

Hver organisation i Launchr får sit eget logiske rum i databasen. Hver række i hver tabel er scoped til organization_id og håndhævet via PostgreSQL Row-Level Security (RLS) i deny-by-default-mode. Det betyder at selv hvis koden skulle fejle et tjek, kan databasen ikke returnere data der ikke tilhører den autentificerede org.

Sletter I jeres org, kaskaderer sletningen til alle relaterede rækker (kampagner, leverancer, planer, produktioner, mv.). Filer i R2 slettes permanent inden 30 dage.

Kryptering

  • I transit: TLS 1.2+ på alle endpoints, inkl. interne service-til-service-kald. HSTS preload-listet med 2 års max-age + includeSubDomains.
  • At hvile: AES-256 hos Supabase (database), Cloudflare R2 (filer) og Clerk (sessions). Backup-snapshots krypteret med samme standard.
  • API-nøgler (Partner-API): Hashed-at-rest med SHA-256. Reveal-once ved oprettelse; kan tilbagekaldes per nøgle.
  • Hemmeligheder (env-vars): Hostet i Vercels miljø-styring + Supabase Vault. Roteres ved kompromittering eller medarbejder-fratrædelse.

Adgangskontrol og autentificering

  • SSO + OAuth: Email + Google (flere identity providers kan tilkobles efter ønske).
  • Multi-faktor-login: Tilgængeligt via Clerk for alle brugere; kan håndhæves på org-niveau efter aftale.
  • Rolle-baseret adgang: Org-medlemmer har én af tre roller: owner, admin eller member.
  • Session-håndtering: Konfigurerbar session-levetid hos Clerk; idle-logout efter 7 dage by default.
  • Produkt-tier per org: Vi kan begrænse hvilke moduler (Media, Medieplan, Production) en org har adgang til. Relevant for enterprise-kunder der kun bruger et delmængde.

Audit-spor

Hver ændring på domæne-niveau logges i en uudslettelig event- stream med tidspunkt, bruger-id og payload. Det dækker:

  • oprettelse, opdatering og sletning af kampagner og spots;
  • asset-uploads, transcoding-status og leverancer;
  • godkendelser og afvisninger via share-links;
  • email-send og indkomne svar med klassifikation;
  • tilbud, fakturaer og betalingsstatus i Production.

Audit-loggen er læsbar for org-admins via UI'en. Komplet eksport som JSON/CSV er tilgængelig på forespørgsel (kommende: self-service eksport i UI'en).

Backup og recovery

  • Database: Supabase tager point-in-time backups med 7-dages restore-vindue.
  • Filer: R2 er multi-region replikeret inden for EU.
  • Recovery Time Objective (RTO): Vi sigter mod 4 timer for kritiske systemer.
  • Recovery Point Objective (RPO): Maks 1 time data-tab for database; nul tab for filer.

Krydsgrænse-overførsler

De fleste data forbliver i EU. To kategorier af tjenester har komponenter i USA:

  • AI-behandling: Anthropic (Claude: tekst), Google (Gemini/Nano Banana: billeder; Veo: film i Akademi) og ElevenLabs (stemme) bruges til specs-parsing, manus, klassifikation, storyboard-billeder samt film- og voiceover-generering. Alle er underlagt SCC; data bruges ikke til træning, og zero-retention + EU-data-residens kan slås til hos hver leverandør. Parallel film-rendering kører på AWS Lambda i EU-region.
  • Hjælpe-tjenester: Clerk (identitet), Inngest (job-orchestration), Twilio (SMS, kun Production) og Google Maps (geocoding, kun Production), alle med SCC.

Overførsler sker på grundlag af EU-Kommissionens Standard Contractual Clauses (2021/914) og for visse leverandører desuden under EU-US Data Privacy Framework. Transfer Impact Assessment (TIA) er tilgængelig på forespørgsel.

Sårbarheds-håndtering

  • Dependabot: Åbner ugentlige PRs for opdateringer; security-PRs ugen rundt.
  • CI-gate: npm audit på high+critical CVEs blokerer merges der introducerer nye sårbarheder.
  • Type-safety: TypeScript strict mode + Zod-validering på alle API-grænser forhindrer hele klasser af bugs.
  • Sikkerhedsheaders: CSP, HSTS, X-Frame-Options DENY, strict referrer-policy, Permissions-Policy med restriktive defaults.

Brud på persondatasikkerheden

Hvis vi opdager et brud, varsler vi jer som dataansvarlig uden ugrundet ophold (senest 24 timer efter opdagelse) med information om bruddets natur, omfang, sandsynlige konsekvenser og afbødende foranstaltninger. Vores rolle som databehandler gør jer i stand til at opfylde jeres anmeldelses-pligt over for Datatilsynet inden for 72 timer (GDPR art. 33).

GDPR-rettigheder I kan udøve på jeres registreredes vegne

Som dataansvarlig kan I bede os om:

  • at udlevere alle data om en specifik person i et almindeligt format;
  • at rette eller slette specifikke personers data;
  • at standse behandlingen midlertidigt;
  • at udlevere det fulde audit-spor for jeres behandling;
  • at slette alle data ved opsigelse (sker automatisk inden 30 dage).

Anmodninger sendes til hello@launchr.dk. Vi svarer inden 30 dage.

DPIA-vurdering

Vi har gennemført en Data Protection Impact Assessment for Launchr og vurderet, at behandlingen ikke udgør en høj risiko for jeres registreredes rettigheder. Behandlingen omfatter ikke særlige kategorier (GDPR art. 9), foretager ikke automatiseret beslutningstagning med retsvirkninger (art. 22) og er begrænset til kontaktoplysninger og kampagne-metadata.

Hvis I selv har behov for en DPIA på jeres specifikke brug af Launchr, leverer vi den dokumentation I skal bruge, herunder data-flow-diagram, sub-processor-roller og krydsgrænse-vurderinger.

Certificeringer og planlagte tiltag

Vores sikkerhedsmodel skelner mellem det, der er implementeret i dag, og det, der er planlagt:

  • I dag: GDPR-konform arkitektur; Standard Contractual Clauses for overførsler til USA; gennemført DPIA og Transfer Impact Assessment; løbende sårbarhedshåndtering (Dependabot + npm audit som CI-gate); hændelses- og fejl-monitorering via Sentry.
  • Under planlægning (2026–2027): ISO 27001-certificering, SOC 2 Type II, ekstern penetrationstest samt formel test af beredskabs- og reetableringsplan (BCP/DR).

Dokumentationen bag hvert punkt (DPIA, Transfer Impact Assessment og databehandleraftale) udleveres på forespørgsel.

Underdatabehandlere

Den fulde liste over underdatabehandlere (inklusive roller, placering og overførselsmekanismer) findes i databehandleraftalen. Vi varsler jer mindst 30 dage før ændringer træder i kraft, så I kan gøre indsigelse.

Spørgsmål?

Skriv til hello@launchr.dk. Vi svarer normalt samme dag på sikkerhedsspørgsmål fra potentielle enterprise-kunder. Hvis I har en specifik compliance-skabelon I gerne vil have os til at udfylde (TISAX, ISO-overlapping, NIS2-vurdering), så send den. Vi har bygget systemet med den slags processer for øje.