Teknisk Bilag – QTI

Dato: 2025-11-15
Ansvarlig: Mikkel Freltoft Krogsholm

Dette bilag beskriver de tekniske og organisatoriske sikkerhedsforanstaltninger (TOM’er) for QTI i henhold til GDPR artikel 32.

1. Hosting og Dataplacering

• Hosting: DigitalOcean LLC
• Region: Frankfurt (EU)
• Certificeringer: ISO 27001, SOC 2 Type II
• DPA: Tilgængelig hos udbyderen

2. Kryptering

• Data i transit: HTTPS (TLS 1.2+), HSTS aktiv
• Data i hvile: Krypterede managed backups
• Passwords: Bcrypt hashing
• Elevdata: Ikke-personhenførbare (anonyme tokens)

3. Adgangskontrol

• Role-based adgang (superuser → admin → teacher)
• JWT autentificering
• Multi-tenant isolation
• Database ikke offentligt tilgængelig (kun internt netværk)

4. Backup

• Daglige automatiske backups
• Retention: 28 dage
• Restore via hostingudbyder

5. Logging og Monitoring

• Strukturerede applikationslogs
• Log-opbevaring: maks. 90 dage
• IP-anonymisering efter retention
• Systemmonitorering og healthchecks

6. Email

• Udbyder: Simply.com (Danmark)
• Kryptering: STARTTLS
• Formål: Invitations- og password-reset mails (ingen elevdata)

7. Adgange (Drift)

• Brokk og Sindre ApS: Driftadgang til infrastruktur og database
• MLN Learn I/S: Superuser-adgang i QTI
• Skoler: Admin og teacher adgang i QTI

8. Underdatabehandlere

• DigitalOcean LLC – hosting (EU)
• Simply.com A/S – email (DK)

Næste review: Årligt eller ved væsentlige ændringer.