Behandlingsansvarlig
Canvas Designer drives som et uavhengig prosjekt av Kaspar Bredahl Rasmussen. Kontakt: kasparbredahl@proton.me
Hvilke data vi behandler
Når du bruker Canvas Designer, behandler vi følgende opplysninger om deg:
Ved innlogging
- E-postadressen din — lagres permanent for å identifisere kontoen din og sende deg innloggingslenker.
- Tidspunktet for din første og siste innlogging.
- En midlertidig engangskode («magisk lenke») som sendes til e-posten din og er gyldig i 15 minutter. Vi lagrer bare en kryptografisk SHA-256-hash av koden — aldri selve koden — slik at et databasebrudd ikke gir tilgang til lenker som fortsatt ligger i innboksene.
- En signert øktinformasjonskapsel i nettleseren din, gyldig i 30 dager med rullerende fornying. Kapselen er HMAC-SHA256-signert med serverens hemmelige nøkkel, merket
HttpOnly,SecureogSameSite=Lax. Selve sesjonen lagres ikke i databasen — den ligger bare i kapselen.
Når du lagrer et design
- Innholdet (HTML) i designet ditt, slik du har bygget det i verktøyet.
- En unik design-ID og tittelen du gir designet.
- Tidsstempler for når designet ble opprettet og sist endret.
- Metadata om dine designvalg: sidestil, merkevarefarger, ikonmodus, sideramme, elementteller. Dette er utelukkende dine egne innstillinger i verktøyet.
- Koblingen mellom designet og kontoen din (eierskap). Designene dine er private — bare du kan se dem.
Når du organiserer design i rom («spaces») og tags
- Navn og valgfri farge for rommene du lager.
- Valgfri kobling mellom et rom og et Canvas-emne (emne-ID og emnenavn) når du selv velger å koble dem sammen.
- Tags du knytter til designene dine (små bokstaver, tall, bindestrek, understrek).
Når du kobler til Canvas LMS
For å publisere eller hente sider til/fra en Canvas-instans må du selv skrive inn en personlig tilgangstoken («Personal Access Token») fra din Canvas-konto.
- Tokenen lagres lokalt i nettleseren din (
localStorage), ikke i vår database. Du kan fjerne den når som helst fra «Canvas LMS»-menyen i verktøylinjen. - Når du ber om data fra Canvas (f.eks. lister emner, publiserer en side), går forespørselen gjennom vår proxy-tjeneste. Proxyen videresender tokenen til Canvas og lagrer den aldri.
- Vi lagrer ikke Canvas-emnelister, sidetitler eller sideinnhold fra Canvas med mindre du eksplisitt velger å lagre det som et design hos oss.
Hva vi IKKE samler inn
Vi lagrer ikke IP-adresser, nettleser- eller enhetsinformasjon i applikasjonens database. Vi bruker ingen tredjeparts sporingsverktøy som Google Analytics, Matomo, Hotjar eller reklamepiksler. Vi profilerer deg ikke.
Webserveren der tjenesten kjører (Hetzner, Finland) fører automatiske tekniske tilgangslogger fra nginx som normalt inneholder IP-adresse og tidspunkt — disse brukes kun til feilsøking og sikkerhet, og roterer ut etter kort tid.
Formål med behandlingen
Vi bruker opplysningene dine utelukkende til:
- å autentisere deg og holde deg innlogget,
- å lagre, hente, endre og slette designene dine,
- å la deg organisere designene dine i rom og med tags,
- å la deg publisere design til din Canvas-instans når du selv velger det,
- å oppfylle dine rettigheter etter GDPR (eksport og sletting).
Vi bruker ikke opplysningene til markedsføring, profilering, annonsering, videresalg eller noen andre formål.
Rettslig grunnlag
Behandlingen bygger på ditt samtykke etter GDPR artikkel 6 nr. 1 bokstav a. Du gir samtykke når du logger inn og når du lagrer et design. Du kan trekke samtykket tilbake når som helst ved å be om sletting (se Dine rettigheter nedenfor).
Datalagring og sikkerhet
Opplysningene lagres i en PostgreSQL-database på Hetzner i Helsinki, Finland (EU). Databasen er konfigurert til å kun kommunisere over et lokalt Unix-socket — den er ikke eksponert på noen TCP-port. Tjenesten vår autentiserer seg mot databasen via operativsystemets «peer auth» uten passord.
All kommunikasjon mellom nettleseren din og serveren krypteres med HTTPS/TLS.
Engangskoder for innlogging er tilfeldig genererte 256-bits verdier og lagres bare som SHA-256-hash. Øktinformasjonskapsler er HMAC-SHA256-signert med en serverhemmelighet slik at de ikke kan forfalskes av klienten. Antall innloggingsforsøk er begrenset per e-postadresse.
Databasen sikkerhetskopieres hver natt med 14 dagers lokal oppbevaring og speiling til en Hetzner Storage Box i Helsinki (Finland, EU) via SSH. Alle kopier ligger innenfor EU/EØS. Tilbakestilling av en hel database fra sikkerhetskopi er testet end-to-end.
Tredjeparter og databehandlere
Canvas Designer er bygd for å minimere antall eksterne tjenester. Alle skrifttyper, ikoner, bilder og JavaScript-biblioteker tjenesten bruker, lastes fra vår egen server (Hetzner Helsinki) — ikke fra offentlige innholdsnettverk (CDN) som Fastly eller Cloudflare. Dette betyr at nettleseren din ikke kontakter amerikanske selskaper når du bruker verktøyet.
De eneste tredjepartene som er involvert er:
-
Mailpace (britisk registrert selskap, EU-hosting) — sender
innloggings-e-poster fra
no-reply@learnsmith.eu. Mailpace ser e-postadressen din og innholdet av innloggings-e-posten. - Hetzner Online GmbH (Tyskland; tjener driftes i Helsinki, Finland) — leverer serveren og off-site sikkerhetskopilageret. All data ligger i EU.
- Canvas LMS (Instructure) — kun når du selv kobler Canvas Designer til din Canvas-instans og eksplisitt velger å publisere eller hente en side. Instructure er ikke en databehandler for oss — du har en direkte kobling til din egen Canvas-instans og må forholde deg til din institusjons personvernregime for den koblingen.
Oppbevaring
- Brukerkontoen og designene dine lagres til du sletter dem.
- Engangskoder for innlogging har maks 15 minutters levetid og er merket brukt så fort de er konsumert.
- Øktinformasjonskapselen varer i opptil 30 dager (rullerende) eller til du logger ut.
- Sikkerhetskopier oppbevares i 14 dager (lokalt og off-site) før de roteres ut. En sletting av kontoen din vil dermed bli reflektert i sikkerhetskopiene innen 14 dager.
- Vi har per i dag ingen automatisk sletting av inaktive kontoer — du kan slette kontoen din når som helst via «Kontoinnstillinger».
Dine rettigheter
Etter GDPR har du rett til:
- Innsyn i opplysningene vi har om deg (art. 15) — bruk «Last ned alle mine data (JSON)» under «Kontoinnstillinger» for å få alt vi har lagret på deg.
- Retting av feilaktige opplysninger (art. 16) — rediger designene dine direkte i verktøyet, eller kontakt oss for å rette kontoopplysninger.
- Sletting (art. 17) — slett enkeltdesign via sletteknappen, eller slett hele kontoen via «Slett kontoen min» i kontoinnstillingene. Sletting av kontoen fjerner alle designene dine og innloggingskodene dine umiddelbart fra databasen, og innen 14 dager fra sikkerhetskopiene.
- Dataportabilitet (art. 20) — eksporten over er en maskinlesbar JSON-fil.
- Å trekke tilbake samtykke (art. 7 nr. 3) — slett kontoen din eller slutt å bruke tjenesten.
- Å klage til Datatilsynet (art. 77) — www.datatilsynet.no
Informasjonskapsler
Canvas Designer bruker én teknisk nødvendig informasjonskapsel: cdSession,
som holder deg innlogget i opptil 30 dager (rullerende). Den er merket HttpOnly,
SameSite=Lax og settes med Secure-flagget ved HTTPS-tilkobling.
Vi bruker ingen sporings-, analyse- eller markedsføringskapsler. Derfor ber vi ikke om samtykke til informasjonskapsler — den tekniske kapselen er unntatt samtykkekravet fordi den er strengt nødvendig for at du skal kunne være innlogget.
I tillegg lagrer Canvas Designer noen ikke-identifiserende innstillinger lokalt i
nettleseren din (localStorage), for eksempel språkvalg, din autolagrede
arbeidskladd, og eventuell Canvas-tilgangstoken du selv har lagt inn. Disse dataene
ligger kun på din enhet og sendes ikke til vår server med mindre du selv velger det
(f.eks. når du logger inn eller publiserer til Canvas).
Endringer i denne erklæringen
Hvis vi endrer hvordan vi behandler persondata, oppdaterer vi denne siden og endrer datoen øverst. Vesentlige endringer varsles via e-post til registrerte brukere.
Kontakt
For spørsmål om denne erklæringen eller for å utøve dine rettigheter, kontakt: kasparbredahl@proton.me