Personvernerklæring — Docuflyt
Utkast — må gjennomgås av advokat før publisering på docuflyt.no/personvern.
Sist oppdatert: 2026-05-18
1. Hvem er ansvarlig for personvern?
[SELSKAP] (org.nr. [ORGNR]) Adresse: [ADRESSE] E-post: [E-POST]
Vi er behandlingsansvarlig for personopplysninger vi behandler på våre egne nettsider (docuflyt.no) og for våre interne ansatt-relasjoner. For data som behandles på vegne av våre kunder gjennom Docuflyt er vi databehandler — der er kunden vår behandlingsansvarlig. Se egen databehandleravtale (DPA) for detaljer.
2. Hvilke personopplysninger behandler vi?
På nettsidene våre (docuflyt.no) - IP-adresse, brukeragent, besøk-historikk (via egen logg / analytics) - E-post og navn hvis du melder deg på nyhetsbrev eller kontakter oss - Cookie-data (kun nødvendige cookies — ingen tracking-cookies som default)
Når du bruker Docuflyt som registrert bruker - Navn, e-postadresse, telefonnummer - Rolle og arbeidsgiver - IP-adresse, brukeragent, login-historikk - Innholdet i dokumenter du laster opp eller signerer - Signatur (tegnet, skrevet eller via BankID — lagres som hash + embedded i PDF) - Audit-logger over dine aktiviteter
Som mottaker av signeringsforespørsel Hvis du mottar en signeringslenke fra en av våre kunder: - E-postadresse (gitt av vår kunde) - IP-adresse, brukeragent ved signering - Tidspunkt for åpning og signering - Signaturbilde (lagres embedded i PDF, ikke i klartekst i database)
3. Hvorfor behandler vi opplysningene?
| Formål | Behandlingsgrunnlag |
|---|---|
| Levere tjenesten | Kontrakt (GDPR art. 6(1)(b)) |
| Oppfylle rettslige forpliktelser (bokføringsloven, eIDAS-bevissikring) | Rettslig forpliktelse (art. 6(1)(c)) |
| Sikre system mot misbruk og bedrag | Berettiget interesse (art. 6(1)(f)) |
| Sende ut nyhetsbrev og produktoppdateringer | Samtykke (art. 6(1)(a)) — kan trekkes tilbake når som helst |
| Forbedre tjenesten (anonymisert statistikk) | Berettiget interesse (art. 6(1)(f)) |
4. Hvem deler vi data med?
Vi deler personopplysninger med følgende underleverandører som hjelper oss å levere tjenesten:
| Tjeneste | Hva de behandler | Lokasjon |
|---|---|---|
| Vercel | Hosting, compute, Blob-storage for PDF-er | EU — selskap i USA |
| Neon | Database (Postgres) | EU (Frankfurt) — selskap i USA |
| Criipto | BankID-identifikasjon og signering | EU (Danmark) |
| Resend | Utsending av e-post (signeringslenker, OTP, varsler) | Selskap i USA |
| Innlogging via Google OAuth (valgfritt) | Selskap i USA |
For amerikansk-eide leverandører bruker vi standardkontraktbestemmelser (SCC) og EU-US Data Privacy Framework (DPF) der relevant. Full liste oppdateres på [docuflyt.no/legal/sub-processors].
Vi selger eller deler ikke personopplysninger med andre tredjeparter for markedsføring.
5. Hvor lenge lagrer vi data?
| Datatype | Oppbevaring |
|---|---|
| Signerte dokumenter | 10 år (krav fra bokføringsloven og avtalebevis) |
| Audit-logger | 10 år (knyttet til signerte dokumenter) |
| Brukerkonto | Inntil bruker selv ber om sletting eller kontoen sies opp |
| Session-cookies | Maks 7 dager |
| OTP-koder | 10 minutter |
| Passord-reset-tokens | 1 time |
| E-post for marketing | Inntil samtykke trekkes |
| Webserver-logger | 90 dager |
6. Hvor er dataen lagret?
Personopplysninger i strukturert form lagres innenfor EU/EØS. Vi bruker: - Neon Postgres i Frankfurt (Tyskland) - Vercel for hosting og Blob-storage - Criipto i Danmark for BankID
E-postutsending skjer via Resend, et amerikansk-eid selskap. Innlogging via Google OAuth behandles av Google, et amerikansk-eid selskap. Administrative funksjoner (hosting, logging, support) kan medføre overføring til USA. For dette bruker vi standardkontraktbestemmelser (SCC) og DPF.
7. Dine rettigheter (GDPR)
Du har rett til:
- Innsyn (art. 15): Få vite hvilke opplysninger vi behandler om deg
- Korrigering (art. 16): Få rettet feilaktige opplysninger
- Sletting (art. 17): Få slettet opplysninger ("rett til å bli glemt"), med visse begrensninger (f.eks. kan vi ikke slette signerte avtaler innen 10-års-perioden)
- Begrensning (art. 18): Be om at vi midlertidig stopper behandlingen
- Dataportabilitet (art. 20): Få utlevert dine opplysninger i et maskinlesbart format
- Innsigelse (art. 21): Motsette deg behandling basert på berettiget interesse
- Klage til Datatilsynet (datatilsynet.no)
Henvendelser sendes til [E-POST]. Vi svarer innen 30 dager.
8. Hvordan vi sikrer dataen
- TLS 1.3 for all kommunikasjon
- AES-256-kryptering at rest hos underleverandører
- Multi-faktor-autentisering for ansatte med produksjonstilgang
- Workspace-isolering på databasenivå
- Daglige backup-er (Neon point-in-time-recovery)
- SHA-256 hash av signerte dokumenter (bevisintegritet)
- Regelmessig sikkerhetsrevisjon
Detaljer i vår tekniske sikkerhetsdokumentasjon (SECURITY.md i kodebasen, tilgjengelig på forespørsel for kunder).
9. Cookies
Vi bruker kun nødvendige cookies for å la deg være innlogget og bruke tjenesten. Vi bruker ikke tracking-cookies, reklame-cookies eller tredjeparts-analytics-cookies som default.
Hvis du bruker Google for innlogging, plasserer Google sine egne cookies — se Google sin egen cookie-policy.
10. Endringer i denne erklæringen
Vi kan oppdatere denne erklæringen ved endringer i tjenesten eller lovverket. Vesentlige endringer varsles via e-post til registrerte brukere. Sist oppdatert-dato vises øverst.
11. Kontakt
Spørsmål om personvern: - E-post: [E-POST] - Adresse: [SELSKAP], [ADRESSE]
Klage: - Datatilsynet: datatilsynet.no | postkasse@datatilsynet.no