1. Innledning
CRM AS («vi», «oss», «Leverandøren») leverer en skybasert CRM-løsning rettet mot norske håndverkerforetak. Personvern er en kjerneverdi for tjenesten, og denne erklæringen forklarer hvordan vi behandler personopplysninger i samsvar med:
- Europaparlaments- og rådsforordning (EU) 2016/679 (personvernforordningen, GDPR),
- Lov om behandling av personopplysninger (personopplysningsloven) av 15. juni 2018,
- Tilhørende forskrifter og veiledere fra Datatilsynet.
1.1 Anvendelsesområde
Denne erklæringen gjelder personopplysninger Leverandøren behandler som behandlingsansvarlig — typisk om Kundens administratorer, brukere og kontaktpersoner, samt besøkende på våre nettsider — i tillegg til en overordnet beskrivelse av personopplysninger Leverandøren behandler som databehandler på vegne av Kunden. Sistnevnte forhold reguleres i tillegg av Databehandleravtalen.
2. Behandlingsansvarlig og kontakt
CRM AS
Org.nr.: [BB]
Forretningsadresse: [adresse]
E-post: [e-post]
Personvernombud (DPO):
Navn: [navn]
E-post: [personvernombud@crm.no]
Telefon: [telefon]
Personvernombudet er oppnevnt frivillig etter personvernforordningen art. 37, og fungerer som Kundens og de registrertes kontaktpunkt i personvernspørsmål.
3. Roller — behandlingsansvarlig vs. databehandler
3.1 Vi er behandlingsansvarlig for:
- Personopplysninger om Kundens administratorer og brukere (navn, e-post, telefon, brukernavn, IP-adresse, sesjonsdata).
- Personopplysninger om rolleinnehavere i Kundens foretak hentet fra Brønnøysundregistrene for KYC-formål.
- Personopplysninger om besøkende på våre offentlige nettsider og personer som kontakter oss.
- Personopplysninger som behandles for å levere selve Tjenesten som et helhetlig produkt (drift, support, fakturering).
3.2 Vi er databehandler for:
Personopplysninger som Kunden registrerer eller lar registreres i Tjenesten om sine egne kunder, ansatte, samarbeidspartnere eller andre tredjeparter. Dette forholdet reguleres av DPA etter personvernforordningen art. 28.
4. Kategorier av personopplysninger
4.1 Som behandlingsansvarlig — om Kundens administratorer og brukere
- Identifikasjon: Navn, fødselsår, brukerprofilbilde.
- Kontakt: E-post, mobilnummer, jobbtittel.
- Autentisering: Hashet passord (Argon2id), 2FA-status, gjenopprettingskoder.
- Tekniske data: IP-adresse, enhets- og nettleseridentifikator, tidspunkt for innlogging.
- Brukeraktivitet: Sider besøkt, handlinger utført (audit-logg).
- KYC-data: Rolleinformasjon hentet fra Brønnøysunds Rolleregister.
- Fakturadata: Foretaks- og personnavn på fakturamottaker, betalingshistorikk.
4.2 Som databehandler — om Kundens sluttkunder, ansatte, leverandører
- Identifikasjon: Navn, organisasjonsnummer for selvstendig næringsdrivende.
- Kontaktopplysninger: Telefon, e-post, postadresse, fakturaadresse.
- Kommunikasjon: Anropslogg, samtaleopptak (dersom Kunden aktiverer), SMS-historikk, e-postutveksling, chat.
- Lokasjonsdata: GPS-koordinater fra ansattes innsjekk på byggeplass, kjøretøysporing der Kunden bruker dette.
- Foto og dokumentasjon: Bilder fra befaring, FDV-dokumentasjon, HMS-skjema.
- Finansielle opplysninger: Tilbud, fakturaer, betalingsstatus.
- Spesielle kategorier: Som hovedregel ikke. Helseopplysninger kan unntaksvis forekomme i HMS-skjema — Kunden er ansvarlig for at rettslig grunnlag etter art. 9 finnes.
5. Formål og rettslig grunnlag
Behandlingen baseres på følgende rettslige grunnlag (GDPR art. 6):
| Formål | Rettslig grunnlag |
|---|---|
| Levere og administrere Tjenesten | Avtale, art. 6(1)(b) |
| Fakturering og bokføring | Avtale + rettslig forpliktelse (bokføringsloven § 13) |
| Identifisering og KYC | Berettiget interesse, art. 6(1)(f); ekomloven § 2-8 |
| Sikkerhet og misbruksforebygging | Berettiget interesse, art. 6(1)(f) |
| Kundeservice og support | Avtale, art. 6(1)(b) |
| Markedsføring til eksisterende kunder | Berettiget interesse, mfl. § 15 (2) |
| Markedsføring til ikke-kunder | Samtykke, art. 6(1)(a) + mfl. § 15 |
| Brudd-håndtering og myndighetspålegg | Rettslig forpliktelse, art. 6(1)(c) |
Der vi baserer behandlingen på berettiget interesse, har vi gjennomført interesseavveiing og dokumentert at vår interesse ikke overstyres av den registrertes grunnleggende rettigheter.
6. Innhenting av personopplysninger
- Den registrerte selv — ved registrering, bruk av Tjenesten, support.
- Kundens administrator — som inviterer brukere eller registrerer kontakter.
- Offentlige registre — Brønnøysundregistrene (Foretaks-, Rolle- og Reservasjonsregisteret).
- Tredjeparts integrasjoner som Kunden kobler til.
- Automatisk — IP, enhets-/nettleserdata, audit-hendelser.
7. Oppbevaringstid
Personopplysninger lagres ikke lenger enn nødvendig for formålet, jf. personvernforordningen art. 5(1)(e).
- Aktiv brukerkonto: Avtaletiden + 6 måneder etter opphør.
- Fakturaer og bokføringsbilag: 5 år — bokføringsloven § 13 første ledd.
- Visse bygg-/eiendomsdokumenter: 10 år etter bokføringsforskriften.
- Sesjons-/innloggingstokens: 30 dager etter siste bruk.
- Audit-logg: 12 måneder, inntil 24 måneder ved sikkerhetshendelse.
- Backup: 30 dager rullende.
- Samtaleopptak (hvis aktivert): Inntil 90 dager med mindre Kunden setter kortere tid.
- Kontakthenvendelser: 24 måneder.
7.1 Anonymisering, ikke sletting
Der ufravikelig oppbevaringsplikt — særlig bokføringsloven § 13 — krever at vi beholder data lenger enn øvrige formål skulle tilsi, anonymiserer vi personopplysningene i den utstrekning det er mulig uten å miste bokføringsmessig sporbarhet. Anonymisering oppfyller retten til sletting etter art. 17 nr. 3 bokstav b når oppbevaringsplikten er det eneste rettsgrunnlaget som gjenstår.
7.2 Sletting etter avtalens opphør
Kunden har 30 dager etter opphør til å eksportere data. 90 dager etter opphør slettes eller anonymiseres personopplysninger som vi har behandlet på vegne av Kunden. Backup-eksemplarer rulleres ut innen ytterligere 30 dager.
8. Mottakere og databehandlere (subprosessorer)
Vi deler personopplysninger med følgende kategorier mottakere:
| Subprosessor | Tjeneste | Lokasjon | Overføringsgrunnlag |
|---|---|---|---|
| Telnyx LLC | Telefoni, SMS, nummer | USA (Texas) | SCC 2021/914 + supplerende tiltak |
| Hetzner Online GmbH [placeholder] | Hosting, lagring, backup | EU (FI, DE) | Innenfor EU/EØS |
| Postmark / Amazon SES | Transaksjons-e-post | USA / EU (Stockholm) | SCC 2021/914 / EU-intern |
| Stripe Payments Europe Ltd (planlagt) | Kortbetaling | EU + DBT med Stripe Inc. (USA) | SCC + Stripe DPA |
| Brønnøysundregistrene | Foretaks-, Rolle- og Reservasjonsregister | Norge | Offentlig register |
| Anthropic PBC | AI-utkast (valgfritt) | USA (California) | SCC 2021/914 + zero-retention |
| Sentry | Feilrapportering (IP-anonymisert) | EU (DE) | SCC ved konserninterne overføringer |
Andre mottakere: regnskapsfører/revisor (kun via Kundens egen integrasjonsaktivering), samt offentlige myndigheter der det følger av lov, dom eller forvaltningsvedtak.
Vesentlige endringer i subprosessorlista varsles til Kunden senest 30 dager før endringen trer i kraft, jf. DPA punkt 9.
9. Overføring til land utenfor EU/EØS
For overføringer til tredjeland benytter vi EUs standard kontraktvilkår (SCC) i versjonen vedtatt ved Kommisjonens gjennomføringsbeslutning (EU) 2021/914.
Vi har gjennomført Transfer Impact Assessment etter EU-domstolens dom Schrems II (C-311/18) og iverksatt blant annet:
- Kryptering i hvile (AES-256) og i transitt (TLS 1.3),
- Pseudonymisering der mulig,
- Avtalefestet plikt for subprosessor om å informere oss om myndighetshenvendelser innen lovens grenser,
- Subprosessorer med dokumentert FISA-mottiltak (særlig Telnyx),
- For Anthropic: zero-retention API som standard.
Dokumentasjon (TIA, SCC) er tilgjengelig for Kunden på forespørsel.
10. Informasjonskapsler og sporing
10.1 Strengt nødvendige cookies
Tjenestens innloggede deler bruker kun strengt nødvendige cookies, herunder sesjons-cookien crm_session. Disse krever ikke samtykke etter ekomloven § 2-7 b.
10.2 Sentry — feilrapportering
Vi bruker Sentry for feilrapportering med IP-anonymisering. Sentry settes opp uten cookies og logger ikke fingeravtrykk på enhetsnivå.
10.3 Ingen analytics
Vi bruker for tiden ikke analyseverktøy som Google Analytics, Meta Pixel eller tilsvarende. Skulle dette endre seg, vil vi innhente forhåndssamtykke og oppdatere denne erklæringen.
11. Markedsføring
Vi kan sende markedsføring om vår egen tjeneste til Kundens kontaktpersoner i samsvar med markedsføringsloven § 15 annet ledd. Mottaker kan reservere seg ved avregistreringslenken i e-posten eller ved å kontakte oss. For markedsføring til personer som ikke har et eksisterende kundeforhold, innhentes uttrykkelig samtykke etter mfl. § 15 første ledd, og oppslag mot Reservasjonsregisteret før kalde-oppringninger.
Vi gjennomfører ikke automatiserte avgjørelser med rettslige eller tilsvarende vesentlige virkninger, jf. art. 22.
12. Sikkerhet
- Tenant-isolasjon via Postgres Row-Level Security (FORCE-modus).
- TLS 1.3 i transitt med HSTS, AES-256 i hvile.
- Argon2id for passordhashing.
- 2FA via authenticator-app (TOTP) for administratorer.
- Audit-logg over alle state-endrende handlinger.
- Daglige krypterte backups med 30-dagers retention.
- Tilgangsstyring etter prinsippet om minst privilegium.
- Sikkerhetshendelseshåndtering med varsling til Datatilsynet innen 72 timer.
13. Dine rettigheter
- Innsyn (art. 15) — bekreftelse på behandling og kopi.
- Retting (art. 16) — uriktige opplysninger rettes.
- Sletting (art. 17) — med forbehold for lovpålagt oppbevaring.
- Begrensning (art. 18).
- Dataportabilitet (art. 20) — eksport i strukturert, maskinlesbart format.
- Innsigelse (art. 21) — mot behandling basert på berettiget interesse.
- Trekke samtykke (art. 7).
- Klage (art. 77) — til Datatilsynet.
Henvendelser sendes til [personvern@crm.no]. Vi svarer uten ugrunnet opphold og senest innen én måned, jf. art. 12 nr. 3.
Klage kan rettes til Datatilsynet, Postboks 458 Sentrum, 0105 Oslo, e-post postkasse@datatilsynet.no, nettside datatilsynet.no.
Visse rettigheter — særlig innsyn, eksport og sletting av egen brukerkonto — kan utøves direkte i Tjenesten under Innstillinger → Personvern.
14. Personopplysninger om barn
Tjenesten retter seg utelukkende mot næringsdrivende voksne brukere, og er ikke beregnet for personer under 18 år. Vi samler ikke bevisst inn personopplysninger om barn.
15. Personopplysningsbrudd
Brudd på personopplysningssikkerheten meldes Datatilsynet innen 72 timer fra vi er klar over bruddet (art. 33), berørte registrerte uten ugrunnet opphold dersom det er høy risiko (art. 34), og Kunden uten ugrunnet opphold når vi er databehandler (art. 33 nr. 2).
16. Endringer
Vesentlige endringer varsles via e-post minst 30 dager før ikrafttredelse. Mindre endringer publiseres her med oppdatert revisjonsdato. Historiske versjoner er tilgjengelige på forespørsel.
Se også våre Vilkår og betingelser og Databehandleravtalen.