Personvernerklæring

1. Behandlingsansvarlig

SentraScore AS er behandlingsansvarlig for personopplysninger som behandles i forbindelse med vår tjeneste. Kontaktinformasjon:

2. Hvilke opplysninger samler vi inn?

2.1 Kontoinformasjon

Når du oppretter en konto:

• Navn og e-postadresse
• Organisasjonsnavn og domene
• Rolle i organisasjonen
• Passordhash (aldri lagret i klartekst)

2.2 Bruksdata

Under bruk av tjenesten:

• Innloggingstidspunkt og IP-adresse
• Handlinger utført i tjenesten (audit trail)
• Teknisk informasjon (nettlesertype, enhet)

2.3 Forretningsdata

Data du laster opp eller oppretter:

• Policydokumenter og maler
• Bevis og dokumentasjon
• Compliance-vurderinger og svar
• Integrasjonsdata fra Microsoft 365, Azure, AWS

3. Rettslig grunnlag (GDPR Artikkel 6)

Vi behandler personopplysninger basert på følgende rettslige grunnlag:

4. Hvordan bruker vi opplysningene?

Vi bruker personopplysninger til å:

• Autentisere deg og gi tilgang til din konto
• Levere compliance-tjenesten og generere rapporter
• Kjøre automatiske sikkerhetsskanninger
• Sende deg viktige varsler om tjenesten
• Forbedre tjenesten basert på bruksmønstre
• Forebygge svindel og misbruk
• Overholde lovpålagte krav

5. Deling av opplysninger

Vi deler kun personopplysninger med:

5.1 Databehandlere

• Supabase (AWS eu-west-1) - Database og fillagring
• Vercel - Hosting og serverless-funksjoner
• OpenAI - AI-assistert tekstgenerering (anonymisert)
• Stripe - Betalingsbehandling

Alle databehandlere har inngått databehandleravtale og behandler data kun i EU/EØS eller med godkjent overføringsgrunnlag.

5.2 Tredjeparter du autoriserer

Når du kobler til Microsoft 365, Azure eller AWS, deler vi kun nødvendige tekniske opplysninger for å utføre sikkerhetsskanninger du har initiert.

5.3 Myndigheter

Vi utleverer kun opplysninger til myndigheter når vi er rettslig forpliktet til det.

6. Lagring og sikkerhet

6.1 Lagringssted

Alle data lagres i EU (AWS eu-west-1, Dublin, Irland) i samsvar med GDPR-kravene.

6.2 Sikkerhetstiltak

• Kryptering under overføring (TLS 1.3)
• Kryptering i hvile (AES-256)
• Tilgangsstyring basert på roller (RBAC)
• Multifaktor-autentisering støttet
• Regelmessige sikkerhetsrevisjoner
• Hendelseslogging og overvåking

6.3 Lagringstid

• Kontoinformasjon: Så lenge kontoen er aktiv + 30 dager
• Audit logs: 2 år
• Bevis og dokumentasjon: Så lenge organisasjonen velger
• Betalingsinformasjon: 7 år (regnskapskrav)

7. Dine rettigheter

I henhold til GDPR har du følgende rettigheter:

• Innsyn: Be om kopi av dine personopplysninger
• Retting: Korrigere uriktige opplysninger
• Sletting: Be om sletting av dine data
• Begrensning: Begrense behandlingen i visse tilfeller
• Dataportabilitet: Motta data i maskinlesbart format
• Innsigelse: Protestere mot behandling basert på berettiget interesse
• Tilbaketrekking: Trekke tilbake samtykke når som helst

For å utøve dine rettigheter, kontakt oss på personvern@sentrascore.no. Vi svarer innen 30 dager.

8. Cookies og sporing

Vi bruker kun nødvendige cookies for autentisering og sikkerhet. For fullstendig informasjon, se vår cookie-policy.

9. Overføring til tredjeland

Vi overfører ikke personopplysninger til land utenfor EU/EØS uten godkjent overføringsgrunnlag (standardvilkår, adequacy decision, eller bindende virksomhetsregler).

OpenAI (USA) behandler kun anonymiserte data under Standard Contractual Clauses (SCC).

10. Automatiserte avgjørelser

Vi bruker AI-assistert compliance-vurdering. Disse er alltid veiledende og kan overstyres manuelt. Ingen beslutninger med juridisk virkning tas automatisk uten menneskelig gjennomgang.

11. Klage til tilsynsmyndighet

Hvis du mener vi behandler personopplysninger i strid med GDPR, har du rett til å klage til Datatilsynet:

12. Endringer i personvernerklæringen

Vi kan oppdatere denne erklæringen. Vesentlige endringer varsles via e-post og/eller i tjenesten minimum 30 dager i forveien.

13. Kontakt

For spørsmål om personvern: