OrgdataTilbake til innlogging

Personvernerklæring

Sist oppdatert: 8. februar 2026

1. Hvem er behandlingsansvarlig?

TuneFactory AS ("vi", "oss" eller "Selskapet") er behandlingsansvarlig for personopplysningene som behandles gjennom Orgdata-plattformen ("Tjenesten").

TuneFactory AS

E-post: support@orgdata.no

Nettsted: orgdata.no

2. Hvilke personopplysninger samler vi inn?

Vi samler inn og behandler følgende kategorier av personopplysninger:

a) Kontoinformasjon

  • E-postadresse
  • Navn (dersom du logger inn via Google)
  • Workspace-navn (typisk bedriftsnavn)
  • Brukerrolle (eier eller medlem)

b) Betalingsinformasjon

  • Kortets siste 4 siffer, korttype og utløpsdato
  • Transaksjonshistorikk (beløp, tidspunkt, status)
  • Fullstendige kortopplysninger behandles utelukkende av vår betalingsleverandør Nexi/NETS og lagres aldri hos oss

c) Integrasjonsdata

  • HubSpot portal-ID og kryptert tilgangstoken (refresh-token)
  • Feltkonfigurasjoner og synkroniseringsinnstillinger

d) Bruksdata

  • Antall oppslag, berikinger og synkroniseringer (tokenforbruk)
  • Operasjonslogger knyttet til ditt workspace

e) Tekniske data

  • IP-adresse (ved samtykkeregistrering og i revisjonslogger)
  • Nettlesertype og -versjon (user-agent)
  • Tidspunkt for handlinger i Tjenesten

3. Formål og behandlingsgrunnlag

Vi behandler personopplysninger i henhold til personopplysningsloven og EUs personvernforordning (GDPR). Nedenfor er en oversikt over formålene og det rettslige grunnlaget for vår behandling:

FormålBehandlingsgrunnlag (GDPR)
Levere og administrere Tjenesten, inkludert kontohåndtering og autentiseringArt. 6(1)(b) – Oppfyllelse av avtale
Behandle betalinger og administrere abonnementerArt. 6(1)(b) – Oppfyllelse av avtale
Dataenriking og synkronisering mot HubSpot, Brreg og Proff.noArt. 6(1)(b) – Oppfyllelse av avtale
Revisjonslogging og sikkerhetstiltakArt. 6(1)(f) – Berettiget interesse
Overholde lovpålagte forpliktelser (regnskap, skatt)Art. 6(1)(c) – Rettslig forpliktelse
Markedsføring og nyhetsbrev (kun ved samtykke)Art. 6(1)(a) – Samtykke
Analyse og forbedring av Tjenesten (kun ved samtykke)Art. 6(1)(a) – Samtykke

4. Informasjonskapsler (cookies)

Vi bruker et begrenset antall informasjonskapsler som er nødvendige for at Tjenesten skal fungere. Vi benytter ingen tredjeparts analyse- eller sporingscookies.

CookieFormålVarighetType
sb-*-auth-tokenAutentisering og sesjonshåndtering (Supabase)SesjonsbasertNødvendig
__Host-csrf_tokenBeskyttelse mot CSRF-angrep24 timerNødvendig

Siden vi kun benytter nødvendige informasjonskapsler som er påkrevd for å levere Tjenesten, kreves det ikke separat samtykke for disse i henhold til ekomloven § 2-7b.

5. Deling av data med tredjeparter

Vi deler personopplysninger med følgende tredjeparter, utelukkende for å levere Tjenesten:

  • Supabase Inc. – Databehandler for database og autentisering. Data lagres i EU-regionen. Vi har inngått databehandleravtale (DPA) i henhold til GDPR artikkel 28.
  • Nexi/NETS – Betalingsbehandler for kortbetalinger. Nexi er PCI DSS-sertifisert og behandler fullstendige kortopplysninger på vegne av oss. Vi mottar kun kortets siste 4 siffer og korttype.
  • Google – Identitetsleverandør for innlogging via Google OAuth. Google behandler autentiseringsdata i henhold til sine egne vilkår.
  • HubSpot – CRM-plattform som du selv velger å koble til. Ved tilkobling synkroniseres bedriftsdata (ikke personopplysninger om deg som bruker) mellom Orgdata og din HubSpot-portal.
  • Brønnøysundregistrene (Brreg) – Offentlig tilgjengelig API for oppslag av bedriftsinformasjon. Ingen personopplysninger overføres til Brreg.
  • Proff.no – Leverandør av premiumdata om norske bedrifter. Ingen personopplysninger overføres til Proff.no.

Vi selger aldri personopplysningene dine til tredjeparter.

6. Overføring til tredjeland

Vi tilstreber at alle personopplysninger lagres og behandles innenfor EU/EØS. Supabase er konfigurert til å lagre data i EU-regionen.

I den grad personopplysninger overføres til land utenfor EU/EØS (for eksempel ved bruk av Google OAuth eller HubSpot), sikrer vi at slik overføring skjer i samsvar med GDPR kapittel V, herunder gjennom:

  • EU-kommisjonens beslutning om tilstrekkelig beskyttelsesnivå (adequacy decision), der dette foreligger
  • Standard personvernbestemmelser (Standard Contractual Clauses – SCC) vedtatt av EU-kommisjonen
  • Supplerende tiltak der dette er nødvendig basert på en konkret risikovurdering

7. Sikkerhetstiltak

Vi tar personvernet ditt på alvor og har implementert tekniske og organisatoriske tiltak for å beskytte dine personopplysninger:

  • Kryptering – Sensitive data som HubSpot integrasjonstokens krypteres med AES-256-GCM. All kommunikasjon skjer over HTTPS (TLS).
  • Tilgangskontroll – Row Level Security (RLS) i databasen sikrer at brukere kun har tilgang til data innenfor eget workspace.
  • CSRF-beskyttelse – Alle skjemaer og API-kall er beskyttet mot Cross-Site Request Forgery.
  • Sikker autentisering – Sesjonshåndtering via Supabase Auth med httpOnly-cookies og støtte for Google OAuth.
  • Revisjonslogging – Alle vesentlige handlinger logges med tidspunkt, bruker og IP-adresse for sporing og sikkerhetskontroll.
  • Betalingssikkerhet – Kortbetalinger behandles av Nexi/NETS som er PCI DSS-sertifisert. Vi lagrer aldri fullstendige kortnumre.

8. Lagringstid

Vi lagrer personopplysninger kun så lenge det er nødvendig for formålet de ble samlet inn for, eller så lenge vi er rettslig forpliktet til det.

DatatypeLagringstid
KontoinformasjonSå lenge kontoen er aktiv, pluss 90 dager etter oppsigelse
Revisjonslogger730 dager (2 år)
Synkroniseringsjobber90 dager
Bedriftsendringer (enrichment-historikk)365 dager (1 år)
BetalingstransaksjonerI henhold til bokføringslovens krav (5 år)
SamtykkeregistreringerSå lenge kontoen er aktiv, pluss 3 år etter sletting

Etter utløpt lagringstid slettes eller anonymiseres dataene automatisk.

9. Dine rettigheter

Som registrert har du følgende rettigheter i henhold til GDPR:

  • Rett til innsyn (art. 15) – Du kan be om en kopi av alle personopplysninger vi behandler om deg.
  • Rett til retting (art. 16) – Du kan kreve at uriktige eller ufullstendige personopplysninger rettes.
  • Rett til sletting (art. 17) – Du kan be om at dine personopplysninger slettes, med forbehold om lovpålagte oppbevaringsforpliktelser.
  • Rett til dataportabilitet (art. 20) – Du kan be om å motta dine data i et strukturert, maskinlesbart format.
  • Rett til begrensning (art. 18) – Du kan be om at behandlingen av dine personopplysninger begrenses under visse omstendigheter.
  • Rett til å protestere (art. 21) – Du kan protestere mot behandling som er basert på berettiget interesse.
  • Rett til å trekke samtykke (art. 7) – Der behandlingen er basert på samtykke, kan du trekke dette tilbake når som helst.

Slik utøver du dine rettigheter

Du kan utøve dine rettigheter på følgende måter:

  • I Tjenesten: Gå til Innstillinger > Personvern & GDPR for å eksportere eller slette dine data.
  • Via e-post: Send en forespørsel til support@orgdata.no. Vi vil besvare forespørselen din innen 30 dager.

Vi kan be deg om å verifisere identiteten din før vi behandler forespørselen.

10. Samtykke

Ved registrering ber vi om ditt samtykke til følgende:

Obligatorisk samtykke

  • Vilkår for bruk – Aksept av vilkårene for bruk er påkrevd for å benytte Tjenesten.
  • Personvernerklæring – Aksept av denne personvernerklæringen er påkrevd for å benytte Tjenesten.

Valgfritt samtykke

  • Markedsføring – Samtykke til å motta nyhetsbrev og markedsføringshenvendelser via e-post. Du kan trekke dette tilbake når som helst.
  • Analyse – Samtykke til analyse av bruksmønstre for å forbedre Tjenesten. Du kan trekke dette tilbake når som helst.

Du kan administrere dine samtykker under Innstillinger i Tjenesten. Tilbaketrekking av samtykke påvirker ikke lovligheten av behandling utført før tilbaketrekkingen.

11. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen. Ved vesentlige endringer vil vi varsle deg via e-post og/eller gjennom en melding i Tjenesten minimum 30 dager før endringene trer i kraft.

Den til enhver tid gjeldende versjonen vil alltid være tilgjengelig på denne siden med oppdatert dato øverst.

12. Klagerett

Dersom du mener at vår behandling av personopplysninger ikke er i samsvar med personvernregelverket, har du rett til å klage til tilsynsmyndigheten:

Datatilsynet

Postboks 458 Sentrum, 0105 Oslo

Telefon: 22 39 69 00

E-post: postkasse@datatilsynet.no

Nettsted: datatilsynet.no

Vi oppfordrer deg likevel til å kontakte oss først, slik at vi kan forsøke å løse eventuelle bekymringer direkte.

13. Kontaktinformasjon

Dersom du har spørsmål om denne personvernerklæringen eller vår behandling av personopplysninger, kan du kontakte oss:

TuneFactory AS

E-post: support@orgdata.no

Nettsted: orgdata.no