Personvernerklæring

Hvordan vi behandler personopplysningene dine

Sist oppdatert: Versjon 2026-05-11

1. Behandlingsansvarlig

Driftselv ved Ingun Nerlie ENK, org.nr 880 123 912.
Adresse: Bråtaberga 41, 3614 Kongsberg.
Kontakt: personvern@driftselv.no

2. Hvilke opplysninger vi behandler

  • Konto-data: navn, e-post, rolle, telefon (valgfritt)
  • Bruksdata: innloggings-tidspunkt, IP for sikkerhet, antall AI-meldinger
  • Faktureringsdata: Stripe customer-ID, faktura-historikk
  • M365-telemetri: aktiveres av kunden, kun lest fra kundens tenant
  • Microsoft 365-handlinger: tilkoblingsmetadata, samtykkede Graph-tillatelser, foreslåtte handlinger, godkjenninger, kjøringsstatus, Graph request-ID-er, før-/ettertilstand og recovery-notater
  • Phishing-resultater: 90 dagers oppbevaring, deretter anonymiseres
  • AI-chat: meldingstekst og nødvendig kontekst sendes til AI-leverandør for å generere svar; Driftselv lagrer normalt kun aggregerte tellere

3. Formål og behandlingsgrunnlag

  • Drift av tjenesten: art. 6(1)(b) — avtale
  • Sikkerhet/audit: art. 6(1)(f) — berettiget interesse
  • Markedsføring (e-post): art. 6(1)(a) — samtykke + opt-out

4. Lagringstid

KategoriLagringstid
Konto-dataAktiv så lenge abonnement; 90 dagers grace etter opphør
Phishing-resultater90 dager (deretter anonymiseres)
Audit-logger (sikkerhet)12 måneder rullerende
Microsoft 365-handlingslogger2 år, med mindre kortere periode avtales skriftlig
Audit-logger (GDPR-events)3 år
Faktureringsdata5 år (bokføringsloven)

4.1 Microsoft 365-data og ansatte

Microsoft 365-data kan gjelde ansatte hos kunden, for eksempel navn, e-post, kontostatus, lisensstatus, gruppe-/rolledata, sikkerhetsfunn, phishing-resultater og tekniske auditspor. Kunden er behandlingsansvarlig for bruken av disse dataene overfor egne ansatte. Driftselv behandler dataene som databehandler når funksjonene brukes i kundens organisasjon.

Driftselv bruker ikke Microsoft 365-handlinger til autonom beslutningstaking om ansatte. Handlinger skal forberedes som forslag/dry-run og godkjennes av en menneskelig administrator hos kunden før utføring. Driftselv leser ikke innhold i e-post eller filer som standard, og slike innholdstilganger er ikke del av Microsoft 365-handlinger uten en særskilt avtale og prosedyre.

5. Underleverandører

Komplett liste på /underleverandorer.

6. Tredjelands-overføringer

Anthropic, Resend, Stripe og Vercel kan behandle data i USA eller globalt. Overføringer ut av EØS skjer på grunnlag av databehandleravtaler og EUs Standard Contractual Clauses (SCC), der dette kreves.

7. Dine rettigheter

  • Innsyn (art. 15)
  • Retting (art. 16)
  • Sletting (art. 17)
  • Begrensning (art. 18)
  • Portabilitet (art. 20)
  • Innsigelse (art. 21)

8. Hvordan utøve rettighetene

  • Selvbetjent: /profil → "Last ned mine data" / "Slett kontoen min"
  • Admin-flyt: /admin/personvern (org-scope)
  • Manuelt: personvern@driftselv.no

9. Sikkerhet

TLS i transit, AES-256 at-rest, Postgres RLS, MFA på administrativ tilgang.

10. Cookies

Kun nødvendige cookies (auth-session, csrf). Ingen tracking eller markedsførings-cookies. Ingen cookie-banner kreves.

11. Endringer i erklæringen

Vesentlige endringer varsles via e-post 30 dager før ikrafttredelse, og innloggede brukere blir bedt om å re-akseptere ny versjon.

12. Klage

Du kan klage til Datatilsynet (datatilsynet.no/melde-avvik).