Personvernerklæring

Behandlingsansvarlig

Apier driftes av Grov Digital (organisasjonsnummer 833 397 982), registrert i Brønnøysundregistrene, Norge. Grov Digital er behandlingsansvarlig for personopplysningene som beskrives her.

Henvendelser om personvern kan rettes til support@apier.no.

Apier som verktøy for virksomheter

Apier er et verktøy for virksomheter. Når du bruker Apier til å utføre handlinger mot offentlige systemer på vegne av en virksomhet, kan forespørslene dine inneholde personopplysninger, for eksempel organisasjonsnummer, fødselsnummer eller navn, om personer eller virksomheter handlingen gjelder.

For disse opplysningene opptrer Apier som databehandler på vegne av kunden, som selv er behandlingsansvarlig. Denne erklæringen gjelder først og fremst opplysningene vi behandler som behandlingsansvarlig.

Hvilke personopplysninger vi behandler

Som behandlingsansvarlig behandler vi:

• Kontoopplysninger: e-postadressen din, som brukes til innlogging med engangslenke (magic link). Vi lagrer ikke passord.
• Virksomhetsopplysninger du oppgir, for eksempel organisasjonsnummer og kontaktopplysninger knyttet til kontoen.
• Bruks- og teknisk informasjon: IP-adresse, tidspunkter, forespørselsmetadata og logger som oppstår når du bruker tjenesten.
• Revisjons- og sporingsdata: Apier fører en uforanderlig (append-only) revisjonslogg over handlinger som utføres mot offentlige systemer. Disse postene kan inneholde identifikatorer som organisasjonsnummer og, der det er relevant, fødselsnummer, samt tidspunkt, resultat og hvilken kapasitet handlingen ble utført i.
• Feil- og driftsdata: tekniske feilmeldinger som hjelper oss å drifte og sikre tjenesten.

Formål og rettslig grunnlag

Vi behandler personopplysninger for følgende formål:

• Å levere tjenesten du har bedt om — opprette og administrere kontoen din, autentisere innlogging og utføre forespørsler mot offentlige systemer. Rettslig grunnlag: oppfyllelse av avtale (personvernforordningen artikkel 6 nr. 1 bokstav b).
• Å føre en sporbar, uforanderlig revisjonslogg slik at handlinger kan dokumenteres og etterprøves. Rettslig grunnlag: berettiget interesse i å kunne dokumentere bruk av tjenesten, og rettslig forpliktelse der dokumentasjonskrav følger av lov (artikkel 6 nr. 1 bokstav f og bokstav c).
• Sikkerhet, drift, feilsøking og forebygging av misbruk. Rettslig grunnlag: berettiget interesse i en sikker og stabil tjeneste (artikkel 6 nr. 1 bokstav f).

Databehandlere og underleverandører

For å levere tjenesten bruker vi enkelte underleverandører som behandler personopplysninger på våre vegne. Vi inngår databehandleravtale med disse. Per i dag er dette:

• Supabase — primær database og lagring (lagret i EU, eu-north-1 Stockholm).
• Vercel — bygging og edge-hosting av applikasjonen (før lansering; europeisk region, planlagt migrering til EU-egen infrastruktur).
• Sentry — overvåking av tekniske feil (ingen personopplysninger per scrubber-konfigurasjon).
• Plausible — personvernvennlig besøksstatistikk (uten informasjonskapsler, ingen personopplysninger).
• Betterstack — overvåking av oppetid og driftet statusside.
• Maskinporten (Digdir) — norsk offentlig autentiseringsmegler.
• Lovdata — kun-lese referanse til lovtekst (ingen data sendes).
• Resend — transaksjonell e-post (velkomst-e-post, engangslenke).

Hvor data lagres og overføring ut av EU/EØS

Personopplysninger lagres i EU (eu-north-1, Stockholm). Enkelte av underleverandørene våre er etablert utenfor EU/EØS eller har morselskap i USA.

Der personopplysninger overføres ut av EU/EØS, skjer det på grunnlag av EUs standard personvernbestemmelser (Standard Contractual Clauses) eller EU–US Data Privacy Framework, sammen med nødvendige tekniske og organisatoriske tiltak.

Lagringstid

Vi lagrer kontoopplysninger så lenge du har en aktiv konto, og sletter eller anonymiserer dem innen rimelig tid etter at kontoen avsluttes, med mindre vi er rettslig forpliktet til å oppbevare dem lenger.

Revisjonsloggen er uforanderlig og oppbevares så lenge det er nødvendig for å oppfylle dokumentasjons-, regnskaps- og kontrollkrav. Tekniske logger og feildata oppbevares i en kortere periode.

Dine rettigheter

Etter personvernforordningen har du rett til innsyn i, retting av og sletting av personopplysninger om deg, og rett til å be om begrensning av eller protestere mot behandlingen, samt rett til dataportabilitet (artikkel 15 til 22).

Vær oppmerksom på at revisjonsloggen er uforanderlig av hensyn til sporbarhet og dokumentasjon. Vi kan derfor ikke alltid endre eller slette poster i denne loggen så lenge vi har en rettslig plikt eller berettiget interesse i å bevare dem. Vi forklarer årsaken i slike tilfeller.

For å bruke rettighetene dine, kontakt oss på support@apier.no.

Du har også rett til å klage til Datatilsynet (www.datatilsynet.no) dersom du mener vi behandler personopplysninger i strid med regelverket (artikkel 77).

Informasjonskapsler

Vi bruker en strengt nødvendig øktinformasjonskapsel for å holde deg innlogget etter at du har autentisert deg med engangslenke. Vi bruker ikke informasjonskapsler til annonsering eller sporing på tvers av nettsteder. Besøksstatistikken vår (Plausible) bruker ikke informasjonskapsler.

Sikkerhet

Vi beskytter personopplysninger med tekniske og organisatoriske tiltak, blant annet kryptert overføring (TLS/HTTPS), datalagring i EU, innlogging uten passord (engangslenke) og en uforanderlig revisjonslogg. Sårbarheter kan meldes til security@apier.no.

Endringer i denne erklæringen

Vi kan oppdatere denne erklæringen. Ved vesentlige endringer varsler vi på en egnet måte. Datoen øverst viser når erklæringen sist ble endret.

Kontakt

Grov Digital. Personvern og generelle henvendelser: support@apier.no. Sikkerhet: security@apier.no.