arbeidsflyt

Etterlevelse og databehandlere

Sist oppdatert: april 2026

1. Underdatabehandlere

Arbeidsflyt benytter følgende underleverandører. Alle behandler data på vegne av oss gjennom en databehandleravtale. Endringer varsles via personvernerklæringen minst 30 dager før de trer i kraft, så du har mulighet til å avslutte bruken hvis du motsetter deg en bestemt leverandør.

  • Supabase (EU-region)Personvernerklæring ↗

    Database (Postgres), autentisering, filstorage, Edge Functions.

    Lokasjon:
    Frankfurt, Tyskland
    Tiltak:
    GDPR-samsvarende databehandleravtale. Data i hvile krypteres. RLS (Row Level Security) på alle tabeller med bedriftsdata.
  • Cloudflare Pages + CDNPersonvernerklæring ↗

    Statisk hosting, TLS-terminering, DDoS-beskyttelse, edge-cache.

    Lokasjon:
    Globalt edge-nettverk; primært EU for europeiske brukere
    Tiltak:
    Standard Contractual Clauses (SCC) for eventuell overføring til USA.
  • OpenAIPersonvernerklæring ↗

    Transkribering (Whisper), AI-sammendrag og forslag (gpt-4o-mini).

    Lokasjon:
    USA
    Tiltak:
    SCC + OpenAIs DPA. API-data brukes ikke til modelltrening. OpenAI lagrer inntil 30 dager for misbruksovervåking og slettes deretter, med mindre vi eksplisitt aktiverer Zero Data Retention.
  • ResendPersonvernerklæring ↗

    Transaksjonelle e-poster (MFA-kode, varsler, utgående e-post fra automatiseringer).

    Lokasjon:
    USA / EU
    Tiltak:
    SCC + Resend DPA. Behandler kun e-postadresser og innhold som er nødvendig for utsending.
  • Google (Gmail API)Personvernerklæring ↗

    Valgfritt: henter metadata fra Gmail-innboks hvis bruker kobler på i Automatisering.

    Lokasjon:
    USA / EU
    Tiltak:
    Scope begrenset til gmail.metadata. Tokens lagres kryptert (AES-256-GCM). Kan kobles fra av bruker når som helst.
  • Microsoft (Microsoft Graph)Personvernerklæring ↗

    Valgfritt: henter e-poster fra Outlook hvis bruker kobler på i Automatisering.

    Lokasjon:
    EU / USA
    Tiltak:
    Tokens lagres kryptert. Kan kobles fra av bruker. Microsoft DPA og SCC.
  • Din valgte SMTP-leverandør

    Valgfritt: sender utgående e-post via domenet ditt (f.eks. Domeneshop, One.com, Zoho, Fastmail).

    Lokasjon:
    Avhenger av leverandør
    Tiltak:
    App-passord lagres kryptert (AES-256-GCM). Du velger og styrer forholdet til leverandøren selv.
  • SentryPersonvernerklæring ↗

    Feilrapportering fra klient-koden i nettleseren.

    Lokasjon:
    EU (ingest.eu.sentry.io)
    Tiltak:
    Sentry EU-region er valgt. Sentry-DPA og SCC. PII skrubbes før innsending der det er mulig.

2. Overføring til tredjeland (Schrems II)

Primær datalagring skjer hos Supabase i EU. Enkelte tjenester (OpenAI, Resend, Cloudflare) behandler data også i USA. For hver slik overføring benytter vi Standard Contractual Clauses (SCC) som godkjent av EU-kommisjonen, og gjennomfører en vurdering av risiko (Transfer Impact Assessment) før nye underleverandører tas i bruk. Du kan be om en kopi av vurderingen ved å sende e-post til post@arbeidsflyt.com.

3. Sikkerhetstiltak

  • TLS 1.3 på all transport, HSTS preload.
  • Row Level Security (RLS) på alle database-tabeller med organisasjonsdata — en bruker kan aldri se en annen bedrifts data.
  • Tofaktorautentisering tilgjengelig (e-post-kode + 30-minutters inaktivitetstidsavbrudd).
  • AES-256-GCM-kryptering av e-postkoblingstokens og SMTP-passord.
  • Strenge Content-Security-Policy og Permissions-Policy HTTP-headere.
  • Rate-limiting og promptsaneringer på alle AI-endepunkter for å hindre misbruk og prompt-injeksjon.
  • Server-Side Request Forgery (SSRF)-vern ved alle utgående HTTP-kall.
  • Soft-delete med 14-dagers gjenopprettingsvindu på brukerinnhold, deretter permanent sletting inkludert relaterte lagringsobjekter.

4. Hendelseshåndtering (incident response)

Ved mistanke om sikkerhetsbrudd følger vi denne prosessen:

  1. Inneslutning og forensisk bevaring innen 2 timer etter oppdagelse.
  2. Varsel til Datatilsynet innen 72 timer hvis avviket har sannsynlig risiko for registrertes rettigheter (GDPR art. 33).
  3. Varsel til berørte brukere uten ugrunnet opphold ved høy risiko (GDPR art. 34), vanligvis innen 7 dager.
  4. Post-mortem publiseres internt innen 14 dager, med korrigerende tiltak dokumentert.

Meld inn mistenkelige observasjoner (phishing, uvanlige kontotilganger, datalekkasje) til sikkerhet@arbeidsflyt.com.

5. Oppbevaringstid

  • Lydfiler (transkripsjon) — slettes umiddelbart etter vellykket transkribering.
  • Transkripsjonstekst — inntil 90 dager, deretter automatisk permanent slettet.
  • Brukerinnhold (møter, beslutninger, CRM, oppgaver, dokumenter) — beholdes så lenge bedriftskontoen er aktiv. Slettede elementer havner i papirkurven i 14 dager før permanent fjerning.
  • Regnskapspliktige dokumenter (fakturaer, tilbud) — vi anbefaler at du eksporterer og arkiverer disse i henhold til bokføringsloven (fem års oppbevaring). Kontoen kan oppbevare dem permanent så lenge tilgangen opprettholdes.
  • Feilrapporter (Sentry) — inntil 90 dager.
  • Admin-revisjonsspor — 12 måneder.
  • Autentiseringslogger (Supabase Auth) — etter Supabase-standarder, typisk inntil 6 måneder.

6. Dine rettigheter og selvbetjening

  • Eksport av data — last ned alle egne data som JSON under Innstillinger → Konto → Eksport.
  • Sletting av konto — samme sted. Alle bedriftsdata slettes permanent innen 30 dager.
  • Retting — alle felt kan redigeres direkte i de relevante app-vinduene.
  • Klage — Datatilsynet (datatilsynet.no) er tilsynsmyndighet.

7. Kontakt og personvernombud

Arbeidsflyt har ikke pålagt personvernombud etter GDPR art. 37, men du kan nå personvernansvarlig på personvern@arbeidsflyt.com.

PersonvernerklæringTilgjengelighetserklæringBrukervilkår← Til forsiden