arbeidsflyt

Personvernerklæring

Sist oppdatert: april 2026

1. Behandlingsansvarlig

Arbeidsflyt er behandlingsansvarlig for personopplysninger som samles inn via arbeidsflyt.com. Kontakt oss på post@arbeidsflyt.com ved spørsmål om personvern.

2. Hvilke opplysninger samler vi inn?

  • Brukernavn eller e-postadresse (ved innlogging). I den lukkede testfasen opprettes konti av administrator — e-post er valgfritt.
  • Tekniske data: IP-adresse, nettlesertype og tidspunkt for tilgang
  • Hvilke apper du har åpnet og når du var der sist (brukes av administrator for å se plattform-bruk og hjelpe ved support)
  • Opplysninger du selv legger inn i plattformens verktøy

3. Formål med behandlingen

Opplysningene brukes til å:

  • Opprette og administrere din brukerkonto
  • Levere tjenestene du benytter på plattformen
  • Sende nødvendige drifts- og sikkerhetsmeldinger
  • Forbedre og utvikle plattformen

4. Rettslig grunnlag

Behandlingen er basert på avtale (brukervilkår) og berettiget interesse (sikkerhet og driftsformål), jf. GDPR artikkel 6 nr. 1 bokstav b og f.

5. Lagring og tredjeparter

Vi benytter følgende underleverandører som kan behandle personopplysninger på vegne av oss:

  • Supabase (EU-region) — lagring av kontodata, filer og transkripsjoner. Underlagt GDPR med databehandleravtale.
  • OpenAI — lydinnhold du laster opp i Lydtranskribering sendes til OpenAI Whisper API for transkribering, og eventuelt til GPT for sammendrag. OpenAI bruker ikke API-data til modelltrening etter gjeldende policy. Se OpenAIs personvernregler.
  • Cloudflare — CDN, DDoS-beskyttelse og TLS-terminering. Behandler tekniske nettverkdata i henhold til sine databehandleravtaler.
  • Google (Gmail) og Microsoft (Outlook) — hvis du kobler til en e-postkonto i Automatisering-appen, mottar Arbeidsflyt access- og refresh-tokens for å lese innkommende e-post og sende e-post på dine vegne. Tokens lagres kryptert (AES-256-GCM) i vår database. Selve e-postinnholdet lagres ikke — vi henter det kun for å matche mot dine flyt-triggere. Du kan koble fra når som helst i Automatisering → E-post.
  • Din egen SMTP-leverandør — hvis du kobler til e-postadressen din på et eget domene (f.eks. Domeneshop, One.com, Zoho, Fastmail), sender Arbeidsflyt e-post via leverandørens SMTP-server med brukernavn og app-passord du oppgir. App-passordet lagres kryptert (AES-256-GCM) i vår database og brukes kun til utsending fra dine egne flyter. Innkommende e-post hentes ikke for SMTP-tilkoblinger. Du kan koble fra når som helst.
  • Resend — sender transaksjonelle e-poster (innloggingskoder, varsler, plattform-e-post fra automatiseringer). Behandler kun e-postadresser og innhold som er nødvendig for utsending.

Vi deler ikke personopplysninger med andre tredjeparter uten ditt samtykke.

6. Dine rettigheter

Du har rett til å:

  • Få innsyn i hvilke opplysninger vi har om deg
  • Kreve retting av uriktige opplysninger
  • Kreve sletting av dine opplysninger
  • Trekke tilbake samtykke der dette er grunnlaget
  • Klage til Datatilsynet (datatilsynet.no)

Send forespørsel til post@arbeidsflyt.com.

7. Informasjonskapsler (cookies)

Vi bruker kun teknisk nødvendige informasjonskapsler for innlogging og sesjonshåndtering. Vi benytter ikke tredjeparts sporingscookies eller annonsecookies.

8. AI-behandling og dataminimering

Flere av verktøyene (Møtestyring, Oppgaveflyt, Strategiutvikler, Beslutningsstøtte, CRM, Dokumenter og Bedriftsassistenten) bruker OpenAIs API (gpt-4o-mini og Whisper) for å generere sammendrag, forslag og transkripsjoner. Vi minimerer data som sendes ved å:

  • Begrense prompt-størrelse og sanere brukerinput mot kjente prompt-injeksjonstegn før innsending.
  • Sende kun det innholdet som er strengt nødvendig for oppgaven — ikke hele kontoens data.
  • Bruke OpenAIs API-policy som utelukker trening på innsendte data.
  • OpenAI kan oppbevare API-innhold i inntil 30 dager for misbruks­overvåking og slettes deretter.

AI-generert innhold er et hjelpemiddel — ikke et bindende råd. Du er selv ansvarlig for å kvalitetssjekke produsert innhold før det brukes til forretningsbeslutninger, økonomi eller juridiske prosesser.

9. Vurdering av personvernkonsekvenser (DPIA)

Der vi bruker AI til å behandle mer sensitive data (møtereferater som kan inneholde arbeidsrelatert informasjon, lydopptak), gjennomfører vi en personvernkonsekvens­vurdering (DPIA) iht. GDPR art. 35. Dokumentasjonen oppdateres før hver større endring i AI-funksjonaliteten og kan gjøres tilgjengelig for kunder ved forespørsel til personvern@arbeidsflyt.com.

10. Informasjonssikkerhet og avvikshåndtering

Vi benytter blant annet TLS 1.3, kryptering i hvile, Row Level Security (RLS) på alle bedriftsdata, tofaktorautentisering, streng Content-Security-Policy og soft-delete med 14-dagers gjenoppretting. Fullstendig oversikt over tekniske og organisatoriske tiltak finner du på compliance-siden.

Ved mistanke om sikkerhetsbrudd varsler vi Datatilsynet innen 72 timer, og berørte brukere uten ugrunnet opphold ved høy risiko. Rapporter mistenkelige observasjoner til sikkerhet@arbeidsflyt.com.

11. Alder og målgruppe

Arbeidsflyt er et B2B-verktøy rettet mot ansatte i norske små og mellomstore bedrifter. Du må være minst 13 år for å registrere konto. Vi samler ikke bevisst inn data om barn under aldersgrensen; om du oppdager at slikt har skjedd, kontakt oss så sletter vi dataene.

12. Endringer i erklæringen

Vi kan oppdatere denne erklæringen. Vesentlige endringer varsles på e-post og med minst 14 dagers forvarsel. Datoen øverst på siden viser siste oppdatering.

← Tilbake til forsiden