Personvernerklæring
Slik behandler Rapportagenten personopplysninger – behandlingsansvarlig, datatyper, rettsgrunnlag, lagring og dine rettigheter etter GDPR. Sist oppdatert 25. mai 2026.
1. Behandlingsansvarlig
- Selskap
- OhJoy Ventures AS
- Org.nr.
- 932 480 956
- Kontaktperson
- Bengt Zseni-Clausen
- Adresse
- 5094 Bergen, Norge
- E-post
- [email protected]
2. Hva er Rapportagenten?
Rapportagenten er en AI-drevet tjeneste som konverterer lydopptak til profesjonelle rapporter. Brukeren tar opp lyd (diktering, notater, observasjoner), og tjenesten transkriberer lyden og genererer et ferdig rapportutkast i Word-format (.docx).
3. Hvilke personopplysninger behandler vi?
3.1 Brukerdata (fra autentisering)
| Opplysning | Kilde | Formål |
|---|---|---|
| E-postadresse | Clerk (innlogging) | Brukeridentifikasjon, kommunikasjon |
| Navn | Clerk (innlogging) | Visning i tjenesten |
| Organisasjonstilhørighet | Clerk (innlogging) | Multi-tenant isolering |
| Innloggingshistorikk | Clerk | Sikkerhet, misbruksdeteksjon |
3.2 Lydopptak og transkripsjoner
| Opplysning | Formål |
|---|---|
| Lydfil (opptak/diktering) | Transkriberes til tekst for rapportgenerering |
| Transkribert tekst | Brukes som grunnlag for AI-generert rapport |
| Revisjonsinstruksjoner (lyd) | Brukes for å revidere eksisterende rapport |
Viktig: Lydopptak kan inneholde personopplysninger avhengig av hva brukeren dikterer — for eksempel navn på personer, adresser, eller prosjektinformasjon. Brukeren er ansvarlig for innholdet i egne opptak.
3.3 Genererte rapporter
| Opplysning | Formål |
|---|---|
| Rapportinnhold (seksjoner, tekst) | Levering av tjenesten |
| Rapportfiler (.docx) | Nedlasting av ferdig rapport |
| Prosjektnavn | Organisering av rapporter |
3.4 Tekniske data
| Opplysning | Formål |
|---|---|
| IP-adresse | Serverdrift, sikkerhet |
| Nettleserinformasjon | Feilsøking |
| Sesjonscookies | Autentisering (nødvendige cookies) |
4. Rettslig grunnlag
| Behandling | Grunnlag | GDPR-artikkel |
|---|---|---|
| Brukerregistrering og autentisering | Avtale (nødvendig for å levere tjenesten) | Art. 6(1)(b) |
| Lydopptak → transkribering → rapportgenerering | Avtale (kjernetjenesten) | Art. 6(1)(b) |
| Revisjon av rapporter | Avtale (del av tjenesten) | Art. 6(1)(b) |
| Feilovervåking (Sentry) | Berettiget interesse (tjenestekvalitet) | Art. 6(1)(f) |
| Uptime-overvåking | Berettiget interesse (tilgjengelighet) | Art. 6(1)(f) |
| Sikkerhetslogging (audit log) | Berettiget interesse (sikkerhet) | Art. 6(1)(f) |
| Treningsdata (PDF-er) | Berettiget interesse (forbedring av tjenesten) | Art. 6(1)(f) |
5. Hvem deler vi data med?
Vi deler personopplysninger med følgende underleverandører (databehandlere) som behandler data på våre vegne:
| Leverandør | Formål | Data | Land | Grunnlag |
|---|---|---|---|---|
| OpenAI, Inc. | Lydtranskripsjon | Lydfiler | USA | SCCs + DPA |
| Anthropic, PBC | Rapportgenerering | Transkribert tekst | USA | SCCs + DPA |
| Clerk, Inc. | Autentisering | E-post, navn, sesjon | USA | DPF + DPA |
| Vercel, Inc. | Frontend-hosting | HTTP-logger, cookies | USA | DPF + DPA |
| Sentry | Feilovervåking | Feilmeldinger (uten PII) | USA | DPF + DPA |
| Hostinger | Serverhosting | All data (lagring) | EU | DPA |
| Hetzner Online GmbH | Backup | Database-dump, filer | EU | DPA |
| Backblaze, Inc. | Backup | Database-dump, filer | EU | DPA |
| Better Stack s.r.o. | Uptime-overvåking | Helsesjekk-svar | EU | DPA |
| Stripe, Inc. | Betaling og fakturering | E-post, navn, fakturadata | USA + EU | DPF + standard DPA |
| Twilio SendGrid, Inc. | Transaksjonell e-post | E-post, navn, e-post-innhold | USA | DPF + standard DPA |
| Cloudflare, Inc. | DNS og e-postruting | IP, DNS-spørringer, e-post | USA + EU | DPF + standard DPA |
Vi har inngått databehandleravtaler (DPA) med alle underleverandører. For overføring til USA bruker vi EU-US Data Privacy Framework (DPF) eller Standard Contractual Clauses (SCCs) som overføringsgrunnlag, avhengig av leverandørens sertifiseringsstatus.
Vi selger aldri personopplysninger til tredjeparter.
API-data brukes ikke til å trene AI-modeller hos OpenAI eller Anthropic.
6. Overføring til land utenfor EU/EØS
Lydopptak og transkribert tekst overføres til USA for prosessering av OpenAI (transkripsjon) og Anthropic (rapportgenerering). Disse overføringene er beskyttet av:
- Standard Contractual Clauses (SCCs) inkludert i leverandørenes DPA-er
- Databehandleravtaler (DPA) med hver leverandør
- Tekniske sikkerhetstiltak (kryptering i transit via TLS)
Data lagres ikke permanent hos noen US-leverandør. Etter prosessering returneres resultatet til vår EU-baserte infrastruktur.
7. Lagring og sletting
| Datatype | Lagringstid | Slettemetode |
|---|---|---|
| Lydfiler | Slettes umiddelbart etter prosessering | Automatisk |
| Transkripsjoner | 90 dager | Automatisk nullstilling |
| Genererte rapporter | Lagres så lenge kontoen/organisasjonen er aktiv. Bruker kan slette når som helst. Slettes innen 90 dager etter kontoavslutning | Manuell / automatisk ved opphør |
| Brukerdata (e-post, navn) | Aktiv mens kontoen lever; slettes innen 90 dager etter kontoavslutning | Automatisk |
| Sikkerhetslogger | 90 dager | Automatisk rotasjon |
| Backup (database) | 31 dager (daglig), 12 måneder (månedlig). Slett-forespørsler materialiserer i backup ved neste rotasjon — siste forekomst forsvinner senest 12 måneder etter at data ble slettet fra aktive systemer. | Automatisk rotasjon |
8. Dine rettigheter
Som registrert har du følgende rettigheter under GDPR:
| Rettighet | Beskrivelse | Hvordan |
|---|---|---|
| Innsyn (Art. 15) | Du kan be om kopi av alle personopplysninger vi har om deg | Kontakt [email protected] eller bruk eksport-funksjonen |
| Retting (Art. 16) | Du kan be om at uriktige opplysninger korrigeres | Kontakt [email protected] |
| Sletting (Art. 17) | Du kan be om at alle dine data slettes | Bruk slett-funksjonen i tjenesten eller kontakt oss |
| Begrensning (Art. 18) | Du kan be om at behandlingen begrenses | Kontakt [email protected] |
| Dataportabilitet (Art. 20) | Du kan få utlevert dine data i maskinlesbart format (JSON) | Bruk eksport-funksjonen i tjenesten |
| Protest (Art. 21) | Du kan protestere mot behandling basert på berettiget interesse | Kontakt [email protected] |
Vi besvarer henvendelser innen 30 dager.
9. Informasjonskapsler (cookies)
Rapportagenten bruker kun nødvendige sesjonscookies for autentisering (Clerk). Disse krever ikke samtykke, men vi informerer om dem her:
| Cookie | Formål | Utløp | Type |
|---|---|---|---|
__session | Clerk-autentisering | Sesjon | Nødvendig |
__clerk_db_jwt | Clerk JWT-token | Sesjon | Nødvendig |
Vi bruker ingen analyse-, markedsførings- eller sporingscookies. Se også informasjonskapsler-siden for full oversikt.
10. Sikkerhet
Vi beskytter dine data med følgende tiltak:
- Kryptering i transit: TLS 1.3 for all kommunikasjon
- Tilgangskontroll: Rollebasert tilgang, JWT-autentisering
- Isolering: Hver organisasjon har isolert datalagring (database og filsystem)
- Backup: 3-2-1 backup-strategi med daglige backups, all lagring innenfor EU
- Overvåking: Automatisk feilovervåking og uptime-sjekk
- Sårbarhetsskanning: Regelmessig sikkerhetsskanning av kode og avhengigheter
11. Klagerett
Hvis du mener at vi behandler personopplysninger i strid med GDPR, har du rett til å klage til:
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
Telefon: 22 39 69 00
E-post: [email protected]
Nettside: www.datatilsynet.no
12. Endringer
Vi kan oppdatere denne personvernerklæringen. Ved vesentlige endringer vil vi informere deg via e-post eller melding i tjenesten. Siste versjon er alltid tilgjengelig på denne siden.
13. Kontakt
For spørsmål om personvern, kontakt:
- E-post: [email protected]
- Post: OhJoy Ventures AS, 5094 Bergen, Norge
Sist oppdatert: 25. mai 2026 · v1.1