Personvernerklaering

1. Innledning

Denne personvernerklaæringen forklarer hvordan Gerd Regnskap ("Gerd", "vi", "oss") samler inn, bruker og beskytter personopplysningene dine når du bruker vår tjeneste på getgerd.com. Gerd er en automatisert regnskapsplattform for norske netthandelsvirksomheter.

Vi tar personvernet ditt på alvor og behandler alle opplysninger i samsvar med EUs personvernforordning (GDPR) og norsk personopplysningslov.

2. Behandlingsansvarlig

Behandlingsansvarlig for personopplysningene er:

3. Opplysninger vi samler inn

Vi samler inn følgende kategorier av opplysninger:

Kontoinformasjon

• Navn og e-postadresse
• Bedriftsinformasjon (firmanavn, organisasjonsnummer)
• Innloggingsinformasjon

Finansielle data

• Banktransaksjoner (hentet via PSD2/Enable Banking)
• Salgstransaksjoner fra Shopify og Amazon
• Betalingsinformasjon fra Wise og PayPal
• Fakturainformasjon og bilag

E-postdata

• E-poster som skannes for kvitteringer og bilag (via Gmail IMAP)
• Vi leser kun e-poster som er relevante for regnskapsføring -- vi lagrer ikke innholdet i private e-poster

Tekniske data

• IP-adresse og nettleserinformasjon ved innlogging
• Bruksdata for å forbedre tjenesten

4. Formål med behandlingen

Vi bruker opplysningene dine til følgende formål:

• Automatisert regnskapsføring og bilagshåndtering
• Matching av transaksjoner mot fakturaer og kvitteringer
• Generering av rapporter (daglige, ukentlige og månedlige)
• Kategorisering av transaksjoner etter norsk kontoplan
• Eksport av bilag og data til Tripletex
• Multivaluta-konvertering til NOK
• Administrasjon av brukerkontoen din
• Kommunikasjon om tjenesten (driftsmeldinger, oppdateringer)

5. Rettslig grunnlag

Vi behandler personopplysninger basert på følgende rettslige grunnlag:

• Avtale (art. 6(1)(b)): Behandlingen er nødvendig for å levere tjenesten du har registrert deg for.
• Samtykke (art. 6(1)(a)): For tilgang til bankdata via PSD2 og e-postskanning gir du eksplisitt samtykke.
• Berettiget interesse (art. 6(1)(f)): For å forbedre tjenesten og ivareta sikkerhet.
• Rettslig forpliktelse (art. 6(1)(c)): For å oppfylle krav i bokføringsloven og regnskapsloven.

6. Tredjepartstjenester

Gerd integrerer med følgende tredjepartstjenester for å levere tjenesten:

Hver tredjepartstjeneste har sine egne personvernerklaæringer. Vi anbefaler at du leser disse for å forstå hvordan de behandler dine data.

7. Bankdata og PSD2

For tilgang til bankdata bruker vi Enable Banking som kontoinformasjonstjeneste (AISP) i henhold til EUs betalingstjenestedirektiv (PSD2).

Viktig informasjon om bankdata:

• All bankdata hentes utelukkende gjennom Enable Banking som regulert AISP-leverandør.
• Du gir eksplisitt samtykke før noen bankdata hentes.
• Samtykket er gyldig i 90 dager og må fornyes etter dette.
• Du kan når som helst trekke tilbake samtykket via din bankforbindelse eller i Gerd.
• Vi har kun lesetilgang til kontoer og transaksjoner -- vi kan aldri initiere betalinger via PSD2.
• Bankdata overføres kryptert og lagres sikkert.
• Datastrømmen går kun gjennom Enable Banking -- ingen andre tredjeparter har tilgang til rå bankdata.

8. Kunstig intelligens

Vi bruker Anthropic sitt AI-system (Claude) for å analysere og kategorisere bilag og dokumenter. Dokumentinnhold sendes til Anthropic sin API for analyse, men brukes ikke til å trene AI-modeller. Anthropic behandler data i henhold til sin egen personvernerklaæring og databehandleravtale.

9. Lagring og sikkerhet

Vi tar datasikkerhet på alvor:

• All data overføres kryptert (TLS/HTTPS).
• Data lagres sikkert hos Vercel (hosting) og i private GitHub-repositorier.
• Tilgang til data er begrenset til autorisert personell.
• Vi bruker JWT-basert autentisering for å sikre brukertilgang.
• API-nøkler og sensitiv konfigurasjon lagres som krypterte miljøvariabler.

10. Oppbevaringstid

• Regnskapsdata oppbevares så lenge kontoen din er aktiv, og i henhold til bokføringslovens krav (normalt 5 år).
• Ved avslutning av konto slettes dine data på forespørsel, med mindre lovpålagt oppbevaring krever noe annet.
• Bankdata fra PSD2 oppbevares så lenge samtykket er aktivt.
• Tekniske logger slettes automatisk etter 90 dager.

11. Informasjonskapsler (cookies)

Vi bruker kun nødvendige informasjonskapsler:

• Autentisering (JWT): For å holde deg innlogget på tjenesten.
• Sesjonscookies: For å sikre at tjenesten fungerer korrekt.

Vi bruker ingen sporings- eller markedsføringscookies. Vi bruker ikke Google Analytics eller lignende verktøy.

12. Dine rettigheter etter GDPR

Som registrert har du følgende rettigheter:

• Innsyn: Du kan be om en kopi av alle personopplysninger vi har om deg.
• Retting: Du kan be om at feilaktige opplysninger rettes.
• Sletting: Du kan be om at dine opplysninger slettes ("retten til å bli glemt").
• Dataportabilitet: Du kan be om å få dine data overført i et maskinlesbart format.
• Innsigelse: Du kan protestere mot behandling basert på berettiget interesse.
• Begrensning: Du kan be om at behandlingen begrenses i visse tilfeller.
• Tilbaketrekking av samtykke: Du kan når som helst trekke tilbake samtykke uten at det påvirker lovligheten av behandling basert på samtykke før tilbaketrekkingen.

For å utøve dine rettigheter, kontakt oss på hei@getgerd.com. Vi svarer innen 30 dager.

Du har også rett til å klage til Datatilsynet dersom du mener vi behandler personopplysningene dine i strid med regelverket.

13. Endringer i personvernerklaæringen

Vi kan oppdatere denne personvernerklaæringen fra tid til annen. Ved vesentlige endringer vil vi varsle deg via e-post eller gjennom tjenesten. Oppdatert dato vises alltid øverst på denne siden.

14. Kontakt oss

Har du spørsmål om personvernet ditt eller denne erklaæringen? Ta kontakt: