Personvernerklæring
Denne personvernerklæringen forklarer hvordan vi samler inn, bruker og beskytter dine personopplysninger når du bruker vår tjeneste.
Sist oppdatert: 18. mai 2026
1. Introduksjon og omfang
Denne personvernerklæringen beskriver hvordan Brodin Dev ("vi", "oss" eller "vår") samler inn, bruker, lagrer og beskytter personopplysninger i forbindelse med vår Software-as-a-Service (SaaS) webapplikasjon ("Tjenesten").
Denne erklæringen gjelder for alle brukere av Tjenesten uavhengig av deres bostedsland. Vår Tjeneste er tilgjengelig globalt, og vi er forpliktet til å oppfylle personvernstandardene som kreves av:
- Forordning (EU) 2016/679 — Personvernforordningen (GDPR);
- Lov om behandling av personopplysninger (Personopplysningsloven) — den norske personopplysningsloven, som implementerer GDPR i norsk lov;
- og andre gjeldende personvernlover der det er relevant.
Ved å bruke Tjenesten, erkjenner du at du har lest og forstått denne personvernerklæringen. Hvis du ikke er enig i vilkårene heri, vennligst ikke bruk Tjenesten.
2. Behandlingsansvarlig
Behandlingsansvarlig for behandlingen beskrevet i denne personvernerklæringen er:
Brodin Dev Organisasjonsnummer: 973 861 778 E-post: contact@brodin.dev
3. Hvilke data vi samler inn
Vi samler kun inn personopplysninger som er nødvendige for å levere og vedlikeholde Tjenesten. Kategoriene av data vi samler inn er beskrevet nedenfor.
3.1 Konto- og identitetsdata
| Datapunkt | Kilde | Merknader |
|---|---|---|
| E-postadresse | Oppgitt av deg eller via OAuth | Nødvendig for autentisering og kommunikasjon |
| Passord | Oppgitt av deg | Lagres kun i kryptert (hashet) form; lagres aldri i klartekst |
| Fullt navn | Oppgitt via Google eller GitHub OAuth | Hentes automatisk fra din OAuth-leverandørprofil |
| Profilbilde/avatar | Oppgitt via Google eller GitHub OAuth | Hentes automatisk fra din OAuth-leverandørprofil |
Merk: Hvis du registrerer deg med e-post og passord, samler vi ikke inn ditt navn eller profilbilde med mindre du velger å oppgi dem. Hvis du registrerer deg via Google eller GitHub OAuth, mottar vi kun dataene din OAuth-leverandør gjør tilgjengelig for oss under tillatelsene du gir.
3.2 Autentiserings- og sesjonsdata
- Sesjonsidentifikatorer, administrert sikkert av vårt autentiseringssystem (Better Auth).
- Registreringer knyttet til autentiseringshendelser og tilknyttede påloggingsmetoder der det er nødvendig for å drifte kontotilgang og sikkerhetsfunksjoner.
3.3 Tekniske og bruksdata (Anonymisert)
- Aggregerte, anonymiserte sidevisnings- og ytelsesmålinger samlet inn via Vercel Analytics og Vercel Speed Insights (se avsnitt 11). Disse dataene kan ikke brukes til å identifisere deg personlig.
3.4 Data vi IKKE samler inn
Vi ønsker å være tydelige på hva vi ikke samler inn eller lagrer:
- Betalingskortnummer, bankkontodetaljer eller andre finansielle data. All betalingsbehandling håndteres utelukkende av Polar.sh som vår registrerte forhandler (Merchant of Record).
- Sensitive personopplysninger (som definert i GDPR artikkel 9), slik som helseopplysninger, religiøs overbevisning eller biometriske data.
- Nøyaktige posisjonsdata (geolokasjon).
- Unike enhetsfingeravtrykk eller identifikatorer for sporing på tvers av nettsteder.
4. Hvordan vi samler inn data
Vi samler inn personopplysninger på følgende måter:
- Direkte registrering: Når du oppretter en konto med en e-postadresse og et passord.
- OAuth-autentisering: Når du velger å logge på via Google eller GitHub, deler disse leverandørene begrensede profildata med oss basert på tillatelsene du gir.
- Profiloppdateringer: Når du frivillig oppdaterer navnet ditt eller profilbildet ditt via kontooversikten din.
- Automatisk innsamling: Anonymiserte tekniske målinger samles inn automatisk når du bruker Tjenesten (se avsnitt 11).
5. Juridisk grunnlag for behandling
I henhold til GDPR (artikkel 6) må vi ha et gyldig juridisk grunnlag for å behandle dine personopplysninger. Vi baserer oss på følgende:
5.1 Oppfyllelse av avtale (Artikkel 6 nr. 1 bokstav b)
Det primære grunnlaget for behandling av dine personopplysninger er at det er nødvendig for å oppfylle en avtale mellom deg og oss — nærmere bestemt for å gi deg tilgang til og bruk av Tjenesten. Dette dekker:
- Opprettelse og vedlikehold av brukerkontoen din.
- Autentisering av deg når du logger inn.
- Å gjøre det mulig for deg å bruke alle funksjonene i Tjenesten.
- Utsendelse av transaksjons-e-poster (f.eks. e-postbekreftelse, varsler om tilbakestilling av passord).
Uten denne behandlingen kan vi ikke levere Tjenesten.
5.2 Berettiget interesse (Artikkel 6 nr. 1 bokstav f)
Vi behandler også visse data på grunnlag av våre berettigede interesser, forutsatt at disse interessene ikke overstyres av dine rettigheter og friheter. Disse interessene inkluderer:
- Sikkerhet: Oppdage og forhindre uredelig tilgang, misbruk eller uautorisert bruk av Tjenesten.
- Tjenestens integritet: Sikre teknisk stabilitet, pålitelighet og ytelse for Tjenesten.
- Anonymisert analyse: Bruke aggregerte, ikke-identifiserbare ytelses- og bruksdata for å forbedre Tjenesten.
Vi har gjennomført en interesseavveining og er tilfredse med at våre berettigede interesser ikke overstyrer dine grunnleggende rettigheter, gitt denne behandlingens begrensede og personvernvennlige natur.
5.3 Merknad om samtykke
Vi baserer oss ikke på samtykke som juridisk grunnlag for kjernebehandling av data. Der det er aktuelt (f.eks. for valgfrie funksjoner eller kommunikasjon utover transaksjons-e-poster), vil vi imidlertid be om ditt separate, eksplisitte samtykke og tilby en tydelig mekanisme for å trekke det tilbake når som helst.
6. Hvordan vi bruker dine data
Vi bruker personopplysningene vi samler inn til følgende spesifikke formål:
| Formål | Juridisk grunnlag | Data som brukes |
|---|---|---|
| Opprette og administrere din brukerkonto | Oppfyllelse av avtale | E-post, passord-hash, navn, avatar |
| Autentisere din identitet ved innlogging | Oppfyllelse av avtale | E-post, passord-hash, OAuth-tokens |
| Sende transaksjons-e-poster (bekreftelse, tilbakestilling av passord) | Oppfyllelse av avtale | E-postadresse |
| La deg koble til/fra sosiale kontoer | Oppfyllelse av avtale | OAuth-tokens, e-post |
| Muliggjøre egenadministrasjon og sletting av konto | Oppfyllelse av avtale | Alle kontodata |
| Oppdage og forhindre sikkerhetstrusler | Berettiget interesse | E-post, sesjonsdata |
| Overvåke og forbedre Tjenestens ytelse | Berettiget interesse | Anonymiserte analysedata |
Vi bruker ikke dine personopplysninger til:
- Markedsførings- eller reklamekommunikasjon (uten ditt eksplisitte samtykke).
- Å selge eller leie ut dine data til tredjeparter.
- Automatiserte avgjørelser eller profilering som har juridiske eller betydelige konsekvenser for deg.
7. Datadeling og tredjeparter
Vi selger ikke dine personopplysninger. Vi deler kun personopplysninger med et begrenset utvalg tredjeparter der det er nødvendig for å drifte Tjenesten, overholde lovgivning eller støtte funksjoner du velger å bruke. Noen av disse partene opptrer som våre databehandlere under kontrakt, mens andre opptrer som uavhengige behandlingsansvarlige for sine egne deler av transaksjons- eller autentiseringsflyten.
7.1 Convex — Database, backend og fillagring
| Detalj | Info |
|---|---|
| Formål | Lagrer alle applikasjonsdata, inkludert brukerkonto-oppføringer og profilfiler (avatarer) |
| Data som deles | E-postadresse, hashet passord, navn, profilbilde/avatar, sesjonsdata |
| Personvernerklæring | https://www.convex.dev/legal/privacy |
Convex fungerer som det primære datalageret for Tjenesten. All data som lagres i Convex behandles i henhold til våre instruksjoner.
7.2 Resend — Transaksjons-e-post
| Detalj | Info |
|---|---|
| Formål | Leverer transaksjons-e-poster på våre vegne (f.eks. kontobekreftelse, tilbakestilling av passord) |
| Data som deles | E-postadresse og det minimale innholdet som kreves for å generere e-posten |
| Personvernerklæring | https://resend.com/legal/privacy-policy |
Resend behandler din e-postadresse utelukkende for å levere meldinger du har utløst (f.eks. å be om tilbakestilling av passord). Resend bruker ikke disse dataene til sine egne markedsføringsformål.
7.3 Google og GitHub — OAuth-pålogging
| Detalj | Info |
|---|---|
| Formål | Tilbyr valgfri tredjeparts pålogging og kontotilknytningsflyter |
| Data som deles | Begrensede konto- og autentiseringsdata som kreves for å fullføre OAuth-påloggingsflyten |
| Rolle | Uavhengige behandlingsansvarlige for behandling som finner sted på deres egne plattformer og tjenester |
Hvis du velger å logge inn med Google eller GitHub, vil du bli omdirigert til den aktuelle leverandøren, og deres behandling av dine personopplysninger vil styres av deres egne personvernvilkår.
7.4 Polar.sh — Betalinger (Registrert forhandler)
| Detalj | Info |
|---|---|
| Formål | Behandler betalingstransaksjoner som registrert forhandler (Merchant of Record) |
| Data som deles | Begrensede ordre- og kontodata som kreves for å initiere og administrere et kjøp; betalingskortdata håndteres av Polar.sh |
| Rolle | Uavhengig behandlingsansvarlig for betalings- og faktureringsbehandling på sine egne betalingssystemer |
| Personvernerklæring | https://polar.sh/legal/privacy |
Polar.sh fungerer som registrert forhandler (Merchant of Record) for kjøp og abonnementer. Dette betyr at Polar.sh er uavhengig ansvarlig for å samle inn og behandle betalingsinformasjon i henhold til sin egen personvernerklæring. Vi mottar, lagrer eller behandler ikke dine kreditt- eller debetkortdetaljer på noe tidspunkt.
7.5 Vercel — Applikasjonshosting og analyse
| Detalj | Info |
|---|---|
| Formål | Drifter og serverer webapplikasjonen; leverer anonymisert ytelsesanalyse |
| Data som deles | Applikasjonstrafikk (behandles på infrastrukturnivå); anonymiserte analysedata |
| Personvernerklæring | https://vercel.com/legal/privacy-policy |
Vercel leverer infrastrukturen som Tjenesten kjører på. Som hostingleverandør kan Vercel behandle forespørselsmetadata (f.eks. IP-adresser) på infrastrukturnivå som en del av normal nettverksdrift. Vercels analysefunksjoner er konfigurert til å være personvernvennlige (se avsnitt 11).
7.6 Ingen annen deling med tredjeparter
Vi deler ikke dine personopplysninger med noen andre tredjeparter med mindre det kreves av gjeldende lov (se nedenfor).
7.7 Juridisk utlevering
Vi kan utlevere dine personopplysninger hvis det kreves ved lov, rettskjennelse eller av en reguleringsmyndighet, eller der vi i god tro mener at utlevering er nødvendig for å beskytte rettighetene, eiendommen eller sikkerheten til Brodin Dev, våre brukere eller andre. Vi vil varsle deg om enhver slik utlevering i den grad loven tillater det.
8. Internasjonale dataoverføringer
Våre tredjeparts databehandlere kan lagre eller behandle data utenfor Det europeiske økonomiske samarbeidsområdet (EØS). Der slike overføringer forekommer, sikrer vi at de er underlagt egnede sikkerhetstiltak slik det kreves av GDPR kapittel V, inkludert:
- Standard Contractual Clauses (SCCs) (Standard personvernbestemmelser) godkjent av EU-kommisjonen, og/eller
- Behandling i land som drar nytte av en beslutning om tilstrekkelig beskyttelsesnivå (adequacy decision) fra EU-kommisjonen.
Spesifikt:
- Convex og Vercel er USA-baserte leverandører. Dataoverføringer styres av gjeldende SCC-er og deres respektive databehandleravtaler (DPA-er).
- Resend er en USA-basert leverandør som opererer under SCC-er.
- Google, GitHub og, der det er aktuelt, Polar.sh kan også behandle data utenfor EØS under sine egne overføringsmekanismer og personvernsrammeverk.
Du kan be om ytterligere informasjon om de spesifikke overføringsmekanismene vi benytter oss av ved å kontakte oss på contact@brodin.dev.
9. Datalagring
Vi beholder dine personopplysninger kun så lenge det er nødvendig for å oppfylle formålene som er beskrevet i denne erklæringen, eller som kreves av gjeldende lov.
| Datakategori | Lagringsperiode |
|---|---|
| Kontodata (e-post, navn, avatar) | Så lenge kontoen din eksisterer, og slettes når kontoen slettes |
| Hashede passord | Så lenge kontoen din eksisterer, og slettes når kontoen slettes |
| Tilknyttede kontooppføringer | Opprettholdes så lenge den tilknyttede sosiale kontoen forblir aktiv; slettes når kontoen kobles fra eller slettes |
| Transaksjons-e-postlogger | I henhold til Resends lagringspolicy; vi beholder minimale oppføringer som kreves for sikkerhetsrevisjonsformål |
| Anonymiserte analysedata | På ubestemt tid, da de ikke kan knyttes til noen enkeltperson |
Sletting av konto
Når du permanent sletter kontoen din via kontooversikten, slettes alle dine tilknyttede personopplysninger fra våre systemer. Denne handlingen er irreversibel. Gjenværende data kan vedvare i krypterte sikkerhetskopier i en begrenset periode (typisk opptil 30 dager) før de fjernes i rutinemessige sikkerhetskopieringssykluser.
10. Dine rettigheter under GDPR
Som registrert under GDPR og den norske Personopplysningsloven, har du følgende rettigheter. Vi er forpliktet til å respektere disse rettighetene og vil svare på bekreftede forespørsler innen 30 dager (kan forlenges med ytterligere to måneder for komplekse forespørsler, med varsel).
10.1 Rett til innsyn (Artikkel 15)
Du har rett til å be om en kopi av personopplysningene vi har om deg, samt informasjon om hvordan og hvorfor vi behandler dem.
10.2 Rett til retting (Artikkel 16)
Du har rett til å be om at unøyaktige eller ufullstendige personopplysninger vi har om deg, blir rettet. Du kan oppdatere det meste av din profilinformasjon direkte fra kontooversikten din når som helst.
10.3 Rett til sletting / Rett til å bli glemt (Artikkel 17)
Du har rett til å be om sletting av dine personopplysninger der:
- Dataene ikke lenger er nødvendige for de formålene de ble samlet inn for;
- Du trekker tilbake samtykke (der samtykke var det juridiske grunnlaget);
- Du motsetter deg behandlingen og det ikke finnes overstyrende legitime grunner;
- Dataene har blitt behandlet ulovlig.
Du kan utøve denne retten når som helst ved å permanent slette kontoen din fra oversikten, noe som vil slette alle tilknyttede data. Alternativt kan du kontakte oss på contact@brodin.dev.
10.4 Rett til begrensning av behandling (Artikkel 18)
Du har rett til å be om at vi begrenser behandlingen av dataene dine under visse omstendigheter — for eksempel mens en tvist om nøyaktighet blir løst.
10.5 Rett til dataportabilitet (Artikkel 20)
Du har rett til å motta en kopi av dine personopplysninger i et strukturert, alminnelig anvendt og maskinlesbart format (f.eks. JSON eller CSV), og til å få disse dataene overført til en annen behandlingsansvarlig der dette er teknisk gjennomførbart. Denne retten gjelder for data som behandles på grunnlag av oppfyllelse av avtale eller samtykke.
For å be om en dataeksport, vennligst kontakt oss på contact@brodin.dev.
10.6 Rett til å protestere (Artikkel 21)
Du har rett til å protestere mot behandling basert på berettigede interesser. Vi vil opphøre med slik behandling med mindre vi kan demonstrere tvingende berettigede grunner som overstyrer dine interesser, rettigheter og friheter, eller behandlingen er nødvendig for rettskrav.
10.7 Rettigheter knyttet til automatiserte avgjørelser (Artikkel 22)
Vi driver ikke med automatiserte avgjørelser eller profilering som har juridiske eller tilsvarende betydelige konsekvenser. Denne retten er derfor foreløpig ikke anvendelig for vår Tjeneste.
10.8 Hvordan utøve dine rettigheter
For å utøve noen av rettighetene ovenfor, vennligst:
- Selvbetjening: Bruk kontooversikten din (for profilredigering, sletting av konto og administrasjon av sosiale kontoer).
- Kontakt oss: Send e-post til contact@brodin.dev med en beskrivelse av forespørselen din. Vi kan be deg om å bekrefte identiteten din før vi behandler forespørselen.
Det påløper ingen gebyrer for å utøve dine rettigheter. Hvis forespørsler er åpenbart grunnløse eller overdrevne (spesielt hvis de gjentas), kan vi kreve et rimelig administrasjonsgebyr eller nekte å etterkomme dem, i samsvar med GDPR artikkel 12(5).
11. Informasjonskapsler og analyse
11.1 Autentiseringskapsler
Vi bruker strengt nødvendige autentiserings- og sikkerhetskapsler for å administrere den autentiserte sesjonen din. Disse er essensielle for driften av Tjenesten. Under gjeldende ePrivacy-regler, inkludert den norske Ekomloven, kreves det ikke samtykke for informasjonskapsler som er strengt nødvendige for å levere en tjeneste du har bedt om. Der disse informasjonskapslene involverer personopplysninger, behandler vi disse dataene på det juridiske grunnlaget beskrevet i avsnitt 5.
11.2 Vercel Analytics og Speed Insights
Vi bruker Vercel Analytics og Vercel Speed Insights for å forstå hvordan brukere samhandler med Tjenesten og for å overvåke ytelsen. Disse verktøyene er konfigurert for å være personvernvennlige ved design (privacy-preserving by design):
- Ingen personidentifiserbar informasjon (PII) samles inn.
- Ingen unike enhetsfingeravtrykk eller vedvarende identifikatorer brukes.
- Ingen sporing på tvers av nettsteder forekommer.
- IP-adresser lagres ikke — de brukes forbigående for å utlede omtrentlige, geografiske aggregater på landsnivå og blir deretter forkastet.
- Data aggregeres og kan ikke knyttes til noen enkeltbruker.
Fordi disse analyseverktøyene ikke behandler personopplysninger i et identifiserbart format, krever de ikke et samtykkebanner for informasjonskapsler i henhold til ePrivacy-direktivet eller GDPR slik det er implementert i norsk lov.
11.3 Ingen tredjeparts annonse- eller sporingskapsler
Vi bruker ingen annonsenettverk, piksler for retargeting, sporingskapsler for sosiale medier eller andre tredjeparts sporingsteknologier.
12. Sikkerhet
Vi tar sikkerheten til dine personopplysninger på alvor og implementerer passende tekniske og organisatoriske tiltak (TOM-er) i samsvar med GDPR artikkel 32, inkludert:
- Passord-hashing: Passord lagres aldri i klartekst. Vi bruker bransjestandardiserte kryptografiske hashing-algoritmer via Better Auth.
- Kryptert dataoverføring: All data overføres over HTTPS/TLS.
- Tilgangskontroller: Tilgang til produksjonssystemer og brukerdata er begrenset kun til autorisert personell.
- Infrastruktursikkerhet: Vår hostingleverandør, Vercel, opprettholder SOC 2-samsvar og implementerer sikkerhetstiltak av bedriftsklasse.
- Databasesikkerhet: Convex tilbyr kryptert lagring og sikre tilgangskontroller for API.
Selv om vi streber etter å beskytte dine data, er ingen metode for overføring over internett eller elektronisk lagring 100 % sikker. I tilfelle et brudd på personopplysningssikkerheten som sannsynligvis vil medføre høy risiko for dine rettigheter og friheter, vil vi varsle deg i samsvar med GDPR artikkel 34 og rapportere til den relevante tilsynsmyndigheten (Datatilsynet) innen 72 timer etter å ha blitt oppmerksom på bruddet, som kreves av GDPR artikkel 33.
13. Barns personvern
Tjenesten er ikke rettet mot personer under 18 år. Vi tillater ikke vitende at personer under 18 år oppretter kontoer eller bruker Tjenesten.
Hvis du mener at en person under 18 år har gitt oss personopplysninger i strid med denne erklæringen, vennligst kontakt oss på contact@brodin.dev, så vil vi umiddelbart ta skritt for å slette disse dataene.
14. Endringer i denne erklæringen
Vi kan oppdatere denne personvernerklæringen fra tid til annen for å gjenspeile endringer i Tjenesten, gjeldende lovgivning eller vår datapraksis. Når vi gjør vesentlige endringer, vil vi:
- Oppdatere datoen for "Sist oppdatert" øverst i dette dokumentet;
- Varsle deg via e-post (til adressen tilknyttet kontoen din) eller via en tydelig kunngjøring i Tjenesten, dersom endringene er betydelige.
Din fortsatte bruk av Tjenesten etter ikrafttredelsesdatoen for en oppdatert erklæring, utgjør din anerkjennelse av endringene. Vi oppfordrer deg til å gjennomgå denne erklæringen med jevne mellomrom.
15. Kontakt og klager
For spørsmål, bekymringer eller forespørsler knyttet til denne personvernerklæringen eller dine personopplysninger, vennligst kontakt oss på:
Hvis du mener at vår behandling av dine personopplysninger bryter med gjeldende lov, har du også rett til å sende inn en klage til den norske tilsynsmyndigheten, Datatilsynet, eller til din lokale tilsynsmyndighet i EØS.