Personvernerklæring

Sist oppdatert: 8. juni 2025 · Versjon 2.0

1. Behandlingsansvarlig

Avent Digital AS («vi», «oss», «SendUt») er behandlingsansvarlig for personopplysninger som behandles i forbindelse med drift av SendUt tilgjengelig på sendut.no.

Avent Digital AS

E-post: kontakt@sendut.no

Nettside: avent.no

2. Roller i behandlingen

SendUt opererer i to ulike roller avhengig av hvilke personopplysninger som behandles:

Behandlingsansvarlig

For opplysninger om egne kunder (klubber/organisasjoner) og deres administratorer — herunder kontaktinformasjon, abonnement og fakturaopplysninger.

Databehandler

For opplysninger om klubbers medlemmer behandler SendUt opplysninger på vegne av den aktuelle klubben (behandlingsansvarlig). Databehandleravtale inngås ved aksept av vilkårene.

3. Hvilke personopplysninger vi behandler

3.1 Kunder (klubbadmin og toppadmin)

  • E-postadresse og passord (kryptert)
  • Klubb-/organisasjonstilknytning
  • Fakturaopplysninger og betalingshistorikk (via Stripe)
  • IP-adresse ved innlogging (sikkerhetslogg)

3.2 Klubbers medlemmer (behandlet som databehandler)

  • Navn, e-postadresse, telefonnummer, postadresse
  • Egendefinerte felt fastsatt av den aktuelle klubben
  • Samtykkehistorikk (tidsstemplet logg over gitt/trukket samtykke)
  • E-postleveringsstatus (sendt, levert, feilet)
  • Avmeldingsstatus (suppresjonsliste)

3.3 Tekniske og operasjonelle data

  • Aktivitetslogg for administrative handlinger (toppadmin)
  • Serverlogger for feilsøking og sikkerhet
  • Sendte nyhetsbrev med innhold og mottakerstatistikk

4. Formål og rettslig grunnlag

FormålGrunnlag
Levere SaaS-tjenestenAvtale (art. 6 nr. 1 b)
Fakturering og abonnementshåndteringAvtale (art. 6 nr. 1 b) + rettslig plikt (art. 6 nr. 1 c)
Nyhetsbrev til klubbers medlemmerSamtykke eller berettiget interesse — klubbens ansvar som behandlingsansvarlig
Sikkerhet og misbruksforebyggingBerettiget interesse (art. 6 nr. 1 f)
Aktivitetslogg (toppadmin)Berettiget interesse — drifts- og sikkerhetshensyn
Samtykkelogg per medlemRettslig plikt — dokumentasjonskrav GDPR art. 7 nr. 1
Suppresjonsliste (avmeldte)Rettslig plikt — markedsføringsloven og ekomloven

5. Lagringstid

KundekontoerSå lenge abonnementet er aktivt + 30 dager etter avslutning
Medlemsdata (klubbers)Så lenge klubben er aktiv, deretter slettet innen 30 dager
Fakturaopplysninger5 år (bokføringsloven)
SamtykkeloggHele medlemskapets varighet + 3 år (bevisformål)
Suppresjonsliste (avmeldte)Permanent — for å forhindre utilsiktet gjenopptakelse av sending
Aktivitetslogg90 dager
Serverlogger30 dager
Leveringsrapporter12 måneder

6. Tredjeparts underleverandører

Vi benytter følgende underleverandører som behandler personopplysninger på våre vegne:

Supabase Inc.Database og autentisering (medlemsdata lagres her)📍 EUGrunnlag: Standardkontraktsklausuler (SCC)
Sveve ASSMS-utsendelse📍 Norge (EØS)Grunnlag: Databehandleravtale
Resend Inc.E-postutsendelse📍 USAGrunnlag: SCC + Data Processing Agreement
Stripe Inc.Betalingsbehandling📍 USAGrunnlag: EU-US Data Privacy Framework
Vercel Inc.Webhosting og kjøremiljø (EU-region)📍 USA (kjøremiljø i EU)Grunnlag: SCC + Data Processing Agreement

Vi inngår databehandleravtale (DPA) med alle underleverandører. Ingen personopplysninger selges eller deles til andre formål.

7. Datasikkerhet

  • All kommunikasjon krypteres med TLS/HTTPS
  • Databasetilgang styres av row-level security (RLS) — ingen klubb kan se en annen klubbs data
  • Passord lagres aldri i klartekst (bcrypt via Supabase Auth)
  • Avmeldingslenker er HMAC-signerte og kan ikke forfalskes
  • Stripe-betalingsnøkler lagres kryptert i databasen
  • Tilgang til produksjonssystemer krever autentisering

8. Informasjonskapsler (cookies)

SendUt bruker kun nødvendige informasjonskapsler for innlogging og sesjonshåndtering (Supabase Auth-token). Vi benytter ikke sporings-, analyse- eller reklamecookies fra tredjeparter.

NavnFormålVarighet
sb-*-auth-tokenInnloggingssesjon (Supabase)Sesjon / 7 dager

Siden vi kun benytter strengt nødvendige cookies, er det ikke krav om samtykke-banner etter ekomloven § 2-7 b.

9. E-post og avmelding

Alle nyhetsbrev sendt via SendUt inneholder en avmeldingslenke i bunnteksten. Mottakere kan melde seg av med ett klikk. Avmeldinger registreres umiddelbart og honoreres ved neste utsendelse.

E-poster sendes i henhold til ekomloven og markedsføringsloven. Klubber som behandlingsansvarlige er ansvarlige for at sending skjer på gyldig rettslig grunnlag.

10. Dine rettigheter

Du har følgende rettigheter etter GDPR (kapittel III):

Innsyn (art. 15)Be om kopi av alle opplysninger vi har om deg
Retting (art. 16)Kreve at uriktige opplysninger rettes
Sletting (art. 17)«Rett til å bli glemt» — vi sletter data innen 30 dager etter forespørsel
Begrensning (art. 18)Be om at behandlingen midlertidig stanses
Dataportabilitet (art. 20)Motta dine data i maskinlesbart format (CSV-eksport tilgjengelig)
Innsigelse (art. 21)Protestere mot behandling basert på berettiget interesse
Klagerett (art. 77)Klage til Datatilsynet: datatilsynet.no, post@datatilsynet.no

Send forespørsel til kontakt@sendut.no. Vi svarer innen 30 dager.

11. Databrudd

Ved et databrudd som kan innebære risiko for registrerte, varsler vi Datatilsynet innen 72 timer og berørte registrerte uten ugrunnet opphold, i samsvar med GDPR art. 33 og 34.

12. Endringer i personvernerklæringen

Vi oppdaterer denne erklæringen ved vesentlige endringer i hvordan vi behandler personopplysninger. Aktuelle kunder varsles på e-post ved vesentlige endringer. Dato for siste oppdatering fremgår øverst på siden.

13. Kontakt

For spørsmål om personvern, innsyn eller sletting: kontakt@sendut.no
Avent Digital AS — avent.no