Personvernerklæring

1.Hvem er ansvarlig

Gromis er behandlingsansvarlig for personopplysninger som brukes til å opprette og drifte brukerkontoen din, fakturere abonnementet, sikre tjenesten, gi support og oppfylle egne lovpålagte plikter.

Når du legger inn data om dine kunder, ansatte, kvitteringer, bilag, lønn og regnskap, behandler Gromis disse opplysningene som databehandler på dine vegne. Dette reguleres av databehandleravtalen.

2.Hvilke opplysninger behandles

• Kontoopplysninger: navn, e-post, passordhash, rolle, språkvalg og innloggingsrelaterte data.
• Virksomhetsopplysninger: firmanavn, organisasjonsnummer, adresse, MVA-status, kontoinformasjon for utbetaling og fakturainnstillinger.
• Regnskapsdata: transaksjoner, bilag, kontoplan, kategorier, kvitteringer, fakturaer, kunder, kontrakter, tilbud, eiendeler, kjørebok, MVA-meldinger og skattemeldingsgrunnlag.
• Lønnsdata: ansatte, bankkonto, lønn, skattekortstatus og fødselsnummer der dette er nødvendig for lønn, skattekort eller lovpålagt rapportering.
• Integrasjonsdata: banktilkoblinger, Altinn/ID-porten-økter, Maskinporten-kall, betalingsstatus og tekniske hendelser.
• Tekniske data: logger, sikkerhetshendelser, feilrapporter, ytelsesmålinger og IP-/nettleserdata der dette er nødvendig for drift og sikkerhet.

3.Behandlingsgrunnlag

For kontoen din behandler vi opplysninger for å oppfylle avtalen med deg, for å oppfylle rettslige plikter, og for berettigede interesser som sikkerhet, misbruksforebygging og forbedring av tjenesten.

For data du legger inn om kunder, ansatte og regnskap, er du behandlingsansvarlig. Gromis behandler dataene etter dine instrukser og databehandleravtalen.

4.Fødselsnummer

Fødselsnummer brukes bare der det er saklig behov og nødvendig for sikker identifisering, for eksempel ved lønn, skattekort og lovpålagt rapportering. Fødselsnummer lagres kryptert og skal ikke brukes som generell innloggings- eller kundeidentifikator.

Dersom en funksjon kan leveres uten fødselsnummer, skal Gromis ikke be om eller lagre fødselsnummer for den funksjonen.

5.Deling og underleverandører

Vi deler ikke personopplysninger med tredjeparter for markedsføring. Underleverandører brukes bare for å levere tjenesten, for eksempel drift, database, fil lagring, e-post, feilrapportering, AI/OCR, betaling, bank- og offentlige integrasjoner.

Den oppdaterte listen over navngitte underleverandører finner du på siden Underleverandører. Vesentlige endringer varsles før de trer i kraft. Overføringer ut av EØS skjer på grunnlag av EUs standard personvernbestemmelser (SCC) supplert med tiltak etter Schrems II-vurderingen.

6.Lagringstid og sletting

Konto- og driftsdata lagres så lenge kontoen finnes og deretter så lenge det er nødvendig for sikkerhet, dokumentasjon, regnskap eller rettslige krav.

Regnskaps- og lønnsdata lagres etter dine instrukser, men enkelte opplysninger kan måtte beholdes etter bokførings-, skatte- eller betalingsregler. Når kontoen slettes, skal aktive data slettes eller anonymiseres så langt loven tillater det. Sikkerhetskopier slettes etter egne backup-rutiner.

7.Informasjonskapsler og måling

Tjenesten bruker nødvendige informasjonskapsler for innlogging, sikkerhet og språkvalg. Disse settes uten samtykkebanner fordi de er nødvendige for at tjenesten skal fungere.

Vercel Speed Insights brukes til ytelsesmåling. Dersom vi senere legger til analyse, annonsepiksler eller tredjepartsinnhold som ikke er nødvendig, skal dette ikke aktiveres før samtykke er håndtert.

8.Dine rettigheter

Du kan be om innsyn, retting, sletting, begrensning, dataportabilitet og protest der regelverket gir deg rett til det. Du kan også klage til Datatilsynet.

For personopplysninger om dine egne kunder og ansatte er du normalt riktig kontaktpunkt for de registrerte. Gromis bistår deg etter databehandleravtalen.

9.Sikkerhet

Gromis bruker tilgangsstyring, flerleietaker-isolasjon i databasen, kryptering av fødselsnummer, miljøvariabler for hemmeligheter, sikkerhetssjekker i CI og logging begrenset til det som er nødvendig for drift og feilretting.

Personnummer, passord, tokens og andre hemmeligheter skal ikke logges eller returneres i API-responser.

10.Kontakt

Henvendelser om personvern, innsyn, sletting eller databehandleravtalen kan sendes til kontaktadressen som er oppgitt for Gromis. Før første betalende kunde må denne adressen være en overvåket virksomhetsadresse.