Personvernerklæring for Bookingtjeneste.no

Sist oppdatert: 16. februar 2026 · Versjon: 2.0

Denne personvernerklæringen («Erklæringen») beskriver hvordan Preferium AS, org.nr. 999 323 286 («vi», «oss», «vår»), som behandlingsansvarlig samler inn, bruker, lagrer, deler og beskytter personopplysninger i forbindelse med bruk av Bookingtjeneste.no og tilknyttede tjenester.

1. Behandlingsansvarlig og kontaktinformasjon

1.1 Behandlingsansvarlig

Preferium AS, org.nr. 999 323 286, er behandlingsansvarlig for behandling av personopplysninger som beskrevet i denne Erklæringen. Det innebærer at vi bestemmer formålet med og midlene for behandlingen av personopplysninger knyttet til leverandørkontoer, nettstedsbesøk og direkte kundeforhold med oss.

1.2 Kontaktperson for personvern

Vi har utpekt en kontaktperson for personvernspørsmål som kan kontaktes for alle spørsmål knyttet til behandling av personopplysninger, utøvelse av dine rettigheter eller denne Erklæringen:

Navn

Robert André Johansen

Rolle

Daglig leder / Personvernkontakt

E-post

personvern@bookingtjeneste.no

Adresse

Sponheimveien 19, 1613 Fredrikstad, Norge

1.3 Når vi er databehandler

Når du som leverandør bruker Bookingtjeneste.no til å administrere bookinger, kundeinformasjon og kommunikasjon med dine sluttkunder, opptrer vi som databehandler på dine vegne. Du er da behandlingsansvarlig for dine sluttkunders personopplysninger.

Forholdet mellom deg og oss som databehandler reguleres av en separat databehandleravtale (DPA) i samsvar med GDPR artikkel 28. Denne sikrer at vi kun behandler sluttkundenes personopplysninger etter dine dokumenterte instrukser, og at egnede tekniske og organisatoriske tiltak er på plass.

Som databehandler fører vi en protokoll over behandlingsaktiviteter i henhold til GDPR artikkel 30(2).

2. Hvilke personopplysninger vi samler inn

2.1 Opplysninger du selv oppgir

Ved registrering, kjøp av abonnement eller kontakt med oss kan du oppgi følgende:

• Identitetsopplysninger: Fullt navn, brukernavn og organisasjonsnummer.
• Kontaktopplysninger: E-postadresse, telefonnummer, postadresse og faktureringsadresse.
• Betalingsopplysninger: Debet-/kredittkortnummer (behandles direkte av PCI DSS-sertifisert betalingsleverandør – vi lagrer aldri kortnumre), faktureringsdetaljer og transaksjonshistorikk.
• Virksomhetsopplysninger: Firmanavn, organisasjonsnummer, adresse, bransje og øvrig forretningsinformasjon.
• Kommunikasjon: Innhold i e-poster, chatmeldinger, kontaktskjemaer og supporthenvendelser.
• Innhold du publiserer: Tjenestebeskrivelser, bilder, priser, SMS-/e-postmaler og annet innhold du legger inn i plattformen.

2.2 Opplysninger vi samler inn automatisk

Når du besøker eller bruker våre tjenester, registrerer vi automatisk:

• Enhetsinformasjon: Enhetstype, operativsystem, nettlesertype og -versjon, skjermoppløsning og språkinnstillinger.
• Tilkoblingsdata: IP-adresse (anonymisert der mulig), nettverks-ID, internettleverandør og tilkoblingstidspunkt.
• Bruksdata: Besøkte sider, klikkmønster, funksjoner brukt, tidspunkt for besøk, oppholdstid og referanse-URL.
• Informasjonskapsler og lignende teknologi: Se punkt 5 for detaljer.

2.3 Opplysninger fra tredjeparter

Vi kan motta opplysninger om deg fra:

• Betalingsleverandører: Transaksjonsbekreftelser, tilbakeføringer (chargebacks) og betalingsstatus fra Stripe, Vipps og Klarna (via Vipps).
• Analyseverktøy: Aggregerte og anonymiserte bruksdata fra Google Analytics 4 (GA4).
• Offentlige registre: Opplysninger fra Brønnøysundregistrene for verifisering av virksomhetsopplysninger.

2.4 Sensitive personopplysninger (særlige kategorier)

Vi samler ikke bevisst inn særlige kategorier av personopplysninger som definert i GDPR artikkel 9, herunder opplysninger om helse, etnisitet, politisk oppfatning, religiøs overbevisning, seksuell legning eller biometriske data.

Dersom du som leverandør legger slik informasjon inn i plattformen (for eksempel gjennom bookingskjemaer for helserelaterte tjenester), er det ditt ansvar som behandlingsansvarlig å sikre at dette skjer med gyldig rettslig grunnlag og i samsvar med GDPR artikkel 9(2). Vi anbefaler at du innhenter eksplisitt samtykke fra dine sluttkunder for slik behandling.

3. Rettslig grunnlag for behandling

Vi behandler personopplysninger basert på følgende rettslige grunnlag i henhold til GDPR artikkel 6(1). For hver behandlingsaktivitet har vi dokumentert det rettslige grunnlaget i vår interne behandlingsprotokoll (GDPR artikkel 30).

4. Formål med behandlingen

4.1 Levering og drift av tjenesten

Vi bruker personopplysninger for å opprette og administrere din konto, levere bookingsystemet, behandle betalinger, sende transaksjonelle e-poster og SMS-varslinger, og gi deg tilgang til kontrollpanelet og tilhørende funksjoner.

4.2 Kundesupport og kommunikasjon

Vi behandler opplysninger for å svare på dine henvendelser, løse tekniske problemer, gi veiledning om bruk av plattformen og sende deg administrativ informasjon om driftsendringer, sikkerhetsoppdateringer og funksjonsendringer.

4.3 Forbedring og utvikling av tjenesten

Vi bruker aggregerte og anonymiserte/pseudonymiserte bruksdata for å analysere bruksmønstre, identifisere feil, forbedre brukeropplevelsen og utvikle nye funksjoner. Så langt det er praktisk mulig, gjøres dette uten at informasjonen kan knyttes til deg personlig.

4.4 Markedsføring og tilpasning

Med ditt uttrykkelige samtykke kan vi sende deg markedsføring via e-post eller SMS om våre produkter, tjenester, kampanjer og arrangementer.

For eksisterende kunder kan vi i henhold til markedsføringsloven § 15 tredje ledd sende markedsføring om tilsvarende produkter og tjenester som de du allerede har kjøpt, forutsatt at:

• E-postadressen ble innhentet i forbindelse med et kjøp eller abonnement.
• Du ble tydelig informert om muligheten til å reservere deg ved innhenting av adressen.
• Hver melding inneholder en enkel og gratis avmeldingsmulighet.

Du kan når som helst melde deg av via avmeldingslenken i meldingene eller ved å kontakte oss.

4.5 Sikkerhet og misbruksforebygging

Vi bruker personopplysninger for å forebygge og oppdage svindel, uautorisert tilgang, sikkerhetshendelser, spam og andre handlinger som er forbudt etter norsk lov eller i strid med våre vilkår.

4.6 Rettslige forpliktelser

Vi behandler personopplysninger for å oppfylle lovpålagte krav til bokføring, regnskap, skatt og avgift, samt for å etterkomme pålegg fra myndigheter eller domstoler.

5. Informasjonskapsler og sporingsteknologi

5.1 Hva er informasjonskapsler?

Informasjonskapsler (cookies) er små tekstfiler som lagres på din enhet når du besøker nettsiden vår. De brukes til å huske innstillinger, analysere bruksmønstre og levere tilpasset innhold.

5.2 Lovgrunnlag for informasjonskapsler

Bruk av informasjonskapsler reguleres av lov om elektronisk kommunikasjon (ekomloven) § 2-7b, som implementerer EU-direktivet om personvern og elektronisk kommunikasjon (ePrivacy-direktivet). Denne bestemmelsen krever at brukeren gir aktivt, informert samtykke før lagring av eller tilgang til informasjon på brukerens enhet, med unntak av teknisk nødvendige informasjonskapsler.

5.3 Kategorier av informasjonskapsler

Kategori	Formål	Samtykke	Levetid
Nødvendige	Innlogging, øktbehandling, sikkerhetsfunksjoner, lastbalansering. Påkrevd for at nettsiden skal fungere.	Ikke påkrevd	Økt / opptil 12 mnd
Funksjonelle	Huske dine preferanser, språkinnstillinger og andre tilpasninger.	Påkrevd	Opptil 12 mnd
Analytiske	Samle inn anonymisert statistikk via Google Analytics 4 (GA4) for å forbedre nettsiden.	Påkrevd	Opptil 14 mnd
Markedsføring	Vise relevant reklame via Google Ads, Meta, TikTok, Snapchat m.fl.	Påkrevd	Opptil 13 mnd

5.4 Administrering av informasjonskapsler

Ved ditt første besøk presenteres et samtykkevalg (cookie-banner) der du aktivt kan velge hvilke kategorier av informasjonskapsler du aksepterer. Ingen valgfrie informasjonskapsler settes før du har gitt ditt samtykke. Forhåndsavkryssede valg brukes ikke.

Du kan når som helst endre dine preferanser via innstillingene i cookie-banneret eller i nettleseren din. De fleste nettlesere lar deg blokkere eller slette informasjonskapsler. Merk at dette kan påvirke funksjonaliteten på nettsiden.

For en fullstendig oversikt over alle informasjonskapsler vi bruker, se vår separate Cookieerklæring på nettsiden.

Vi respekterer «Do Not Track» (DNT)- og «Global Privacy Control» (GPC)-signaler fra nettlesere.

6. Deling med tredjeparter og underleverandører

6.1 Overordnet prinsipp

Vi selger aldri dine personopplysninger. Vi deler kun personopplysninger med tredjeparter når det er nødvendig for å levere våre tjenester, oppfylle rettslige forpliktelser eller beskytte våre berettigede interesser. Alle tredjeparter som behandler personopplysninger på våre vegne er bundet av databehandleravtaler (DPA) som sikrer at behandlingen skjer i samsvar med GDPR artikkel 28.

6.2 Oversikt over underdatabehandlere

Leverandør	Formål	Primær lokasjon	Overføringsgrunnlag
Kinsta (Google Cloud)	Serverdrift og datalagring	Nederland (EU)	EU/EØS
Resend	E-postvarslinger og transaksjonelle e-poster	Irland, EU (AWS eu-west-1)	EU/EØS
Twilio	SMS-varslinger og OTP-verifisering	USA	EU-U.S. DPF / SCC
Stripe (via BT Pay)	Betalingsbehandling (PCI DSS-sertifisert)	Irland (EU) / USA	EU/EØS + EU-U.S. DPF
Vipps	Betalingsbehandling (inkl. Klarna dersom aktivert av sluttkunden i Vipps-appen)	Norge	EU/EØS
Klarna (via Vipps)	Betalingsbehandling (tilgjengelig for sluttkunder som har aktivert Klarna i Vipps-appen)	Sverige (EU)	EU/EØS
Zoom	Videomøter knyttet til bookinger (dersom aktivert av leverandør)	EU / USA	EU-U.S. DPF / SCC
Microsoft (Outlook Kalender)	Toveissynkronisering av bookinger med Outlook Kalender (dersom aktivert)	EU / USA	EU-U.S. DPF / SCC
Telegram	Varsling til administratorer og ansatte (dersom aktivert)	Dubai / UK	SCC
Google Analytics	Nettstedsanalyse (kun med samtykke)	EU / USA	EU-U.S. DPF / SCC
Google Ads	Annonsering (kun med samtykke)	EU / USA	EU-U.S. DPF / SCC
Meta (Facebook)	Målrettet annonsering (kun med samtykke)	Irland (EU) / USA	EU-U.S. DPF / SCC
TikTok	Målrettet annonsering (kun med samtykke)	Irland (EU) / Singapore	SCC
Snapchat	Målrettet annonsering (kun med samtykke)	USA	EU-U.S. DPF / SCC
Google reCAPTCHA	Spambeskyttelse og forebygging av automatisert misbruk. Behandler IP-adresse og brukeratferd.	EU / USA	EU-U.S. DPF

Interne tjenester: I tillegg benytter vi Preferium AI Chat (chat og CRM) og Nettsidetjeneste.no (nettside og hosting for Pro-kunder). Begge er utviklet og driftet av Preferium AS. Siden dette er interne tjenester innenfor samme juridiske enhet, er de ikke underdatabehandlere. All data behandles innenfor vår infrastruktur i EU/EØS (Nederland).

En oppdatert liste over våre underdatabehandlere er tilgjengelig på forespørsel ved å kontakte oss.

6.3 Lovpålagt utlevering

Vi kan utlevere personopplysninger til offentlige myndigheter dersom vi er rettslig forpliktet til det, for eksempel ved pålegg fra domstol, politi, skattemyndigheter eller Datatilsynet, eller ved begrunnet mistanke om straffbare forhold.

6.4 Virksomhetsoverdragelse

Ved fusjon, salg av eiendeler, finansiering eller oppkjøp av hele eller deler av vår virksomhet, kan personopplysninger overføres til den overtakende part. Du vil bli varslet om slike endringer via e-post og/eller melding i kontrollpanelet minst 30 dager før overføringen finner sted, i samsvar med gjeldende lov.

7. Integrasjoner (Google Kalender, betalingstjenester m.fl.)

7.1 Kalenderintegrasjoner (Google Kalender og Outlook Kalender)

7.1.1 Google Kalender

Ved aktivering av Google Kalender-integrasjonen synkroniseres relevante bookingdetaljer automatisk til din tilknyttede Google-konto.

• Begrenset tilgang: All tilgang til og bruk av Google-kalenderdata er strengt begrenset til funksjonalitet som er nødvendig for å levere bookingfunksjonen.
• Ingen videredeling: Data som sendes til eller mottas fra Google Kalender deles ikke med tredjeparter. Informasjonen forblir konfidensiell og brukes utelukkende innenfor rammen av tjenesten.
• Ingen modelltrening: Data fra Google Kalender brukes ikke til å trene AI-modeller eller andre systemer.
• Googles retningslinjer: Vår bruk skjer i full overensstemmelse med Googles API-tjenesters brukerdatapolitikk, inkludert «Limited Use»-kravene.

7.1.2 Outlook Kalender

Ved aktivering av Outlook Kalender-integrasjonen synkroniseres bookinger toveis mellom Bookingtjeneste.no og den enkelte ansattes Outlook Kalender (privat eller bedrift). Følgende gjelder:

• Begrenset tilgang: Tilgangen er begrenset til å lese og skrive kalenderhendelser som er nødvendige for å vise og administrere bookinger.
• Personopplysninger som synkroniseres: Bookingdetaljer som tidspunkt, kundenavn, tjenestetype og eventuelle notater.
• Microsofts vilkår: Integrasjonen skjer gjennom Microsoft Graph API i henhold til Microsofts personvernerklæring.

7.2 Videomøter via Zoom

Leverandører med Pro-abonnement kan aktivere Zoom-integrasjonen for å automatisk opprette videomøter knyttet til bookinger. Ved aktivering kan følgende personopplysninger deles med Zoom:

• Bookingdetaljer: tidspunkt, varighet og tjenestenavn.
• Deltakerinformasjon: navn og e-postadresse for møteinvitasjon.

Zoom behandler disse opplysningene i henhold til Zooms personvernerklæring. Zoom er sertifisert under EU-U.S. Data Privacy Framework. Selve innholdet i videomøter (lyd, video, chat) behandles direkte av Zoom og er utenfor vår kontroll.

7.3 Betalingstjenester (Stripe, Vipps, Klarna)

Betalingsdata behandles av den respektive betalingsleverandøren i henhold til deres egne vilkår og personvernerklæringer. Vi lagrer ikke fullstendige kortnumre, CVV-koder eller andre sensitive betalingsdetaljer på våre servere.

• Stripe/BT Pay: Betalinger via BT Pay behandles gjennom Stripe Connect. Stripe er PCI DSS Level 1-sertifisert. Se Stripes personvernerklæring.
• Vipps: Ved bruk av Vipps gjelder Vipps’ personvernerklæring. Vipps tilbyr sluttkunder muligheten til å betale med Klarna dersom kunden har aktivert Klarna i sin Vipps-app. I slike tilfeller gjelder også Klarnas personvernerklæring for den delen av betalingsbehandlingen som Klarna utfører.

7.4 SMS-tjenester via Twilio

7.4.1 SMS-varslinger

SMS-varslinger (bookingbekreftelser, påminnelser m.m.) sendes via Twilio. De eneste personopplysningene som overføres til Twilio er mottakerens mobilnummer og innholdet i meldingen (relevante bookingdetaljer), som brukes utelukkende for å sende varslinger.

Twilio har implementert sikkerhetstiltak i samsvar med GDPR og er sertifisert under EU-U.S. Data Privacy Framework. Se Twilios GDPR-program og punkt 8 for informasjon om overføring til tredjeland.

7.4.2 SMS-verifisering (OTP)

Ved bruk av SMS-verifisering (One-Time Password) samler vi inn og lagrer ditt telefonnummer og genererte engangskoder for å bekrefte din identitet.

• Telefonnummeret brukes utelukkende for å sende OTP-koden og bekrefte identitet.
• Engangskoder utløper automatisk etter kort tid og slettes deretter.
• Verifiserte telefonnumre lagres for å forenkle fremtidige bookingprosesser.
• OTP-tjenesten leveres av Twilio, som overholder relevante personvernforpliktelser.

7.5 E-posttjenester via Resend

Transaksjonelle e-poster (bookingbekreftelser, fakturaer, kontovarsler m.m.) og eventuell markedsføring per e-post sendes via Resend. De personopplysningene som overføres til Resend er mottakerens e-postadresse, navn og innholdet i meldingen.

Resend benytter AWS-infrastruktur i Irland (eu-west-1), innenfor EU/EØS. E-postdata lagres og behandles dermed innenfor EU/EØS-området.

7.6 Google Analytics 4 (GA4) og Google Ads

Vi bruker Google Analytics 4 for å analysere bruksmønstre på nettsiden. GA4 lagrer ikke fullstendige IP-adresser og benytter dataminimering som standard. Opplysningene deles med Google i anonymisert/pseudonymisert form.

Vi har konfigurert GA4 med følgende personverninnstillinger:

• Serverlokasjon i EU er valgt der tilgjengelig.
• Datalagringsperioden er satt til minimum (2 eller 14 måneder avhengig av datatype).
• Google Signals er deaktivert med mindre du har gitt samtykke til markedsføringskapsler.

Vi kan bruke Google Ads for å vise deg tilpassede annonser i Googles nettverk, kun dersom du har gitt samtykke til markedsføringskapsler.

7.7 Telegram-varslinger

Leverandører kan aktivere Telegram-integrasjonen for å motta varslinger om nye bookinger, endringer og avbestillinger direkte i Telegram-appen. Ved aktivering overføres følgende opplysninger til Telegram:

• Bookingdetaljer: tidspunkt, tjeneste, kundenavn og bookingstatus.
• Mottakerens Telegram-bruker-ID (administrator eller ansatt).

Varslinger sendes via Telegrams Bot API. Vi anbefaler at du setter deg inn i Telegrams personvernerklæring. Merk at Telegram lagrer meldinger på sine servere, som kan være lokalisert utenfor EU/EØS.

7.8 Webhooks og tredjepartsintegrasjoner

Leverandører kan konfigurere webhooks for å sende bookingdata til eksterne systemer (f.eks. via Zapier eller direkte API-integrasjoner) ved bestemte hendelser (ny booking, endring, avbestilling m.m.).

7.9 Nettsidetjeneste.no (inkludert hosting)

Pro-kunder får tilgang til nettside med hosting via Nettsidetjeneste.no, en tjeneste utviklet og driftet av Preferium AS. Nettsiden hostes på samme infrastruktur som Bookingtjeneste.no (Kinsta/Google Cloud, Nederland). Besøksdata fra nettsiden behandles i henhold til denne Erklæringen.

7.10 Chat og support (Preferium AI Chat)

Vi benytter vår egen chatløsning, Preferium AI Chat, som er utviklet og driftet av Preferium AS. Tjenesten lagrer chatloggen samt din IP-adresse for å kunne gi deg god kundesupport. Informasjon fra kontaktskjemaer, supporthenvendelser og kundeforhold kan lagres i vårt CRM-system. Siden dette er en intern tjeneste, behandles alle data innenfor vår egen infrastruktur i EU/EØS. Du kan be om sletting av chatlogg ved å kontakte oss.

7.11 Kontaktskjemaer

Innsendte kontaktskjemaer sendes som e-post til oss og lagres på vår e-postserver. En kopi kan lagres i en database som sikkerhetskopi. Denne databasen renses med jevne mellomrom i henhold til vår oppbevaringspolicy (se punkt 9).

7.12 Innebygd innhold fra tredjeparter

Nettsiden kan inneholde innebygd innhold fra tredjeparter, for eksempel YouTube-videoer. Slike tredjeparter kan sette egne informasjonskapsler og samle inn data i henhold til sine egne personvernerklæringer. Vi har ikke kontroll over denne datainnsamlingen og oppfordrer deg til å lese de relevante tredjepartserklæringene.

8. Overføring til tredjeland

8.1 Hovedregel – EU/EØS

Vi tilstreber at alle personopplysninger lagres og behandles innenfor EU/EØS. Vår primære serverinfrastruktur er lokalisert i Nederland (Kinsta/Google Cloud).

8.2 Overføring utenfor EU/EØS

Enkelte av våre underleverandører (f.eks. Twilio, Google, Stripe, Zoom, Telegram) har infrastruktur utenfor EU/EØS, herunder i USA. Overføring til tredjeland skjer kun når et av følgende overføringsgrunnlag foreligger i henhold til GDPR kapittel V:

• Adekvatbeslutning (art. 45): EU-kommisjonen har besluttet at mottakerlandet sikrer tilstrekkelig beskyttelsesnivå. For overføringer til USA benytter vi EU-U.S. Data Privacy Framework (DPF), bekreftet gyldig av EU-domstolens underinstans i september 2025.
• Standard kontraktsklausuler – SCC (art. 46(2)(c)): Vi benytter EU-kommisjonens standardklausuler (vedtatt juni 2021) som kontraktsmessig sikrer tilstrekkelig beskyttelsesnivå.
• Supplerende tiltak: Der nødvendig implementerer vi tekniske og organisatoriske tilleggstiltak, som kryptering under overføring og ved lagring, pseudonymisering og tilgangskontroller, for å sikre beskyttelsesnivået.

8.3 Konsekvensutredning for overføring (TIA)

For overføringer basert på standard kontraktsklausuler har vi gjennomført en Transfer Impact Assessment (TIA) i henhold til Schrems II-dommen og EDPB-veiledningen, for å vurdere om lovgivningen i mottakerlandet gir et tilstrekkelig beskyttelsesnivå.

Du kan kontakte oss for å få informasjon om det spesifikke overføringsgrunnlaget og de gjennomførte konsekvensutredningene for den enkelte underleverandør.

9. Oppbevaring og sletting

9.1 Generelt prinsipp

Vi oppbevarer personopplysninger kun så lenge det er nødvendig for formålet de ble samlet inn for, eller så lenge vi er rettslig forpliktet til å lagre dem (lagringsminimering). Når formålet er oppnådd og lovpålagte oppbevaringskrav er utløpt, slettes eller anonymiseres opplysningene.

9.2 Spesifikke oppbevaringsperioder

Datatype	Oppbevaringstid	Hjemmel / begrunnelse
Kontoinformasjon	Så lenge kontoen er aktiv + 90 dager etter sletting	Avtale (art. 6(1)(b)); gjenoppretting ved feilsletting
Transaksjonsdata og fakturaer	Minimum 5 år etter regnskapsårets slutt	Bokføringsloven § 13 (primærdokumentasjon)
Sekundær bokføringsdokumentasjon	Minimum 3,5 år etter regnskapsårets slutt	Bokføringsloven § 13 (sekundærdokumentasjon)
Chatlogger og supporthenvendelser	Inntil 24 måneder etter siste henvendelse	Berettiget interesse; lengre ved pågående tvister
Analytiske data	Aggregerte/anonymiserte data oppbevares på ubestemt tid	Ikke personopplysninger etter anonymisering
Markedsføringssamtykker	Inntil 3 år etter tilbaketrekning	Dokumentasjonskrav; berettiget interesse
Serverlogger (inkl. IP-adresser)	Inntil 12 måneder	Sikkerhetsformål; berettiget interesse
OTP-engangskoder	Slettes automatisk etter utløp (minutter)	Ikke lenger nødvendig

9.3 Sletting ved oppsigelse

Ved avslutning av konto eller abonnement vil vi slette eller anonymisere dine personopplysninger innenfor 30 dager, med unntak av opplysninger vi er lovpålagt å beholde (se tabell ovenfor).

For fullstendig sletting der dette er teknisk og rettslig mulig, kan du kontakte oss via personvern@bookingtjeneste.no.

Opplysninger som er lagret i krypterte sikkerhetskopier vil bli slettet i tråd med vår rotasjonssyklus for sikkerhetskopier, normalt innen 90 dager.

10. Sikkerhetstiltak

10.1 Tekniske sikkerhetstiltak

Vi har implementert følgende tekniske tiltak for å beskytte dine personopplysninger:

• Kryptering i transit: All dataoverføring mellom din nettleser og våre servere skjer via TLS 1.2+/SSL-kryptering (HTTPS).
• Kryptering ved lagring: Sensitive data krypteres ved lagring (encryption at rest) med AES-256 eller tilsvarende.
• Tilgangskontroll: Tilgang til personopplysninger er begrenset til autorisert personell med behov for tilgangen (need-to-know).
• Flerfaktorautentisering: Administrativ tilgang til systemer krever flerfaktorautentisering (MFA).
• Brannmurer og DDoS-beskyttelse: Serverne våre er beskyttet av avanserte brannmurer og DDoS-mitigering via Kinsta/Google Cloud Platform.
• Isolerte containere: Hver kunde har isolert serverinfrastruktur som forhindrer krysslekking av data.
• Automatisk sikkerhetskopiering: Regelmessige, krypterte sikkerhetskopier for å sikre mot datatap.
• Sårbarhetsskanning: Regelmessig skanning av infrastruktur og applikasjon for kjente sårbarheter.
• SOC 2-sertifisering: Vår hostingleverandør (Kinsta) er SOC 2 Type II-sertifisert.

10.2 Organisatoriske sikkerhetstiltak

• Databehandleravtaler: Alle underleverandører er bundet av databehandleravtaler i henhold til GDPR artikkel 28.
• Tilgangsstyring: Rollebasert tilgangskontroll (RBAC) med minste nødvendige privilegium (least privilege).
• Hendelseshåndtering: Etablerte prosedyrer for å oppdage, rapportere og håndtere sikkerhetsbrudd i henhold til GDPR artikkel 33 (varsling til Datatilsynet innen 72 timer) og artikkel 34 (varsling til berørte registrerte ved høy risiko).
• Personvernkonsekvensvurdering (DPIA): Vi gjennomfører vurdering av personvernkonsekvenser i henhold til GDPR artikkel 35 der behandlingsaktiviteter kan medføre høy risiko for registrertes rettigheter og friheter.
• Regelmessig gjennomgang: Periodisk evaluering og oppdatering av sikkerhetstiltak, rutiner og denne Erklæringen.
• Opplæring: Ansatte og medarbeidere med tilgang til personopplysninger gjennomgår opplæring i personvern og informasjonssikkerhet.

10.3 Ingen absolutt garanti

Til tross for våre omfattende tiltak kan ingen elektronisk overføring eller lagringsteknologi garanteres å være 100 % sikker. Dersom det oppstår et sikkerhetsbrudd som innebærer høy risiko for dine rettigheter og friheter, vil vi varsle deg uten ugrunnet opphold i henhold til GDPR artikkel 34.

11. Dine rettigheter som registrert

I henhold til GDPR og personopplysningsloven har du følgende rettigheter. Utøvelse av dine rettigheter er kostnadsfritt (med unntak beskrevet i GDPR artikkel 12(5) ved åpenbart grunnløse eller overdrevne forespørsler).

For å utøve dine rettigheter, kontakt oss via personvern@bookingtjeneste.no. Vi vil bekrefte mottaket av din henvendelse og besvare den innen 30 dager. Dersom forespørselen er kompleks eller vi mottar mange henvendelser, kan fristen forlenges med ytterligere to måneder – i så fall vil vi informere deg om forsinkelsen og årsaken innen den opprinnelige 30-dagersfristen (jf. GDPR artikkel 12(3)).

Identitetsverifisering: For å beskytte dine personopplysninger mot uautorisert tilgang, kan vi be om at du verifiserer din identitet før vi behandler forespørselen din.

11.1 Tilbaketrekking av samtykke

Dersom behandlingen er basert på samtykke, har du rett til å trekke samtykket tilbake når som helst ved å:

• Bruke avmeldings- og innstillingsmulighetene i tjenestene (f.eks. cookie-innstillinger, avmeldingslenke i e-post).
• Kontakte oss på personvern@bookingtjeneste.no.

Tilbaketrekking påvirker ikke lovligheten av behandling som ble utført før samtykket ble trukket tilbake.

11.2 Fravalgsmuligheter for markedsføring

Du kan melde deg av markedsføring når som helst ved å klikke på avmeldingslenken i e-poster eller SMS-er vi sender, eller ved å kontakte oss. Vi kan fortsatt sende deg nødvendig administrativ og tjenesterelatert kommunikasjon (f.eks. fakturainformasjon, sikkerhetsvarslinger og driftsendringer).

12. Automatiserte avgjørelser og profilering

Vi benytter ikke fullt automatiserte avgjørelser som har rettsvirkninger for deg eller som vesentlig påvirker deg på lignende måte (GDPR artikkel 22), med mindre dette er nødvendig for oppfyllelse av avtalen eller basert på ditt eksplisitte samtykke.

Eventuell profilering (f.eks. tilpasning av anbefalinger eller analyse av bruksmønstre) utgjør ikke slik automatisert beslutningstaking med rettsvirkning, og er basert på berettiget interesse eller samtykke.

13. Mindreårige

Bookingtjeneste.no er rettet mot næringsdrivende, og vi samler ikke bevisst inn personopplysninger fra personer under 18 år. Ved å bruke tjenestene bekrefter du at du er minst 18 år gammel, eller at du handler med samtykke fra forelder eller verge.

Dersom vi blir kjent med at personopplysninger fra en person under 18 år er samlet inn uten gyldig samtykke fra forelder eller verge, vil vi iverksette tiltak for å slette opplysningene omgående og deaktivere den tilknyttede kontoen. Dersom du har kjennskap til slik innsamling, ber vi deg kontakte oss umiddelbart.

14. Endringer i personvernerklæringen

Vi kan oppdatere denne Erklæringen fra tid til annen for å gjenspeile endringer i vår praksis, lovgivning eller tjenestetilbud. Oppdatert versjon publiseres på nettsiden med ny «Sist oppdatert»-dato og versjonsnummer.

Ved vesentlige endringer som påvirker dine rettigheter eller hvordan vi behandler dine personopplysninger, vil vi:

• Varsle deg via e-post og/eller en tydelig melding i kontrollpanelet minst 30 dager før endringene trer i kraft.
• Tydelig beskrive hva som endres og hvorfor.
• Der endringen krever nytt samtykke, innhente dette separat.

Din fortsatte bruk av tjenestene etter at endringer er publisert og varslet, anses som aksept av den oppdaterte Erklæringen for behandlingsaktiviteter som ikke krever samtykke.

Endringslogg

Versjon	Dato	Endring
2.0	16. feb 2026	Omfattende revisjon: lagt til ekomloven-referanse, TIA-dokumentasjon, DPIA-omtale, detaljert underdatabehandler-tabell, utvidede oppbevaringsperioder, GPC-støtte, identitetsverifisering for rettighetskrav, endringslogg. Nye integrasjonsseksjoner for Outlook Kalender, Zoom, Telegram, webhooks og Nettsidetjeneste.no. E-postleverandør endret fra Brevo til Resend. Chat-/CRM-løsning oppdatert til Preferium AI Chat (egen tjeneste). Mollie fjernet (utgått). Vipps/Klarna-integrasjon presisert. Dedikert personvern-e-postadresse innført.
1.0	21. feb 2025	Opprinnelig versjon.

15. Klagerett og tilsynsmyndighet

Dersom du mener at vår behandling av personopplysninger er i strid med personvernlovgivningen, har du rett til å klage til tilsynsmyndigheten i henhold til GDPR artikkel 77.

Tilsynsmyndighet

Datatilsynet

Nettside

www.datatilsynet.no

E-post

postkasse@datatilsynet.no

Telefon

+47 22 39 69 00

Postadresse

Postboks 458 Sentrum, 0105 Oslo

Vi oppfordrer deg til å kontakte oss først slik at vi kan forsøke å løse eventuelle bekymringer direkte. Vi tar alle henvendelser om personvern på alvor og vil bestrebe oss på å finne en tilfredsstillende løsning.

16. Kontaktinformasjon

Nettside

Bookingtjeneste.no

Eier

Preferium AS

Org.nr.

999 323 286 (registrert i Enhetsregisteret, Foretaksregisteret og Merverdiavgiftsregisteret)

Adresse

Sponheimveien 19, 1613 Fredrikstad, Norge

Kontaktperson

Daglig leder, Robert André Johansen

E-post (generell)

post@bookingtjeneste.no

E-post (personvern)

personvern@bookingtjeneste.no

© 2025–2026 Preferium AS. Alle rettigheter reservert.