Personvernerklæring

Nextnor AS (heretter «Reiseflyt», «vi») er behandlingsansvarlig for personopplysninger som samles inn via reiseflyt.ai.

• Selskap: Nextnor AS
• Adresse: Oslo, Norge
• Personvernombud / kontakt: [email protected]

• Kontoinformasjon: navn, e-postadresse, ansattnummer, valgt rolle.
• Signaturbilde (PNG) lastet opp eller tegnet i appen.
• Profilstandarder: prosjekt, kostnadssted, leder, land, valuta, tidssone.
• Innhold i reiseregninger: datoer, beløp, leverandører, valutakurser, kvitteringer.
• Tekniske data: IP-adresse ved innlogging, nettleser, økt-cookies.
• Loggdata for godkjenninger og e-postvarsler (audit-logg).

• Avtale (GDPR art. 6 nr. 1 bokstav b): for å levere reiseregningstjenesten du har bestilt.
• Rettslig forpliktelse: bokføringsloven § 13 krever oppbevaring av regnskapsbilag i minst 5 år.
• Berettiget interesse (art. 6 nr. 1 bokstav f): teknisk drift og feilsøking, samt audit-logg for sikkerhet og godkjenningsflyt.

For å lese kvitteringer, kategorisere utgifter og foreslå riktig konto bruker vi Anthropic Claude (modellfamilie) via Vercel AI Gateway. Vi gir følgende garantier:

• Ingen modelltrening: Anthropic bekrefter at API-trafikk under standard kommersielle vilkår ikke brukes til trening av modeller. Vercel AI Gateway videreformidler kall uten å lagre prompt eller respons til trening.
• Ingen videresalg: Reiseflyt deler aldri innholdet i kvitteringene dine med tredjeparter for markedsføring, analyse eller modelltrening.
• Flyktig prosessering: Bildet av kvitteringen sendes kryptert (TLS 1.3) til AI-leverandøren, prosesseres umiddelbart, og slettes hos leverandør senest innen 30 dager (typisk timer).
• Du har kontroll: Du kan velge bort AI-tolkning ved å fylle inn reiseregningen manuelt. Du kan til enhver tid slette en reiseregning – da fjernes også kvitteringene fra vår lagring.
• Logg: Vi logger metadata om kallet (tidspunkt, modell, regnings-ID) for revisjon, men ikke selve bildet etter at det er prosessert.

Vi bruker følgende databehandlere. Alle holder data i EU/EØS, har DPA og bruker standard EU-kontrakter (SCC) der det er aktuelt.

• Regnskapsbilag (regninger og vedlegg): 5 år (bokføringsloven §13).
• Bruker-/profil-data: så lenge kontoen er aktiv, +30 dager etter sletting.
• Audit-logger: 12 måneder, deretter anonymisert.
• Passordreset-tokens: 1 time, deretter automatisk slettet.

Etter GDPR har du rett til:

• Innsyn i dine personopplysninger.
• Korrigering av uriktige opplysninger.
• Sletting («retten til å bli glemt»), så fremt ikke lovpålagt lagring forhindrer det.
• Begrensning eller protest mot behandling.
• Dataportabilitet – du kan eksportere dine reiseregninger.
• Klage til Datatilsynet.

Du kan utøve rettighetene ved å logge inn i appen, eller ved å sende e-post til [email protected]. Vi svarer normalt innen 30 dager.

• Passord er hashet med bcrypt (12 runder).
• Sesjon via JWT med signerte tokens og kort utløpstid.
• All trafikk kryptert med TLS 1.2/1.3.
• Rollebasert tilgangskontroll (ANSATT / LEDER / ADMIN).
• Audit-logg av sensitive operasjoner.
• Daglige sikkerhetskopier via Supabase point-in-time recovery.

Mer detaljer finner du i vår sikkerhetsoversikt.

Reiseflyt bruker kun nødvendige informasjonskapsler for innlogging og økthåndtering. Vi setter ikke sporings- eller markedsføringscookies, og bruker ikke tredjeparts analyseverktøy som logger personidentifiserbar informasjon.

Vesentlige endringer i denne erklæringen varsles per e-post minst 30 dager før de trer i kraft. Historiske versjoner er tilgjengelige på forespørsel.