Leide.app

Sist oppdatert 18. mai 2026

Personvernerklæring for Leide

Status: Pilot

Leide er i lukket pilot-fase. Funksjonalitet, vilkår og denne personvernerklæringen kan endres når tjenesten utvikles videre.

I korte trekk

Just presis AS leverer Leide, et risikoverktøy i lukket pilot. Vi behandler kun det som er nødvendig for å levere tjenesten, velger EU-leverandører der det er mulig, og sletter dataene dine når du sier opp. Du har rett til innsyn, retting og sletting — spørsmål rettes til personvern@leide.app.

Behandlingsansvarlig: Just presis AS (org.nr 928 177 564), Kongleveien 71, 9510 Alta.

1. Innledning

Just presis AS leverer Leide, en SaaS-tjeneste for risikoanalyse og ROS-vurderinger. Leide består av to deler:

  • leide.app — vår offentlige informasjonsside med beskrivelse av tjenesten og kontaktmuligheter
  • portal.leide.app — selve risikoanalyse-tjenesten som krever innlogging

Denne personvernerklæringen beskriver hvordan Just presis AS behandler personopplysninger om deg når du besøker nettsiden vår, oppretter en konto, bruker tjenesten eller kontakter oss.

Just presis AS har to roller når det gjelder personopplysninger:

  • Vi er behandlingsansvarlig for personopplysninger om deg som besøkende, registrert bruker eller kontaktperson hos pilotkunde. Det er denne rollen som dekkes av denne erklæringen.
  • Vi er databehandler for personopplysninger våre pilotkunder behandler om sine egne ansatte og om sine analyseobjekter i appen. Denne rollen reguleres av en separat databehandleravtale (DPA) mellom Just presis AS og hver pilotkunde.

2. Hvilke personopplysninger vi behandler

2.1 Når du besøker leide.app

Vi behandler tekniske opplysninger som er nødvendige for at siden skal fungere:

  • IP-adresse og enhetsidentifikator
  • Nettleser- og operativsystem-informasjon
  • Sidevisninger og navigasjonsmønster
  • Henvisningskilde (forrige nettside du kom fra)

2.2 Når du oppretter konto eller logger inn på portal.leide.app

For å gi deg tilgang til tjenesten behandler vi:

  • Navn og e-postadresse
  • Hash av passordet ditt (vi ser aldri det faktiske passordet)
  • Innloggings-historikk og aktiv sesjon
  • Hvilke handlinger du gjør i appen (audit-logg)

2.3 Når du er invitert inn i en pilotkundes workspace

Hvis pilotkunden din inviterer deg som medlem i workspacet sitt, behandler vi:

  • Navn og e-postadresse
  • Din rolle i workspacet (administrator, redaktør, leser)
  • Aktiviteten din på kundens data (hvem-gjorde-hva-logg)

Her er Just presis AS databehandler på vegne av pilotkunden din. Pilotkunden bestemmer formålet med behandlingen, og spørsmål om innsyn eller sletting rettes til pilotkunden direkte. Vi bistår kunden med å oppfylle dine rettigheter.

2.4 Når du kontakter oss

Når du sender oss e-post, fyller ut kontaktskjema eller kommuniserer med oss på annet vis, behandler vi:

  • Navn, e-postadresse og eventuelt andre kontaktopplysninger du oppgir
  • Innholdet i henvendelsen
  • Tidspunkt og kontekst (hvilken sak henvendelsen gjelder)

2.5 Når du betaler for tjenesten

Hvis Just presis AS fakturerer deg eller arbeidsgiveren din for bruk av Leide, behandler vi:

  • Selskaps- og kontaktinformasjon for fakturamottaker
  • Fakturadetaljer (beløp, tjenester, periode)
  • Bokføringsinformasjon som krevd av norsk bokføringslov

3. Formålet og det rettslige grunnlaget

Vi behandler personopplysninger kun for å oppfylle konkrete formål, og hver behandling skjer på et tydelig rettslig grunnlag i personvernforordningen (GDPR) artikkel 6.

BehandlingFormålRettslig grunnlag
Driftslogger og sikkerhet for leide.appSikre tilgjengelighet, oppdage angrep, hindre misbrukBerettiget interesse (Art. 6(1)(f)) — drift av nettsiden
Brukerautentisering og kontoadministrasjonGi tilgang til tjenesten du har avtaltAvtaleoppfyllelse (Art. 6(1)(b))
Audit-logg for handlinger i appenSikkerhet, feilretting, ansvarlighet overfor pilotkunderBerettiget interesse (Art. 6(1)(f))
Svar på henvendelser og supportYte den tjenesten du har bedt omAvtaleoppfyllelse (Art. 6(1)(b)) eller berettiget interesse (Art. 6(1)(f))
Fakturering og bokføringOppfylle avtaleforhold og bokføringspliktenAvtaleoppfyllelse (Art. 6(1)(b)) og rettslig forpliktelse (Art. 6(1)(c)) — bokføringsloven
Markedsføring per e-post(Ikke aktiv i pilot — vil kreve samtykke når aktivert)Samtykke (Art. 6(1)(a))

Vi behandler ikke særlige kategorier personopplysninger (helse, etnisitet, politisk oppfatning osv.) som ledd i pilot-driften. Hvis pilotkunden vår legger inn slike opplysninger som del av risikoanalyse-innhold, gjelder kundens egen vurdering av rettslig grunnlag, regulert via databehandleravtalen.

4. Hvor lenge vi lagrer opplysningene

OpplysningstypeLagringstid
Driftslogger fra Vercel og CloudflareCa. 30 dager
Kontoinformasjon (e-post, navn, password-hash)Levetid på kontoen + 30 dagers frist etter at konto sies opp. Etter dette slettes data fra Clerk.
Workspace-medlemskap og rolle-dataLevetid på workspacet + 30 dagers frist etter at workspace avsluttes
Audit-logger (handlinger i appen)3 år, deretter anonymiseres logg-radene in-place per vår interne policy. Identifiserende felter (bruker-ID, IP-adresse, filnavn) blir nullstilt; statistiske felter (tidspunkt, type handling, filstørrelse) beholdes etter anonymisering for sikkerhetstilbakesporing. Selve raden slettes ikke — dette er en bevisst dataminimering der personidentifikasjon fjernes mens audit-trail-integriteten bevares.
Support-henvendelser per e-postInntil 3 år etter siste kontakt. Slettes på forespørsel når saken er avsluttet.
Faktura- og bokføringsdata5 år, som krevd av bokføringsloven §13
Risikoanalyse-innhold (kundens data)Per kundens valg, default = levetid på workspace + 30 dagers grace. Kunde får tilbud om JSON-eksport ved avslutning.

5. Hvem vi deler opplysningene med

Just presis AS bruker tredjepartsleverandører (subprosessorer) for å levere Leide-tjenesten. Vi inngår eller verifiserer databehandleravtaler med alle subprosessorer før første pilotkunde tar tjenesten i bruk. Avtalene regulerer hvordan de behandler personopplysninger på våre vegne. Komplett subprosessor-liste med regioner og overføringsgrunnlag leveres som Vedlegg B til databehandleravtalen ved kontraktinngåelse.

Subprosessorer i pilot-pakka i kortform:

  • Clerk, Inc. (USA — overføringsgrunnlag DPF + SCCs) — brukerautentisering, innlogging og kontoadministrasjon
  • Supabase, Inc. (EU / Frankfurt) — PostgreSQL for workspace, risikoanalyse-data og audit-logger
  • Vercel Inc. (EU / Frankfurt på Pro-plan planlagt før første pilotkunde) — applikasjonsdrift
  • Cloudflare, Inc. (EU-jurisdiction for filer planlagt før første pilotkunde) — fillagring (R2) og global edge-nettverk
  • Upstash, Inc. (EU / Ireland) — rate-limiting (Redis), anonyme counter-IDer per workspace/bruker
  • Sentry (Functional Software, Inc. — EU / Frankfurt; US-eid leverandør, CLOUD Act-caveat. DPA + DPF + SCCs dekker eventuell tredjelandstilgang) — error-tracking med PII-scrubbing
  • Google LLC (Google Workspace, USA — overføringsgrunnlag DPF + SCCs) — sender og mottar e-post via kontakt@leide.app og personvern@leide.app

Vi deler ikke personopplysninger med tredjeparter for kommersielle formål, og vi selger ikke opplysninger.

Vi kan gi opplysninger til offentlige myndigheter dersom vi er pålagt det ved lov.

6. Internasjonale overføringer

Mesteparten av personopplysningene vi behandler lagres innenfor EU/EØS (primært i Tyskland). Følgende overføringer skjer til land utenfor EU/EØS:

Clerk, Inc. (USA) — brukerautentisering. Overføringsgrunnlag: EU-US Data Privacy Framework (DPF) og EU-Kommisjonens Standard Contractual Clauses (SCCs). Clerk skiller mellom data Clerk behandler på Just presis AS sin instruks (databehandler-rolle) og enkelte drifts- og sikkerhetsdata Clerk behandler for egne formål som selvstendig behandlingsansvarlig. Detaljer er beskrevet i Clerk DPA og i subprosessor-liste §1.1.3.

Vi nevner spesielt at Supabase, Inc., Vercel Inc. og Cloudflare, Inc. alle er amerikansk-eide selskaper. Supabase-databehandling for pilot planlegges lagt til EU/Frankfurt, Vercel EU/Frankfurt (fra1 på Pro-plan) og Cloudflare R2 EU-jurisdiction er alle planlagt før første pilotkunde og bekreftes når infrastrukturen er provisjonert. EU-region gir datalokalitet, men eliminerer ikke risiko for at amerikansk myndighet i prinsippet kan be om utlevering av data under amerikansk lov (CLOUD Act). En kort Transfer Impact Assessment (TIA) for disse leverandørene er inkludert i Databehandleravtalens §8.3. Vi følger den juridiske og politiske utviklingen rundt slike overføringer nøye, og vil oppdatere denne erklæringen hvis grunnlaget endres vesentlig.

Hvis aktivering av andre subprosessorer i fremtiden krever overføring til tredjeland (for eksempel OpenAI eller Anthropic), vil vi gi 30 dagers varsel og oppdatert overføringsgrunnlag som beskrevet i subprosessor-listen seksjon 2.

7. Sikkerhet

Vi har tekniske og organisatoriske tiltak for å beskytte personopplysningene dine:

  • All datakommunikasjon krypteres med TLS (HTTPS) — aktiv
  • Database og filelagring krypteres i ro (at rest) hos hver leverandør — aktiv
  • Tilgang til kundedata er begrenset til personell som trenger det. Flerfaktor-autentisering verifiseres aktivert på alle aktuelle kontoer før første pilotkunde tar tjenesten i bruk
  • Vi logger sikkerhetsrelevante handlinger og oppbevarer dem som beskrevet i seksjon 4 — aktiv på applikasjonsnivå, full cron-anonymisering aktiveres i produksjon før første pilotkunde
  • Vi anonymiserer audit-logger etter 3 år ved å fjerne identifiserende felter, slik at radene normalt ikke lenger direkte identifiserer enkeltpersoner. Anonymiserings-policyen er etablert i kodebasen; cron-jobben kjører i produksjon fra første pilotkunde
  • Daglig backup-rutine etableres på Supabase Pro før første pilotkunde. Restore-test gjennomføres og dokumenteres før pilot-oppstart og deretter årlig

Infrastruktur-tiltak som krever Vercel Pro + EU-region, Supabase Pro, Clerk Pro + MFA-håndhevelse, R2 EU-jurisdiction, Upstash- og Sentry-DPA-er lukkes før første pilotkunde tar tjenesten i bruk. Detaljerte sikkerhetstiltak (TOMs) er beskrevet i vår Security Annex som er Vedlegg C til databehandleravtalen og sendes ved kontraktinngåelse.

8. Dine rettigheter

Etter personvernforordningen har du flere rettigheter knyttet til behandlingen av dine personopplysninger:

  • Innsyn (Art. 15): Du kan be om å få vite hvilke opplysninger vi har om deg.
  • Retting (Art. 16): Du kan be om at uriktige opplysninger rettes.
  • Sletting (Art. 17): Du kan be om at opplysninger slettes — vi vurderer dette opp mot eventuelle lovkrav som tvinger oss til å beholde dem (for eksempel bokføringsplikt).
  • Begrensning (Art. 18): Du kan be oss om å begrense behandlingen.
  • Dataportabilitet (Art. 20): Du kan be om en kopi av personopplysningene dine i et maskinlesbart format (vi tilbyr JSON-eksport).
  • Innsigelse (Art. 21): Du kan motsette deg behandling basert på berettiget interesse.
  • Tilbakekall av samtykke: Hvis vi behandler opplysninger basert på samtykke, kan du når som helst trekke samtykket tilbake.

For å bruke disse rettighetene, send oss en e-post til personvern@leide.app. Vi svarer normalt innen 30 dager etter at vi har mottatt henvendelsen. Hvis henvendelsen er kompleks, kan vi forlenge fristen med inntil 60 dager — du blir informert i så fall.

Pilot-spesifikk håndtering: Under pilot-fasen håndteres følgende oppfylling helt eller delvis som manuell prosess av Just presis AS-personell, ikke som selvbetjent funksjon i appen:

  • Full data-eksport av alle personopplysninger om deg (per-analyse PDF/JSON-eksport er tilgjengelig i appen)
  • Sletting av brukerprofil eller workspace-data utover det som er tilgjengelig som selvbetjening (sletting av enkelt-analyse, fjerning fra workspace, sletting av Clerk-brukerkonto)
  • Innsigelse mot berettiget interesse-behandling (særlig audit-logging)

Vi gjennomfører disse innenfor de samme 30-dagersfristene som over. Selvbetjente funksjoner i appen utvides ved kommersiell launch.

Hvis du er medlem av en pilotkundes workspace: Spørsmål om opplysninger som pilotkunden behandler (for eksempel risikoanalyse-innhold som angår deg) rettes til pilotkunden direkte. Vi bistår kunden med teknisk gjennomføring der det er nødvendig.

9. Klagerett til Datatilsynet

Hvis du mener vi behandler personopplysninger i strid med personvernregelverket, kan du klage til Datatilsynet:

Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
Telefon: 22 39 69 00
datatilsynet.no

Vi vil gjerne høre fra deg først, slik at vi kan rette feil eller forklare valgene våre.

10. Cookies og lignende teknologier

leide.app og portal.leide.app bruker noen få cookies og tilsvarende teknologier. I henhold til norsk ekomlov 2025+ skiller vi mellom essensielle og ikke-essensielle cookies.

10.1 Essensielle cookies

Disse er nødvendige for at tjenesten skal fungere. De settes uten samtykke, men beskrives åpent her:

Cookie / lagringFormålLevetidSatt av
Sesjon-cookie (__session eller tilsvarende)Holde deg innlogget i portal.leide.appSesjons-varig (slettes når nettleseren lukkes) eller inntil utloggingClerk
CSRF-tokenBeskytte mot forfalskning av forespørsler (cross-site request forgery)Sesjons-varigVercel-applikasjonen
Preferanse-lagring (sidebar-tilstand, språk, tema)Huske innstillingene dine mellom besøkVedvarende (inntil du sletter nettlesers data)Selve applikasjonen, lagret i localStorage

10.2 Ikke-essensielle cookies

Per dato bruker vi ingen ikke-essensielle cookies for analytics, marketing eller sporing på tvers av nettsteder. Hvis dette endres (for eksempel hvis vi aktiverer Vercel Analytics eller liknende), vil vi:

  • Innhente eksplisitt samtykke via cookie-banner
  • Oppdatere denne erklæringen med detaljer
  • Gi deg mulighet til å trekke samtykket tilbake når som helst

10.3 Tredjeparts cookies

Clerk og Cloudflare kan sette tekniske cookies som er nødvendige for innlogging og DDoS-beskyttelse. Disse er essensielle for at tjenesten skal fungere og krever ikke samtykke.

10.4 Hvordan endre cookie-innstillinger

Du kan slette eller blokkere cookies via innstillingene i nettleseren din:

  • Chrome: Innstillinger → Personvern og sikkerhet → Informasjonskapsler
  • Firefox: Innstillinger → Personvern og sikkerhet → Informasjonskapsler
  • Safari: Innstillinger → Personvern → Informasjonskapsler

Merk: Hvis du blokkerer essensielle cookies, vil ikke portal.leide.app fungere riktig — du vil for eksempel ikke kunne logge inn.

11. Endringer i personvernerklæringen

Vi oppdaterer denne erklæringen ved behov, særlig når tjenesten utvides, når vi legger til nye subprosessorer, eller når lovverket endres. Vesentlige endringer varsles til registrerte brukere på e-post minst 30 dager før de trer i kraft. Mindre språklige endringer eller presiseringer kan publiseres uten varsel.

Tidligere versjoner av personvernerklæringen er tilgjengelig på forespørsel.

12. Kontaktinformasjon

Just presis AS
Kongleveien 71, 9510 Alta, Norge
Org.nr 928 177 564

For personvernspørsmål: personvern@leide.app
For generelle henvendelser: kontakt@leide.app

Personvern-kontakt: Miriam Thomassen, daglig leder.

Just presis AS er ikke pålagt å ha personvernombud (DPO), siden vi ikke driver med kjernevirksomhet som krever omfattende eller systematisk overvåking av enkeltpersoner. Vi vurderer dette løpende.