Hvem er vi?
CoreFlow AS (org.nr. under stiftelse) er behandlingsansvarlig for personopplysninger som samles inn via produktene våre. Vi tilbyr norsk-bygget software og AI-løsninger gjennom porteføljen vår, som per i dag består av Renholdsveilederen og Stilas — med Flyt, Romly og Grunnlag på vei i mai 2026.
Denne erklæringen gjelder også for de delene av produktene der vi tilbyr AI-funksjonalitet, voice-input eller behandling av tekst, dokumenter og bilder du selv velger å laste opp.
Kontakt
CoreFlow AS
E-post personvern@coreflow.no
Adresse Åslyveien 21, 3170 Sem · Tønsberg, Norge
Org.nr. under stiftelse — oppdateres når foretaket er registrert i Brønnøysund.
Hvilke personopplysninger samler vi inn?
Vi samler inn følgende kategorier:
Kontaktinformasjon
- Navn og e-postadresse
- Telefonnummer
- Bedriftsnavn og organisasjonsnummer
- Fakturaadresse
Brukerkontodata
- Brukernavn og passord (kryptert)
- Innloggingshistorikk
- Brukerpreferanser og innstillinger
Innhold du gir oss
Avhengig av hvilket CoreFlow-produkt du bruker, kan vi lagre og behandle:
- Tekst, notater og spørsmål du sender til AI-rådgivere
- Bilder og dokumenter du laster opp (f.eks. tilstandsrapporter eller meglerfoto)
- Bruksdata og lokasjonsdata når et produkt trenger dette for å levere funksjonalitet
- Bestillinger, fakturaer og kommunikasjon i salgs-pipelinen
Tekniske data
- IP-adresse (anonymiseres etter 90 dager)
- Enhetstype og nettleserinformasjon
- Push-token for varsler — kun for ansatt-/operatør-apper
- Cookies for funksjonalitet og analyse
Vi bruker ikke kamera, mikrofon eller lokasjon i bakgrunnen. Voice-input i Flyt og bilde-opplasting i Romly skjer kun når du selv aktivt starter handlingen.
Hvorfor behandler vi personopplysninger?
Vi behandler personopplysninger for følgende formål:
| Formål | Rettslig grunnlag |
|---|---|
| Levere produktene Renholdsveilederen og Stilas (samt kommende Flyt, Romly, Grunnlag) | Avtale (GDPR art. 6 nr. 1 b) |
| Sende AI-genererte tilbud, fakturaer og bestillingsbekreftelser | Avtale (GDPR art. 6 nr. 1 b) |
| Forbedre AI-modeller og kvaliteten på produktene basert på aggregert bruksdata | Berettiget interesse (GDPR art. 6 nr. 1 f) |
| Markedsføring til eksisterende kunder | Berettiget interesse (GDPR art. 6 nr. 1 f) |
| Bokføring og regnskap (5 år oppbevaring) | Rettslig forpliktelse (GDPR art. 6 nr. 1 c) |
| Sikkerhetslogger og svindelvern | Berettiget interesse (GDPR art. 6 nr. 1 f) |
Interesseavveining — for behandling basert på berettiget interesse har vi vurdert at vår interesse i å levere god kundeservice og forbedre AI- og produktene våre ikke overstyrer dine rettigheter. Du har rett til å protestere mot slik behandling.
Hvem deler vi data med?
Vi deler kun personopplysninger med tredjeparter når det er nødvendig:
- Hosting og infrastruktur — applikasjon og databaser driftes primært i EU/EØS, med datasenter i Frankfurt der dette er tilgjengelig
- AI-leverandører — språkmodell-leverandører som OpenAI og Anthropic kan behandle innhold midlertidig når du bruker AI-funksjoner (som databehandlere eller underdatabehandlere)
- Betaling — Stripe og Vipps der du selv velger å betale via dem
- Offentlige myndigheter — når loven krever det
Alle våre databehandlere har signert databehandleravtaler (DPA) i henhold til GDPR. Vi selger ikke data til tredjepart for markedsføring eller analyse.
Overføring til land utenfor EU/EØS
Hovedregelen vår er EU/EØS-drift for egne systemer og databaser. Enkelte AI-spørringer og støttetjenester kan innebære behandling hos leverandører utenfor EU/EØS. For slike overføringer sikrer vi lovlig grunnlag gjennom:
- EU-US Data Privacy Framework (der leverandøren er sertifisert)
- EUs standardkontraktsklausuler (SCCs) i henhold til GDPR art. 46(2)(c)
- Supplerende tekniske og organisatoriske tiltak
Hvor lenge lagrer vi data?
- Aktive brukerkontoer — så lenge kontoen er aktiv
- AI-spørringer — avsluttes så snart svaret er levert; logger anonymiseres innen 30 dager
- Faktura og regnskap — 5 år (bokføringsloven)
- Tjenesterelaterte data — så lenge nødvendig for å levere tjenesten
- IP-adresser — anonymiseres etter 90 dager
- Slettede kontoer — data slettes innen 30 dager (unntatt lovpålagt oppbevaring)
Dine rettigheter
Som registrert har du følgende rettigheter under GDPR:
- Innsyn — be om kopi av alle data vi har om deg
- Retting — korrigere unøyaktige opplysninger
- Sletting — be om at vi sletter dine data («retten til å bli glemt»)
- Begrensning — begrense behandlingen av dine data
- Dataportabilitet — motta dine data i et maskinlesbart format
- Innsigelse — protestere mot behandling basert på berettiget interesse
- Trekke samtykke — trekke tilbake samtykke når som helst
For å utøve dine rettigheter, kontakt oss på personvern@coreflow.no. Vi svarer innen 30 dager. Du finner også egen informasjon om sletting på coreflow.no/slett-data.
Sikkerhet
Vi tar datasikkerhet på alvor og har implementert følgende tiltak:
- Kryptering av data under transport (HTTPS/TLS)
- Krypterte passord (bcrypt)
- Tilgangskontroll og rollebasert autorisasjon
- Regelmessige sikkerhetsgjennomganger
- Logging av tilgang til sensitive data
- AI-spørringer behandles via leverandører med databehandleravtaler og overføringsgrunnlag der det kreves
- Datalagring for egne systemer i EU/EØS, primært Frankfurt der dette er tilgjengelig
Klage til Datatilsynet
Hvis du mener vi behandler dine personopplysninger i strid med GDPR, har du rett til å klage til Datatilsynet:
Datatilsynet
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
Telefon 22 39 69 00
E-post postkasse@datatilsynet.no
Nett datatilsynet.no
Endringer i personvernerklæringen
Vi kan oppdatere denne personvernerklæringen ved behov. Ved vesentlige endringer varsler vi deg via e-post eller gjennom produktene. Siste versjon er alltid tilgjengelig på denne siden.