Personvernerklæring

ModulHub – modulær driftsplattform

Versjon 1 — godt nok nå, perfekt senere Denne personvernerklæringen er versjon 1. Strukturen følger Datatilsynets veileder for personvernerklæringer, og innholdet er basert på en intern PII-katalog (datakart). Juridisk gjennomgang ved kvalifisert advokat er planlagt før betalende kunder genererer omsetning. Endringer publiseres her med dato.

1. Behandlingsansvarlig

Behandlingsansvarlig for personopplysninger på ModulHub-plattformen er:

Foretak: MODULHUB DUVOLD ENK
Organisasjonsnummer: 937 476 353
Kontakt: kontakt@modulhub.no

For data som klienter (bedrifter) registrerer om sine egne kunder og ansatte gjennom ModulHub er klienten behandlingsansvarlig, og ModulHub fungerer som databehandler. Forholdet reguleres av en egen databehandleravtale (DPA) inngått ved oppstart av tjenesten.

2. Hvilke personopplysninger vi behandler

ModulHub samler kun inn opplysninger som er nødvendige for å levere tjenesten. Vi lagrer ikke særlige kategorier personopplysninger (helse, religion, politisk syn, fagforening, etnisitet, biometri eller seksuell legning) eller fødselsnummer.

2.1 Om plattformbrukere (admin/ansatt hos klient)

Navn (for- og etternavn)
Brukernavn
E-postadresse
Telefonnummer (valgfritt)
Passord (lagres som bcrypt-hash, aldri i klartekst)
To-faktor-autentisering: TOTP-hemmelighet (lagres kryptert med Fernet/AES) og backup-koder (hashet)
Innloggingshistorikk: IP-adresse, nettleser/enhet, tidspunkt

2.2 Om klienter (virksomheter som bruker plattformen)

Foretaksnavn og organisasjonsnummer
Kontaktinformasjon (telefon, e-post, adresse, postnummer, by, land, nettsted)
Roller og kontaktpersoner i klienten

2.3 Om besøkende på modulhub.no (interesseliste)

Navn, e-post, bedriftsnavn, bransje, antall ansatte, valgfri kommentar
Tidspunkt for samtykke og snapshot av samtykketekst
Avregistreringstoken (engangs-lenke for å trekke samtykke)
IP-adresse i hashet form (kun for anti-spam-vakt)

2.4 Om driftsspor

Vi fører et audit-spor for sikkerhetskritiske hendelser (innlogging, passord-endring, 2FA-aktivering/deaktivering, brukersletting, konfigurasjons-endringer). Sporet inneholder bruker-ID, brukernavn, klient-ID, IP-adresse, tidspunkt og hendelses-detaljer.

Vi fører også en teknisk event-logg (90 dagers oppbevaring) for drift og feilsøking, samt en aktivitetslogg (7 års oppbevaring per bokføringsloven) for forretningskritiske handlinger.

3. Formål og rettslig grunnlag

Behandling	Formål	Rettslig grunnlag (GDPR art. 6)
Bruker-konto og innlogging	Levere avtalt tjeneste	(b) Avtaleoppfyllelse
Sikkerhetsspor (audit-log, sesjoner)	Forebygge misbruk + dokumentere hendelser	(f) Berettiget interesse + (c) bokføringslov der relevant
Klient-administrasjon (kontaktinfo)	Drift av tjenesten + fakturering	(b) Avtaleoppfyllelse
Interesseliste-påmelding	Sende informasjon om plattformen	(a) Eksplisitt samtykke (kan trekkes)
Anti-spam IP-hash (interesseliste)	Forhindre automatisert misbruk	(f) Berettiget interesse
HIBP-passordsjekk (k-anonymity)	Forhindre kjente kompromitterte passord	(f) Berettiget interesse (ingen PII overført)

4. Hvor lenge vi oppbevarer opplysningene

Kategori	Oppbevaringstid	Begrunnelse
Brukerdata (navn, e-post osv.)	Til konto anonymiseres eller slettes	Avtaleoppfyllelse
Audit-spor (sikkerhetsspor)	7 år	Bokføringsloven + sikkerhetsdokumentasjon
Teknisk event-logg	90 dager (automatisk sletting)	Drift + feilsøking
Innloggingssesjoner (utløpte)	90 dager etter utløp (automatisk sletting)	Drift + sikkerhets-analyse
E-postbekreftelses-tokens	30 dager etter utløp (automatisk sletting)	Engangsmekanikk, ingen audit-verdi
Interesseliste-påmeldinger	Til avregistrering + 30 dager (automatisk sletting)	Samtykke trukket = data slettes
Samtykke-bevis (snapshot)	Permanent	Dokumentere at samtykke ble gitt
Sikkerhetskopier	30 dager rullerende (planlagt)	Beredskap mot dataapt + ransomware-vern

Automatisk sletting håndheves av en daglig retention-cleanup-rutine. Når en bruker anonymiseres (GDPR Art. 17), erstattes personopplysninger umiddelbart på live-databasen, mens audit-spor beholdes uten direkte identifikasjon i tråd med dokumentasjons-plikt. Eldre sikkerhetskopier overskrives automatisk innen 30 dager.

5. Hvem vi deler personopplysninger med

ModulHub deler ikke personopplysninger med tredjeparter for markedsføring, salg eller andre formål utenfor leveransen av tjenesten. Vi bruker følgende databehandlere innenfor EU/EØS for å drifte plattformen:

Leverandør	Formål	Lokasjon
Hetzner Cloud GmbH	Server-hosting (applikasjon + database + filer)	Tyskland / Finland (EU)
Sinch (Mailgun)	Utsending av transaksjonelle e-poster (registrering, glemt passord, varsler)	EU-region
Cloudflare	DNS, sikkerhetsvakt (CDN + DDoS-beskyttelse)	Global (kun forespørsels-metadata i transit)
Webhuset AS	Domeneregistrering for modulhub.no	Norge

Databehandleravtaler med disse leverandørene er inngått eller under ferdigstilling. Pwned Passwords-tjenesten (passordsjekk mot kjente kompromitterte passord) bruker k-anonymity slik at ingen passord eller identifiserende data overføres.

6. Overføring av personopplysninger til land utenfor EU/EØS

ModulHub overfører ikke personopplysninger til land utenfor EU/EØS i forbindelse med daglig drift. Cloudflare er en global tjeneste, men forespørsels-metadata behandles i transit innenfor EU/EØS-noder så langt det er mulig. Hvis dette endrer seg, vil vi oppdatere denne erklæringen og innhente nødvendige garantier (Standard Contractual Clauses eller adekvansvedtak).

7. Dine rettigheter

Du har følgende rettigheter etter personvernforordningen (GDPR):

Innsyn (art. 15): Du kan be om kopi av de personopplysningene vi har om deg.
Retting (art. 16): Du kan kreve at uriktige eller ufullstendige opplysninger rettes. Du kan rette egne kontaktopplysninger direkte i din profil etter innlogging.
Sletting / "bli glemt" (art. 17): Du kan be om at vi sletter dine personopplysninger. Vi gjennomfører dette ved anonymisering — direkte identifiserbare opplysninger fjernes umiddelbart, mens uidentifiserbare audit-spor beholdes.
Begrensning av behandling (art. 18): Du kan kreve at vi begrenser bruken av dine opplysninger mens en innsigelse eller tvist behandles.
Dataportabilitet (art. 20): Du kan be om å få utlevert dine opplysninger i et strukturert, maskinlesbart format. En selvbetjent eksport er under utvikling — i mellomtiden kan du be om manuell utlevering ved å kontakte oss.
Innsigelse (art. 21): Du kan motsette deg behandling som baserer seg på berettiget interesse.
Trekke samtykke: For samtykke-basert behandling (eks. interesseliste-påmelding) kan du når som helst trekke samtykket via avregistrerings-lenken i den siste e-posten du mottok, eller ved å kontakte oss.
Klage til tilsynsmyndighet: Du har rett til å klage til Datatilsynet.

Henvendelser om rettigheter sendes til kontakt@modulhub.no. Vi svarer normalt innen 30 dager. Identiteten bekreftes før utlevering eller sletting iverksettes.

8. Bruk av informasjonskapsler (cookies)

ModulHub bruker ikke tracking-cookies. Ingen sporing på tvers av nettsteder. Ingen samtykke-banner. Vi setter kun de tre informasjonskapslene som er strengt nødvendige for at innloggings-funksjonen skal virke. Etter ekomloven § 2-7b kreves det ikke samtykke for strengt nødvendige cookies.

Cookie	Formål	Varighet	Egenskaper
`mh_access`	Holder deg innlogget (sesjons-token)	15 minutter (rulles ved bruk)	HttpOnly + Secure + SameSite=Strict
`mh_csrf`	CSRF-beskyttelse (Double Submit-mønster)	Samme som mh_access	Secure + SameSite=Strict
`mh_refresh`	Fornying av sesjons-token uten ny innlogging	7 dager	HttpOnly + Secure + SameSite=Strict (path begrenset til /api/auth)

Vi bruker ingen analyse-cookies (Google Analytics, Plausible eller lignende), ingen markedsføringspiksler (Facebook, LinkedIn osv.) og ingen sporing på tvers av nettsteder. Hvis dette noensinne endrer seg, vil vi innføre samtykke-banner og oppdatere denne erklæringen først.

9. Sikkerhetstiltak

Vi har innført tekniske og organisatoriske tiltak for å beskytte personopplysningene mot uautorisert tilgang, endring, sletting eller tap. Eksempler:

Kryptert overføring (TLS 1.2/1.3 + HSTS)
Passord lagres som bcrypt-hash (aldri klartekst)
To-faktor-hemmeligheter lagres kryptert (Fernet/AES) i database
CSRF-vakt på alle tilstands-endrende endepunkter
Streng cookie-politikk (HttpOnly + Secure + SameSite=Strict)
Sikkerhets-hoder (CSP, X-Frame-Options, Permissions-Policy)
Rate-limit og konto-lockout mot innbruddsforsøk
Append-only audit-spor på sikkerhetskritiske hendelser
Strikt tilgangsstyring på tvers av klienter (multi-tenant-isolasjon)
Daglig retention-cleanup som håndhever oppbevaringstidene

Sikkerhets-rapporter eller mistanke om sårbarheter rettes til kontakt-e-posten over eller via /.well-known/security.txt.

10. Endringer i personvernerklæringen

Vi kan oppdatere denne erklæringen for å reflektere endringer i tjenesten, regelverket eller praksis. Vesentlige endringer varsles til registrerte brukere via e-post minst 30 dager før de trer i kraft. Dato for siste oppdatering vises nederst.

11. Klagerett

Hvis du mener vi behandler personopplysninger i strid med regelverket, kan du klage til Datatilsynet:

datatilsynet.no/om-datatilsynet/kontakt-oss

Versjon 1 — basert på Datatilsynets veileder. Juridisk gjennomgang planlagt før betalende kunder genererer omsetning.
Sist oppdatert: 17. mai 2026

Tilbake til ModulHub.no · Salgsvilkår