Vi leverer til hele Europa
Kontakt os for et tilbud
Denne fortrolighedspolitik er underlagt svensk lovgivning, og henvisninger til retsakter refererer til svensk lovgivning, medmindre andet er angivet.
1.1 Denne fortrolighedspolitik beskriver, hvordan Herbox AB, CVR-nr. 559320-7037, Sven Hultings Plats 5, 412 58 Göteborg ("Herbox", "vi", "os"), værner om beskyttelsen af personoplysninger i al vores virksomhed.
1.2 Formålet er at sikre, at al behandling sker lovligt, korrekt og gennemsigtigt i overensstemmelse med GDPR og svensk lovgivning, samt at skabe tillid hos kunder, brugere og samarbejdspartnere gennem åbenhed og klarhed om, hvordan vi indsamler, anvender, lagrer og beskytter personoplysninger.
1.3 Herbox arbejder systematisk med databeskyttelse gennem risikovurderinger, interne procedurer, tekniske sikkerhedsforanstaltninger og uddannelse. Vi tilstræber altid dataminimering og opbevarer personoplysninger kun så længe, det er nødvendigt for det pågældende formål.
| Begreb | Betydning |
|---|---|
| Cookie |
Små tekstfiler, der gemmes i browseren for at muliggøre funktioner, statistik og markedsføring. Håndteres i overensstemmelse med Herbox’ separate Cookiepolitik. |
| Personoplysning |
Alle oplysninger, der direkte eller indirekte kan identificere en fysisk person, f.eks. navn, e-mailadresse, IP-adresse eller kundenummer. |
| Behandling |
Enhver handling, der udføres på personoplysninger, såsom indsamling, lagring, analyse, deling eller sletning, manuelt eller automatisk. |
| Dataansvarlig |
Den part, der fastlægger formål og midler for behandlingen. Normalt Herbox AB. |
| Databehandler |
En ekstern part, der behandler oplysninger på vegne af Herbox i henhold til en databehandleraftale (DPA). |
| Retsgrundlag |
Juridisk forudsætning i henhold til artikel 6 i GDPR (samtykke, kontrakt, retlig forpligtelse eller legitim interesse). |
| Legitim interesse |
Når Herbox har en legitim forretningsmæssig interesse, f.eks. kundekommunikation eller IT-sikkerhed, som vejer tungere end hensynet til privatliv. Ved behandling baseret på legitim interesse udfører Herbox en interesseafvejning (LIA), som dokumenteres og opdateres efter behov. |
| Følsomme personoplysninger |
Særlige kategorier af oplysninger (helbred, etnicitet, politiske holdninger m.m.) behandles kun i undtagelsestilfælde. Herbox’ tjenester er heller ikke rettet mod børn, og vi indsamler ikke bevidst personoplysninger om mindreårige uden forældres eller værgers samtykke. |
| Registreret |
Den person, hvis oplysninger behandles (kunde, bruger, medarbejder, leverandør osv.). |
| SCC / DPF |
EU’s Standard Contractual Clauses og EU–US Data Privacy Framework, begge mekanismer til beskyttelse ved overførsel af personoplysninger til tredjelande. |
Databeskyttelsesrådgiver (DPO)
Herbox AB
Att: Databeskyttelsesrådgiver
E-mail: info@herbox.se
Adresse: Sven Hultings Plats 5, 412 58 Göteborg
Kontakt kan også ske på følgende måde:
| Emne | Kontakt | Kommentar |
|---|---|---|
| Generelle forespørgsler |
info@herbox.se |
Vi bekræfter modtagelsen inden for 2 arbejdsdage og svarer normalt inden for 30 dage. |
| GDPR-anmodning |
info@herbox.se |
Vi kan anmode om identifikation (BankID eller kopi af ID). |
| Hændelsesrapportering |
info@herbox.se |
Tilbagemelding inden for 24 timer |
| Tilsynsmyndighed |
Databeskyttelsesmyndigheden (Integritetsskyddsmyndigheten, IMY), Box 8114, 104 20 Stockholm |
Yderligere information findes på www.imy.se |
4.1 Ved besøg på vores hjemmeside
| Hvornår og hvorfor | Personoplysninger | Retsgrundlag | Opbevaringsperiode |
|---|---|---|---|
| Levere hjemmesiden |
IP-adresse, tekniske logfiler |
Legitim interesse (nødvendig drift) |
2 måneder |
| Statistik og analyse (Microsoft Clarity) |
IP (forkortet), hændelser, cookie-ID |
Samtykke (ePrivacy) |
90 dage |
| Annonce- og platformspixels |
Hashet e-mail, enheds-/cookie-ID |
Samtykke / legitim interesse (kunder) |
Op til 24 måneder |
4.2 Ved kontakt med eksisterende og potentielle kunder
| Hvornår og hvorfor | Personoplysninger | Retsgrundlag | Opbevaringsperiode |
|---|---|---|---|
| Kunderelation og support |
Navn, e-mail, aftale, kommunikation |
Aftale / legitim interesse |
Op til 10 år (bogføring 7 år) |
| Markedsføring til kunder |
Kontaktoplysninger, interaktionsdata |
Legitim interesse (opt-out) |
Indtil opt-out eller 36 måneders inaktivitet |
| Prospektmarkedsføring |
Kontaktoplysninger, jobrolle, interaktioner |
Samtykke (e-mail) / legitim interesse |
36 måneder |
4.3 Automatisering og AI-understøttelse
| Hvornår og hvorfor | Personoplysninger | Retsgrundlag | Opbevaringsperiode |
|---|---|---|---|
| Automatisering af arbejdsgange |
Minimerede felter afhængigt af Zapier |
Legitim interesse |
Kortvarig opbevaring i Zapier |
| AI-udkast til e-mail (OpenAI) |
Begrænsede e-mailuddrag |
Legitim interesse |
Kun behandling, ingen varig lokal opbevaring |
4.4 I forbindelse med rekruttering, ansættelse og HR-administration
| Hvornår og hvorfor | Personoplysninger | Retsgrundlag | Opbevaringsperiode |
|---|---|---|---|
| Modtagelse og vurdering af ansøgninger |
CV, kontaktoplysninger, noter |
Legitim interesse (rekruttering) + samtykke til længere opbevaring |
24 måneder (længere med samtykke) |
| Referenceindhentning og baggrundstjek |
Kontaktoplysninger på referencer, noter fra referencesamtaler, verifikation af uddannelse eller ansættelse |
Samtykke (fra kandidaten før kontakt) + legitim interesse i at sikre korrekt rekruttering |
24 måneder efter afsluttet rekrutteringsproces (eller længere med udtrykkeligt samtykke fra kandidaten) |
| Ved ansættelse og HR-administration |
Kontaktoplysninger, løn, fravær, kompetencedata og oplysninger om pårørende |
Behandlingen sker for at opfylde ansættelseskontrakten, retlige forpligtelser (f.eks. skatte- og arbejdsretlige), samt Herbox’ legitime interesse i at administrere HR-processer. |
Under ansættelsen og derefter 2–10 år afhængigt af oplysningstype (f.eks. løn- og regnskabsoplysninger 7 år, kontrakter op til 10 år, kontaktoplysninger 2 år) |
4.5 Ved opfyldelse af retlige forpligtelser og for at varetage retlige interesser
| Retlig forpligtelse | Eksempler på berørte oplysninger | Gældende lov / regelsæt | Lagringstid |
|---|---|---|---|
| Bogføring og regnskab |
Kunde- og leverandørfakturaer, betalingsdata, bilag |
Bogføringsloven (1999:1078) |
7 år efter regnskabsårets afslutning |
| Forældelse af krav / tvist |
Kontraktgrundlag, kommunikation, betalingshistorik |
Forældelsesloven (1981:130) |
Op til 10 år |
| Skatte- og afgiftsrapportering |
Løngrundlag, fakturaer, udbetalinger |
Skatteprocedureloven (2011:1244) |
7 år |
| Retlige krav og myndighedssager |
Korrespondance, undersøgelsesmateriale |
GDPR art. 17.3 e (forsvar af retlige krav) |
Indtil sagen er afsluttet |
| Ansættelsesdokumentation |
Ansættelseskontrakter, løn- og pensionsoplysninger |
Arbejdsretlig lovgivning |
2–10 år afhængigt af dokumenttypen |
Herbox fører også et register over alle behandlingsaktiviteter i henhold til artikel 30 i GDPR, som opdateres af DPO’en.
| Databehandler / Modtager | Kategori | Behandlede personoplysninger | Rolle | Særlige sikkerhedsforanstaltninger |
|---|---|---|---|---|
| Upsales, Mailchimp |
CRM og markedsføring |
Navn, e-mail, kommunikationshistorik, præferencer |
Databehandler |
Kryptering, adgangsbegrænsning, DPA-aftale |
| Google Workspace |
E-mail og produktivitet |
Navn, e-mail, dokumenter, filer, metadata |
Databehandler |
DPF-certificering, MFA, dataminimering |
| Zapier |
Automatisering |
Begrænsede datafelter til systemintegration |
Databehandler |
Kryptering under overførsel, SCC-aftaler |
| OpenAI |
AI-analyse og automatiseret støtte |
Korte tekstuddrag (minimerede) |
Databehandler |
DPF-certificering, blokering mod modeltræning |
| Google Ads, Microsoft Ads, LinkedIn, Microsoft Clarity m.fl. |
Annoncering og måling |
Hashet e-mail, cookie-ID, IP-adresse, enhedsdata |
Uafhængige dataansvarlige |
Samtykkestyring via GTM, DPF/SCC |
| TeamTailor |
Rekruttering |
Navn, kontaktoplysninger, CV, interviewnotater |
Databehandler |
DPA-aftale, dataminimering, automatisk sletning |
| Regnskabsfirma, revisor, fragt- og servicepartnere |
Økonomi og levering |
Navn, adresse, betalingsoplysninger, fakturagrundlag |
Databehandlere / uafhængige dataansvarlige |
Fortrolighedsaftaler, krypteret kommunikation, lovpligtig sletning |
| Område | Type af oplysninger / behandling | Tekniske og organisatoriske sikkerhedsforanstaltninger | Opbevaringsperiode / sletningsfrist |
|---|---|---|---|
| Teknisk sikkerhed |
Systemdata, adgangslogfiler, sikkerhedskopier |
Kryptering under overførsel og lagring, rollebaseret adgang, multifaktorgodkendelse (MFA), logning og regelmæssig adgangsgennemgang |
Logfiler 12 måneder, sikkerhedskopier i henhold til IT-politik (maks. 12 måneder) |
| Organisatorisk sikkerhed |
Alle personoplysninger |
Fortrolighedsaftaler, løbende uddannelse, hændelseshåndteringsproces, årlig gennemgang af procedurer |
Løbende under ansættelse / opgave |
| Hændelseshåndtering |
Oplysninger, der indgår i hændelsesrapporter |
DPO-overvåget proces, intern logning, anmeldelse til IMY inden for 72 timer ved risiko for registreredes rettigheder, information til berørte registrerede i henhold til art. 33–34 i GDPR |
Dokumentation opbevares i 5 år efter sagens afslutning |
| CRM og kundedata |
Korrespondance, undersøgelsesmateriale |
GDPR art. 17.3 e (forsvar af retlige krav) |
Indtil sagen er afsluttet |
| Ansættelsesdokumentation |
Ansættelseskontrakter, løn- og pensionsoplysninger |
Arbejdsretlig lovgivning |
2–10 år afhængigt af dokumenttypen |
Herbox behandler hovedsageligt personoplysninger inden for EU/EØS. Nogle leverandører anvender dog infrastruktur eller supporttjenester i USA. Alle overførsler sker i overensstemmelse med kapitel V i GDPR og efter en TIA-vurdering.
| Kategori / Leverandør | Type af personoplysninger | Behandlingssted (primært) | Overførselsmekanisme |
|---|---|---|---|
| Google Workspace |
Navn, e-mail, dokumenter, metadata |
USA (DPF-certificeret) |
EU–US Data Privacy Framework (DPF) |
| Microsoft Clarity / Microsoft Ads |
IP-adresse (forkortet), cookie-ID, analysedata |
USA (DPF-certificeret) |
EU–US Data Privacy Framework (DPF) |
| OpenAI (API/Team) |
Korte tekstuddrag (minimerede) |
USA (DPF-certificeret) |
EU–US Data Privacy Framework (DPF) |
| Zapier Inc. |
Begrænsede datafelter til systemintegration |
USA (ikke DPF-certificeret) |
Standardkontraktbestemmelser (SCC) + supplerende foranstaltninger |
| Mailchimp (Intuit Inc.) |
Navn, e-mailadresse, interaktionsdata |
USA (DPF-certificeret) |
EU-US Data Privacy Framework (DPF) |
| Rettighed | Artikel | Betydning | Hvordan du udøver rettigheden |
|---|---|---|---|
| Indsigt |
Art. 15 |
Få en kopi af personoplysninger og information om behandlingen. |
Anmod via info@herbox.se. |
| Berigtigelse |
Art. 16 |
Korrigér forkerte eller ufuldstændige oplysninger. |
Kontakt os via e-mail eller telefon. |
| Sletning ("retten til at blive glemt") |
Art. 17 |
Sletning af oplysninger, når de ikke længere er nødvendige, eller når samtykke trækkes tilbage. |
Send en e-mail til info@herbox.se. |
| Begrænsning |
Art. 18 |
Midlertidigt stoppe behandlingen ved uenighed om rigtighed eller lovlighed. |
Mærk e-mailen "Begrænsning". |
| Dataportabilitet |
Art. 20 |
Modtag dine data i et struktureret format eller få dem overført til en anden part. |
Anmod om eksport (CSV/JSON). |
| Indsigelse |
Art. 21 |
Gør indsigelse mod behandling baseret på legitim interesse eller direkte markedsføring. |
Brug opt-out-links eller kontakt os. |
| Tilbagekaldelse af samtykke |
Art. 7.3 |
Træk dit samtykke tilbage uden at det påvirker behandling, der er udført før tilbagetrækningen. |
Via cookie-banner eller e-mail. |
| Automatiserede beslutninger |
Art. 22 |
Anmod om manuel gennemgang af beslutninger med retsvirkning. |
Send en e-mail til info@herbox.se. |
9.1 Herbox gennemgår denne fortrolighedspolitik mindst én gang om året eller efter behov, for eksempel hvis:
a) Ny eller ændret lovgivning træder i kraft,
b) Virksomheden ændres på en måde, der påvirker behandlingen af personoplysninger,
c) Nye systemer, leverandører eller behandlingsaktiviteter indføres, eller
d) Integritetsskyddsmyndigheten (IMY) eller EU-myndigheder udsteder nye retningslinjer eller afgørelser.
9.2 Gennemgangen udføres af Herbox’ databeskyttelsesrådgiver (DPO) i samråd med ledelsen og relevante systemejere. DPO er ansvarlig for at identificere behov for opdatering, dokumentere ændringer og sikre, at nye versioner efterlever gældende ret og Herbox’ interne informationssikkerhedspolitik.
9.3 Når væsentlige ændringer foretages, informerer vi:
a) Internt alle medarbejdere via e-mail og/eller intranet, og
b) Eksternt kunder, samarbejdspartnere og registrerede via vores hjemmeside (herbox.se) og, hvor relevant, via direkte udsendelser.
9.4 Hver ny version tildeles en revisionsdato og en versionsbetegnelse, og den tidligere version arkiveres i overensstemmelse med Herbox’ procedurer for dokumenthåndtering.
9.5 Den gældende version er altid offentliggjort på www.herbox.se.
Senest opdateret: 28 oktober 2025
