PERSONVERN

Denne personvernerklæringen er underlagt svensk lov, og referanser til rettsakter viser til svensk lovgivning med mindre annet er angitt.

1. Generelt

1.1 Denne personvernerklæringen beskriver hvordan Herbox AB, organisasjonsnummer 559320-7037, Sven Hultings Plats 5, 412 58 Göteborg ("Herbox", "vi", "oss"), ivaretar beskyttelsen av personopplysninger i all vår virksomhet.

1.2 Formålet er å sikre at all behandling skjer lovlig, korrekt og åpent i samsvar med GDPR og svensk lovgivning, samt å skape tillit hos kunder, brukere og samarbeidspartnere gjennom åpenhet og tydelighet om hvordan vi samler inn, bruker, lagrer og beskytter personopplysninger.

1.3 Herbox arbeider systematisk med personvern gjennom risikovurderinger, interne rutiner, tekniske sikkerhetstiltak og opplæring. Vi tilstreber alltid dataminimering og oppbevarer personopplysninger bare så lenge det er nødvendig for det aktuelle formålet.

2. Sentrale begreper

Begrep Betydning
Cookie

Små tekstfiler som lagres i nettleseren for å muliggjøre funksjoner, statistikk og markedsføring. Håndteres i samsvar med Herbox’ egen Cookiepolicy.
Personopplysning

All informasjon som direkte eller indirekte kan identifisere en fysisk person, for eksempel navn, e-postadresse, IP-adresse eller kundenummer.
Behandling

Enhver handling som utføres på personopplysninger, slik som innsamling, lagring, analyse, deling eller sletting – manuelt eller automatisk.
Behandlingsansvarlig

Den som bestemmer formålet med og midlene for behandlingen. Vanligvis Herbox AB.
Databehandler

En ekstern part som behandler opplysninger på vegne av Herbox i henhold til en databehandleravtale (DPA).
Rettlig grunnlag

Juridisk forutsetning i henhold til artikkel 6 i GDPR (samtykke, avtale, rettslig forpliktelse eller berettiget interesse).
Berettiget interesse

Når Herbox har en legitim forretningsmessig interesse, for eksempel kundekommunikasjon eller IT-sikkerhet, som veier tyngre enn personvernhensynet. Ved behandling basert på berettiget interesse gjennomfører Herbox en interesseavveiing (LIA) som dokumenteres og oppdateres ved behov.
Følsomme personopplysninger

Særlige kategorier av opplysninger (helse, etnisitet, politiske meninger m.m.) behandles kun unntaksvis. Herbox’ tjenester er heller ikke rettet mot barn, og vi samler ikke bevisst inn personopplysninger fra mindreårige uten foresattes samtykke.
Registrert

Den personen opplysningene gjelder (kunde, bruker, ansatt, leverandør osv.).
SCC / DPF

EUs Standard Contractual Clauses og EU–US Data Privacy Framework, begge mekanismer for å beskytte personopplysninger ved overføring til tredjeland.

3. Kontakt

Personvernombud (DPO)
Herbox AB
Att: Personvernombud
E-post: info@herbox.se
Adresse: Sven Hultings Plats 5, 412 58 Göteborg

Kontakt kan også tas på følgende måte:

Henvendelsestype Kontakt Kommentar
Generelle spørsmål

info@herbox.se

Vi bekrefter mottak innen 2 arbeidsdager og svarer normalt innen 30 dager.
GDPR-forespørsel

info@herbox.se

Vi kan be om identifikasjon (BankID eller kopi av ID).
Hendelsesrapportering

info@herbox.se

Tilbakemelding innen 24 timer.
Tilsynsmyndighet

Integritetsskyddsmyndigheten (IMY), Box 8114, 104 20 Stockholm

Mer informasjon finnes på www.imy.se

 

4. Behandling av personopplysninger

4.1 Ved besøk på vårt nettsted

Når og hvorfor Personopplysninger Rettlig grunnlag Lagringstid
Levere nettstedet

IP-adresse, tekniske logger

Berettiget interesse (nødvendig drift)

2 måneder
Statistikk og analyse (Microsoft Clarity)

IP (trunkert), hendelser, cookie-ID

Samtykke (ePrivacy)

90 dager
Annonse- og plattformspiksler

Hash-et e-post, enhets-/cookie-ID

Samtykke / berettiget interesse (kunder)

Opptil 24 måneder

4.2 Ved kontakt med eksisterende og potensielle kunder

Når og hvorfor Personopplysninger Rettlig grunnlag Lagringstid
Kunderelasjon og support

Navn, e-post, avtale, kommunikasjon

Avtale / berettiget interesse

Opptil 10 år (regnskap 7 år)
Markedsføring til kunder

Kontaktopplysninger, interaksjonsdata

Berettiget interesse (opt-out)

Inntil opt-out eller 36 måneders inaktivitet
Markedsføring mot potensielle kunder

Kontakt, stilling, interaksjoner

Samtykke (e-post) / berettiget interesse

36 måneder

4.3 Automatisering og AI-støtte

Når og hvorfor Personopplysninger Rettlig grunnlag Lagringstid
Automatisering av arbeidsflyt

Reduserte datakategorier avhengig av Zapier

Berettiget interesse

Kortvarig lagring i Zapier
AI-utkast for e-post (OpenAI)

Begrensede e-postutdrag

Berettiget interesse

Kun prosessering, ingen varig lokal lagring

4.4 I forbindelse med rekruttering, ansettelse og HR-administrasjon

Når og hvorfor Personopplysninger Rettlig grunnlag Lagringstid
Mottak og vurdering av søknader

CV, kontaktopplysninger, notater

Berettiget interesse (rekruttering) + samtykke for lengre lagring

24 måneder (lengre med samtykke)
Referansesjekk og bakgrunnskontroll

Kontaktinfo til referanser, notater, verifisering av utdanning/ansettelse

Samtykke (fra kandidat før kontakt) + berettiget interesse

24 måneder etter avsluttet prosess (eller lengre med uttrykkelig samtykke)
Under ansettelse og HR-administrasjon

Kontaktinfo, lønn, fravær, kompetansedata, pårørende

Oppfyllelse av arbeidsavtale, rettslige forpliktelser (f.eks. skatt og arbeidsrett), berettiget interesseprocesser.

I ansettelsestiden og deretter 2–10 år avhengig av type opplysning (lønn/regnskap 7 år, avtaler 10 år, kontaktinfo 2 år)

4.5 Oppfyllelse av rettslige forpliktelser og ivaretakelse av rettslige interesser

Rettlig forpliktelse Eksempler på berørte opplysninger Gjeldende lov / regelverk Lagringstid
Regnskap og bokføring

Kunde- og leverandørfakturaer, betalingsdata, bilag

Bokføringsloven (1999:1078)

7 år etter regnskapsårets slutt
Foreldelse av krav / tvist

Avtaler, kommunikasjon, betalingshistorikk

Foreldelsesloven (1981:130)

Opptil 10 år
Skatte- og avgiftsrapportering

Lønnsdata, fakturaer, utbetalinger

Skatteforvaltningsloven (2011:1244)

7 år
Rettslige krav og myndighetssaker

Korrespondanse, saksdokumentasjon

GDPR art. 17.3 e (forsvar av rettslige krav)

Til saken er avsluttet
Ansettelsesdokumentasjon

Arbeidsavtaler, lønns- og pensjonsdata

Arbeidsrettslig lovgivning

2–10 år avhengig av dokumenttype

Herbox fører også et register over alle behandlingsaktiviteter i samsvar med artikkel 30 i GDPR, som oppdateres av DPO.

5. Databehandlere og mottakere av personopplysninger

Databehandler / mottaker Kategori Personopplysninger som behandles Rolle Særlige sikkerhetstiltak
Upsales, Mailchimp

CRM og markedsføring

Navn, e-post, kommunikasjons-historikk, preferanser

Personuppgiftsbiträde

Kryptering, tilgangsstyring, databehandleravtale (DPA)
Google Workspace

E-post og produktivitet

Navn, e-post, dokumenter, filer, metadata

Personuppgiftsbiträde

DPF-sertifisering, MFA, dataminimering
Zapier

Automatisering

Begrensede datafelter for systemintegrasjon

Databehandler

Kryptering under overføring, standard kontraktsklausuler (SCC)
OpenAI

AI-analyse og automatisert støtte

Korte tekstutdrag (minimerte)

Databehandler

DPF-sertifisering, sperre mot modelltrening
Google Ads, Microsoft Ads,
LinkedIn, Microsoft Clarity m.fl.

Annonsering og måling

Hash-et e-post, cookie-ID, IP-adresse, enhetsdata

Selvstendige behandlingsansvarlige

Samtykkestyring via GTM, DPF/SCC
TeamTailor

Rekruttering

Navn, kontaktinfo, CV, intervjunotater

Databehandler

DPA, dataminimering, automatisk gallring
Regnskapsbyrå, revisor, frakt- og servicepartnere

Økonomi og levering

Navn, adresse, betalingsinformasjon, fakturagrunnlag

Databehandlere / selvstendige behandlingsansvarlige

Taushetserklæring, kryptert kommunikasjon, lovpålagt sletting

6. Lagring, sikkerhet og sletting

Område Type opplysninger / behandling Tekniske og organisatoriske sikkerhetstiltak Lagringstid / slettetidspunkt
Teknisk sikkerhet

Systemdata, tilgangslogger, sikkerhetskopier

Kryptering ved overføring og lagring, rollebasert tilgang, flerfaktorautentisering (MFA), logging og jevnlig tilgangsrevisjon

Logger 12 måneder, sikkerhetskopier iht. IT-policy (maks. 12 måneder)
Organisatorisk sikkerhet

Alle personopplysninger

Taushetserklæringer, løpende opplæring, rutiner for hendelseshåndtering, årlig gjennomgang av prosedyrer

Kontinuerlig under ansettelse / oppdrag
Hendelseshåndtering

Opplysninger som inngår i hendelsesrapporter

DPO-overvåket prosess, intern logging, melding til IMY innen 72 timer ved risiko for brudd på enkeltpersoners rettigheter, varsling til berørte registrerte i henhold til art. 33–34 GDPR

Dokumentasjon lagres i 5 år etter avsluttet sak
CRM og kundedata

Korrespondanse, saksdokumentasjon

GDPR art. 17.3 e (forsvar av rettslige krav)

Inntil saken er avsluttet
Ansettelsesdokumentasjon

Arbeidsavtaler, lønns- og pensjonsdata

Arbeidsrettslig lovgivning

2–10 år avhengig av dokumenttype

7. Overføring utenfor EU/EØS

Herbox behandler hovedsakelig personopplysninger innenfor EU/EØS. Enkelte leverandører bruker imidlertid infrastruktur eller yter supporttjenester i USA. Alle overføringer skjer i samsvar med kapittel V i GDPR og etter gjennomført vurdering av overføringsrisiko (Transfer Impact Assessment – TIA).

Kategori / leverandør Type personopplysninger Behandlingssted (primært) Overføringsmekanisme
Google Workspace

Navn, e-post, dokumenter, metadata

USA (DPF-sertifisert)

EU–US Data Privacy Framework (DPF)
Microsoft Clarity / Microsoft Ads

IP-adresse (trunkert), cookie-ID, analysedata

USA (DPF-sertifisert)

EU–US Data Privacy Framework (DPF)
OpenAI (API/Team)

Korte tekstutdrag (minimerte)

USA (DPF-sertifisert)

EU–US Data Privacy Framework (DPF)
Zapier Inc.

Begrensede datafelter for systemintegrasjon

USA (ikke DPF-sertifisert)

Standardkontraktsklausuler (SCC) + supplerende tiltak
Mailchimp (Intuit Inc.)

Navn, e-postadresse, interaksjonsdata

USA (DPF-sertifisert)

EU–US Data Privacy Framework (DPF)

8. Dine rettigheter etter GDPR

Rettighet Artikkel Betydning Hvordan du utøver rettigheten
Innsyn

Art. 15

Få en kopi av dine personopplysninger og informasjon om hvordan de behandles.

Be om innsyn via info@herbox.se.
Rettelse

Art. 16

Korriger uriktige eller ufullstendige opplysninger.

Kontakt oss via e-post eller telefon.
Sletting (“retten til å bli glemt”)

Art. 17

Sletting av opplysninger når de ikke lenger er nødvendige, eller når samtykke trekkes tilbake.

Send e-post til info@herbox.se.
Begrensning av behandling

Art. 18

Midlertidig stanse behandlingen ved uenighet om riktighet eller lovlighet.

Merk e-posten med “Begrensning”.
Dataportabilitet

Art. 20

Motta data i et strukturert format eller overfør til en annen behandlingsansvarlig.

Be om eksport (CSV/JSON).
Protest

Art. 21

Protester mot behandling basert på berettiget interesse eller direkte markedsføring.

Bruk opt-out-lenker eller kontakt oss.
Tilbakekalling av samtykke

Art. 7.3

Trekk samtykke uten at det påvirker behandling før tilbaketrekkingen.

Via cookie-banner eller e-post.
Automatiserte avgjørelser

Art. 22

Be om manuell vurdering av avgjørelser som har rettsvirkning.

Send e-post til info@herbox.se.

 

9. Endringer og gyldighet

9.1 Herbox gjennomgår denne personvernerklæringen minst én gang i året eller ved behov, for eksempel dersom:

a) Ny eller endret lovgivning trer i kraft,
b) Virksomheten endres på en måte som påvirker behandlingen av personopplysninger,
c) Nye systemer, leverandører eller behandlingsaktiviteter innføres, eller
d) Integritetsskyddsmyndigheten (IMY) eller EU-myndigheter utsteder nye retningslinjer eller vedtak.

9.2 Gjennomgangen utføres av Herbox’ personvernombud (DPO) i samråd med ledelsen og relevante systemeiere. DPO er ansvarlig for å identifisere behov for oppdatering, dokumentere endringer og sikre at nye versjoner etterlever gjeldende rett og Herbox’ interne informasjonssikkerhetspolicy.

9.3 Når vesentlige endringer gjøres, informerer vi:

a) Internt alle medarbeidere via e-post og/eller intranett, og
b) Eksternt kunder, samarbeidspartnere og registrerte via vår nettside (herbox.se) og, der det er relevant, gjennom direkte utsendelser.

9.4 Hver ny versjon tildeles en revisjonsdato og en versjonsbetegnelse, og den tidligere versjonen arkiveres i samsvar med Herbox’ rutiner for dokumenthåndtering.

9.5 Gjeldende versjon er alltid publisert på www.herbox.se.

 

Sist oppdatert: 28 oktober 2025

This website uses cookies

Cookies ("cookies") consist of small text files. The text files contain data which is stored on your device. To be able to place some type of cookies we need your consent. We at HERBOX AB, corporate identity number 559320-7037 use these types of cookies. To read more about which cookies we use and storage duration, click here to get to our cookiepolicy.

Manage your cookie-settings

Nødvendige cookies

Check to consent to the use of Nødvendige cookies
Nødvendige informasjonskapsler er informasjonskapsler som må plasseres for at grunnleggende funksjoner på nettstedet skal fungere. Grunnleggende funksjoner er for eksempel informasjonskapsler som er nødvendige for at du skal bruke menyer og navigere på nettstedet.

Statistical cookies

Check to consent to the use of Statistical cookies
For å vite hvordan du samhandler med nettsiden plasserer vi informasjonskapsler for å samle inn statistikk. Disse informasjonskapslene anonymiserer personopplysninger.

Informasjonskapsler for annonsemåling

Check to consent to the use of Informasjonskapsler for annonsemåling
For å kunne gi en bedre service og opplevelse plasserer vi informasjonskapsler for å skreddersy markedsføring for deg. Et annet formål med denne utplasseringen er å markedsføre produkter eller tjenester til deg, gi skreddersydde tilbud eller markedsføre og gi anbefalinger om nye konsepter basert på det du har kjøpt hos oss tidligere.

Ad measurement user cookies

Check to consent to the use of Ad measurement user cookies
In order to show relevant ads we place cookies to tailor ads for you

Personalized ads cookies

Check to consent to the use of Personalized ads cookies
To show relevant and personal ads we place cookies to provide unique offers that are tailored to your user data