Personvern og databehandling
Sist oppdatert: mai 2026. Dette dokumentet beskriver hvordan applikasjonen behandler data — behandlingsansvarlig (kunden/driftsselskapet) må supplere med egen personvernerklæring og DPIA der det kreves.
Hvem lagrer hva?
PVM Operativ er et B2B-system per organisasjon (tenant). Driftsselskapet er behandlingsansvarlig for data om egne ansatte, lokasjoner, kundeservice-saker og risikovurderinger. Systemleverandør behandler data på vegne av kunden som databehandler når avtale foreligger.
Kategorier personopplysninger
- Brukere: navn, e-post, telefon, innloggingsdata, valgfri 2FA.
- Lokasjoner og RV: adresser, kontakter, bilder fra befaring, faglig innhold i risikovurderinger.
- Kundeservice: innringerens navn/telefon/e-post på saker (anonymiseres automatisk 24 mnd etter avsluttet sak).
- Service og sjåfør: rapporter, egenkontroll, vedlegg.
- Logger: audit-hendelser (hvem gjorde hva, uten innhold av dokumenter).
Formål og grunnlag
Behandlingen skjer for å oppfylle lovkrav om risikovurdering av propanautomater, intern drift, kundeservice og dokumentasjon ved tilsyn. Grunnlag er typisk berettiget interesse og/eller avtale — avklares av behandlingsansvarlig.
Lagring og sikkerhet
- Data lagres i database og fil-lager tilknyttet tenant.
- Tilgang styres med roller; filer (bilder/PDF) serveres kun til autentiserte brukere med riktig tilgang.
- I produksjon: krev sterk
AUTH_SECRET,CRON_SECRET, og aktiverREQUIRE_ADMIN_2FA=truefor administratorer. - Velg vertsregion EU/EØA for database og backup.
Bevaring
- Risikovurderinger og arkiv-PDF: i tråd med intern retningslinje (typisk ca. 5 år) — styres av kunden.
- Kundeservice: innringer-felter anonymiseres etter 24 måneder som CLOSED (cron-job
/api/cron/privacy-retention). - Audit-logg: beholdes for sporbarhet; slettes ikke automatisk.
Rettigheter
Registrerte kan be om innsyn, retting og sletting via behandlingsansvarlig. Brukere i systemet kan slettes av administrator; teknisk sletting av bruker fjerner konto, men historiske referanser kan stå som anonymisert i audit.
Underleverandører
E-post (f.eks. Resend) og eventuelt SMS (Twilio) kan behandle kontaktinformasjon. Inngå databehandleravtale før produksjon.
Kontakt
Henvendelser om personvern rettes til behandlingsansvarlig hos driftsselskapet som bruker løsningen.