Personvernerklæring

Versjon 1.0Sist oppdatert: 2026-05-09

ketl regnskap leveres av ketl AS («vi», «oss»). Denne erklæringen forklarer hvilke personopplysninger vi behandler om brukere av tjenesten, hvorfor vi behandler dem, og hvordan du kan utøve dine rettigheter etter personvernforordningen (GDPR) og personopplysningsloven.

1Behandlingsansvarlig

ketl AS
Organisasjonsnummer: oppgis ved registrering
Kontakt: personvern@ketl.no

Vi har ikke plikt til å utnevne personvernombud, men har et eget kontaktpunkt for personvernspørsmål via e-postadressen over.

2Hvilke personopplysninger vi behandler

Når du bruker ketl regnskap behandler vi følgende kategorier personopplysninger:

  • Kontoinformasjon: e-postadresse, navn, rolle (regnskapsfører, byrå, klient), passord-hash, 2FA-status.
  • Organisasjonsdata: organisasjonsnummer, klientnavn, bransje, kontonummer (ved bankavstemming).
  • Bilagsdata: opplastede dokumenter (PDF, bilder), fakturaer, kvitteringer og metadata. Disse kan inneholde personopplysninger om dine motparter (leverandører, kunder, ansatte).
  • Lønnsdata (om aktivert): ansattes navn, fødselsnummer (ved A-melding), bankkonto, lønnsnivå, sykefravær.
  • Bruksdata: innloggingstidspunkt, IP-adresse, nettleser-type, og handlinger i applikasjonen (audit-logg iht. Bokføringsloven § 13).
  • Betalingsdata: behandles av Stripe — vi lagrer kun siste 4 siffer av betalingsmetode og abonnement-status.
3Formål og rettslig grunnlag
FormålRettslig grunnlag
Levere regnskapstjenestenGDPR art. 6 nr. 1 b (avtale)
Oppfylle Bokføringsloven og SkatteforvaltningslovenGDPR art. 6 nr. 1 c (rettslig forpliktelse)
Drift, sikkerhet, feilretting og audit-loggGDPR art. 6 nr. 1 f (berettiget interesse)
Direkte markedsføring (kun til registrerte kunder)GDPR art. 6 nr. 1 f, ekomloven § 2-15 b
Analyse og produktforbedringGDPR art. 6 nr. 1 a (samtykke via cookie-banner)
4Automatiserte beslutninger og AI-analyse

ketl bruker kunstig intelligens (Google Gemini via Vertex AI) til å foreslå konteringer, MVA-koder og bilagskategorisering. Dette er forslag — ingen automatisk beslutning treffes uten at en bruker (regnskapsfører eller bedriftseier) godkjenner forslaget. Du har derfor ikke rett til menneskelig overprøving etter GDPR art. 22, men vi gir likevel full forklaring og redigeringsmulighet på alle AI-forslag.

Data som sendes til Vertex AI: bilagsbeskrivelse, beløp, leverandør, kontoplankontekst. Data som ikke sendes: fødselsnummer, fullt kontonummer, e-postadresser.

Google har bekreftet at data vi sender til Vertex AI ikke brukes til modelltrening (Generative AI Addendum til Google Cloud-avtalen). All AI-trafikk holdes innen EØS (region europe-west1).

5Mottakere og databehandlere

Vi deler personopplysninger med følgende kategorier mottakere:

  • Skatteetaten / NAV / Brønnøysundregistrene: ved pliktig rapportering (MVA, A-melding, årsregnskap).
  • Databehandlere: Google (Firebase + Vertex AI), Stripe, SendGrid, Neonomics, Maskinporten m.fl. — komplett liste på underleverandørsiden.
  • Andre brukere på samme organisasjon: hvis du er invitert som ansatt eller klient hos et regnskapsbyrå, vil byrået ha tilgang til regnskapsdataene de er ansvarlig for.

Alle databehandlere er bundet av databehandleravtale (DPA) iht. GDPR art. 28. Underleverandører listes for full transparens og kan endres med 30 dagers varsel.

Antall underleverandører i bruk: 8 (se full liste)

6Lagringsperiode
  • Bilag og regnskapsdata: 5 år etter regnskapsårets utløp (Bokføringsloven § 13). Etter utløp arkiveres bilag i Cloud Storage Coldline med kryptering.
  • Lønns- og A-meldingsdata: 5 år (Skatteforvaltningsloven).
  • Kontoinformasjon: så lenge abonnementet er aktivt, + 90 dager etter avslutning for å håndtere reklamasjoner.
  • Audit-logg: 5 år (Bokføringsloven § 13).
  • Markedsføringsamtykke / cookie-data: opp til 12 måneder eller til samtykke trekkes tilbake.

Når lagringspliktig periode er utløpt og du har bedt om sletting, utføres kaskaderende sletting av all brukerdata med pseudonymisering av regulatorisk lagrede poster (GDPR art. 17 + Bokføringsloven § 13 — disse må veies mot hverandre).

7Dine rettigheter

Etter GDPR har du rett til:

  • Innsyn i hvilke personopplysninger vi har om deg (art. 15)
  • Retting av uriktige opplysninger (art. 16)
  • Sletting («retten til å bli glemt») når lagringsplikten er utløpt (art. 17)
  • Begrensning av behandling (art. 18)
  • Dataportabilitet — eksport i maskinlesbart format (art. 20)
  • Innsigelse mot behandling basert på berettiget interesse (art. 21)
  • Trekke tilbake samtykke til markedsføring og analyse

For å utøve dine rettigheter, kontakt oss på personvern@ketl.no. Du har også rett til å klage til Datatilsynet: datatilsynet.no/klage.

8Sikkerhet
  • All trafikk over TLS 1.3 med HSTS preload
  • Data krypteres i hvile (Firestore + Cloud Storage AES-256)
  • Tilgangskontroll via Firebase Auth + 2FA (TOTP)
  • App Check med reCAPTCHA v3 for å blokkere bot-trafikk
  • Audit-logg på alle CRUD-operasjoner
  • 72-timers avviksvarsling (GDPR art. 33) ved sikkerhetsbrudd
9Endringer

Materielle endringer i denne erklæringen varsles via e-post til registrerte brukere minst 14 dager før de trer i kraft. Mindre språklige endringer publiseres uten varsel, men logges i versjonshistorikken.

Spørsmål om personvern?

Send e-post til personvern@ketl.no — vi svarer innen 30 dager (GDPR-pliktig responstid).