Juridisk · Versjon 1.1

Personvernerklæring for Revly — v1.1

Gjeldende fra: 2026-04-22

Denne erklæringen forklarer hvordan Revly AS behandler personopplysninger om deg når du bruker Revly-plattformen, besøker revly.no eller kommuniserer med oss. Vi følger personvernforordningen (GDPR) og personopplysningsloven.

1. Behandlingsansvarlig

  • Navn: Revly AS, org.nr. 937 431 287
  • Adresse: c/o Norvik Revisjon AS, Storgata 41, 6508 Kristiansund N
  • E-post: arild@revly.no
  • Daglig leder: Arild Samuelsen Tømmervåg, statsautorisert revisor

For data du som revisor laster inn om dine klienter er Revly databehandler — da er det revisjonsfirmaet (kunden vår) som er behandlingsansvarlig. Forholdet reguleres i egen databehandleravtale (DPA). Denne erklæringen gjelder personopplysninger om deg som bruker eller besøkende.

2. Hvilke personopplysninger vi behandler

Konto- og profildata

  • Navn, e-post, rolle (leser / medarbeider / revisor / partner)
  • Firma-tilhørighet (organisasjonsnummer, firmanavn)
  • Valg og innstillinger (AI-personvern, 2FA-faktorer)
  • Tidspunkt for akseptert brukervilkår og signert DPA/lisens

Aktivitetsdata

  • Pålogginger, IP-adresse og device-signatur (for session-sikkerhet)
  • Revisjonslogg: handlinger du utfører i plattformen (Revisorloven-pålagt)
  • Feilmeldinger og tekniske hendelser (for feilsøking)

Besøk på revly.no

  • Anonym analytics via Vercel Analytics (sidevisninger, land, enhet — uten cookies eller cross-site-sporing)
  • Eventuell påmeldingsdata hvis du melder pilot-interesse (navn, e-post, firma)

3. Formål og rettslig grunnlag

| Formål | Rettslig grunnlag (GDPR) | |---|---| | Levere Revly-tjenesten til deg som bruker | Avtale (art. 6 nr. 1 bokstav b) | | Autentisering og kontosikkerhet (inkl. 2FA) | Berettiget interesse (art. 6 nr. 1 f) + avtale | | Revisjonslogg for Revisorloven-etterlevelse | Rettslig forpliktelse (art. 6 nr. 1 c) | | Pilot-påmelding og kommersiell dialog | Samtykke (art. 6 nr. 1 a) | | Feilsøking og sikkerhetsovervåking | Berettiget interesse | | Anonym bruks-statistikk | Berettiget interesse |

4. Lagringstid

  • Kontodata lagres så lenge brukerkontoen er aktiv, og slettes senest 90 dager etter deaktivering
  • Revisjonslogg (app-audit: hvem gjorde hva når i plattformen) lagres i minimum 5 år fra utgangen av aktuelt regnskapsår, i tråd med Revisorloven § 5-5. Loggen beholdes også etter at en bruker deaktiveres
  • Pilot-påmeldinger lagres inntil 24 måneder etter siste kontakt hvis ikke eksplisitt bedt slettet
  • Sikkerhetshendelser (innloggingsforsøk, IP-log) lagres i 90 dager
  • Anonyme analytics aggregeres og lagres ubegrenset — men kan ikke knyttes tilbake til deg

5. Hvor data lagres — underleverandører

Personopplysninger lagres innenfor EU/EØS. Revly benytter følgende underdatabehandlere:

  • Supabase Inc. — database og autentisering (Stockholm, Sverige — AWS eu-north-1)
  • Vercel Inc. — hosting av applikasjonen (Stockholm, Sverige — AWS arn1)
  • Anthropic PBC — AI-assistanse via API. Ingen persistent lagring hos leverandør. Overføring til USA skjer på grunnlag av Standard Contractual Clauses (SCC).
  • Resend Inc. — e-post-levering for transaksjonelle e-poster (bekreftelser, varsler). Resend har hovedbehandling i USA. Overføring til USA skjer på grunnlag av Standard Contractual Clauses (SCC)

Endringer i underleverandører varsles minimum 30 dager i forveien, med rett til å motsette seg.

6. Dine rettigheter (GDPR)

Du har rett til å:

  • Innsyn (art. 15): få vite hvilke opplysninger vi har om deg
  • Retting (art. 16): be oss korrigere feil data
  • Sletting (art. 17): be oss slette data — med unntak av data som må beholdes etter lov (Revisorloven)
  • Begrenset behandling (art. 18): be oss pause behandling mens innsyn eller retting vurderes
  • Dataportabilitet (art. 20): få ut dine data i strukturert, maskinlesbart format
  • Protest (art. 21): motsette deg behandling basert på berettiget interesse
  • Klage til Datatilsynet: datatilsynet.no

Send forespørsel til arild@revly.no — vi svarer innen 30 dager.

7. AI-prosessering og automatiserte beslutninger

Revly bruker Anthropic Claude til å generere utkast til revisjonsarbeid. Som standard sendes klient-identitet (navn, orgnr) ikke til AI-modellen — de pseudonymiseres før utgående kall. Du kan endre dette i /innstillinger → AI-personvern. Anthropic behandler data kun midlertidig for å svare på forespørselen, og lagrer den ikke for modelltrening.

Ingen automatiserte beslutninger (GDPR art. 22): Revly tar ingen automatiske beslutninger som har rettslig eller tilsvarende betydelig virkning for deg. AI-forslag er utkast som alltid vurderes, aksepteres, justeres eller avvises av en menneskelig revisor før de blir en del av revisjonsdokumentasjonen. Du har dermed ikke behov for å utøve rett til å ikke være gjenstand for automatisert beslutningstaking, fordi slik behandling ikke forekommer.

8. Cookies og sporing

Revly-plattformen bruker kun nødvendige cookies for innlogging og session (sb-* fra Supabase, HttpOnly). Vi bruker ikke markedsføringscookies, tredjeparts-cookies eller cross-site-sporing. Landingssiden (revly.no) bruker anonym Vercel Analytics — ingen cookies, ingen fingerprinting.

9. Sikkerhet

  • HTTPS overalt (TLS 1.2+)
  • Row Level Security i databasen
  • Kryptert lagring (AES-256 at rest)
  • To-faktor-autentisering tilgjengelig for alle brukere
  • Årlig penetrasjonstesting
  • Sikkerhetshendelser varsles Datatilsynet innen 72 timer i henhold til GDPR art. 33

10. Endringer

Vi kan oppdatere denne erklæringen for å reflektere endringer i tjenesten eller lovkrav. Vesentlige endringer varsles via e-post og i plattformen minimum 30 dager i forveien.

11. Kontakt

  • E-post: arild@revly.no
  • Post: Revly AS, c/o Norvik Revisjon AS, Storgata 41, 6508 Kristiansund N
  • Datatilsynet: datatilsynet.no (postmottak@datatilsynet.no)