bungaflow
Slik fungerer detPriserIntegrasjoner
Logg innKom i gang

Personvernerklæring

Sist oppdatert: 13. mars 2026

Denne personvernerklæringen beskriver hvordan Redor AS (heretter «vi», «oss» eller «Redor») samler inn, bruker, lagrer og beskytter dine personopplysninger når du bruker Bungaflow. Erklæringen gjelder for alle brukere av tjenesten, inkludert gjester som benytter gjesteportalen.

Vi behandler personopplysninger i henhold til EUs personvernforordning (GDPR) og den norske personopplysningsloven. Ved å bruke Bungaflow samtykker du til innsamling og bruk av informasjon i samsvar med denne personvernerklæringen.

Ord med stor forbokstav har den betydningen som er definert i våre brukervilkår.

I. Definisjoner

  • «Behandlingsansvarlig» — Redor AS, org.nr. 916 505 310, som bestemmer formålet med og midlene for behandling av personopplysninger.
  • «Personopplysninger» — enhver opplysning som direkte eller indirekte kan knyttes til en identifisert eller identifiserbar fysisk person, herunder navn, e-postadresse, IP-adresse, enhetsidentifikatorer og lokasjonsdata.
  • «Behandling» — enhver operasjon som utføres med personopplysninger, enten automatisert eller ikke, som innsamling, registrering, organisering, lagring, tilpasning, utlevering eller sletting.
  • «Databehandler» — en tredjepart som behandler personopplysninger på vegne av den behandlingsansvarlige. Dette inkluderer våre tjenesteleverandører.
  • «Registrert»/ «Du» — den fysiske personen hvis personopplysninger behandles, herunder brukere av tjenesten og gjester.
  • «Tjenesten» — Bungaflow-plattformen, inkludert webapplikasjon, API-er, gjesteportal og tilhørende tjenester, tilgjengelig på bungaflow.com.
  • «Bruksdata» — data som samles inn automatisk ved bruk av tjenesten, som IP-adresse, nettlesertype, besøkte sider og tidspunkt.
  • «Informasjonskapsler» (cookies) — små datafiler som lagres på din enhet for å gjenkjenne deg og lagre preferanser.

II. Innsamling og bruk av personopplysninger

a. Personopplysninger vi samler inn

Når du bruker Bungaflow, kan vi be deg oppgi følgende personopplysninger:

  • E-postadresse
  • Fullt navn
  • Enhetsinformasjon (adresse, navn og type for delt eiendom)
  • Bruksdata

b. Bruksdata

Bruksdata samles inn automatisk når du bruker tjenesten. Dette kan inkludere IP-adresse, nettlesertype og -versjon, hvilke sider du besøker, tidspunkt for besøk, tid brukt på sider, unike enhetsidentifikatorer og andre diagnostiske data.

Når du bruker tjenesten via mobilenhet kan vi også samle inn informasjon om enhetstype, mobil-ID, operativsystem og nettlesertype.

c. Innhold du legger inn

I tillegg til personopplysninger behandler vi innhold du aktivt legger inn i tjenesten:

  • Bookinger og kalenderdata
  • Utgifter og kvitteringer (inkludert bilder)
  • Vedlikeholdslogger, FDV-dokumenter og skaderapporter
  • Oppgaver og sjekklister
  • Gjestebokinnlegg og hyttebokinnlegg
  • Meldinger mellom medlemmer
  • Husregler
  • Inventar, nødforsyninger og forsikringsopplysninger
  • Kontaktregister (f.eks. rørlegger, elektriker)
  • Lokal guide-informasjon (nærliggende steder og tjenester)
  • Aktivitetslogg (handlinger utført i enheten)
  • Enhetsinformasjon som WiFi-passord (kryptert med AES-256-GCM)

d. Push-varsler

Dersom du aktiverer push-varsler, lagrer vi teknisk informasjon (endpoint, nøkler) som er nødvendig for å levere varsler til din enhet. Denne informasjonen slettes når du deaktiverer varsler eller sletter kontoen din.

e. Data fra gjesteportalen

Gjester som bruker gjesteportalen via en delt lenke trenger ikke å opprette konto. Vi samler ikke inn personopplysninger fra gjester med mindre de aktivt legger inn informasjon, for eksempel gjestebokinnlegg (navn og melding). IP-adresser kan logges midlertidig i serverlogger for sikkerhetsformål.

III. Informasjonskapsler og sporingsteknologi

Vi bruker informasjonskapsler (cookies) og lignende teknologier for å drifte og forbedre tjenesten. Samtykke til informasjonskapsler håndteres av Cookiebot (Usercentrics), vår samtykkeløsning (CMP).

a. Nødvendige informasjonskapsler

Disse er påkrevd for at tjenesten skal fungere og krever ikke samtykke:

  • Sesjons-cookies: Supabase auth-token for innlogging og sesjonshåndtering.
  • Språkpreferanse: Lagrer valgt språk (norsk eller engelsk).
  • Cookiebot-samtykke: Lagrer dine cookie-preferanser.
  • Tema-preferanse: Lagrer valg av lyst eller mørkt tema (localStorage).

b. Preferanse-cookies

Husker dine valg og innstillinger for å gi en bedre brukeropplevelse. Settes kun med ditt samtykke.

c. Statistikk-cookies

Analysecookies som hjelper oss å forstå hvordan tjenesten brukes, slik at vi kan forbedre den. Settes kun med ditt uttrykkelige samtykke.

d. Markedsførings-cookies

Brukes ikke per i dag, men kategorien finnes i Cookiebot for fremtidig bruk. Settes aldri uten ditt samtykke.

Du kan når som helst endre dine cookie-innstillinger via Cookiebot-banneret eller lenken «Cookie-innstillinger» i bunnteksten. En fullstendig og automatisk oppdatert oversikt over alle cookies finnes i Cookiebots cookie-erklæring på nettstedet.

IV. Rettslig grunnlag for behandling

Vi behandler personopplysninger med følgende rettslige grunnlag i henhold til GDPR:

  • Avtale (art. 6(1)(b)): Behandling som er nødvendig for å oppfylle avtalen med deg — kontoopprettelse, autentisering, booking, utgiftsdeling, vedlikeholdslogg, oppgaver, varsler og levering av tjenesten.
  • Samtykke (art. 6(1)(a)): Valgfrie cookies (statistikk, preferanser, markedsføring), nyhetsbrev og behandling av data via AI-assistenten.
  • Berettiget interesse (art. 6(1)(f)): Tjenesteutvikling, feilretting, sikkerhet, svindelforebygging, forbedring av brukeropplevelsen, samt utsending av produktnyheter, selskapsnyheter og oppdateringer om tjenesten til eksisterende brukere. Vi foretar en interesseavveining for å sikre at dine rettigheter ikke tilsidesettes.
  • Rettslig forpliktelse (art. 6(1)(c)): Behandling som er nødvendig for å oppfylle lovpålagte krav, som regnskapslovgivning og varsling ved sikkerhetsbrudd.

V. Bruk av personopplysninger

Vi bruker dine personopplysninger til følgende formål:

  • Kontoadministrasjon: Opprette og administrere din brukerkonto, autentisere deg og gi tilgang til tjenestens funksjoner.
  • Tjenestelevering: Levere kjernefunksjonalitet som booking, utgiftsdeling, vedlikeholdslogg, oppgavelister, gjesteportal og meldinger.
  • Kommunikasjon: Sende deg push-varsler, e-postvarsler om kontoendringer, sikkerhetsoppdateringer og vilkårsendringer. Vi kan også sende deg produktnyheter, selskapsnyheter, nye samarbeid og oppdateringer om tjenesten per e-post. Du kan når som helst melde deg av ikke-nødvendige e-poster via avmeldingslenken i e-posten.
  • Betaling: Behandle abonnementsbetalinger via Stripe (vi lagrer ikke dine betalingskortdetaljer).
  • AI-assistent: Levere AI-basert assistanse via OpenAI. Data du sender til AI-assistenten behandles av OpenAI i henhold til deres databehandleravtale.
  • Forbedring av tjenesten: Analysere bruksmønstre for å forbedre funksjonalitet, ytelse og brukeropplevelse.
  • Sikkerhet: Oppdage og forebygge svindel, misbruk og sikkerhetstrusler.
  • Juridiske forpliktelser: Oppfylle lovpålagte krav som regnskap og rapportering.

VI. Deling av personopplysninger

Vi selger ikke dine personopplysninger. Vi kan dele personopplysninger i følgende situasjoner:

  • Med databehandlere: Vi deler personopplysninger med tjenesteleverandører som behandler data på våre vegne (se seksjon VII). Alle databehandlere er bundet av databehandleravtaler i henhold til GDPR art. 28.
  • Med andre brukere: Informasjon du deler innenfor en enhet (bookinger, meldinger, gjestebokinnlegg) er synlig for andre medlemmer av den enheten. Gjestebokinnlegg er synlige for alle med tilgang til gjesteportalen.
  • Innenfor organisasjoner: Dersom enheten din er tilknyttet en organisasjon, kan organisasjonsadministratoren se enhetens navn og medlemsinformasjon. Kunngjøringer, dokumenter og meldinger delt via organisasjonen er synlige for alle organisasjonens medlemmer.
  • Ved virksomhetsoverdragelse: Dersom Redor fusjoneres med, kjøpes opp av, eller overdrar vesentlige eiendeler til en annen virksomhet, kan personopplysninger overføres. Du vil bli varslet i forkant.
  • Ved rettslige krav: Vi kan utlevere personopplysninger dersom vi er rettslig forpliktet til det, eller for å beskytte Redors rettigheter, brukernes sikkerhet eller offentlighetens interesser.
  • Med ditt samtykke: Vi kan dele personopplysninger for andre formål dersom du gir ditt uttrykkelige samtykke.

VII. Tredjepartstjenester (databehandlere)

Følgende tredjepartstjenester behandler personopplysninger på våre vegne for å levere tjenesten:

a. Supabase — Autentisering og database

Supabase håndterer brukerautentisering (magic link og Google-innlogging) og lagrer data i en PostgreSQL-database. Databasen er hostet i EU-West (Irland). Supabase er GDPR-compliant og tilbyr databehandleravtale.

Personvern: supabase.com/privacy

b. Stripe — Betalingsbehandling

Stripe håndterer alle betalinger og abonnementer. Vi lagrer ikke kortnummer eller betalingsdetaljer — disse behandles direkte av Stripe, som er PCI DSS-sertifisert.

Personvern: stripe.com/privacy

c. OpenAI — AI-assistent

Bungaflows AI-assistent bruker OpenAI (GPT-4o-mini) via API. Data du sender til AI-assistenten overføres til OpenAI for prosessering. OpenAI bruker ikke API-data til å trene sine modeller. Ikke del sensitive personopplysninger i chatten. AI-assistenten respekterer rollebasert tilgangskontroll — Lite-medlemmer kan kun bruke AI-assistenten dersom det er aktivert av administrator, og dataene som vises er filtrert basert på administratorkonfigurerte moduler.

Personvern: openai.com/policies/privacy-policy

d. Vercel — Hosting og CDN

Vercel hoster Bungaflow og leverer innhold via sitt CDN. Serverlogger kan inneholde IP-adresser og bruksdata.

Personvern: vercel.com/legal/privacy-policy

e. Cookiebot (Usercentrics) — Samtykkeløsning

Cookiebot håndterer cookie-samtykke og skanner nettstedet for informasjonskapsler. Cookiebot lagrer dine samtykkevalg.

Personvern: cookiebot.com/en/privacy-policy

f. Resend — E-postlevering

Resend håndterer utsending av transaksjonelle e-poster (velkomst, invitasjoner, varsler og tilbakemeldinger). E-postadresser overføres til Resend for levering.

Personvern: resend.com/legal/privacy-policy

g. Google Analytics (Google Tag Manager)

Vi bruker Google Analytics via Google Tag Manager for å analysere bruk av nettstedet. Analysecookies settes kun med ditt samtykke via Cookiebot. Google kan behandle IP-adresser og bruksdata.

Personvern: policies.google.com/privacy

h. OpenStreetMap (Nominatim / Overpass)

Vi bruker Nominatim for geokoding (omgjøring av adresser til koordinater) og Overpass API for å finne nærliggende steder til lokal guide-funksjonen. Enhetens adresse og koordinater overføres til disse tjenestene.

Personvern: osmfoundation.org/wiki/Privacy_Policy

i. Meteorologisk institutt (MET)

Vi henter værmelding fra Meteorologisk institutts API basert på enhetens koordinater. Kun koordinater overføres — ingen personopplysninger.

Personvern: met.no/om-oss/personvern

j. iCal-import — Kalendersynkronisering

Brukere kan importere bookinger fra Airbnb, Booking.com, Finn.no og Google Calendar via iCal-feeds. Disse tjenestene er underlagt sine egne personvernpolicyer. Vi henter kun kalenderdata (datoer og bookingdetaljer) fra disse kildene.

VIII. Overføring av personopplysninger

Dine personopplysninger kan bli overført til og lagret på servere utenfor Norge/EØS, ettersom noen av våre databehandlere har infrastruktur i andre land (primært USA).

Ved overføring til land utenfor EØS sikrer vi at det foreligger tilstrekkelig beskyttelsesnivå gjennom:

  • EU-kommisjonens adekvathetsbeslutninger (f.eks. EU-US Data Privacy Framework)
  • Standard personvernbestemmelser (SCCs) vedtatt av EU-kommisjonen
  • Databehandleravtaler med relevante sikkerhetstiltak

IX. Lagring og sletting av personopplysninger

Vi lagrer personopplysninger kun så lenge det er nødvendig for formålene beskrevet i denne erklæringen, eller så lenge vi er lovpålagt å oppbevare dem.

  • Kontodata: Lagres så lenge kontoen er aktiv. Ved sletting av konto fjernes personopplysninger innen 30 dager, med unntak av data vi er lovpålagt å oppbevare.
  • Bruksdata: Lagres i en kortere periode for analyse og feilsøking, med mindre lengre oppbevaring er nødvendig for sikkerhet eller juridiske formål.
  • Betalingsdata: Stripe oppbevarer transaksjonsdata i henhold til PCI DSS-krav og gjeldende regnskapslovgivning.
  • Serverlogger: IP-adresser og tekniske logger slettes automatisk etter 30 dager.

Bungaflow tilbyr en eksportfunksjon i innstillingene som lar deg laste ned alle data knyttet til en enhet. Vi anbefaler at du bruker denne jevnlig for å ha en egen sikkerhetskopi av dine data.

Du kan når som helst be om sletting av din konto og tilknyttede personopplysninger ved å kontakte oss på hei@redor.no.

X. Datasikkerhet

Vi tar sikkerheten til dine personopplysninger på alvor og har implementert tekniske og organisatoriske tiltak for å beskytte dem:

  • Sensitive data (f.eks. WiFi-passord) krypteres med AES-256-GCM før lagring.
  • All trafikk overføres via HTTPS/TLS.
  • Sikkerhetshoder som HSTS, X-Frame-Options og Content-Security-Policy er aktivert.
  • Autentisering håndteres av Supabase med sikker sesjonshåndtering.
  • Regelmessig sikkerhetsgjennomgang av kode og infrastruktur.
  • Tilgangskontroll basert på roller (Admin, Lite) med konfigurerbar sidetilgang sikrer at brukere kun har tilgang til data de er autorisert for.

Ingen metode for overføring over internett eller elektronisk lagring er 100 % sikker. Vi tilstreber å bruke kommersielt akseptable metoder for å beskytte dine personopplysninger, men kan ikke garantere absolutt sikkerhet.

Ved sikkerhetsbrudd som påvirker personopplysninger vil vi varsle Datatilsynet innen 72 timer (GDPR art. 33) og berørte brukere uten ugrunnet opphold dersom bruddet medfører høy risiko for den registrertes rettigheter og friheter (GDPR art. 34).

XI. Dine rettigheter etter GDPR

Som registrert har du følgende rettigheter i henhold til GDPR:

  • Rett til innsyn (art. 15): Du har rett til å få bekreftet om vi behandler dine personopplysninger, og i så fall få tilgang til opplysningene og informasjon om behandlingen.
  • Rett til retting (art. 16): Du har rett til å få uriktige personopplysninger om deg rettet uten ugrunnet opphold.
  • Rett til sletting (art. 17): Du har rett til å få personopplysningene dine slettet når det ikke lenger foreligger et legitimt grunnlag for behandlingen.
  • Rett til begrensning (art. 18): Du har rett til å kreve at behandlingen begrenses i visse situasjoner.
  • Rett til dataportabilitet (art. 20): Du har rett til å motta dine personopplysninger i et strukturert, alminnelig brukt og maskinlesbart format, og overføre dem til en annen behandlingsansvarlig.
  • Rett til å protestere (art. 21): Du har rett til å protestere mot behandling basert på berettiget interesse, inkludert profilering.
  • Rett til å trekke tilbake samtykke: Der behandling er basert på samtykke, kan du trekke dette tilbake når som helst. Tilbaketrekkingen påvirker ikke lovligheten av behandling utført før tilbaketrekkingen.

Utøvelse av rettigheter

For å utøve dine rettigheter, kontakt oss på hei@redor.no. Vi kan be deg om å bekrefte identiteten din før vi behandler forespørselen. Vi svarer innen 30 dager etter mottatt henvendelse. Ved komplekse eller mange forespørsler kan fristen forlenges med ytterligere 60 dager, med forhåndsvarsel til deg.

Du har rett til å klage til Datatilsynet dersom du mener at behandlingen av dine personopplysninger bryter med GDPR eller norsk personvernlovgivning.

Datatilsynet: datatilsynet.no

XII. Automatiserte avgjørelser og profilering

Bungaflow bruker ikke automatisert beslutningstaking eller profilering som definert i GDPR art. 22 som har rettslige eller tilsvarende betydelige virkninger for deg. AI-assistenten gir informasjon og forslag, men tar ingen avgjørelser på dine vegne.

Utgiftsberegninger, fordeling av kostnader og andre kalkulasjoner i tjenesten er verktøy — ikke økonomisk eller juridisk rådgivning. Du er selv ansvarlig for å verifisere beregningene og treffe dine egne beslutninger.

XIII. Barn

Bungaflow retter seg ikke mot barn under 16 år. Vi samler ikke bevisst inn personopplysninger fra barn under 16. Dersom du blir oppmerksom på at et barn har gitt oss personopplysninger, vennligst kontakt oss slik at vi kan slette informasjonen.

Barn over 16 kan ha en «Lite»-rolle i en enhet, men kontoen skal opprettes og administreres av en foresatt.

XIV. Lenker til andre nettsteder

Tjenesten kan inneholde lenker til eksterne nettsteder som ikke drives av oss (f.eks. iCal-kilder, Stripe betalingsportal, OpenAI). Vi har ingen kontroll over og tar ikke ansvar for innholdet, personvernpolicyene eller praksisene til disse tredjepartsnettstedene. Vi anbefaler at du leser personvernerklæringen til hvert nettsted du besøker.

XV. Endringer i denne personvernerklæringen

Vi kan oppdatere denne personvernerklæringen for å reflektere endringer i tjenesten, lovgivning eller vår praksis. Ved vesentlige endringer vil du bli varslet minst 30 dager i forveien via e-post.

Datoen «Sist oppdatert» øverst i dokumentet oppdateres ved enhver endring. Vi anbefaler at du gjennomgår denne erklæringen jevnlig.

XVI. Kontaktinformasjon

Har du spørsmål om denne personvernerklæringen eller ønsker å utøve dine rettigheter, kan du kontakte oss:

Behandlingsansvarlig:

Redor AS
Org.nr. 916 505 310
E-post: hei@redor.no
Nettside: www.redor.no

Tilsynsmyndighet:

Datatilsynet
www.datatilsynet.no

Tilbake til forsiden