Personvernerklæring

Sist oppdatert: 1. mai 2026

1. Behandlingsansvarlig

Styrmann AS (heretter «vi», «oss») er behandlingsansvarlig for personopplysninger som samles inn gjennom Styrmann-appen og tilknyttede tjenester.

  • Org.nr: 937 619 855
  • Adresse: Vesterlivegen 9, 9013 Tromsø
  • Daglig leder: Magnus Mortensen
  • Kontakt: hei@styrmann.app

For ansattdata som registreres av arbeidsgivere (f.eks. sertifikater og kompetansebevis for ansatte) opptrer Styrmann AS som databehandler. Bedriften (kunden) er behandlingsansvarlig for disse opplysningene og er ansvarlig for å informere sine ansatte om behandlingen.

Vi vedlikeholder en intern behandlingsprotokoll i tråd med GDPR artikkel 30 som dokumenterer hver enkelt behandlingsaktivitet, samt DPIA (Data Protection Impact Assessment) for AI-OCR-behandling. Disse kan gjøres tilgjengelige ved tilsyn fra Datatilsynet.

2. Hvilke opplysninger vi samler inn

Vi samler inn følgende kategorier av personopplysninger:

  • Kontoinformasjon: E-postadresse og passord (kryptert) ved registrering.
  • Organisasjonsdata: Foretaksnavn, organisasjonsnummer, adresse, telefonnummer.
  • Fartøydata: Registreringsmerke, fartøynavn, tekniske spesifikasjoner. Mesteparten hentes automatisk fra Fiskeridirektoratets offentlige API.
  • Mannskapsdata: Navn, rolle, telefonnummer, sertifikater og utløpsdatoer.
  • Driftsdata: Vedlikeholdslogg (type, beskrivelse, dato, bilder), planlagt vedlikehold og varsler.
  • Bruksdata: Anonymisert informasjon om app-bruk for å forbedre tjenesten.
  • Sertifikatbilder: Bilder av sertifikater du laster opp eller tar med kameraet for AI-analyse. Bilder kan inneholde personnavn, foto og andre opplysninger synlige på dokumentet.
  • Helseopplysninger: Helseattester for mannskap er særlig kategori personopplysninger (GDPR artikkel 9). Vi behandler disse kun med ditt eksplisitte samtykke og utelukkende for å hjelpe deg holde oversikt over gyldighet.
  • Byggsertifikater: Sentral godkjenning-status, godkjenningsområder og forsikringsstatus for bygg- og anleggsbedrifter, hentet fra DiBK (Direktoratet for byggkvalitet). Dette er offentlig tilgjengelige bedriftsopplysninger (ikke persondata). Data cachet i inntil 24 timer.
  • Ansattes sertifikater og kompetansebevis: HMS-kort, fagbrev, maskinførerbevis, ADR-sertifikater og andre yrkessertifikater registrert av arbeidsgiver. Lagres på vegne av arbeidsgiver som behandlingsansvarlig.
  • Bransjedata: NACE-koder og bedriftsinformasjon fra Brønnøysundregistrene (Brreg) brukes til automatisk bransjedeteksjon ved registrering.

3. Behandlingsgrunnlag

Vi behandler personopplysninger med følgende rettslige grunnlag (GDPR artikkel 6):

  • Avtale (art. 6(1)(b)): Behandling som er nødvendig for å levere tjenesten du har registrert deg for.
  • Berettiget interesse (art. 6(1)(f)): Forbedring av tjenesten, feilretting og sikkerhet.
  • Samtykke (art. 6(1)(a)): For valgfrie funksjoner som push-varsler og AI-assistanse.
  • Rettslig forpliktelse (art. 6(1)(c)): Oppfylling av krav fra Sjøfartsdirektoratet, Arbeidstilsynet, DiBK, skattemyndigheter og andre offentlige organ.
  • Eksplisitt samtykke (art. 9(2)(a)): For behandling av helseopplysninger (helseattester for mannskap).

4. Tredjeparter og databehandlere

Vi benytter følgende tredjeparter for å levere tjenesten:

  • Supabase Inc.: Database, autentisering og fillagring. Data lagres i EU (AWS eu-central-1). Databehandleravtale (DPA) er inngått.
  • Anthropic PBC (Claude API): AI-assistanse for skjemautfylling, regelverksveiledning og sertifikatgjenkjenning. Når du bruker AI-skanning eller bildeanalyse, sendes bilder av sertifikater til Anthropics API for gjenkjenning av type, utløpsdato og utstedende myndighet. Bilder kan inneholde personopplysninger som navn, foto og fødselsnummer. Hvis et bilde inneholder synlig fødselsnummer, stoppes det på enheten din før det sendes til Anthropic — bildet forlater aldri din telefon eller datamaskin. Anthropic mottar dermed kun bilder uten synlig fnr. I tillegg er Anthropic kontraktsfestet å ikke ekstrahere fødselsnummer selv om noe skulle slippe gjennom. Anthropic sletter API-data automatisk etter 7 dager og bruker dem ikke til modelltrening. Du blir bedt om samtykke første gang du bruker AI-skanning. Databehandleravtale (DPA) er inngått. Anthropic er sertifisert under EU-U.S. Data Privacy Framework (DPF).
  • Fiskeridirektoratets API: Offentlig tilgjengelige fartøydata hentes for auto-utfylling (fiskeri).
  • DiBK (Direktoratet for byggkvalitet): Offentlig tilgjengelige data om sentral godkjenning, godkjenningsområder og forsikringsstatus for bygg-/anleggsbedrifter. Ingen persondata overføres.
  • Brønnøysundregistrene (Brreg): Bedriftsinformasjon og NACE-koder for automatisk bransjedeteksjon ved registrering. Offentlig tilgjengelig foretaksinformasjon.
  • Sentry (Functional Software Inc.): Feilovervåking og ytelsesmonitorering. Ved appfeil sendes en anonymisert bruker-ID og teknisk feilinformasjon (stack traces, enhetstype, OS-versjon) til Sentry sine servere (EU-region anbefalt, se TIA). Ingen e-postadresser, navn eller annen direkte identifiserbar informasjon sendes. Databehandleravtale (DPA) er inngått.
  • Stripe Inc.: Betalingsbehandling for abonnementer. Stripe håndterer alle kortdata direkte — vi lagrer aldri kortinformasjon. Stripe mottar organisasjons-ID og e-postadresse for fakturering. Data behandles i EU/USA under Stripes databehandleravtale.
  • Resend Inc.: E-posttjeneste for utsendelse av varsler, onboarding-e-post og daglige rapporter. Resend mottar mottakers e-postadresse og e-postinnhold. Data behandles i USA under Resends databehandleravtale.
  • Vercel Inc.: Hosting og levering av nettstedet styrmann.app. Vercel kan motta IP-adresser og standard request-metadata fra besøkende. Ingen applikasjonsdata lagres hos Vercel. Data behandles i EU/USA under Vercels databehandleravtale.
  • Expo / EAS: App-distribusjon og push-varsler. Ingen persondata deles utover enhetsidentifikatorer for push.

5. Bransjespesifikk behandling

Styrmann betjener flere bransjer. Avhengig av din bedrifts bransje behandler vi data fra ulike kilder og for ulike formål:

  • Fiskeri: Fartøydata fra Fiskeridirektoratet, sertifikater for fartøy og mannskap, og vedlikeholdslogg for fartøy.
  • Bygg og anlegg: Sentral godkjenning og forsikringsstatus fra DiBK, HMS-kort, fagbrev og maskinførerbevis for ansatte.
  • Transport: ADR-sertifikater, sjåførkort, yrkessjåførbevis og fartøysertifikater for ansatte.
  • Elektro og VVS: Fagbrev, DSB-godkjenninger og sertifiseringsstatus for ansatte.

Bransje detekteres automatisk basert på NACE-kode fra Brønnøysundregistrene ved registrering, og kan endres manuelt.

6. Lagring og sikkerhet

Alle data lagres kryptert i Supabase (PostgreSQL) med row-level security (RLS) som sikrer at hver organisasjon kun har tilgang til egne data. Passord lagres med bcrypt-hashing. All kommunikasjon skjer over HTTPS/TLS.

7. Oppbevaringstid

Personopplysninger lagres så lenge du har en aktiv konto. Ved sletting av konto fjernes all data permanent innen 30 dager. Anonymiserte, aggregerte data kan beholdes for statistiske formål.

Bruksdata (analytics) oppbevares i inntil 12 måneder og slettes deretter automatisk. Regnskapsrelaterte data kan oppbevares i henhold til bokføringsloven (5 år).

8. Dine rettigheter

Du har følgende rettigheter etter personvernforordningen (GDPR):

  • Innsyn: Rett til å se hvilke data vi har om deg.
  • Retting: Rett til å korrigere uriktige opplysninger.
  • Sletting: Rett til å få slettet dine data. Du kan slette kontoen din direkte i appen under Innstillinger.
  • Dataportabilitet: Rett til å få utlevert dine data i et maskinlesbart format.
  • Protest: Rett til å protestere mot behandling basert på berettiget interesse.
  • Klage: Rett til å klage til Datatilsynet (datatilsynet.no).

9. Inbound e-post

E-post sendt til hei@styrmann.app lagres for kundeservice og videresendes til support. Innholdet slettes etter 90 dager.

10. Kontosletting

Du kan slette kontoen din via Innstillinger → Slett konto. All persondata fjernes innen 30 dager i henhold til GDPR artikkel 17.

11. Overføring til tredjeland

Noen av våre databehandlere (Anthropic, Sentry, Stripe, Resend, Vercel) opererer i USA. Vi har gjennomført en Transfer Impact Assessment (TIA) i tråd med Schrems II for hver av disse overføringene. Anthropic og Stripe er sertifisert under EU-U.S. Data Privacy Framework (DPF). For øvrige overføringer benyttes EU-kommisjonens standardavtalevilkår (SCC) og/eller databehandleravtaler som sikrer et tilstrekkelig beskyttelsesnivå i tråd med GDPR kapittel V. Supabase (database og fillagring) er EU-basert (Frankfurt) og krever ikke SCC.

12. Bruk av kunstig intelligens (AI)

Styrmann bruker AI (Claude API fra Anthropic) for å lese sertifikatdata fra bilder du laster opp. Dette er klassifisert som begrenset risiko under EU AI Act (forordning 2024/1689), og du informeres herved om at denne behandlingen forekommer (AI Act artikkel 50).

AI-utdratte data presenteres alltid for manuell bekreftelse av deg før lagring — du har full kontroll og kan avvise eller redigere AI-output. Manuell innskriving er alltid tilgjengelig som alternativ. Det utføres ingen automatiserte avgjørelser med rettslig virkning (GDPR artikkel 22) basert på AI-output.

13. Kontakt

For spørsmål om personvern, kontakt oss på hei@styrmann.app. Du har også rett til å klage til Datatilsynet (datatilsynet.no) hvis du mener vi ikke etterlever personvernreglene.