Integritetspolicy

Senast uppdaterad: 2026-06-03

1. Personuppgiftsansvarig

Nordklart AB("vi", "oss") är personuppgiftsansvarig för behandlingen av dina personuppgifter i samband med användningen av Nordklart. Vi behandlar dina uppgifter i enlighet med EU:s dataskyddsförordning (GDPR) och svensk dataskyddslagstiftning.

2. Vilka uppgifter vi behandlar

Vi behandlar följande kategorier av personuppgifter:

  • Kontouppgifter: E-postadress (för inloggning)
  • Företagsuppgifter: Företagsnamn, organisationsnummer, adress, kontaktuppgifter
  • Bokföringsdata: Verifikationer, fakturor, kvitton, transaktioner, kontoplaner
  • Bankdata: Kontosaldon och transaktioner (via PSD2-koppling)
  • Dokument: Uppladdade kvitton, fakturor och andra bokföringsunderlag
  • Tekniska uppgifter: IP-adress, enhetstyp, användningsstatistik

3. Rättslig grund (GDPR Art. 6)

  • Avtal (Art. 6.1b): Behandling som är nödvändig för att fullgöra våra tjänster enligt användaravtalet.
  • Rättslig förpliktelse (Art. 6.1c): Bokföringslagens (BFL) krav på 7 års arkivering av räkenskapsmaterial.
  • Berättigat intresse (Art. 6.1f): Produktförbättringar, säkerhet och bedrägeriforbud.
  • Samtycke (Art. 6.1a): För AI-baserade funktioner som skickar data till tredjepartstjänster (se separat samtycke vid aktivering).

4. Underbiträden

Vi använder följande underbiträden för att tillhandahålla tjänsten. Uppgifterna nedan anger vilka uppgifter som delas med respektive underbiträde, syftet samt var behandlingen sker (GDPR Art. 13).

Behandlar du själv personuppgifter åt andra (kunder, leverantörer, anställda)? Se vårt fullständiga personuppgiftsbiträdesavtal (DPA) enligt GDPR Art. 28.

UnderbiträdeSyftePlatsSkyddsmekanism
SupabaseDatabas, autentisering, fillagringEU (eu-north-1, Stockholm)EU-baserad lagring
VercelApplikationshostingGlobalt CDN (EU-regioner tillgängliga)EU Data Residency
Enable BankingPSD2-bankkontouppkopplingEUEU-baserad
Amazon Web Services (AWS)AI-inferens (kategorisering samt dokument- och kvittotolkning) via Amazon Bedrock. Bearbetar bokföringsdata och uppladdade underlag — endast när AI-funktioner är aktiverade.EU (eu-north-1, Stockholm)EU-baserad inferens — ingen tredjelandsöverföring. DPA, SCC och DPF-certifiering. Prompter lagras ej efter anropet och används ej till modellträning.
ResendTransaktionell e-postleveransUSASCCs (standardavtalsklausuler)
RecaptProduktanalys och användarfeedback. Laddas endast för inloggade användare (ej sandbox/demo). Överförda uppgifter: användar-ID, e-postadress och företagsnamn.EUSCCs vid eventuella underbiträden utanför EES

AI-funktioner är frivilliga och kräver separat samtycke före aktivering — data skickas först när du aktivt godkänner användningen. AI:t använder Anthropics Claude-modeller men körs inom Amazon Bedrock i EU (eu-north-1, Stockholm); datan lämnar alltså inte EU och delas inte med Anthropic. Kärntjänsten (bokföring, fakturor, moms och rapporter) fungerar fullt ut utan AI.

5. Tredjelandsöverföring

Vissa underbiträden är baserade i USA. För dessa överföringar används EU-kommissionens standardavtalsklausuler (SCCs) som skyddsmekanism i enlighet med GDPR kapitel V. All primär datalagring (databas, filer) sker inom EU via Supabase (eu-north-1, Stockholm). Även AI-inferens sker inom EU (Amazon Bedrock, eu-north-1) och innebär ingen överföring till tredje land.

6. Lagringstid

  • Bokföringsmaterial: 7 år från räkenskapsårets slut, i enlighet med Bokföringslagen (BFL) 7 kap. 2 §. Systemet hindrar radering av material kopplat till bokförda verifikationer under denna period.
  • Kontouppgifter: Så länge kontot är aktivt, plus 30 dagar efter begäran om radering (för att hantera pågående bokföringsplikter).
  • Tekniska loggar: Maximalt 90 dagar.

7. Dina rättigheter

Du har följande rättigheter enligt GDPR:

  • Tillgång (Art. 15): Du kan begära en kopia av alla dina personuppgifter.
  • Rättelse (Art. 16): Du kan begära rättelse av felaktiga uppgifter.
  • Radering (Art. 17): Du kan begära radering, med undantag för uppgifter som omfattas av lagstadgade arkiveringskrav (BFL 7 år).
  • Begränsning (Art. 18): Du kan begära begränsning av behandlingen.
  • Dataportabilitet (Art. 20): Du kan exportera dina uppgifter i maskinläsbart format (SIE4, JSON, CSV) via exportfunktionerna i appen.
  • Invändning (Art. 21): Du kan invända mot behandling baserad på berättigat intresse.

För att utöva dina rättigheter, kontakta oss på adressen nedan. Vi besvarar alla förfrågningar inom 30 dagar.

8. Kontaktuppgifter

För frågor om behandlingen av dina personuppgifter, kontakta oss:

  • Företag: Nordklart AB
  • E-post: privacy@nordklart.se

Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), www.imy.se.