← Tilbake

Personvernerklæring

Sist oppdatert: mai 2026

1. Behandlingsansvarlig

BCC Drammen Sande
Org.nr.: 979 254 121
Ansvarlig for bookingsystemet: Vidar Solberg
Telefon: +47 907 85 507
E-post: vidar.solberg@bccds.no

Denne erklæringen gjelder for behandling av personopplysninger i Bolstad Booking, som er et digitalt system for romreservering ved Bolstad-anlegget. Erklæringen er utarbeidet i henhold til EUs personvernforordning (GDPR) og lov om behandling av personopplysninger (personopplysningsloven).

2. Personopplysninger vi behandler

Vi behandler følgende kategorier av personopplysninger:

Brukeropplysninger

  • Navn (fornavn, etternavn, visningsnavn)
  • E-postadresse
  • Telefonnummer
  • Organisasjonstilknytning
  • Passord (lagres kun som kryptert hash – aldri i klartekst)
  • Brukerrolle og kontostatus
  • Interne administrative notater (kun synlig for administratorer)

Bookingopplysninger

  • Bookingtittel og formål
  • Antall deltakere
  • Valgt rom og tidspunkt
  • Tilknyttet bruker («ansvarlig for booking»)
  • Status og godkjenningshistorikk

Brannvernsopplysninger

  • Gjennomføringsstatus for brannvernkurs
  • Dato for gjennomføring og gyldighetsperiode

Tekniske opplysninger

  • Innloggingssesjon (kryptert informasjonskapsel med bruker-ID, e-post og tidsstempel)
  • Enhetsinformasjon (nettlesertype / user agent) ved aktivering av push-varsler
  • IP-adresse – lagres midlertidig i inntil 1 time for å forebygge brute-force-angrep mot innlogging, og slettes deretter automatisk
  • Personlig iCal-kalendertoken (lagres kun som kryptert hash)

3. Formål og rettslig grunnlag

Brukeradministrasjon og booking
Formål: opprette og administrere brukerkonto, håndtere romreservasjoner og tilgangskontroll.
Rettslig grunnlag: oppfyllelse av avtale, jf. GDPR art. 6 nr. 1 bokstav b.

Push-varsler
Formål: sende varsler om bookingbekreftelser, endringer og avlysninger til din enhet.
Rettslig grunnlag: samtykke, jf. GDPR art. 6 nr. 1 bokstav a. Du kan trekke samtykket tilbake ved å deaktivere varsler i innstillingene.

Brannvernoppfølging
Formål: dokumentere at brukere har gjennomført påkrevd brannvernkurs før de kan booke rom som krever dette.
Rettslig grunnlag: berettiget interesse (internkontroll og brannsikkerhet), jf. GDPR art. 6 nr. 1 bokstav f.

Innloggingssikkerhet
Formål: beskytte mot automatiserte innloggingsangrep (brute force).
Rettslig grunnlag: berettiget interesse, jf. GDPR art. 6 nr. 1 bokstav f.

Administrative notater
Formål: intern oppfølging og kommunikasjon mellom administratorer.
Rettslig grunnlag: berettiget interesse, jf. GDPR art. 6 nr. 1 bokstav f.

Vi bruker ikke dine opplysninger til markedsføring.

4. Hvem har tilgang til opplysningene

  • Du som bruker har tilgang til dine egne opplysninger via profil-siden
  • Bookingadministratorer kan se opplysninger som er nødvendige for å håndtere bookinger
  • Systemadministratorer har tilgang til alle brukerdata for driftsformål
  • Opplysningene deles ikke med uvedkommende tredjeparter
  • Vi selger aldri personopplysninger

5. Databehandlere og overføring utenfor EØS

Vi benytter følgende underleverandører (databehandlere):

  • Supabase – databasehosting (PostgreSQL). Data kan behandles utenfor EØS. Supabase er underlagt standardkontraktklausuler (SCCs) i henhold til GDPR art. 46.
  • Vercel – hosting av webapplikasjonen. Vercel er et amerikansk selskap og er underlagt SCCs i henhold til GDPR art. 46.
  • Resend – utsending av transaksjons-e-post (bekreftelser, passordtilbakestilling, e-postverifisering). Resend er et amerikansk selskap og er underlagt SCCs i henhold til GDPR art. 46.
  • Nettlesers push-tjeneste (Google FCM / Apple APNS) – videresending av push-varsler til din enhet. Kun kryptert teknisk nyttelast overføres; ingen personidentifiserende opplysninger sendes til disse tjenestene utover enhetens push-endepunkt.

Der opplysninger overføres til land utenfor EØS, er overføringen basert på EUs standardkontraktklausuler (SCCs), jf. GDPR art. 46 nr. 2 bokstav c.

6. Lagringsfrister

  • Brukeropplysninger: lagres så lenge kontoen er aktiv. Slettes ved sletting av brukerkonto.
  • Bookinghistorikk: lagres inntil 3 år etter at bookingen fant sted, eller inntil brukerkontoen slettes, avhengig av hva som inntreffer sist.
  • Brannverndata: lagres så lenge kontoen er aktiv. Slettes ved sletting av brukerkonto.
  • Push-abonnementer: lagres inntil du trekker tilbake samtykket (deaktiverer varsler) eller kontoen din slettes.
  • iCal-token: lagres inntil tokenet tilbakekalles eller kontoen slettes.
  • Innloggingssesjon: 7 dager (standard) eller 90 dager («husk meg»).
  • Midlertidige sikkerhetstokens (passordtilbakestilling, e-postverifisering): slettes automatisk etter henholdsvis 1 time og 24 timer.
  • IP-adresser for innloggingssikkerhet: slettes automatisk innen 1 time.

7. Sikkerhetstiltak

  • Passord lagres som kryptert hash (bcrypt) – aldri i klartekst
  • All kommunikasjon skjer over kryptert HTTPS-forbindelse
  • Sesjonscookies er merket httpOnly, Secure og SameSite for å hindre uautorisert tilgang
  • Innloggingsforsøk begrenses automatisk for å forhindre brute-force-angrep
  • Tilgang til personopplysninger er begrenset til autoriserte roller
  • iCal-tokens lagres kun som krypterte hashverdier

8. Dine rettigheter

Etter GDPR kapittel III har du følgende rettigheter:

  • Innsyn (art. 15): du kan be om innsyn i hvilke opplysninger vi har registrert om deg.
  • Retting (art. 16): du kan be om at uriktige eller ufullstendige opplysninger rettes.
  • Sletting (art. 17): du kan be om at opplysningene dine slettes («retten til å bli glemt»), med mindre vi har en lovlig plikt til å beholde dem.
  • Begrensning (art. 18): du kan i visse tilfeller kreve at behandlingen av dine opplysninger begrenses.
  • Dataportabilitet (art. 20): du har rett til å motta dine opplysninger i et strukturert, alminnelig brukt og maskinlesbart format.
  • Innsigelse (art. 21): du kan protestere mot behandling som er basert på berettiget interesse.
  • Trekke tilbake samtykke: der behandlingen er basert på samtykke (f.eks. push-varsler), kan du når som helst trekke det tilbake uten at det påvirker lovligheten av behandlingen før tilbaketrekkingen.

For å utøve dine rettigheter, ta kontakt med oss på opplysningene under. Vi skal svare innen 30 dager.

9. Klage til Datatilsynet

Dersom du mener vi behandler personopplysningene dine i strid med personopplysningsloven eller GDPR, har du rett til å klage til Datatilsynet:

  • Nettside: datatilsynet.no
  • E-post: postkasse@datatilsynet.no
  • Telefon: 74 07 70 00

10. Kontakt oss

Har du spørsmål om hvordan vi behandler personopplysningene dine, eller ønsker du å utøve en av dine rettigheter, ta kontakt med:

BCC Drammen Sande
Vidar Solberg
Telefon: +47 907 85 507
E-post: vidar.solberg@bccds.no