Innflyt — Behandlingsinformasjon
Sammendrag
Denne siden forklarer hvordan Innflyt behandler personopplysninger på vegne av kunder når kundene tar i bruk Innflyt-widgeten. Siden er rettet mot kunder, personvernkontakter, innkjøpsteam og sikkerhetsrevisorer. Den oppsummerer Innflyts rolle som databehandler etter artikkel 28 i personvernforordningen (forordning (EU) 2016/679, "personvernforordningen" eller "GDPR"), og erstatter ikke Databehandleravtalen ("DBA") som hver kunde inngår med Backroad AS før produksjonssetting.
Innflyt er et produkt fra Backroad AS, et aksjeselskap registrert i Norge (organisasjonsnummer 934 341 929), med forretningskontor i Bergen. Når en kunde plasserer Innflyt-widgeten på sitt nettsted, behandles personopplysninger som sendes inn gjennom widgeten av Innflyt på kundens vegne. Kunden er behandlingsansvarlig; Innflyt er databehandler etter artikkel 28 i personvernforordningen.
Vår rolle: databehandler for tilbakemeldingsdata
Innflyt er databehandler, ikke felles behandlingsansvarlig. Innflyt handler kun på dokumenterte instrukser fra hver kunde. Backroad AS gjør ikke følgende:
- bestemmer ikke kundens formål med tilbakemeldingsbehandlingen;
- bruker ikke innsendte data til å trene kunstig intelligens eller maskinlæringsmodeller;
- bruker ikke innsendte data til reklame, profilering eller egne analyseprodukter;
- selger, leier ut eller deler ikke innsendte data med tredjeparter for markedsføringsformål;
- bygger ikke aggregerte dataprodukter fra kundenes data.
Dersom en kunde ønsker at Innflyt skal bruke data til formål som går utover å levere tjenesten på kundens vegne, krever det en separat ordning gjennom et uttrykkelig skriftlig tillegg til Databehandleravtalen samt et annet behandlingsgrunnlag.
Oppsummering av behandlingen
| Element | Beskrivelse |
|---|---|
| Databehandler | Backroad AS, som leverer Innflyt |
| Behandlingsansvarlig | Kunden som bruker Innflyt-widgeten |
| Behandlingsformål | Fange opp, lagre, rute og vise kundekonfigurerte tilbakemeldinger fra sluttbrukere |
| Registrerte | Sluttbrukere av kundens nettsted eller applikasjon |
| Kategorier av opplysninger | Tilbakemeldingsinnhold, kontekstmetadata, valgfri oppfølgings-e-post, valgfrie skjermbildevedlegg |
| Særlige kategorier | Innhentes ikke. Friteksttilbakemeldinger og skjermbildevedlegg kan motta slike data frivillig; de behandles kun for lagrings- og videresendingsformål. |
| Varighet | Kontrolleres av kunden; slettes eller returneres ved oppsigelse eller tidligere på kundens anmodning |
| Behandlingssted | Primær behandling innenfor Det europeiske økonomiske samarbeidsområdet (Stockholm, Sverige) |
| Underdatabehandlere | Listet under i avsnittet Underdatabehandlere |
| Overføringsgrunnlag | Standardpersonvernbestemmelser eller tilstrekkelighetsbeslutning under Data Privacy Framework for underdatabehandlere utenfor Det europeiske økonomiske samarbeidsområdet |
Hvilke opplysninger vi behandler
Hvilke personopplysninger som behandles gjennom widgeten avhenger av hvordan hver kunde har konfigurert widgeten. I standardkonfigurasjonen er feltene som følger:
| Felt | Kilde | Formål |
|---|---|---|
| Tilbakemeldingsmelding (fritekst) | Skrevet av sluttbrukeren i widgeten | Selve tilbakemeldingen |
| Funksjonskategori | Valgt av sluttbrukeren fra widgetens konfigurerte liste | Ruting og rapportering i kundens arbeidsflyt |
| Hasteindikator (ja/nei) | Satt av sluttbrukeren via en avkrysningsboks | Hjelper kunden å prioritere |
| Side-URL | Fanget automatisk av widgeten | Kontekst: hvor tilbakemeldingen ble gitt |
| Brukeragentstreng | Sendt automatisk av nettleseren | Enhets- og nettleserkontekst for feilsøking |
| Pseudonymisert IP-adressehash | Beregnet på serversiden | Kun for hastighetsbegrensning; den faktiske IP-adressen lagres aldri |
| Innsendingstidspunkt | Satt på serversiden | Sporbarhet |
| Valgfri oppfølgings-e-post | Skrevet av sluttbrukeren i widgeten når vertsnettstedet ikke har oppgitt en autentisert e-postadresse | Kanal for kunden til å svare dersom sluttbrukeren har samtykket til oppfølging |
| Skjermbilder (valgfritt, brukerinitiert) | Limt inn, valgt eller dratt inn i widgeten av sluttbrukeren | Visuell dokumentasjon som følger tilbakemeldingen |
Widgeten innhenter ikke særlige kategorier av personopplysninger i henhold til artikkel 9 i personvernforordningen, og heller ikke opplysninger om straffedommer og lovovertredelser i henhold til artikkel 10. Siden tilbakemeldingsfeltet er fritekst og skjermbildevedlegg er brukerinitiert, kan sluttbrukere likevel inkludere slike data frivillig; Innflyt behandler ingen slike data til formål utover å lagre innsendingen og videresende den til kunden. Kunder anbefales å gi sluttbrukere veiledning i sitt eget brukergrensesnitt om ikke å inkludere sensitive personopplysninger som tilbakemeldingen i seg selv ikke krever.
Skjermbildevedlegg
Sluttbrukere kan valgfritt legge ved én til fem bildefiler per innsending (Portable Network Graphics, Joint Photographic Experts Group eller WebP; maksimalt 5 megabyte hver). Opplastinger bruker kortvarige signerte opplastings-URLer utstedt på serversiden; widgeten har aldri tilgang til langvarige lagringsnøkler.
Nåværende leveringsmodell og kjent begrensning. Vedlegg lagres med ikke-opplistbare objektstier basert på Universally Unique Identifier i en dedikert lagringsplassering; det er ikke mulig å liste innholdet i bøtten. Objekt-URLen blir for tiden inkludert direkte i webhook-leveranser og varslings-e-poster slik at kundens mottakssystemer kan vise bildet innebygd. Det betyr at en tredjepart som får tak i objekt-URLen, kan hente ned objektet. Ikke-opplistbarheten av stien er den primære kontrollen; den er ikke det samme som tilgangskontroll.
Veikart. Innflyt arbeider med å migrere skjermbildelevering til signerte, tidsbegrensede nedlastings-URLer som standard. Inntil migreringen er fullført, bør kunder hvis innkjøps- eller sikkerhetspolicy krever signerte URLer som vilkår for produksjonssetting, ta kontakt med driftskontakten under for å avtale tidspunkt for migrering eller for å deaktivere skjermbildevedleggsfunksjonen for sitt prosjekt.
Foreldreløse vedlegg (lastet opp, men aldri knyttet til en innsending — for eksempel fordi sluttbrukeren lukket widgeten før innsending) blir feid bort av en planlagt jobb 24 timer etter opplasting.
Behandlingssted
Primær behandling skjer innenfor Det europeiske økonomiske samarbeidsområdet, i Stockholm-regionen (Sverige). Den administrerte databasen, det serverbaserte mottaksendepunktet og distribusjonen av widget-bunten er alle hostet i denne regionen.
Ingen primær behandling skjer utenfor Det europeiske økonomiske samarbeidsområdet. Enkelte underdatabehandlere (se under) har hovedkontor utenfor Det europeiske økonomiske samarbeidsområdet og kan håndtere begrensede administrative metadata, som kildekodelagring og logger fra kontinuerlig integrasjon eller kontinuerlig utrulling. Der dette skjer, dekkes overføringen av et passende overføringsgrunnlag etter kapittel V i personvernforordningen.
Sikkerhetstiltak
Innflyt opprettholder de tekniske og organisatoriske tiltakene som er angitt nedenfor. De gjennomgås minst årlig og oppdateres som svar på endringer i risiko, teknologi eller gjeldende rett. En fullstendig liste er nedfelt i vedlegg 2 til hver kundes Databehandleravtale.
- Kryptering ved overføring. All trafikk mellom widgeten, det serverbaserte mottaksendepunktet og Innflyts infrastruktur krypteres med Transport Layer Security versjon 1.2 eller høyere.
- Kryptering ved lagring. Personopplysninger lagres i en administrert PostgreSQL-database som krypterer data i hvile med Advanced Encryption Standard med 256-bits nøkler.
- Radnivåsikkerhet. Alle databasetabeller som inneholder kundedata har radnivåsikkerhet (Row-Level Security) aktivert med eksplisitte policyer. Anonym sluttbrukertilgang er avvist på alle slike tabeller.
- Pseudonymisering. Sluttbrukeres IP-adresser lagres ikke. Hastighetsbegrensning opererer kun på en hashet, peppret identifikator.
- Signerte webhooks. Hver webhook-leveranse bærer en Hash-based Message Authentication Code med Secure Hash Algorithm 256-bit, slik at kunder kan verifisere integritet og autentisitet før de handler på innholdet.
- Idempotens. Mottaksendepunktet håndhever en unik idempotensnøkkel per innsending, slik at en klient-omforsøk ikke kan opprette en duplikat oppføring.
- Asynkron videresending. Nedstrømsdestinasjoner er frikoblet fra sluttbrukerens innsendingsbane gjennom en holdbar kø, slik at en treg eller utilgjengelig destinasjon ikke forringer sluttbrukeropplevelsen og ikke holder personopplysninger unødvendig i minnet.
- Tilgangskontroll. Administrativ tilgang til Innflyts infrastruktur beskyttes av tofaktorautentisering. Servicerollenøkler og miljøvariabler for hemmeligheter lagres kun i krypterte hemmeligheter for kontinuerlig integrasjon og i miljøvariabler på serversiden — aldri i kildekontroll eller i klientside-kode.
- Automatisert sikkerhetsskanning. Skanning for sårbarheter i avhengigheter, sikkerhetsvarsler fra kildekontrollen og advisor-skanninger fra den administrerte plattformen kjører kontinuerlig. Funn følges opp og utbedres etter en risikobasert tidsplan.
Underdatabehandlere
Innflyt benytter de følgende underdatabehandlerne. Listen oppdateres når den endrer seg; kunder varsles som påkrevd etter Databehandleravtalen før en ny underdatabehandler tas i bruk.
| Underdatabehandler | Tjeneste | Plassering | Overføringsgrunnlag |
|---|---|---|---|
| Supabase Inc. | Administrert PostgreSQL-database, serverbasert kjøremiljø, innholdsleveringsnettverk for lagring | Stockholm, Sverige | Innenfor EØS; intet grenseoverskridende grunnlag kreves for primær behandling |
| Cloudflare Inc. | Domain Name System for innflyt.com og innflyt.no; Cloudflare Email Service (for tiden i beta) for utgående transaksjons-e-post | Globalt nettverk med europeiske kantnoder | Standardpersonvernbestemmelser etter artikkel 46(2)(c) i personvernforordningen; Cloudflares databehandleravtale |
| GitHub Inc. | Kildekodelagring og kontinuerlig integrasjon / kontinuerlig utrulling | USA, med europeiske kantnoder | Tilstrekkelighetsbeslutning under EU – USA Data Privacy Framework; GitHubs databeskyttelsesavtale |
Cloudflare Email Service er for tiden i beta, og dets API-grensesnitt kan endres før det blir generelt tilgjengelig. Kunder som etter sin innkjøpspolicy krever generelt tilgjengelige underdatabehandlere for utgående transaksjons-e-post, bør be om en overgangskonfigurasjon som bruker en generelt tilgjengelig leverandør for e-postkanalen.
Denne listen gjelder Innflyt-databehandlerforholdet. Kundens egne behandlingsansvarlige systemer og øvrige systemer faller utenfor rammen av denne siden.
Internasjonale overføringer
Innflyts primære behandlingsinfrastruktur er hostet innenfor Det europeiske økonomiske samarbeidsområdet. Når en underdatabehandler har hovedkontor utenfor Det europeiske økonomiske samarbeidsområdet, dekkes overføringen av ett av følgende:
- en tilstrekkelighetsbeslutning etter artikkel 45 i personvernforordningen (for eksempel EU – USA Data Privacy Framework for sertifiserte virksomheter i USA);
- Standardpersonvernbestemmelsene vedtatt av Europakommisjonen etter artikkel 46(2)(c) i personvernforordningen, supplert med eventuelle ytterligere tiltak basert på en overføringsvurdering; eller
- et annet rettslig anerkjent overføringsgrunnlag som er avtalt skriftlig.
Grunnlaget som gjelder for hver enkelt underdatabehandler er angitt i tabellen over underdatabehandlere.
Oppbevaring og sletting
Som standard oppbevares innsendte personopplysninger inntil kunden sletter dem eller inntil kundekontoen avsluttes. Kunder kan be om tidligere sletting eller konfigurere kortere oppbevaring der det støttes.
Ved opphør av databehandlerforholdet, eller på kundens tidligere skriftlige anmodning, returnerer eller sletter Innflyt alle personopplysninger som behandles på kundens vegne innen 30 kalenderdager etter mottak av anmodningen, og bekrefter sletting skriftlig. Sikkerhetskopier overskrives etter den ordinære syklusen for oppbevaring av sikkerhetskopier.
Den registrertes rettigheter
Dersom en sluttbruker kontakter Backroad AS direkte for å utøve en rettighet etter kapittel III i personvernforordningen (informasjon, innsyn, retting, sletting, begrensning, dataportabilitet, innsigelse, eller rettigheter ved automatiserte avgjørelser), videresender Innflyt anmodningen straks til den aktuelle kunden (behandlingsansvarlig) og svarer ikke materielt til sluttbrukeren, med mindre kunden skriftlig har gitt fullmakt til direkte svar.
Kunden er fortsatt det primære kontaktpunktet for sluttbrukeres rettighetsanmodninger. Sluttbrukere bør i første omgang kontakte den kunden hvis tjeneste de bruker.
Varsling om brudd på personopplysningssikkerheten
Innflyt varsler den berørte kunden om brudd på personopplysningssikkerheten uten ugrunnet opphold etter at vi har blitt klar over bruddet, og uansett innen 48 timer der det med rimelighet er mulig. Varslingen inneholder de opplysningene som kreves etter artikkel 33 nr. 3 i personvernforordningen, i den utstrekning de er tilgjengelige på varslingstidspunktet, og suppleres trinnvis etter hvert som ytterligere informasjon blir tilgjengelig.
Kunder er ansvarlige for å varsle tilsynsmyndigheter og registrerte som påkrevd etter artiklene 33 og 34 i personvernforordningen; Innflyt bistår kunden med tilgjengelig informasjon.
Revisjon og dokumentasjon
Hver Databehandleravtale gir kunden rett til å revidere Innflyts etterlevelse av Databehandleravtalen, med forbehold om rimelig varsel og taushetsplikt. Revisjonsanmodninger sendes skriftlig til kontakten nedenfor. Innflyt gjør tilgjengelig på anmodning:
- dokumentasjon på etterlevelse av Databehandleravtalen, inkludert en oppsummering av tekniske og organisatoriske tiltak som er i kraft;
- nylige sikkerhetsvurderinger, resultater av penetrasjonstester, eller tredjepartserklæringer, der disse er tilgjengelige;
- rimelig tilgang til poster og systemer som er nødvendige for å påvise etterlevelse.
Referanseimplementeringer av rutinen for verifisering av webhook-signatur (Node.js, Python og Go) er tilgjengelige på forespørsel fra driftskontakten, og vil bli publisert i Innflyts utviklerdokumentasjon når denne dokumentasjonen blir tilgjengelig.
Kontakt
| Formål | Adresse |
|---|---|
| Personvern (henvendelser om den registrertes rettigheter videresendes til kunden; generelle personvernhenvendelser) | [email protected] |
| Rapportering av sikkerhetssårbarheter | [email protected] |
| Rapportering av misbruk | [email protected] |
| Juridiske spørsmål og avtaler (Databehandleravtale, revisjonsanmodninger, spørsmål om underdatabehandlere) | [email protected] |
| Driftsstøtte, onboarding av kunder | [email protected] |
Postadresse: Backroad AS, Bergen, Norge.
Tilsynsmyndighet. Den kompetente tilsynsmyndigheten for Backroad AS er Datatilsynet, Oslo, Norge.