BilagPilot

Personvernerklæring for BilagPilot

Sist oppdatert: 23. mai 2026

1. Hvem er ansvarlig

Denne personvernerklæringen forklarer hvordan BilagPilot behandler personopplysninger.

Bjorvand Solutions Org.nr. 836 135 652 Kragerø, Telemark, Norge E-post: kevin@bilagpilot.no

2. Kort forklart

BilagPilot er et B2B-verktøy for regnskapsbyråer og andre næringsdrivende som vil hente inn, purre på, laste opp og holde oversikt over manglende bilag og dokumentasjon.

BilagPilot behandler personopplysninger i to hovedroller:

  • Behandlingsansvarlig for opplysninger Bjorvand Solutions selv bestemmer formålet med, for eksempel konto, betaling, support, sikkerhet, analyse og kundeadministrasjon.
  • Databehandler for opplysninger Kunden legger inn om egne klienter, ansatte, leverandører eller andre tredjeparter for å bruke BilagPilot.

Når BilagPilot er databehandler, er Kunden behandlingsansvarlig. Det betyr at Kunden bestemmer formålet med behandlingen og må ha lovlig grunnlag for å legge inn og bruke opplysningene i BilagPilot.

3. Hvilke personopplysninger vi behandler

BilagPilot kan behandle følgende kategorier personopplysninger.

3.1 Byrå- og kontodata

Dette kan omfatte:

  • firmanavn
  • organisasjonsnummer
  • MVA-nummer der Kunden oppgir det
  • faktura- eller betalings-e-post
  • abonnementstype
  • betalingsintervall
  • abonnementsstatus
  • innstillinger
  • SMS-maler
  • opplastingsgrenser
  • kunde- og kontometadata

3.2 Bruker- og medlemsdata

Dette kan omfatte:

  • e-postadresse
  • navn eller visningsnavn
  • rolle og tilgangsnivå
  • invitasjonstidspunkter
  • brukerstatus
  • temainnstilling eller preferanser
  • Supabase Auth-brukerdata
  • sesjons- og innloggingsdata

3.3 Klientdata

Dette kan omfatte:

  • klientens firmanavn
  • organisasjonsnummer
  • kontaktperson
  • e-postadresse
  • telefonnummer
  • notater
  • aktiv eller slettet status
  • relasjon til Kunden

3.4 Forespørselsdata

Dette kan omfatte:

  • perioder
  • frister
  • forespørselsmeldinger
  • titler på etterspurte bilag
  • notater
  • statuser
  • opplastings-tokenmetadata
  • purrenivå eller hastighetsgrad
  • hvem som har opprettet eller endret forespørselen

3.5 Opplastingsdata

Dette kan omfatte:

  • privat lagringssti
  • originalt filnavn
  • MIME-type
  • filendelse
  • filstørrelse
  • navn eller e-post til opplaster der dette finnes
  • kommentarer
  • tidspunkt for opplasting
  • tilknyttet klient, periode eller forespørsel
  • innholdet i opplastede filer

Opplastede filer kan inneholde personopplysninger om personer som Bjorvand Solutions ikke kjenner identiteten til. Kunden er ansvarlig for at slike opplysninger lovlig kan behandles i BilagPilot.

3.6 Purring, melding og aktivitetsdata

Dette kan omfatte:

  • kanal, for eksempel e-post, SMS eller manuell
  • mottaker
  • emnefelt
  • full meldingstekst
  • opplastingslenker
  • leverandørens meldings-ID
  • leveringsstatus
  • aktivitetslogger
  • tidspunkt for sending, åpning eller teknisk hendelse der dette registreres

Viktig: rå opplastingslenker kan lagres i meldingshistorikk, purringslogger, e-postinnhold, SMS-innhold og hos leverandører. Opplastingslenker bør derfor behandles som sensitive tilgangslenker.

3.7 Betalings- og abonnementsdata

Dette kan omfatte:

  • Stripe-kunde-ID
  • abonnement
  • plan
  • betalingsstatus
  • fakturastatus
  • fakturaer og kreditnotaer
  • betalingshistorikk
  • betalingsmetode-metadata
  • MVA-nummer som kan vises på fakturaer og kvitteringer
  • kundeportalstatus

Fullstendige kortnumre lagres ikke av BilagPilot. Kortdata behandles av Stripe.

3.8 Integrasjonsdata

Dersom Kunden aktiverer integrasjoner, kan vi behandle data knyttet til integrasjonen.

For Fiken kan dette omfatte:

  • OAuth-status
  • krypterte tilgangs- og oppdateringstokener
  • firmadata
  • metadata om manglende dokumenter
  • valgte opplastede filer som Kunden sender til Fiken
  • tekniske logger knyttet til integrasjonen

For Brønnøysundregistrene eller Enhetsregisteret kan dette omfatte organisasjonsnummeroppslag, firmainformasjon og status for registrering i MVA-registeret.

For Bring kan dette omfatte postnummeroppslag dersom dette er konfigurert.

3.9 Tekniske data, logger og analyse

Dette kan omfatte:

  • IP-adresse eller IP-relaterte tekniske opplysninger
  • nettleser
  • enhetstype
  • tidspunkter
  • sidevisninger
  • ytelsesmålinger
  • feillogger
  • sikkerhetslogger
  • forespørsler til servere
  • CTA-klikk
  • endringer i pris- eller kundegrensevelger
  • FAQ-åpninger
  • visning av garantiseksjon
  • Vercel Analytics-data
  • Vercel Speed Insights-data

4. Hvordan vi samler inn opplysninger

Vi samler inn opplysninger når:

  • Kunden oppretter konto
  • Brukere inviteres eller logger inn
  • Kunden legger inn klienter
  • Kunden oppretter bilagsforespørsler
  • Klienter bruker opplastingslenker
  • filer lastes opp
  • Kunden sender e-post eller SMS via BilagPilot
  • Kunden aktiverer integrasjoner
  • Kunden betaler via Stripe
  • Kunden kontakter support
  • nettsiden eller appen brukes
  • tekniske systemer logger drift, sikkerhet og feil

5. Formål og behandlingsgrunnlag

5.1 Levere BilagPilot

Vi behandler personopplysninger for å levere tjenesten, inkludert konto, brukeradministrasjon, klientoversikt, forespørsler, opplasting, purring, status, lagring og integrasjoner.

Behandlingsgrunnlag for Kundens konto og Brukere er normalt avtale eller berettiget interesse.

For Kundens klientdata behandler Bjorvand Solutions som databehandler etter Kundens instruks.

5.2 Betaling og abonnement

Vi behandler betalings- og abonnementsdata for å opprette, administrere og avslutte abonnement, sende fakturaer, håndtere betaling og gi tilgang til Stripe kundeportal.

Behandlingsgrunnlag er avtale, berettiget interesse og rettslige forpliktelser knyttet til regnskap og dokumentasjon.

5.3 E-post og SMS

Vi behandler kontaktinformasjon, meldingstekst og aktivitetsdata for å sende purringer, opplastingslenker, driftsmeldinger, fakturaer og annen nødvendig kommunikasjon.

For meldinger Kunden sender til egne klienter, er Kunden ansvarlig for lovlig grunnlag.

5.4 Support og kundedialog

Vi behandler opplysninger når Kunden eller Brukere kontakter oss for support, feilretting, spørsmål eller oppfølging.

Behandlingsgrunnlag er avtale og berettiget interesse.

5.5 Sikkerhet og misbruksforebygging

Vi behandler tekniske data, logger og aktivitetsdata for å sikre tjenesten, hindre misbruk, undersøke feil, beskytte kontoer og håndtere sikkerhetshendelser.

Behandlingsgrunnlag er berettiget interesse og i noen tilfeller rettslig forpliktelse.

5.6 Analyse og forbedring

Vi kan bruke analyse- og bruksdata for å forstå hvordan tjenesten brukes, forbedre brukeropplevelse, måle ytelse og prioritere produktutvikling.

BilagPilot bruker Vercel Analytics og Speed Insights globalt. Vi kan også registrere egendefinerte analysehendelser, for eksempel CTA-klikk, endringer i pris- eller kundegrensevelger, FAQ-åpninger og visning av garantiseksjon.

Behandlingsgrunnlag kan være berettiget interesse eller samtykke, avhengig av type teknologi og gjeldende krav.

5.7 Produktnyheter og markedsføring

Vi kan sende produktnyheter, relevant informasjon og markedsføring til Kundens Brukere. Mottakeren kan melde seg av markedsføring.

Driftsmeldinger, sikkerhetsmeldinger, betalingsmeldinger og nødvendig tjenestekommunikasjon kan fortsatt sendes selv om mottakeren melder seg av markedsføring.

Behandlingsgrunnlag er berettiget interesse eller samtykke der dette kreves.

5.8 Rettskrav og etterlevelse

Vi kan behandle opplysninger for å oppfylle lovkrav, håndtere tvister, dokumentere avtaler, inndrive krav eller forsvare rettslige interesser.

Behandlingsgrunnlag er rettslig forpliktelse og berettiget interesse.

6. Accountless opplastingsside

Klienter kan bruke opplastingsside uten å opprette konto.

Alle med gyldig opplastingslenke kan se begrenset forespørselskontekst, for eksempel:

  • Kundens navn
  • klientnavn
  • periode
  • forespørselsmelding
  • etterspurte dokumentpunkter
  • notater som Kunden har lagt inn

Opplastingsidentitet er ikke nødvendigvis verifisert. Det betyr at BilagPilot ikke garanterer at personen som laster opp faktisk er den registrerte klientkontakten.

Kunden må derfor beskytte opplastingslenker og unngå å inkludere mer informasjon enn nødvendig i forespørsler.

7. Opplastede filer

Opplastede filer lagres privat i BilagPilot sin lagringsløsning.

BilagPilot validerer blant annet antall filer, filstørrelse, filtype, filendelse og lagringssti.

BilagPilot har per nå ikke OCR, AI-basert dokumentlesing eller automatisk skadevareskanning av opplastede filer.

Kunden må selv kontrollere filene, innholdet og regnskapsmessig bruk.

8. Bruk av AI

BilagPilot bruker per nå ikke AI til å lese, tolke, klassifisere eller bokføre bilag.

Dersom BilagPilot senere innfører AI-funksjoner som behandler bilag eller personopplysninger, skal personvernerklæringen oppdateres, og nødvendig informasjon eller samtykke skal innhentes der det kreves.

9. Hvem vi deler opplysninger med

Vi deler personopplysninger med underleverandører når det er nødvendig for å levere BilagPilot.

9.1 Supabase

Supabase brukes til autentisering, brukere, sesjoner, database og privat fillagring.

9.2 Vercel

Vercel brukes til hosting, runtime, teknisk drift, logger, Vercel Analytics og Speed Insights.

9.3 Stripe

Stripe brukes til Checkout, betaling, abonnement, fakturaer, kreditnotaer, betalingsstatus, kundeportal og MVA-nummer på fakturaer og kvitteringer.

Stripe behandler kortdata. BilagPilot lagrer ikke fullstendige kortnumre.

9.4 Resend

Resend eller tilsvarende e-postleverandør brukes til utsendelse av e-post. Dette kan omfatte mottakeradresse, emne, meldingstekst, reply-to og opplastingslenker.

9.5 GatewayAPI

GatewayAPI brukes til SMS. Dette kan omfatte mottakers telefonnummer, avsendernavn, SMS-tekst og opplastingslenke.

9.6 Fiken

Fiken brukes kun dersom Kunden aktiverer integrasjonen. Dette kan omfatte OAuth, krypterte tokens, firmadata, metadata om manglende dokumentasjon og valgte filer som Kunden sender til Fiken.

9.7 Brønnøysundregistrene og Enhetsregisteret

Disse kan brukes for organisasjonsnummeroppslag, firmainformasjon og MVA-registerstatus ved onboarding eller klientoppsett.

9.8 Bring

Bring kan brukes for postnummeroppslag dersom dette er konfigurert.

9.9 Juridiske krav og sikkerhet

Vi kan dele opplysninger dersom det er nødvendig for å oppfylle lovkrav, myndighetspålegg, rettsprosesser, sikkerhetshendelser, misbruksforebygging eller rettskrav.

10. Overføring utenfor EØS

Noen underleverandører kan behandle personopplysninger utenfor Norge eller EØS.

Dersom personopplysninger overføres utenfor EØS, skal vi bruke gyldige overføringsgrunnlag der dette kreves, for eksempel EU-standardkontraktklausuler, leverandørens godkjente overføringsmekanismer eller annet lovlig grunnlag.

11. Informasjonskapsler og lignende teknologier

BilagPilot bruker informasjonskapsler og lignende teknologier.

11.1 Nødvendige teknologier

Vi bruker nødvendige teknologier for blant annet:

  • innlogging
  • sesjonshåndtering
  • sikkerhet
  • autentisering
  • betaling
  • Fiken OAuth
  • passordtilbakestilling

Eksempler:

  • Supabase session cookies
  • HTTP-only state cookie ved Fiken OAuth
  • kortvarige redirect cookies ved passordtilbakestilling

Nødvendige cookies brukes for at tjenesten skal fungere sikkert og korrekt.

11.2 Analyse og ytelsesmåling

Vi bruker Vercel Analytics og Speed Insights for analyse og ytelsesmåling.

Vi kan også registrere enkelte produktanalysehendelser, for eksempel klikk på CTA-er, endringer i pris- eller kundegrensevelger, FAQ-åpninger og visning av garantiseksjon.

Dersom gjeldende regler krever samtykke for analyse, sporing eller lignende teknologier, skal slikt samtykke innhentes før teknologien brukes.

11.3 Markedsføringsteknologi

BilagPilot bruker ikke nødvendigvis retargeting-piksler eller annonsepiksler som standard. Dersom slik teknologi tas i bruk, skal personvernerklæringen oppdateres, og samtykke skal innhentes der dette kreves.

12. Sikkerhet

Bjorvand Solutions bruker tekniske og organisatoriske tiltak for å beskytte personopplysninger.

Tiltak kan blant annet omfatte:

  • Supabase Row Level Security for sentrale tenant-tabeller
  • tilgangsstyring basert på byråmedlemskap og rolle
  • autentisering gjennom Supabase Auth
  • privat fillagring
  • medlemskapssjekk før autentisert nedlasting
  • tidsbegrensede signerte nedlastingslenker
  • kryptering av Fiken-tokener med AES-256-GCM før databaselagring
  • logging av relevante hendelser
  • teknisk validering av opplastinger
  • abonnementssjekk for operativ tilgang

Ingen systemer er helt sikre. Kontoer, passord, opplastingslenker og brukerrettigheter må beskyttes av Kunden og Brukerne.

Public upload rate limiting kan være begrenset og ikke nødvendigvis globalt eller permanent. Kunden skal derfor ikke bruke opplastingslenker som en sikker identitetskontroll.

13. Hvor lenge vi lagrer opplysninger

Vi lagrer personopplysninger så lenge det er nødvendig for formålene i denne erklæringen.

13.1 Aktive kunder

For aktive kunder lagrer vi nødvendige konto-, bruker-, klient-, forespørsels-, opplastings-, purrings-, integrasjons- og betalingsdata for å levere tjenesten.

13.2 Etter oppsigelse

Etter avsluttet abonnement sletter eller anonymiserer vi normalt Kundedata innen 90 dager, med mindre videre oppbevaring er nødvendig for:

  • regnskaps- eller bokføringsformål
  • fakturering
  • betaling
  • rettskrav
  • sikkerhet
  • misbruksforebygging
  • lovpålagte plikter
  • tekniske sikkerhetskopier

13.3 Soft delete

Klienter som slettes i tjenesten kan først markeres som inaktive eller skjules gjennom soft delete. Dette betyr at opplysningene ikke nødvendigvis fjernes fysisk fra databasen med én gang.

13.4 Filer og lagring

Opplastede filer kan slettes eller anonymiseres som del av kontosletting, manuell sletting eller operasjonell sletteprosess.

Kunden bør alltid eksportere nødvendig dokumentasjon før abonnementet avsluttes.

13.5 Backups

Opplysninger kan ligge i sikkerhetskopier i en begrenset periode før de slettes gjennom ordinær rotasjon.

13.6 Betaling og regnskap

Betalings-, faktura- og regnskapsopplysninger kan lagres lenger dersom dette er nødvendig for lovpålagte plikter, dokumentasjon, tvist eller regnskap.

14. Kundens ansvar som behandlingsansvarlig

Når Kunden legger inn opplysninger om egne klienter, ansatte, leverandører eller andre personer, er Kunden normalt behandlingsansvarlig.

Kunden må selv sørge for:

  • lovlig behandlingsgrunnlag
  • nødvendig informasjon til registrerte
  • at opplysningene er korrekte og relevante
  • at unødvendige sensitive opplysninger ikke legges inn
  • at klienter kan kontaktes via e-post eller SMS
  • at opplastingslenker deles forsvarlig
  • at bilag kontrolleres og arkiveres korrekt
  • at forespørsler og meldinger ikke inneholder mer informasjon enn nødvendig

15. Dine rettigheter

Personer som har personopplysninger behandlet av Bjorvand Solutions kan ha rett til:

  • innsyn
  • retting
  • sletting
  • begrensning av behandling
  • dataportabilitet
  • å protestere mot behandling
  • å trekke tilbake samtykke der behandlingen bygger på samtykke
  • å klage til Datatilsynet

Dersom henvendelsen gjelder opplysninger som BilagPilot behandler på vegne av en Kunde, kan vi henvise henvendelsen til Kunden eller bistå Kunden med å svare.

For å utøve rettigheter, kontakt kevin@bilagpilot.no.

16. Barn

BilagPilot er en B2B-tjeneste og er ikke rettet mot barn.

Kunden skal ikke bruke BilagPilot til å samle inn opplysninger om barn med mindre det er nødvendig, lovlig og relevant for Kundens dokumentasjonsformål.

17. Markedsføring

Bjorvand Solutions kan sende produktnyheter, informasjon om funksjoner, tips og relevant markedsføring til Brukere hos Kunden.

Mottakere kan melde seg av markedsføring.

Avmelding gjelder ikke nødvendige driftsmeldinger, sikkerhetsmeldinger, betalingsmeldinger eller tjenestekommunikasjon.

18. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen ved endringer i BilagPilot, leverandører, integrasjoner, analysebruk, regelverk eller behandlingsmåter.

Ved vesentlige endringer vil vi varsle på egnet måte, for eksempel via e-post, i tjenesten eller på nettsiden.

19. Kontakt

Spørsmål om personvern kan sendes til:

Bjorvand Solutions Org.nr. 836 135 652 Kragerø, Telemark, Norge E-post: kevin@bilagpilot.no