Personvernerklæring

1. Hvem er behandlingsansvarlig?

Heimlager drives av Eivind Hannestad ENK, org.nr. 937 724 926, med adresse i Follo-regionen, Norge. Eivind Hannestad er behandlingsansvarlig for personopplysningene som samles inn via heimlager.no.

Kontakt: post@heimlager.no

2. Hvilke opplysninger samler vi inn?

Vi samler kun inn opplysninger som er nødvendige for å drive tjenesten:

Når du melder interesse som utleier på /lei-ut

• Navn og e-postadresse (obligatorisk)
• Telefonnummer (valgfritt)
• By og type plass (obligatorisk)
• Anslått størrelse (obligatorisk)
• Eventuell kommentar du selv velger å skrive

Når du bruker Heimlager-appen

• Identitetsopplysninger fra BankID-verifisering (fullt navn, fødselsdato, unik BankID-identifikator) — verifisert via Criipto
• Digitale inventarlister knyttet til leieforholdet (gjenstandsnavn, estimert verdi, bilder av enkeltgjenstander)
• Meldinger, bookinghistorikk og vurderinger

Automatisk fra besøk

• IP-adresse (lagres som hash for spam-beskyttelse)
• Nettleser og enhet (user agent)
• Sidene du besøker og tidspunkt

Cookies

Heimlager bruker kun tekniske cookies som er nødvendige for at nettsiden skal fungere. Vi bruker ikke tredjeparts-cookies for sporing eller markedsføring per i dag.

3. Hvorfor behandler vi opplysningene?

Vi behandler personopplysninger for å:

• Svare på din henvendelse og hjelpe deg i gang som utleier eller leietaker
• Sende bekreftelses-e-post når du har sendt inn skjema
• Drifte og forbedre tjenesten teknisk
• Beskytte mot misbruk og spam (anti-bot-tiltak)

Rettslig grunnlag: GDPR artikkel 6 nr. 1 bokstav b (oppfyllelse av avtale eller tiltak før avtaleinngåelse på forespørsel) og bokstav f (berettiget interesse i å drifte tjenesten).

4. Hvor lagres opplysningene?

Vi bruker følgende databehandlere som har inngått databehandleravtale med Heimlager:

• Supabase — database for brukerdata, bookinger og inventarlister (selvhostet på server i Norge / Tyskland)
• Hetzner Online GmbH — webhosting (servere i Tyskland — EU/EØS-område)
• Resend, Inc. — e-postutsendelse (databehandling primært i USA med Standard Contractual Clauses + Data Privacy Framework)
• Criipto ApS — BankID-verifisering (dansk selskap, EU/EØS-område). Vi mottar navn, fødselsdato og en pseudonymisert BankID-identifikator. Criipto er databehandler med begrenset tilgang til kun det som er nødvendig for verifisering. Se Criiptos personvernerklæring.

Alle leverandører er valgt med GDPR-compliance som hovedkrav. Ingen opplysninger selges eller deles med tredjeparter for markedsføring.

5. Hvor lenge oppbevarer vi opplysningene?

• Utleier-henvendelser uten oppfølging: 12 måneder fra sist kontakt, deretter sletting
• Aktive utleier-relasjoner (har leid ut via Heimlager): Så lenge avtaleforholdet løper, pluss 5 år av hensyn til skatte- og regnskapsplikt
• Server-logger: 90 dager
• E-postkorrespondanse: 3 år fra siste kontakt

6. Dine rettigheter

Under GDPR har du følgende rettigheter:

• Innsyn — få vite hvilke opplysninger vi har om deg
• Retting — korrigere feil opplysninger
• Sletting ("retten til å bli glemt")
• Begrensning — be om at vi midlertidig ikke bruker opplysningene
• Dataportabilitet — få utlevert opplysningene i et strukturert format
• Innsigelse — protestere mot behandlingen

Send forespørsel til post@heimlager.no — vi svarer innen 30 dager.

Hvis du mener vi behandler personopplysningene dine i strid med personvernlovgivningen, kan du klage til Datatilsynet.

7. Sikkerhet

Vi tar sikkerhet på alvor. Tiltak inkluderer:

• Kryptert HTTPS-forbindelse (TLS 1.3)
• Database-tilgang begrenset til serverens IP og service-role-nøkkel
• Row Level Security (RLS) på alle datatabeller
• Regelmessig backup av databasen
• Passord og hemmeligheter aldri lagret i klartekst

8. Endringer i erklæringen

Vi kan oppdatere denne erklæringen ved endringer i tjenesten eller i lovverket. Vesentlige endringer varsler vi om på e-post hvis du har en aktiv utleier-relasjon med oss. Siste oppdateringsdato vises øverst på siden.