Personvernerklæring

1. Innledning og omfang

Denne personvernerklæringen gjelder for Cetegra Workspace og Cetegra Docs (samlet kalt «Cetegra-produktene»).

Den er ment for sluttbrukere av Cetegra-produktene og kunderepresentanter som har tilgang til tjenestene, og beskriver hvordan Cegal AS («Cegal») behandler personopplysninger i forbindelse med drift og levering av Cetegra-produktene.

Denne personvernerklæringen gjelder ikke for:

Det offentlige nettstedet cegal.com
Markedsføringsaktiviteter, nyhetsbrev eller arrangementer
Rekruttering eller generell bedriftskommunikasjon

Disse aktivitetene er dekket av separate personvernmeldinger.

2. Roller og ansvar (behandlingsansvarlig og databehandler)

For de fleste behandlingsaktiviteter i Cetegra-produktene:

Kunden (Cegals klientorganisasjon) opptrer som behandlingsansvarlig for personopplysninger knyttet til sine brukere og forretningsbruk av tjenesten.
Cegal opptrer som databehandler, og behandler personopplysninger på vegne av kunden i henhold til gjeldende databehandleravtale (DPA).

Cegal opptrer som selvstendig behandlingsansvarlig kun for begrenset behandling som er nødvendig for å:

Drifte, sikre og vedlikeholde plattformen
Sikre tilgjengelighet, ytelse og integritet for tjenestene
Yte support og håndtere hendelser
Oppfylle juridiske og kontraktsmessige forpliktelser

Der behandlingen tjener både kundens bruk av tjenesten og Cegals egne driftsformål, opptrer Cegal som selvstendig behandlingsansvarlig kun for sine egne behandlingsformål.

Denne personvernerklæringen beskriver Cegals behandlingsaktiviteter i begge roller, der dette er relevant.

3. Kategorier av personopplysninger som behandles

Avhengig av hvordan Cetegra-produktene brukes, kan følgende kategorier av personopplysninger behandles.

3.1 Bruker- og kontodata

Brukeridentifikator (bruker-ID)
Brukernavn eller visningsnavn (som kan inneholde en jobbe-postadresse)
Rolle eller persona (for eksempel bruker, administrator, IT-leder)
Tilknyttet leietaker- eller selskapidentifikator
Autentiserings- og tilgangsmetadata (for eksempel innloggingstidspunkter og sesjonsantall)

3.2 Bruks- og tekniske data

Bruk av funksjoner og navigasjonshendelser (for eksempel sidebesøk, applikasjonsoppstart og klikk)
Sider eller moduler som er åpnet
Pseudonym brukeridentifikator (et ugjennomsiktig heltall uten direkte kobling til navn eller e-postadresse)
Brukertype i Cetegra (for eksempel Standardbruker, Avansert bruker eller IT-administrator)
Fanelevetidssesjonsidentifikator (lagret i nettleserens sessionStorage, slettes ved fanelukning)
Tilknyttet leietaker- eller selskapidentifikator

3.3 Support- og driftsdata

Supportforespørsler og korrespondanse
Konfigurasjon og miljømetadata
Feillogger og diagnostikk knyttet til tjenestedrift

Cetegra behandler ikke særlige kategorier av personopplysninger (artikkel 9 i GDPR) i Cetegra-produktene.

4. Formål med behandlingen

Personopplysninger behandles utelukkende for følgende formål:

Levere, drifte og vedlikeholde Cetegra-produktene
Brukerautentisering, autorisasjon og tilgangskontroll
Sikre sikkerhet, stabilitet og ytelse
Yte kundesupport og håndtere hendelser
Produktforbedring og analyse av tjenestekvalitet
Overholdelse av juridiske og kontraktsmessige forpliktelser

Cetegra bruker ikke personopplysninger i Cetegra-produktene til:

Markedsføring eller reklame
Profilering
Automatisert beslutningstaking
Sporing på tvers av tjenester

5. Rettslig grunnlag for behandlingen

Der Cegal opptrer som databehandler, behandles personopplysninger på det rettslige grunnlaget som kunden som behandlingsansvarlig fastsetter, typisk artikkel 6 nr. 1 bokstav b i GDPR (oppfyllelse av avtale), og i henhold til gjeldende databehandleravtale.

Der Cegal opptrer som selvstendig behandlingsansvarlig, er behandlingen basert på:

Artikkel 6 nr. 1 bokstav b i GDPR – oppfyllelse av avtale
Artikkel 6 nr. 1 bokstav c i GDPR – overholdelse av rettslige forpliktelser
Artikkel 6 nr. 1 bokstav f i GDPR – berettigede interesser i å drifte, sikre og forbedre tjenestene

Der analyse eller andre ikke-nødvendige funksjoner benyttes, er behandlingen basert på artikkel 6 nr. 1 bokstav a i GDPR (samtykke), som beskrevet i informasjonskapselpolicyen.

6. Analyse og bruksstatistikk

Der brukere har gitt uttrykkelig samtykke, behandler Cegal bruksanalysedata for å forbedre funksjonaliteten, brukervennligheten og påliteligheten til Cetegra-produktene.

Cegal bruker sitt eget interne analysesystem for dette formålet. Ingen tredjeparts analyseleverandør benyttes. All analysedata lagres innenfor Cetegra-plattformens infrastruktur på Microsoft Azure innenfor Det europeiske økonomiske samarbeidsområdet (EØS).

Analysedata som samles inn inkluderer:

Bruk av funksjoner og navigasjonshendelser (for eksempel sidebesøk, applikasjonsoppstart og klikk)
En pseudonym brukeridentifikator (et ugjennomsiktig heltall – ikke navn eller e-postadresse)
Brukertype i Cetegra (avledet fra tilgangstillatelser, for eksempel Standardbruker, Avansert bruker eller IT-administrator)
En fanelevetidssesjonsidentifikator (lagret i nettleserens sessionStorage, aldri lagret som informasjonskapsel, slettes når nettleserfanen lukkes)
Tilknyttet leietaker- eller selskapidentifikator

Analysedata samles ikke inn for:

IP-adresser
Nettlesertype eller operativsystem
Henvisende eller avsluttende sider
Skjemainnhold eller fritekst

Analysedata brukes utelukkende til produktforbedring og tjenestekvalitet, og benyttes ikke til markedsføring eller deles med tredjeparter for reklameformål. Analysesporing deaktiveres fullstendig dersom samtykke avslås.

Oppbevaring av analysedata

Rå analysehendelser beholdes i maksimalt 24 måneder, hvoretter de slettes. Aggregert bruksstatistikk (uten kobling til enkeltpersoner) kan beholdes lenger for trend-, kapasitets- og tjenesteforbedring.

7. Dataoppbevaring

Personopplysninger beholdes kun så lenge det er nødvendig for å oppfylle formålene beskrevet i denne personvernerklæringen.

Oppbevaringsperioder varierer avhengig av datatype, inkludert:

Konto- og tilgangsdata
Drifts- og sikkerhetslogger
Supportdata
Bruks- og analysedata

Oppbevaringsperioder er fastsatt i interne oppbevaringsplaner og i gjeldende databehandleravtale. Der Cegal opptrer som databehandler, er oppbevaring styrt av kundens instruksjoner. Data slettes eller anonymiseres når det ikke lenger er nødvendig.

8. Deling av personopplysninger

Personopplysninger deles kun der det er nødvendig for å levere og drifte Cetegra-produktene.

Dette inkluderer deling med:

Skyleverandører
Underdatabehandlere som støtter plattformdrift, sikkerhet og tilgjengelighet

Alle slike parter opptrer som databehandlere eller underdatabehandlere under skriftlige avtaler og med hensiktsmessige sikkerhetstiltak. Personopplysninger selges aldri eller deles for markedsførings- eller reklameformål.

En oppdatert liste over underdatabehandlere er tilgjengelig på forespørsel eller som referert til i gjeldende databehandleravtale.

9. Internasjonale dataoverføringer

Cetegra-plattformen er driftet på Microsoft Azure innenfor Det europeiske økonomiske samarbeidsområdet (EØS). For Cetegra Desktop kan Citrix Cloud-tjenester også benyttes.

Der personopplysninger overføres utenfor EØS, gjennomføres overføringene i samsvar med GDPR kapittel V, ved bruk av hensiktsmessige sikkerhetstiltak som:

EUs standardkontraktsbestemmelser (SCC)
Adekvansavgjørelser der dette er aktuelt

Der det kreves, gjennomføres konsekvensanalyser for overføring (TIA).

10. Sikkerhet ved behandlingen

Cegal implementerer hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger, inkludert:

Tilgangskontroller og rollebaserte tillatelser
Kryptering under overføring og lagring der dette er aktuelt
Logging, overvåkning og prosedyrer for hendelseshåndtering
Separering av kundemiljøer

Ved et brudd på personopplysningssikkerheten vil Cegal varsle den relevante behandlingsansvarlige og tilsynsmyndigheten i samsvar med kravene i GDPR.

11. Den registrertes rettigheter

Der Cegal opptrer som behandlingsansvarlig, har registrerte de rettighetene som følger av GDPR artiklene 12–22, inkludert retten til å:

Få innsyn i personopplysninger
Rette unøyaktige opplysninger
Kreve sletting eller begrensning av behandling
Protestere mot behandling basert på berettigede interesser
Trekke tilbake samtykke der dette er aktuelt

Der Cegal opptrer som databehandler, skal henvendelser rettes til den aktuelle kunden (behandlingsansvarlig). Cegal bistår kunder med å besvare slike henvendelser i henhold til loven.

12. Kontaktopplysninger og personvernombud

Cegal AS Vestre Svanholmen 4 4313 Sandnes Norge

Personvernombud 📧 dpo@cegal.com

Dersom du mener at personopplysninger er behandlet i strid med gjeldende personvernlovgivning, har du rett til å klage til relevant tilsynsmyndighet. I Norge er dette Datatilsynet.

Sist oppdatert: April 2026

Personvernerklæring

1. Innledning og omfang #

2. Roller og ansvar (behandlingsansvarlig og databehandler) #

3. Kategorier av personopplysninger som behandles #

3.1 Bruker- og kontodata #

3.2 Bruks- og tekniske data #

3.3 Support- og driftsdata #

4. Formål med behandlingen #

5. Rettslig grunnlag for behandlingen #

6. Analyse og bruksstatistikk #

Oppbevaring av analysedata #

7. Dataoppbevaring #

8. Deling av personopplysninger #

9. Internasjonale dataoverføringer #

10. Sikkerhet ved behandlingen #

11. Den registrertes rettigheter #

12. Kontaktopplysninger og personvernombud #