Datarettigheter og eksport
Slik utøver du dine rettigheter etter personopplysningsloven og GDPR (forordning EU 2016/679), og hvordan kundene eksporterer sin organisasjons data.
Kort fortalt: Brukere kan be om innsyn, retting eller sletting av sine personopplysninger ved å kontakte sin arbeidsgiver (behandlingsansvarlig). Kunder (arbeidsgivere) kan eksportere all sin organisasjons-data i CSV/JSON via admin-dashboardet eller på forespørsel.
1. Hvem behandler dine personopplysninger?
Når DigiReq tas i bruk av en kommune eller et kommunalt foretak, er det forskjellige roller etter GDPR art. 4:
- Behandlingsansvarlig: din arbeidsgiver — beslutter formål og midler for behandlingen
- Databehandler: Påvakt AS / DigiReq — behandler opplysningene på vegne av din arbeidsgiver i tråd med databehandleravtalen
Dette betyr at du som ansatt bør først kontakte din arbeidsgiver ved spørsmål om dine personopplysninger. Vi (DigiReq) kan ikke utlevere eller endre opplysninger uten instruks fra din arbeidsgiver.
2. Dine rettigheter (GDPR art. 15-22)
2.1 Innsyn (art. 15)
Du har rett til å vite hvilke personopplysninger vi behandler om deg, hvorfor, hvor lenge vi oppbevarer dem, og hvem vi deler dem med. Detaljert oversikt finner du i personvernerklæringen.
Praktisk: Be din arbeidsgivers admin om å hente ut data knyttet til ditt brukernavn fra admin-dashboardet. Dette inkluderer ditt navn, telefonnummer, rolle, og alle rekvisisjoner du har opprettet eller godkjent.
2.2 Retting (art. 16)
Hvis opplysninger om deg er feilaktige, har du rett til å få dem rettet.
Praktisk: Be din arbeidsgivers admin om å oppdatere opplysninger via admin-dashboardet. Du kan også selv oppdatere ditt eget navn ved første innlogging.
2.3 Sletting / "rett til å bli glemt" (art. 17)
Du har rett til å få personopplysninger slettet under visse omstendigheter.
Begrensninger for DigiReq:
- Rekvisisjoner: oppbevares 5 år iht. bokføringsloven §13 — kan ikke slettes på forespørsel, da det er regnskaps-bilag
- Audit-logg: oppbevares 12 måneder, deretter automatisk slettet via cron-jobb. Kan ikke slettes tidligere fordi den er sikkerhets-bevis
- Brukerprofil (navn, telefon): kan deaktiveres umiddelbart og slettes etter regnskaps-retentionsperioden
Sletting håndteres innen 30 dager fra forespørsel (per personvernerklæring §5).
2.4 Begrensning av behandling (art. 18)
Du kan be om at behandlingen begrenses dersom du bestrider riktigheten av opplysningene, behandlingen er ulovlig, eller du har innsigelser.
2.5 Dataportabilitet (art. 20)
Du har rett til å motta dine personopplysninger i et strukturert, vanlig og maskinlesbart format. DigiReq leverer JSON eller CSV på forespørsel.
2.6 Innsigelse (art. 21)
Du kan komme med innsigelse mot behandling som er basert på vår berettigede interesse. DigiReq bruker behandlingen på rettslig grunnlag "avtale" (art. 6 nr. 1 bokstav b) — innsigelse er begrenset.
2.7 Automatiske avgjørelser og profilering (art. 22)
DigiReq tar ingen automatiske avgjørelser med rettsvirkninger for deg. Auto-godkjenning av rekvisisjoner under terskel er en konfigurasjons-beslutning din arbeidsgiver tar — ikke profilering eller maskin-læring fra vår side.
3. Slik utøver du rettighetene
3.1 Som ansatt / sluttbruker
- Kontakt først din arbeidsgivers personvernombud eller HR-avdeling
- Hvis det ikke fører frem, eller hvis du er usikker, kontakt oss på personvern@digireq.no
- Vi videresender forespørselen til din arbeidsgiver (behandlingsansvarlig) innen 5 virkedager
- Behandlingsansvarlig svarer deg innen 30 dager
3.2 Som kunde (admin/behandlingsansvarlig)
For å hente ut dine organisasjons data:
- Selvbetjent eksport: via admin-dashboardet (knapp "Eksporter alt" under Innstillinger — kommer i Q3 2026; inntil da via API)
- API-tilgang: JSON-eksport via
/admin/export-endepunkt (krever admin-bearer-token) - Forespørsel til oss: e-post til personvern@digireq.no, vi leverer innen 10 virkedager
Eksport-formater: JSON (standard), CSV (på forespørsel for tabell-format).
4. Hva som inngår i en eksport
- Brukerprofiler: navn, telefon, e-post, rolle, avdeling, status (aktiv/inaktiv), opprettet-tidspunkt
- Rekvisisjoner: alle felt (nummer, opprettet, beløp, beskrivelse, butikk, godkjenner, status, audit-tidsstempler)
- Avdelinger og terskler: konfigurasjon for auto-godkjenning og kostnadssted-mapping
- Audit-logg: alle audit-rader for organisasjonen (med tids-/IP-data)
- EHF-leveranse-status: hvilke ordrer er sendt, til hvilken kanal, med hvilke resultat
5. Sletting ved avtale-opphør
Ved avtale-opphør (per SaaS-avtale §15):
- Du har 30 dager til å hente ut data i CSV/JSON, kostnadsfritt
- Ved auto-pause etter ubekreftet trial: data bevares i 90 dager før permanent sletting
- Endelig sletting senest 90 dager etter avtale-opphør eller utløp av pause-vindu
- Unntak: audit-loggdata bevares 12 måneder for regnskaps-/personvern-forpliktelser; backup-data overskrives etter normal rotasjon (maks 90 dager)
- Sletting dokumenteres i sletter-rapport ved forespørsel
6. Klagerett
Hvis du mener at vår behandling av dine personopplysninger ikke er i tråd med personvernforordningen, har du rett til å klage til Datatilsynet:
- Nettside: datatilsynet.no
- Klage-skjema: datatilsynet.no/melde-fra/klage
7. Kontakt
- Personvern-spørsmål: personvern@digireq.no
- Generell kontakt: info@digireq.no
- Sikkerhetsrelaterte spørsmål: sikkerhet@digireq.no
Se også personvernerklæringen, databehandleravtalen og underleverandør-listen.