Personvernerklæring

SendByggesøknad er behandlingsansvarlig for personopplysninger som behandles i tjenesten.

Vi behandler personopplysninger for følgende formål: • Autentisering av brukere via ID-porten (BankID) • Utfylling og innsending av byggesøknader til kommunen • Sending av digitale nabovarsler via Altinn • Betaling av plattformgebyr via Stripe • Kommunikasjon om søknadsstatus og vedtak

Behandlingen er basert på følgende rettslige grunnlag: • Avtale (GDPR art. 6(1)(b)) — behandling nødvendig for å oppfylle tjenesten du ber om • Rettslig forpliktelse (GDPR art. 6(1)(c)) — plan- og bygningsloven pålegger arkivering av byggesøknader • Berettiget interesse (GDPR art. 6(1)(f)) — sikkerhet, feilretting og forbedring av tjenesten

Vi behandler følgende kategorier personopplysninger: Identifikasjon: Fødselsnummer (fra ID-porten), navn, e-postadresse, telefonnummer Eiendomsdata: Matrikkelinformasjon, adresse, reguleringsplandata Søknadsdata: Tiltaksbeskrivelse, tegninger, dokumenter du laster opp Nabovarsler: Naboliste (navn og adresse til naboer, hentet fra Kartverket) Betalingsdata: Betalingsreferanse og status (kortdetaljer håndteres av Stripe) Tekniske data: IP-adresse, nettleserinformasjon (for sikkerhet og feilsøking) Audit-logg: Tidspunkt og type handling du utfører i tjenesten

Personopplysninger deles med følgende tredjeparter, kun for å levere tjenesten: • ID-porten (Digitaliseringsdirektoratet) — autentisering • Kartverket — eiendoms- og adressedata, naboliste for nabovarsel • Altinn (Digitaliseringsdirektoratet) — sending av nabovarsler • DiBK (Direktoratet for byggkvalitet) — innsending av byggesøknad til kommunen • Stripe — betalingsbehandling (kort og Vipps) Alle tredjeparter er underlagt egne personvernregler og databehandleravtaler. Vi selger aldri personopplysningene dine til tredjeparter.

Personopplysninger lagres så lenge det er nødvendig for formålet: • Aktive søknader: lagres så lenge søknaden er under behandling • Innsendte søknader: arkiveres i 7 år etter vedtak (lovpålagt arkiveringskrav) • Utkast: slettes automatisk etter 1 år uten aktivitet • Audit-logger: slettes etter 7 år • Session-data: slettes automatisk etter 1 time • Betalingsdata: håndteres av Stripe iht. deres retningslinjer Etter utløp av arkiveringsfristen anonymiseres eller slettes dataene automatisk.

Vi tar sikkerhet på alvor og har implementert følgende tiltak: • All kommunikasjon er kryptert med TLS/HTTPS • Sensitive personopplysninger krypteres i databasen (AES-256-GCM) • Tilgangskontroll med autentisering via ID-porten (sikkerhetsnivå 4) • Alle handlinger logges i audit-logg for sporbarhet • Rate limiting og CSRF-beskyttelse mot misbruk • Dokumenter lagres kryptert i S3-kompatibel lagring • Fødselsnummer logges aldri i klartekst

Du har følgende rettigheter under GDPR: Innsyn (art. 15): Du kan be om kopi av alle personopplysninger vi har om deg. Retting (art. 16): Du kan be om at feil i dine personopplysninger rettes. Sletting (art. 17): Du kan be om at dine personopplysninger slettes, med unntak av data som er lovpålagt arkivert. Dataportabilitet (art. 20): Du kan eksportere dine data i et maskinlesbart format (JSON). Begrensning (art. 18): Du kan be om at behandlingen begrenses. Innsigelse (art. 21): Du kan protestere mot behandling basert på berettiget interesse. For å utøve dine rettigheter, bruk funksjonene under «Min profil» i tjenesten.

Du kan selv utøve følgende rettigheter direkte i tjenesten: Eksporter data: Logg inn og gå til /api/bruker/data for å laste ned all din data som JSON. Slett data: Logg inn og send en DELETE-forespørsel til /api/bruker/slett for å slette dine personopplysninger. Innsendte søknader anonymiseres i stedet for å slettes, i tråd med arkiveringskrav. Merk: Etter sletting vil du ikke kunne logge inn eller se dine søknader.

Hvis du mener at vi behandler personopplysningene dine i strid med personopplysningsloven eller GDPR, kan du klage til Datatilsynet: Datatilsynet Postboks 458 Sentrum, 0105 Oslo Telefon: 22 39 69 00 E-post: postkasse@datatilsynet.no www.datatilsynet.no

Vi kan oppdatere denne personvernerklæringen ved behov. Vesentlige endringer vil bli varslet via tjenesten. Siste oppdatering: mars 2026.