Personvernerklæring for MeetFlow

Sist oppdatert: 10. februar 2026

1. Innledning

LYT AS («vi», «oss», «vår») respekterer ditt personvern og forplikter seg til å beskytte dine personopplysninger. Denne personvernerklæringen forklarer hvordan vi samler inn, bruker, lagrer og beskytter dine opplysninger når du bruker MeetFlow-tjenesten («Tjenesten»).

Denne erklæringen er utformet i samsvar med EUs personvernforordning (GDPR) og norsk personopplysningslov.

2. Behandlingsansvarlig

LYT AS

Organisasjonsnummer: 932 759 942

Adresse: Sikveien 2, 1481 Hagan

E-post: lob@lyt.no

Telefon: +47 400 18 440

Nettside: www.meetflow.no

Kontaktperson for personvern: Lars Ove Brenna, daglig leder.

3. Hvilke opplysninger vi samler inn

3.1 Kontoopplysninger

  • Fornavn og etternavn
  • E-postadresse
  • Passord (lagres kun som bcrypt-hashet verdi — vi har aldri tilgang til ditt passord i klartekst)
  • Organisasjonstilknytning (valgfritt)
  • Språkpreferanser

3.2 Møtedata — generelle møter

  • Lydopptak (streames direkte til talegjenkjenning — lyddata lagres ikke permanent hos oss)
  • Transkriberte tekster (tale-til-tekst)
  • AI-genererte oppsummeringer og analyser
  • Møtemetadata (tittel, dato, varighet)

3.3 Møtedata — medisinske konsultasjoner (helsemaler)

  • Medisinsk lydstrøm (streames til Corti.ai for medisinsk transkripsjon)
  • SOAP-notater og journalstruktur generert av AI

Viktig: Helsedata fra medisinske maler lagres aldri permanent i MeetFlow. All data slettes umiddelbart etter prosessering. Brukeren mottar resultatet i sanntid, men ingenting lagres på våre servere.

3.4 Betalingsinformasjon

  • Stripe customer-ID
  • Abonnementsstatus og plantype
  • Fakturadata (beløp, dato, MVA)

Vi ser aldri og lagrer aldri kortnummer. All kortbehandling skjer direkte hos Stripe (PCI DSS Level 1-sertifisert).

3.5 Tekniske opplysninger

  • Informasjonskapsler for sesjonshåndtering
  • Tidsstempler for innlogging og aktivitet
  • Bruksstatistikk (minuttforbruk for kvoteberegning)

4. Formål med behandlingen

Vi behandler dine personopplysninger for følgende formål:

4.1 Levering av tjenesten

  • Opprette og administrere din brukerkonto
  • Utføre sanntids transkribering og AI-analyse av møter
  • Levere personaliserte møteoppsummeringer og innsikter
  • Administrere prosjekter og kunnskapsbank

4.2 Betaling og fakturering

  • Behandle abonnementsbetalinger via Stripe
  • Beregne og fakturere eventuelt overforbruk av minutter
  • Oppfylle regnskapskrav etter bokføringsloven

4.3 Drift og sikkerhet

  • Sikre tjenestens tilgjengelighet og stabilitet
  • Forebygge misbruk og uautorisert tilgang
  • Feilsøking og kvalitetsforbedring

4.4 Juridiske forpliktelser

  • Oppfylle bokføringskrav (bokføringsloven § 13)
  • Overholde skatte- og avgiftslovgivning
  • Dokumentere samtykke (GDPR art. 7)

5. Behandlingsgrunnlag

Vår behandling av personopplysninger baserer seg på følgende rettslige grunnlag i GDPR:

BehandlingsgrunnlagBrukes til
Art. 6(1)(b) AvtaleLevering av tjenesten, kontoadministrasjon, møtetranskribering, AI-analyse, prosjekthåndtering
Art. 6(1)(c) Rettslig forpliktelseBokføring og fakturadokumentasjon, samtykkeregistrering, aldersverifisering
Art. 6(1)(f) Berettiget interesseSikkerhetslogging, bruksstatistikk, BRREG-oppslag for organisasjonsverifisering
Art. 9(2)(h) HelsetjenesterMedisinsk transkripsjon og SOAP-notater (helsemaler) — kun når brukeren aktivt velger medisinske maler

For behandling av særlige kategorier personopplysninger (helsedata) gjelder:

  • Brukeren velger aktivt å benytte medisinske maler
  • Data prosesseres kun for å levere den medisinske tjenesten
  • Helsedata lagres aldri permanent — slettes umiddelbart etter prosessering

6. Databehandlere og tredjeparter

Vi benytter følgende databehandlere for å levere tjenesten:

6.1 Databehandlere i EU/EØS

DatabehandlerFormålLokasjonDPA
MongoDB Atlas (AWS)Database for brukerdata, møter og prosjekterAWS Stockholm, Sverige (eu-north-1)Ja
Google Cloud PlatformBackend-server (Cloud Run), tale-til-tekst (Speech-to-Text), AI-analyse (Gemini)Google Cloud, europe-west1 (Belgia)Ja
Corti.aiMedisinsk tale-til-tekst for helsemalerEU (api.eu.corti.app)Ja

6.2 Databehandlere utenfor EU/EØS

DatabehandlerFormålLokasjonOverføringsgrunnlag
Stripe Inc.Betalingshåndtering, abonnementer og faktureringUSAStandard Contractual Clauses (SCCs) + Stripes Binding Corporate Rules. PCI DSS Level 1.
Vercel Inc.Frontend-hosting og CDNUSA (med edge-noder i EU)Standard Contractual Clauses (SCCs). Serverless functions og edge-prosessering skjer primært via EU-noder.

6.3 Offentlige registre

Brønnøysundregistrene (BRREG): Oppslag av organisasjonsnummer og firmainfo ved registrering. Offentlig tilgjengelig informasjon — ingen DPA nødvendig.

Alle databehandlere er kontraktuelt forpliktet til å beskytte dine opplysninger i samsvar med GDPR. Vi inngår databehandleravtale (DPA) med alle leverandører.

Google Cloud AI: Google bruker ikke kundedata til å trene sine AI-modeller, jf. Google Cloud Data Processing Addendum.

7. Datalagring og sikkerhet

7.1 Lagringslokasjon

All primær datalagring skjer innenfor EU/EØS:

  • Database: MongoDB Atlas, AWS Stockholm, Sverige (eu-north-1)
  • Backend-server: Google Cloud Run, europe-west1 (Belgia)
  • Tale-til-tekst: Google Cloud Speech-to-Text, europe-west1
  • AI-analyse: Google Gemini, EU-region
  • Medisinsk transkripsjon: Corti.ai, EU

Unntak: Betalingsdata behandles av Stripe (USA) og frontend hostes av Vercel (USA med EU edge), begge med Standard Contractual Clauses som overføringsgrunnlag.

7.2 Sikkerhetstiltak

Vi benytter bransjestandard sikkerhetstiltak for å beskytte dine personopplysninger, herunder:

  • Kryptering av all dataoverføring (i transit) og lagret data (at rest)
  • Sikker hashing av passord — vi har aldri tilgang til ditt passord i klartekst
  • Sesjonsbasert autentisering med krypterte informasjonskapsler
  • Rollebasert tilgangskontroll for organisasjoner og prosjekter
  • Overvåking og logging av sikkerhetshendelser
  • Regelmessig gjennomgang og oppdatering av sikkerhetstiltak

7.3 Lagringsperioder

DatatypeLagringsperiode
KontoopplysningerSå lenge kontoen er aktiv. Slettes ved forespørsel om kontosletting.
Møtedata (generelle)365 dager etter møtedato. Brukeren kan slette manuelt før dette.
Møtedata (helsemaler)Aldri lagret — slettes umiddelbart etter prosessering
AI-konteksthistorikk30 dager
Session-tokens24 timer (access token), 7 dager (refresh token)
Sikkerhetslogger90 dager
Fakturadata5 år etter regnskapsårets slutt (bokføringsloven § 13)
Samtykkedokumentasjon5 år etter samtykketidspunkt

8. Dine rettigheter

I henhold til GDPR har du følgende rettigheter:

8.1 Rett til innsyn (art. 15)

Du har rett til å få vite hvilke opplysninger vi behandler om deg og få utlevert en kopi.

8.2 Rett til retting (art. 16)

Du kan kreve at unøyaktige opplysninger rettes eller at ufullstendige opplysninger kompletteres.

8.3 Rett til sletting (art. 17)

Du kan kreve at vi sletter opplysningene dine. Unntak gjelder for data vi er lovpålagt å beholde (f.eks. fakturadata i 5 år).

8.4 Rett til dataportabilitet (art. 20)

Du kan få dine opplysninger utlevert i et strukturert, maskinlesbart format.

8.5 Rett til å protestere (art. 21)

Du kan motsette deg behandling basert på berettiget interesse. Vi vil da vurdere om vår interesse veier tyngre enn dine rettigheter.

8.6 Rett til begrensning (art. 18)

Du kan kreve at behandlingen begrenses i visse situasjoner, for eksempel mens vi vurderer en innsigelse.

8.7 Tilbaketrekking av samtykke

Du kan når som helst trekke tilbake samtykke til behandling av dine opplysninger. Dette påvirker ikke lovligheten av behandling som allerede har funnet sted.

For å utøve dine rettigheter, kontakt oss på lob@lyt.no. Vi svarer innen 30 dager.

9. Informasjonskapsler (cookies)

Vi bruker kun nødvendige informasjonskapsler for å sikre tjenestens funksjonalitet:

CookieFormålVarighet
Session-cookieAutentisering og innloggingUtløper ved lukking av nettleser eller etter 24 timer
PreferansecookieLagre språkvalg og innstillingerTil brukeren sletter den

Vi bruker ikke:

  • Markedsføringscookies
  • Tredjeparts sporingsverktøy
  • Analyseverktøy som Google Analytics

10. Barn og personvern

MeetFlow-tjenesten er rettet mot profesjonelle brukere og er ikke beregnet for barn. I henhold til norsk personopplysningslov og GDPR art. 8 kreves det at brukere er minst 16 år for å opprette en konto.

Hvis vi blir oppmerksom på at en bruker under 16 år har opprettet konto uten foresattes samtykke, vil vi slette kontoen og tilhørende data umiddelbart.

11. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen. Vesentlige endringer vil bli kommunisert med 30 dagers forhåndsvarsel via e-post.

Vi anbefaler at du regelmessig gjennomgår denne erklæringen. Dato for siste oppdatering fremgår øverst i dokumentet.

12. Klagerett

Hvis du mener vi behandler dine personopplysninger i strid med personvernregelverket, kan du klage til:

Datatilsynet

Postboks 458 Sentrum, 0105 Oslo

Telefon: 22 39 69 00

E-post: postkasse@datatilsynet.no

Vi ber deg om å kontakte oss først, slik at vi kan forsøke å løse saken direkte.

13. Kontakt oss

For spørsmål om denne personvernerklæringen eller dine personopplysninger:

LYT AS

E-post: lob@lyt.no

Telefon: +47 400 18 440

Adresse: Sikveien 2, 1481 Hagan

Viktig informasjon om møteopptak

Du er ansvarlig for å sikre at alle møtedeltakere har gitt samtykke til opptak og transkribering før du starter MeetFlow-tjenesten. Vi anbefaler alltid å informere om opptak i starten av møtet og få eksplisitt bekreftelse fra alle deltakere.

Ved bruk av medisinske maler er du som helsepersonell ansvarlig for å overholde gjeldende helsepersonellov og pasientrettighetslov, herunder informasjonsplikten overfor pasienten.