Personvernerklæring

Sist oppdatert: 28. april 2026

Hvem denne erklæringen gjelder for

Denne erklæringen beskriver hvordan vi behandler personopplysninger om studioeiere og administratorer som bruker Class Booking-plattformen. Hvis du er sluttkunde (medlem, deltaker, klient) hos et studio som bruker Class Booking, henviser vi til det aktuelle studioets egen personvernerklæring — studioet er behandlingsansvarlig for sine medlemmer.

1. Behandlingsansvarlig

Class Booking er behandlingsansvarlig for personopplysningene vi samler inn om deg som bruker av plattformen. «Vi», «oss» og «vår» viser til enheten nedenfor.

Class Booking

Drives av Nahbo ApS

Danmark

Dansk foretaksnummer (CVR): 45880583

E-post: [email protected]

Du kan når som helst kontakte oss med spørsmål om hvordan vi behandler personopplysningene dine.

Vi har ikke utnevnt et personvernombud (DPO), da behandlingen vår ikke oppfyller kriteriene i art. 37 GDPR. For personvernspørsmål kan du også nå personvernteamet vårt på [email protected] — vi svarer innen 30 dager.

2. Hvilke personopplysninger vi samler inn

2.1 Kontoopplysninger (studioeiere og administratorer)

Når du oppretter en studiokonto hos Class Booking, samler vi inn:

  • Administratorens navn og e-postadresse
  • Studioets navn og kontaktopplysninger
  • Organisasjonsnummer (valgfritt, brukes til fakturering)
  • Passord (lagret kryptert med bcrypt — vi ser det aldri i klartekst)
  • Telefonnummer (valgfritt)

2.2 Betalingsopplysninger

For abonnementsfakturering behandler vi:

  • Fakturaadresse
  • Betalingshistorikk og abonnementsstatus

Viktig: vi lagrer aldri kortopplysninger. Alle kortbetalinger håndteres av Stripe, som er PCI DSS-sertifisert. Vi mottar kun en referanse til transaksjonen.

2.3 Tekniske opplysninger

Når du bruker plattformen samler vi automatisk inn:

  • IP-adresse (for sikkerhet og feilsøking)
  • Nettlesertype og enhetsinformasjon
  • Påloggingstidspunkter og aktivitetstidsstempler
  • Sidevisninger og bruk av funksjoner

2.4 Opplysninger du laster opp

  • Logoer og bilder for merkevareprofil
  • Nettstedsinnhold (tekst, klassemaler)
  • Juridiske dokumenter du oppretter i plattformen

2.5 Kilder til opplysninger

Vi samler inn personopplysninger primært direkte fra deg. I følgende tilfeller mottar vi opplysninger fra tredjeparter:

  • Google OAuth: hvis du logger inn med Google, mottar vi navn, e-postadresse og profilbilde fra Google.
  • Stripe: når du kobler til en Stripe-konto for å motta betalinger fra medlemmene dine, mottar vi grunnleggende virksomhetsopplysninger og onboarding-status.

3. Formål og rettslig grunnlag for behandlingen

Vi behandler kun personopplysninger der vi har et rettslig grunnlag etter art. 6 GDPR. Tabellen nedenfor oppsummerer formålene og tilhørende rettslig grunnlag:

FormålRettslig grunnlag (GDPR)
Levering og drift av tjenestenOppfyllelse av avtale (art. 6 nr. 1 b GDPR)
Behandling av betalinger og utstedelse av fakturaerOppfyllelse av avtale (art. 6 nr. 1 b GDPR)
Utsendelse av tjenestemeldinger (nedetid, produktoppdateringer, sikkerhet)Oppfyllelse av avtale (art. 6 nr. 1 b GDPR)
Forbedring og videreutvikling av plattformenBerettiget interesse (art. 6 nr. 1 f GDPR)
Forebygging av svindel og misbruk av plattformenBerettiget interesse (art. 6 nr. 1 f GDPR)
Oppfyllelse av lovbestemte bokføringsplikterRettslig forpliktelse (art. 6 nr. 1 c GDPR)
Markedsførings-e-poster og nyhetsbrevSamtykke (art. 6 nr. 1 a GDPR)

3.1 Berettiget interesse — interesseavveining

Der vi støtter oss på berettiget interesse, har vi veid våre interesser opp mot dine rettigheter og friheter. Oversikten nedenfor viser de viktigste vurderingene:

Forbedring og videreutvikling av plattformen

  • Vår interesse: sikre plattformens stabilitet, identifisere feil og optimalisere brukeropplevelsen.
  • Omfang av behandlingen: aggregert og anonymisert bruksstatistikk (sidevisninger, feillogger).
  • Ditt perspektiv: minimal innvirkning på personvernet ettersom dataene er anonymisert.
  • Konklusjon: behandlingen er nødvendig og forholdsmessig.

Forebygging av svindel og misbruk

  • Vår interesse: beskytte plattformen og brukerne mot misbruk, hacking og svindel.
  • Omfang av behandlingen: IP-adresser, påloggingsstempler, mislykkede påloggingsforsøk.
  • Ditt perspektiv: beskyttelse mot uautorisert tilgang til kontoen din.
  • Konklusjon: behandlingen er i både vår og din interesse.

Du har rett til å protestere mot behandling som er basert på berettiget interesse i henhold til art. 21 GDPR. Kontakt oss på [email protected].

4. Lagringstid

DatatypeLagringstid
KontoopplysningerSå lenge kontoen er aktiv, pluss 30 dager etter avslutning
Fakturaer og betalingsoppføringer5 år (dansk bokføringslov — lovbestemt krav for fakturaer)
Påloggingshistorikk12 måneder
Tekniske logger90 dager
AI-assistent-samtaler (admin-chat)30 dager
Sikkerhetskopier30 dager etter sletting

5. Deling av opplysninger med tredjeparter

Vi deler kun opplysningene dine med pålitelige tredjeparter der det er nødvendig for å levere tjenesten. Hver av disse er engasjert i henhold til en skriftlig databehandleravtale i samsvar med art. 28 GDPR.

5.1 Underleverandører

LeverandørFormålPlassering
Hetzner Online GmbHServerhosting og sikkerhetskopierTyskland (EU)
Stripe, Inc.Abonnementsfakturering (din betaling til Class Booking)USA (EU-US Data Privacy Framework)
Resend, Inc.Levering av transaksjons-e-postEU
Europeisk SMS-gateway-leverandørUtsendelse av SMS-varsler (når aktivert)EU
Pusher (Sinch Communications)Sanntidskommunikasjon (live chat)EU / Storbritannia
The Rocket Science Group LLC (Mailchimp)Synkronisering av nyhetsbrevliste (valgfritt)USA (EU-US Data Privacy Framework)
Anthropic PBCAI-assistent for adminhjelp i produktet (Claude API)USA (standardkontraktklausuler + EU-US Data Privacy Framework)

5.2 Internasjonale overføringer

Noen av våre underleverandører (for eksempel Stripe og Anthropic) kan overføre personopplysninger til USA. Slike overføringer skjer på grunnlag av en eller flere av følgende garantier etter kapittel V GDPR:

  • Et beslutning om tilstrekkelig beskyttelsesnivå fra Europakommisjonen (for tiden EU-US Data Privacy Framework for deltakende amerikanske mottakere), eller
  • Europakommisjonens standardkontraktklausuler (SCC), supplert ved behov med ytterligere tekniske og organisatoriske tiltak.

Du kan be om en kopi av de relevante overføringsgarantiene ved å sende e-post til [email protected].

5.3 Vi selger aldri opplysningene dine

Vi selger, leier ut eller utleverer aldri personopplysningene dine til tredjeparter for deres egne markedsføringsformål.

5.4 AI-assistent (Class Booking Assistant)

I adminpanelet tilbyr vi en AI-assistent som kan svare på spørsmål om hvordan systemet brukes. Når en administrator sender en melding til assistenten, videresendes meldingen til Anthropic PBC (leverandør av Claude API), som genererer et svar. Rettslig grunnlag: berettiget interesse (art. 6 nr. 1 f GDPR) — for å yte produktstøtte.

  • Anthropic bruker ikke meldingene dine til å trene modellene sine (kommersielt API, i henhold til Anthropics kommersielle vilkår).
  • Vi logger samtalene i 30 dager for feilsøking og kvalitetssikring. Etter dette slettes de automatisk.
  • Class Bookings plattformadministratorer kan få tilgang til loggene innenfor samme 30-dagers vindu.
  • Unngå å oppgi sensitive personopplysninger (fødselsnummer, helseopplysninger, økonomiske opplysninger) i samtalen — assistenten trenger dem ikke for å hjelpe deg med produktfunksjonene.

6. Dine rettigheter som registrert

Etter GDPR (art. 15-22) har du følgende rettigheter:

Rett til innsyn (art. 15)

Du kan spørre oss om hvilke personopplysninger vi behandler om deg og få en kopi.

Rett til retting (art. 16)

Du kan få uriktige opplysninger rettet og ufullstendige opplysninger supplert.

Rett til sletting (art. 17 — «retten til å bli glemt»)

I visse tilfeller kan du få personopplysningene dine slettet. Vær oppmerksom på at denne retten ikke er absolutt — lovbestemte bokføringsplikter kan for eksempel kreve at vi oppbevarer visse fakturaopplysninger i 5 år.

Rett til begrensning (art. 18)

I visse tilfeller kan du få behandlingen av opplysningene dine begrenset.

Rett til dataportabilitet (art. 20)

Du kan motta opplysningene dine i et strukturert, alminnelig anvendt og maskinlesbart format og overføre dem til en annen behandlingsansvarlig.

Rett til å protestere (art. 21)

Du kan protestere mot behandling som er basert på berettiget interesse, inkludert profilering.

Rett til å trekke tilbake samtykke

Der behandlingen er basert på samtykke, kan du trekke det tilbake når som helst. Tilbaketrekkingen påvirker ikke lovligheten av behandling som er utført før tilbaketrekkingen.

For å utøve noen av disse rettighetene, kontakt oss på [email protected]. Vi svarer innen 30 dager. Utøvelse av rettighetene dine er gratis med mindre forespørslene er åpenbart grunnløse eller overdrevne.

7. Informasjonskapsler og sporing

7.1 Strengt nødvendige informasjonskapsler

Vi bruker følgende strengt nødvendige informasjonskapsler, som ikke krever samtykke etter ePrivacy-direktivet:

  • Øktinformasjonskapsel: holder deg innlogget.
  • CSRF-token: beskytter mot cross-site request forgery.
  • Språkpreferanse: husker språket du har valgt.

7.2 Analyse-informasjonskapsler (krever samtykke)

Vi bruker Google Analytics for å forstå hvordan plattformen brukes. Disse informasjonskapslene settes først etter at du har gitt samtykke via informasjonskapselbanneret.

7.3 Markedsføringsinformasjonskapsler (krever samtykke)

Vi bruker Google Ads for å måle effektiviteten av annonseringen vår. Disse informasjonskapslene settes kun med samtykke fra deg.

Se vår informasjonskapselerklæring for en fullstendig liste over informasjonskapslene vi bruker.

8. Sikkerhet

Vi tar datasikkerhet på alvor og har innført følgende tekniske og organisatoriske tiltak:

  • Kryptering under overføring: all trafikk krypteres med TLS 1.3.
  • Kryptering i hvile: sensitive data krypteres i hvile.
  • Passordhashing: bcrypt med tilstrekkelig kostfaktor.
  • Tilgangskontroll: rollebasert tilgangskontroll og fullstendige revisjonslogger.
  • Rate limiting: beskyttelse mot brute force- og tjenestenektangrep.
  • SQL-injeksjonsbeskyttelse: parameteriserte spørringer via Prisma ORM.
  • XSS-beskyttelse: rensing av input og en streng Content Security Policy.
  • Patchhåndtering: regelmessige sikkerhetsoppdateringer av alle avhengigheter og basisbilder.
  • Sikkerhetskopier: daglige automatiske sikkerhetskopier med kryptert lagring.

9. Brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten som sannsynligvis medfører en risiko for dine rettigheter og friheter, vil vi varsle vedkommende tilsynsmyndighet innen 72 timer og informere berørte brukere uten unødig opphold, i henhold til art. 33 og 34 GDPR.

10. Opplysninger om barn

Class Booking-plattformen er rettet mot virksomheter og er ikke ment for barn under 18 år. Vi samler ikke bevisst inn personopplysninger fra barn. Hvis du blir oppmerksom på at et barn har gitt oss personopplysninger, kontakt oss, så sletter vi dem.

11. Automatiserte avgjørelser og profilering

Class Booking treffer ingen automatiserte avgjørelser som har rettsvirkning eller på lignende måte i betydelig grad påvirker deg, inkludert profilering som definert i art. 22 GDPR.

Vi bruker grunnleggende analyser for å forstå hvordan plattformen brukes (for eksempel hvilke funksjoner som brukes mest), men dette brukes aldri til å ta avgjørelser om enkeltbrukere.

12. Endringer i denne erklæringen

Vi oppdaterer denne personvernerklæringen ved behov. Ved vesentlige endringer varsler vi deg på e-post minst 14 dager før endringen trer i kraft. Datoen for siste oppdatering vises øverst på denne siden.

13. Slik klager du

Hvis du mener at vi behandler personopplysningene dine ulovlig, har du rett til å klage til en tilsynsmyndighet. Fordi Nahbo ApS er etablert i Danmark, er danske Datatilsynet vår ledende tilsynsmyndighet. Personer bosatt i EU/EØS kan også klage til tilsynsmyndigheten i det landet der de bor eller arbeider.

Datatilsynet (Danmarks datatilsynsmyndighet)

Carl Jacobsens Vej 35

2500 Valby, Danmark

Telefon: +45 33 19 32 00

E-post: [email protected]

Web: www.datatilsynet.dk/english

En oversikt over alle nasjonale datatilsynsmyndigheter i EU/EØS er tilgjengelig hos Det europeiske personvernrådet på edpb.europa.eu.

14. Kontakt

Har du spørsmål om denne personvernerklæringen eller om hvordan vi behandler personopplysningene dine?

Class Booking

Drives av Nahbo ApS

Danmark

CVR: 45880583

Personvernhenvendelser: [email protected]

Personvern (DPO-postkasse): [email protected]

Generell support: [email protected]

Web: class-booking.com

Personvernerklæring — Class Booking