Personvernerklæring

Sist oppdatert: 5. juni 2026

1. Hvem vi er

Tjenesten LunaCatch leveres av LunaCatch AS (org.nr 937 802 412). LunaCatch AS er behandlingsansvarlig for personopplysningene som behandles i tjenesten.

Spørsmål om personvern kan rettes til aleks@lunacatch.ai.

2. Hva slags data vi samler inn

  • Konto-data: navn, e-postadresse, kryptert passord (hashing håndteres av Supabase), og bedriftsinformasjon (bedriftsnavn, bransje, språk).
  • Tilkoblings-data: OAuth-tokens for Gmail og Google Calendar (kryptert med AES-256-GCM før lagring) og Telegram-chat-ID for varslinger.
  • Mail-data: innholdet i e-poster fra dine kunder som videresendes til LunaCatch via e-postvideresending du selv setter opp, samt Lunas forslag til svar. LunaCatch leser ikke Gmail-innboksen din – innkommende e-post mottas via videresending, ikke via Googles API. Gmail-tilkoblingen brukes utelukkende til å sende svar du har godkjent.
  • Bruksdata: innlogginger, tidspunkt for handlinger, og hendelser knyttet til kontoen (se «Audit log» under).

3. Hvorfor vi samler det inn

Vi behandler data for å:

  • Levere tjenesten du har bestilt: motta innkommende e-post, foreslå svar, sende svar du godkjenner fra din egen Gmail-konto, og håndtere timeavtaler i din Google-kalender.
  • Forbedre Luna for hver kunde — tonen og eksemplene du angir, brukes kun til å generere svar for din bedrift, aldri til å trene eksterne modeller.
  • Oppfylle juridiske forpliktelser, inkludert bokføring og logging ved sikkerhetshendelser.

4. Hvor lenge vi lagrer data

  • Mail-historikk: 12 måneder, deretter automatisk slettet.
  • Konto-data: så lenge du er kunde, pluss 6 måneder etter at kontoen sies opp eller slettes.
  • Audit log: 24 måneder. Denne loggen overlever en kontosletting fordi norsk lov krever sporbarhet ved sikkerhetshendelser.

5. Hvem som ser dataene dine — underleverandører

Vi bruker følgende databehandlere (subprocessors). Hver av dem har databehandleravtale med oss, og GDPR-grunnlaget er angitt under.

  • Anthropic (USA) — leverer Claude-modellen som genererer Lunas svar. GDPR-grunnlag: Standard Contractual Clauses (SCC) for overføring utenfor EØS.
  • Supabase (EU/Irland) — database, autentisering og tilkobling-tokens. Data lagres i EØS.
  • Vercel (USA/EU) — hosting og kjøretid for portalen. GDPR-grunnlag: SCC for amerikansk infrastruktur, EØS hvor mulig.
  • Google (USA/EU) — Gmail API for å sende dine godkjente svar fra din egen Gmail-konto (vi leser ikke innboksen din), og Google Calendar API for å lese ledig tid og opprette, endre eller slette avtaler i kalenderen din. GDPR-grunnlag: SCC.
  • Mailgun (Sinch, USA/EU) — mottar innkommende e-post som videresendes til LunaCatch, og leverer den til tjenesten for behandling. GDPR-grunnlag: SCC.
  • Telegram (UK) — varsling via bot. GDPR-grunnlag: UK GDPR med tilsvarende beskyttelsesnivå (adequacy decision).

Listen oppdateres dersom vi bytter eller legger til underleverandører. Eksisterende kunder varsles på e-post minst 30 dager før endringen trer i kraft.

6. Bruk av Google-brukerdata (Google API Services)

Når du kobler til Google, ber LunaCatch kun om følgende tilganger (scopes), og bruker dem slik:

  • Sende e-post (gmail.send): sender svar du har godkjent i appen, fra din tilkoblede Google-konto. Vi leser, endrer eller sletter aldri e-post i innboksen din.
  • Lese kalender (calendar.readonly): leser ledig/opptatt-tid for å foreslå ledige timer.
  • Administrere kalenderhendelser (calendar.events): oppretter, oppdaterer og sletter avtaler når en booking lages, endres eller kanselleres.
  • E-postadresse (userinfo.email): identifiserer hvilken Google-konto som er tilkoblet.

Data fra Google lagres kryptert (AES-256-GCM for tokens), behandles kun for å levere funksjonene over, selges aldri, brukes aldri til annonser, og brukes aldri til å trene generelle AI-modeller. Du kan når som helst koble fra Google i LunaCatch (Innstillinger → Tilkoblinger) eller trekke tilgangen via Google-kontoen din; da slettes de lagrede tokenene.

LunaCatch's use and transfer of information received from Google APIs to any other app will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

7. Dine rettigheter under GDPR

  • Rett til innsyn: du kan når som helst laste ned alle dataene vi har lagret om deg via «Eksporter mine data» under Innstillinger.
  • Rett til retting: bedriftsinformasjon og konto-data kan endres under Innstillinger.
  • Rett til sletting: du kan slette kontoen og all tilknyttet data under Innstillinger → Faresone. Audit-loggen overlever sletting i 24 måneder (se punkt 4).
  • Rett til dataportabilitet: eksportverktøyet gir deg en maskinlesbar JSON-fil med alle dine data.
  • Rett til å trekke samtykke: du kan koble fra Gmail, Google Calendar og Telegram, eller pause Luna helt, når som helst.
  • Rett til å klage: du kan klage til Datatilsynet.

8. Sikkerhet

Vi tar sikkerhet på alvor og bruker bransjestandard tiltak:

  • OAuth-tokens (Gmail og Google Calendar) krypteres med AES-256-GCM før lagring. Krypteringsnøklene oppbevares som miljøvariabler og er ikke tilgjengelige fra databasen.
  • All trafikk skjer over HTTPS (TLS).
  • Databasen bruker Row Level Security (RLS), slik at hver kunde kun ser sine egne data.
  • Passord hashes av Supabase i tråd med deres tekniske standarder.

9. Cookies

LunaCatch bruker kun strengt nødvendige cookies:

  • Session-cookies for å holde deg innlogget (Supabase Auth).
  • CSRF-cookies for å beskytte mot forfalskede forespørsler.

Vi bruker ingen sporings-cookies, ingen analytics, og ingen tredjeparts-cookies. Du blir ikke profilert.

10. Endringer i denne erklæringen

Ved vesentlige endringer i denne erklæringen vil eksisterende kunder få beskjed på e-post minst 14 dager før endringen trer i kraft. Mindre språklige justeringer kan gjøres uten varsling.

11. Kontakt

Spørsmål om personvern, datatilgang, sletting eller andre rettigheter etter GDPR kan sendes til aleks@lunacatch.ai. Vi svarer normalt innen 5 virkedager.