← Tilbage til forsiden

Privatlivspolitik

Senest opdateret: 18. februar 2026

1. Dataansvarlig

Den dataansvarlige for behandling af dine personoplysninger er:

The Money I'm Holding ApS
CVR-nr.: 36737794
Website: findkvittering.dk
E-mail: privacy@findkvittering.dk

2. Oplysninger vi indsamler

Vi indsamler og behandler følgende kategorier af personoplysninger:

2.1 Kontodata

  • E-mailadresse
  • Navn
  • Organisationstilhørsforhold

Disse oplysninger indsamles via vores autentificeringstjeneste (Clerk) ved oprettelse af din konto.

2.2 Banktransaktioner

  • Transaktionsdato
  • Beløb
  • Beskrivelse/tekst
  • Valuta

Disse oplysninger indsamles enten via CSV-upload eller via Open Banking-integration (Aiia/Mastercard).

2.3 Gmail-data

  • E-mail-metadata (afsender, emne, dato)
  • Vedhæftninger (kvitteringer og fakturaer)

Vi har udelukkende skrivebeskyttet adgang til din Gmail-konto. Vi søger kun efter e-mails, der er relevante for kvitteringer og fakturaer. Vi læser, redigerer eller sletter ikke dine øvrige e-mails.

2.4 Betalingsdata

  • Abonnementsstatus
  • Faktureringshistorik
  • Forbrug af kreditter

Betalingsdata behandles af Stripe. Vi gemmer ikke fulde kreditkortnumre.

2.5 Regnskabsdata

  • Bogføringsdata eksporteret til E-conomic
  • Kontoplan og momsindstillinger

2.6 Brugsdata

  • Audit log over handlinger i systemet
  • Matchinghistorik
  • Fejlrapporter

3. Retsgrundlag (GDPR Art. 6)

Vi behandler dine personoplysninger på følgende retsgrundlag:

3.1 Kontraktopfyldelse (Art. 6, stk. 1, litra b)

  • Levering af abonnementstjenesten
  • Matching af transaktioner med kvitteringer
  • Fakturering og betaling

3.2 Samtykke (Art. 6, stk. 1, litra a)

  • Adgang til din Gmail-konto
  • Tilknytning af bankkonto via Open Banking
  • Eksport af data til E-conomic

Du kan til enhver tid tilbagekalde dit samtykke. Tilbagekaldelse påvirker ikke lovligheden af behandling foretaget inden tilbagekaldelsen.

3.3 Legitim interesse (Art. 6, stk. 1, litra f)

  • Fejlfinding og systemoptimering
  • Systemsikkerhed og forebyggelse af misbrug
  • Anonymiseret statistik til forbedring af tjenesten

4. Tredjeparter og datadeling

Vi deler dine data med følgende tredjeparter, som fungerer som databehandlere:

TjenesteFormålLokation
ClerkAutentificering og brugerstyringEU/US
StripeBetalingshåndtering og abonnementUS
Google Gmail APISøgeforespørgsler sendes til Gmail for at hente kvitteringsmails (skrivebeskyttet)US
OpenRouter / AnthropicAI-baseret matching af transaktionerUS
LangFuseFejlfinding og overvågning (selvhostet)EU (egen server)
Visma E-conomicRegnskabseksport og bogføringEU
PostHogCookieløs webanalyse til tjenesteforbedringEU
Aiia / MastercardOpen Banking-integrationEU

Vi har indgået databehandleraftaler med alle relevante tredjeparter.

5. Datasikkerhed

Vi anvender en række tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger og følsomme data:

5.1 Kryptering

  • Feltniveau-kryptering: Personhenførbare oplysninger (e-mail, navn, e-mail-metadata) krypteres individuelt med AES-256-GCM via HashiCorp Vault Transit. Applikationen har aldrig adgang til de rå krypteringsnøgler.
  • OAuth-tokens: Alle integrations-tokens krypteres ved opbevaring via Vault Transit.
  • Transport: Al datakommunikation er krypteret med TLS 1.3.
  • Database: Hele databasen er krypteret på diskniveau.

5.2 Adgangskontrol

  • Rollebaseret adgangskontrol (RBAC): Data er isoleret pr. organisation med flerlagede adgangsrettigheder.
  • Autentificering: Håndteres af Clerk, som er SOC 2 Type II-certificeret.
  • Forstærket godkendelse: Destruktive handlinger kræver nylig sessionsbekræftelse.
  • Hastighedsbegrænsning: Alle API-endpoints er beskyttet mod misbrug med hastighedsbegrænsning.

5.3 Revision og overvågning

  • Alle dataadgange og handlinger logges i en omfattende revisionslog.
  • Følsomme felter udelukkes fra logfiler.
  • Procedurer for brudsdetektion og hændelseshåndtering er etableret.

5.4 Infrastruktursikkerhed

  • Applikationen kører i containers uden root-rettigheder.
  • Content Security Policy (CSP) med unikke nonces pr. forespørgsel.
  • HTTP Strict Transport Security (HSTS) med preload.
  • Ingen hardcodede hemmeligheder — alle credentials styres via miljøvariabler.

5.5 Beskyttelse af Gmail-data

  • Vi har udelukkende skrivebeskyttet adgang (gmail.readonly).
  • E-mail-indhold gemmes ikke permanent — kun metadata (afsender, emne) opbevares.
  • Vedhæftninger hentes kun ved eksplicit brugerbekræftelse.
  • Søgeforespørgsler er snævert afgrænset (leverandørspecifikke, datofiltrerede, maks. 50 resultater).
  • Gmail OAuth-adgang kan til enhver tid tilbagekaldes via kontoindstillinger.

5.6 AI-databehandling

  • Data sendt til AI-udbydere bruges ikke til modeltræning.
  • Data gemmes ikke permanent hos AI-udbydere.
  • Kun de minimalt nødvendige data sendes til matchingprocessen.

6. AI og maskinlæring

Vi bruger AI-teknologi (via OpenRouter/Anthropic) til at matche dine banktransaktioner med kvitteringer fra din e-mail.

Vigtigt:

  • Data sendes til OpenRouter/Anthropic for behandling, men gemmes ikke permanent hos disse udbydere.
  • AI-matching er et hjælpeværktøj — du er altid selv ansvarlig for at verificere resultaterne.

7. Dataopbevaring

  • Aktiv konto: Dine data opbevares, så længe din konto er aktiv.
  • Kontosletning: Ved sletning af din konto fjernes alle personhenførbare data inden for 30 dage.
  • Anonymiserede data: Aggregerede og anonymiserede data (f.eks. generel brugsmønsterstatistik) kan bibeholdes efter kontosletning.
  • Backups: Data i sikkerhedskopier slettes i takt med den normale backup-rotation (maks. 90 dage).

8. Dine rettigheder (GDPR Art. 15-22)

Du har følgende rettigheder i henhold til GDPR:

  • Ret til indsigt (Art. 15): Du kan anmode om en kopi af de personoplysninger, vi behandler om dig.
  • Ret til berigtigelse (Art. 16): Du kan anmode om rettelse af urigtige oplysninger.
  • Ret til sletning (Art. 17): Du kan anmode om sletning af dine personoplysninger ("retten til at blive glemt").
  • Ret til begrænsning (Art. 18): Du kan anmode om begrænsning af behandlingen af dine data.
  • Ret til dataportabilitet (Art. 20): Du kan modtage dine data i et struktureret, almindeligt anvendt og maskinlæsbart format.
  • Ret til indsigelse (Art. 21): Du kan gøre indsigelse mod behandling baseret på legitim interesse.
  • Tilbagekaldelse af samtykke: Du kan til enhver tid tilbagekalde samtykke til Gmail-adgang eller banktilknytning via dine kontoindstillinger.
  • Klageadgang: Du har ret til at indgive klage til Datatilsynet (datatilsynet.dk).

For at udøve dine rettigheder, kontakt os på privacy@findkvittering.dk. Vi besvarer henvendelser inden for 30 dage.

9. Overførsel til tredjelande

Visse af vores databehandlere er etableret i USA. Overførsel af personoplysninger til USA sker på grundlag af:

  • EU-US Data Privacy Framework (for certificerede virksomheder)
  • EU-Kommissionens standardkontraktbestemmelser (SCC) som supplement

Vi sikrer, at der altid er et gyldigt overførselsgrundlag i henhold til GDPR kapitel V.

10. Cookies

Vi bruger kun nødvendige cookies til:

  • Sessionsstyring og autentificering
  • Sikkerhedsformål (CSRF-beskyttelse)

Vi bruger ingen tracking-, analyse- eller markedsføringscookies. Der kræves derfor ikke cookiesamtykke ud over den nødvendige funktionalitet.

Vi anvender cookieløs webanalyse (PostHog, hostet i EU) til anonym tjenesteforbedring. Denne analyse sætter ingen cookies og gemmer ingen personhenførbare data i browseren.

11. Databrudshåndtering

I tilfælde af et brud på datasikkerheden:

  • Datatilsynet underrettes inden for 72 timer i henhold til GDPR Art. 33.
  • Berørte brugere informeres uden unødig forsinkelse, hvis bruddet indebærer en høj risiko for deres rettigheder og frihedsrettigheder (GDPR Art. 34).
  • Vi dokumenterer alle sikkerhedshændelser og de foranstaltninger, der er truffet.

12. Ændringer af denne politik

Vi kan opdatere denne privatlivspolitik fra tid til anden. Ved væsentlige ændringer giver vi dig besked via e-mail mindst 30 dage inden ændringerne træder i kraft.

13. Kontakt

Har du spørgsmål til vores behandling af personoplysninger, er du velkommen til at kontakte os:

The Money I'm Holding ApS
CVR-nr.: 36737794
E-mail: privacy@findkvittering.dk
Website: findkvittering.dk