Personvernerklæring for Hyrd

Kort fortalt: Hyrd er utviklet for menigheter og frivillige som ønsker en trygg og profesjonell løsning. Vi håndterer personopplysninger med respekt og nøyaktighet, i tråd med GDPR og norsk lovgivning. Vårt mål er å gi menigheter tillit, kvalitet og trygghet – slik at de kan fokusere på mennesker, ikke risiko.

Vi deler aldri data med uvedkommende, bruker ikke sporingsverktøy, og lar hver bruker ha full kontroll over sine opplysninger.

Hyrd leveres som en profesjonell databehandlingsløsning for menigheter og kristne organisasjoner. Når en menighet bruker Hyrd, er menigheten behandlingsansvarlig for sine frivillige og ansatte, mens Hyrd fungerer som databehandler og sørger for at alt skjer i samsvar med GDPR.

Dette betyr at Hyrd ivaretar sikkerhet, samtykker, sletting, innsyn og lagring på korrekt måte. Menigheten kan dermed trygt bruke Hyrd, vel vitende om at systemet oppfyller alle krav til personvern og sikkerhet.

Ved personlig bruk uten menighetstilknytning er Hyrd behandlingsansvarlig.

Brukerkonto

• Navn og kontaktinformasjon – for å kommunisere og knytte deg til oppgaver og team.
• E-post og passord (kryptert) – for trygg innlogging.
• Telefonnummer – for SMS-varsler (valgfritt).
• Adresse (valgfritt) – dersom menigheten trenger det til praktiske formål.
• Kontonummer (valgfritt) – kun ved refusjon av utlegg.

Menighet og frivillighet

• Team og roller – oversikt over frivillige, ledere og stab.
• Arrangementer og oppgaver – planlegging og oppfølging av tjenester.
• Kjøreplaner og notater – struktur og intern kommunikasjon.
• Vaktbytte – trygg håndtering av endringer i frivilligvakter.
• Systemlogger – sikrer drift og oppfølging av hendelser.

Samtykker

• GDPR-samtykke – lagres ved første innlogging.
• Varslingssamtykke – hvis du ønsker SMS eller e-postvarsler.

• Avtale – for å levere kjernefunksjoner som brukerkonto, planlegging og administrasjon.
• Berettiget interesse – for sikkerhet, drift og systemvedlikehold.
• Samtykke – for frivillige varsler og tilleggsfunksjoner.
• Rettslig plikt – ved regnskap, utbetalinger og dokumentasjon.

Hyrd brukes av menigheter og kristne organisasjoner, og behandler derfor opplysninger som indirekte viser religiøs tilhørighet – for eksempel ved registrering som frivillig eller medlem.

Slike opplysninger regnes som særlige kategorier etter GDPR artikkel 9. Behandlingen er lovlig etter artikkel 9(2)(d), fordi den skjer innenfor en ideell, religiøs ramme og gjelder kun personer som har tilknytning til menigheten.

Hyrd sikrer at disse opplysningene aldri deles utenfor menigheten uten samtykke, og at de behandles med høyeste grad av sikkerhet.

• SMS-tjeneste – sender kun nødvendige data for utsendelse av varsler.
• Resend (e-post) – brukes til e-postvarsler og kvitteringer.
• Kalender (ICS) – eksporterte kalendere kan inneholde navn på frivillige; import reguleres av tredjepartsleverandør.

Alle leverandører har signert databehandleravtale.
Vi bruker kun leverandører innenfor EU/EØS eller som tilbyr gyldig overføringsgrunnlag etter GDPR kapittel V.

Hovedregel: Opplysninger lagres så lenge det er nødvendig for menighetens arbeid med frivillighet og arrangementer, normalt inntil 10 år etter siste aktivitet. Deretter anonymiseres data slik at de ikke lenger kan knyttes til enkeltpersoner. Anonymiserte data kan brukes videre til historikk og statistikk.

• Brukerkonto og frivillighetsdata: inntil 10 år, deretter anonymisering.
• Arrangementer og oppgaver: inntil 10 år, deretter anonymisering.
• Systemlogger: slettes automatisk etter 90–180 dager.
• Regnskapsdata: beholdes i henhold til lov (vanligvis 5 år).

Ved lovpålagte krav eller rettslige prosesser kan data beholdes lenger. Når formålet er oppfylt, slettes eller anonymiseres opplysningene permanent.

• Bcrypt for passordlagring (saltet, med kostfaktor) – passord lagres aldri i klartekst.
• JWT for autentisering (med utløp) og rollebasert tilgang (minste nødvendige rettigheter).
• All kommunikasjon kryptert over HTTPS/TLS.
• Sanitisering av API-svar (fjerner sensitive felt som password_hash).
• Systemlogger for sikkerhet og revisjon med kort lagringstid.

Vi jobber etter prinsippene for privacy by design og privacy by default – slik at standardinnstillingene er trygge.

Hyrd følger Datatilsynets veiledning for behandling av personopplysninger i frivillige og religiøse organisasjoner. Systemet er utviklet etter prinsippene for privacy by design (innebygd personvern) i henhold til GDPR artikkel 25.

• Serverdrift i Norge. Med fokus på trygghet, åpenhet og full kontroll på egne data.
• Regelmessig sikkerhetsrevisjon og oppdatering
• Databehandleravtale (DPA) mellom Hyrd og menighet
• Mulighet for lokal datalagring ved behov

Hyrd er et profesjonelt valg for menigheter som ønsker trygghet, kvalitet og etterlevelse av lovverket.

Som registrert bruker har du rett til å:

• be om innsyn i hvilke opplysninger som er lagret om deg
• be om retting eller sletting av opplysninger
• be om begrensning av behandlingen
• motsette deg behandling basert på berettiget interesse
• be om overføring (dataportabilitet) av egne opplysninger

Har du spørsmål om personvern? Kontakt personvern@hyrd.no eller din menighet. Du kan også kontakte Datatilsynet for klage.