VF Studio

Personvern

Personvernerklæring

Sist oppdatert: 18. juni 2026 · Versjon 1.3

Denne erklæringen forklarer hvilke personopplysninger V.F. Studio behandler, hvorfor vi gjør det, hvem vi deler dem med, hvor lenge de oppbevares — og hva du kan kreve. Vi har forsøkt å skrive den i klartekst og uten juridisk fyllstoff. Hvis noe er uklart, skriv til oss.

1. Behandlingsansvarlig

V.F. Studio (heretter «vi», «oss», «studioet») er behandlingsansvarlig (data controller) for personopplysningene som behandles gjennom nettstedet vfstudio.no og tilhørende tjenester — booking, klientportal og nettbutikk.

Det betyr at V.F. Studio bestemmer hvorfor og hvordan personopplysninger behandles, og er den du henvender deg til for å utøve dine rettigheter etter personvernforordningen (GDPR).

Virksomhet
V.F. Studio (registrert som Veronika Fahrets Foto, enkeltpersonforetak)
Organisasjonsnr.
998 419 344
Postadresse
Oftebroveien 27, 4580 Lyngdal
Telefon
953 69 405
E-post
hei@vfstudio.no

V.F. Studio har vurdert at virksomheten ikke er pålagt å oppnevne formelt personvernombud (DPO) etter GDPR art. 37. E-postadressen over fungerer som fast kontaktpunkt også for personvernhenvendelser.

2. Vår IT- og driftsleverandør (Zellap)

Selve plattformen — nettsted, booking, klientportal, admin og databaseoppsett — er bygget og driftes på vegne av V.F. Studio av Zellap, et norsk webbyrå. Zellap behandler ikke personopplysninger for egne formål. Rollen er teknisk:

  • Zellap har inngått abonnement og databehandleravtaler (DPA) med de underliggende leverandørene listet i punkt 7 (Supabase, Vercel, Resend, Cloudflare, Stripe) og holder disse kontoene på vegne av V.F. Studio.
  • Zellap har teknisk tilgang til miljøet for å vedlikeholde, feilsøke og videreutvikle tjenesten. Slik tilgang brukes kun på instruks fra V.F. Studio og kun i den utstrekning det er nødvendig for det aktuelle inngrepet — typisk feilretting, sikkerhetsoppdateringer eller kapasitetsendringer.
  • Zellap er i GDPR-forstand databehandler (processor) for V.F. Studio for den begrensede tilgangen denne rollen gir, og er bundet av databehandleravtale med taushetsplikt, sikkerhetskrav og brudd-varslingsplikt.
  • For rettigheter etter GDPR (innsyn, sletting, retting, dataportabilitet osv.) er V.F. Studio alltid kontaktpunktet — det er studioet som er behandlingsansvarlig og som har det juridiske ansvaret for å innfri dine rettigheter. Skriv til hei@vfstudio.no.
  • Som et valgfritt lavterskeltilbud for rene tekniske avklaringer kan du i tillegg kontakte Zellap direkte på account@zellap.com — typisk eksport av data i et bestemt format, arkitekturspørsmål, eller oversikt over underleverandører og databehandleravtaler (DPA). Slike henvendelser forutsetter forhåndsavtale med V.F. Studio og endrer ikke det juridiske kontaktpunktet. Du blir aldri «videresendt» til Zellap mot din vilje.

Forholdet kan oppsummeres slik: V.F. Studio er behandlingsansvarlig og er din juridiske motpart som bestemmer over dine data. Zellap er vår tekniske databehandler som drifter plattformen på våre instrukser. Alle henvendelser om personopplysninger bør gå til V.F. Studio først; teknisk dialog med Zellap skjer etter forhåndsavtale.

3. Klientportalen

Klientportalen er det innloggede området hvor du som kunde forholder deg til din leveranse. Den brukes til:

  • Visning og godkjenning av prøvebilder.
  • Nedlasting av leverte, ferdige filer.
  • Kommunikasjon om leveransen mellom deg og V.F. Studio.

Av sikkerhets- og leveringsbevishensyn logger portalen innlogginger og nedlastinger (hvilken fil, når, fra hvilken konto). Disse loggene oppbevares i samsvar med punkt 9 om lagringstid og er kun tilgjengelige for V.F. Studio og — på instruks — Zellap som databehandler.

4. Hvilke opplysninger vi behandler

Vi samler kun inn det vi trenger for å levere tjenesten. Konkret:

  • Kontaktskjema — navn, e-post, telefon (valgfritt), ønsket dato (valgfritt), type henvendelse og meldingstekst. Lagres i databasen og dukker opp i admin-innboksen.
  • Booking — navn, e-post, telefon, oppmøteadresse eller oppmøtenotater, tjenestevalg, varighet, tidspunkt, kommentarer, bookinggebyr/forhåndsbetaling, og hvilke vilkår du har akseptert sammen med tidspunktet for aksepten.
  • Konto og profil — e-post og passord (passord lagres som bcrypt-hash hos Supabase, vi ser det aldri), valgfritt navn, valgfritt profilbilde (avatar), og rolle (kunde / ansatt / administrator).
  • Nettbutikk-kjøp og booking-betaling — navn, e-post, leveringsadresse (der relevant), ordrelinjer, kjøpshistorikk, kvitteringsdata og ordre-/bookingnummer. Kortopplysninger håndteres direkte av Stripe og passerer aldri våre eller Zellaps servere. Vi mottar kun en betalings-ID, beløp, valuta og betalingsstatus. De delene som må på en kvittering eller faktura overføres i tillegg til vårt regnskapssystem Fiken for å oppfylle bokføringsplikten — se punkt 7.
  • Bilder av deg som motiv — fotografier tatt under fotografering der du er identifiserbar. Disse behandles atskilt fra «klientleveranser» som teknisk lagring; råfiler, bearbeidede filer og publiserte utvalg behandles ulikt. Bruk av disse bildene til markedsføring eller portefølje krever eget samtykke — se punkt 5. Lagringstid er beskrevet i punkt 9.
  • Klientleveranser (teknisk lagring) — bilde- og videofiler vi har laget for deg som kunde, lagret i en privat lagringsbøtte (Cloudflare R2) og koblet til din konto. Originalfiler oppbevares også frakoblet på V.F. Studios egne disker som sikkerhetskopi. Dette punktet beskriver hvor og hvordan filene lagres; bruksrettigheter følger av kontrakt og modellsamtykke.
  • Tekniske data — IP-adresse, brukeragent, forespørselssti, statuskoder og tidsstempel. Brukes til drift, sikkerhet (rate-limit, brute-force-vern, CSP-bruddsrapportering) og feilretting. Lagres adskilt fra forretningsdata.
  • Anonymisert besøksstatistikk (førsteparts analyse) — for å forstå hvor mange som besøker nettstedet og hvilke sider som er populære, fører vi en enkel, informasjonskapselfri besøksstatistikk i vår egen database. Vi lagrer hvilken side som ble besøkt, henvisende nettsted (kun domenenavnet), grov enhetstype (mobil/nettbrett/desktop) og landkode. Vi lagrer ikke IP-adressen eller brukeragenten din i denne statistikken. Unike besøk telles via en døgnroterende enveis-hash som ikke kan spores tilbake til deg, og som uansett blir ubrukelig som identifikator etter 24 timer. Ingenting lagres på enheten din. Se også punkt 6 og punkt 11.
  • Samtykke til informasjonskapsler — vi loggfører ditt valg (godta alt / kun nødvendige / tilpasset) og når det ble gitt, slik at vi kan dokumentere at samtykke er innhentet.
  • Korrespondanse — e-post du sender oss og våre svar lagres så lenge det er saklig grunn til å beholde tråden, normalt inntil 24 måneder etter siste melding. Vi fører også en intern logg over e-post vi har sendt deg (mottaker, emne, tidspunkt) som del av regnskaps- og dokumentasjonsplikten.
  • Markedsføringsmottakere — hvis du har samtykket til nyhetsbrev og kampanjer (se punkt 11), lagrer vi e-postadresse, navn, samtykkestidspunktet og et tilfeldig avmeldings-token. For hver utsendelse logger vi hvem som mottok, leveringsstatus og tidspunkt — denne revisjonsloggen er nødvendig for å dokumentere at samtykke faktisk forelå da meldingen gikk ut.

Vi behandler ikke særlige kategorier av personopplysninger (helseopplysninger, religion, politisk syn osv.) med mindre du selv velger å oppgi slikt i fritekstfeltene — og i så fall kun for å besvare henvendelsen din.

5. Bruk av bilder til markedsføring og portefølje

Som fotostudio behandler vi to ting parallelt: vi leverer bildene til deg som kunde, og vi kan ønske å bruke noen av dem til vår egen portefølje og markedsføring. Disse to har ulike regler. Hovedregelen er enkel: bilder hvor du (eller barnet ditt) er identifiserbar, publiserer vi ikke uten ditt skriftlige samtykke.

Hva V.F. Studio kan bruke bildene til uten eget samtykke

  • Levering av tjenesten du har bestilt (eks. ferdige filer til deg via klientportalen).
  • Internt arbeidsmateriale — kvalitetskontroll og opplæring av egne ansatte.

Hva som krever eget, skriftlig samtykke

  • Publisering på V.F. Studios nettsted og portefølje.
  • Sosiale medier (Instagram, Facebook, TikTok — spesifiseres per kanal i samtykket).
  • Trykt markedsføring (brosjyrer, plakater, messer).
  • Salgsmøter og case-studier rettet mot potensielle kunder.
  • Fotokonkurranser og utstillinger.
  • Tredjeparts publisering (krever særskilt avtale per gang).

Rettslig grunnlag

Slik bruk hviler på samtykke (GDPR art. 6 nr. 1 bokstav a) og oppfyller i tillegg åndsverkloven § 104 om personbildevernet. Åndsverkloven § 104 er strengere enn GDPR og krever som hovedregel at den avbildede har samtykket før et personbilde gjengis offentlig.

Hvordan samtykke gis

Skriftlig — enten ved booking eller via egen samtykkeerklæring (modellsamtykke) i etterkant. Samtykket spesifiseres per kanal slik at du kan godkjenne f.eks. portefølje på nettstedet uten å godkjenne sosiale medier, og omvendt.

Tilbaketrekking

  • Du kan trekke samtykket når som helst ved å sende e-post til hei@vfstudio.no.
  • Bilder fjernes fra V.F. Studios egne kanaler innen 14 dager.
  • Bilder som allerede er distribuert i trykt materiale eller via tredjeparter kan ikke alltid kalles tilbake i sin helhet — vi gjør det vi rimeligvis kan.
  • Tilbaketrekking påvirker ikke lovligheten av publisering før tilbaketrekkingen.

Spesielt om barn

Publisering av bilder av barn behandles strengere. Se punkt 14.

6. Formål og rettslig grunnlag

Hver behandling vi gjør har et bestemt formål og et bestemt rettslig grunnlag:

  • Levere bookede tjenester og kjøp i nettbutikken — oppfyllelse av avtale (GDPR art. 6 nr. 1 bokstav b). Uten disse opplysningene kan vi ikke levere tjenesten du har bestilt.
  • Svare på henvendelser og forespørsler — berettiget interesse (art. 6 nr. 1 bokstav f): vår interesse i å besvare folk som kontakter oss veier tyngre enn den begrensede personverninngripenheten.
  • Utstede kvitteringer og oppfylle regnskapsplikt — rettslig forpliktelse (art. 6 nr. 1 bokstav c), jf. bokføringsloven § 13. Kvitterings- og fakturadata overføres til regnskapssystemet Fiken som ledd i denne plikten.
  • Bruk av personbilder til portefølje og markedsføring — samtykke (art. 6 nr. 1 bokstav a) supplert av åndsverkloven § 104. Se punkt 5.
  • Anonymisert førsteparts besøksstatistikk (uten informasjonskapsler) — berettiget interesse (art. 6 nr. 1 bokstav f): vi har en legitim interesse i å vite hvor mange som besøker nettstedet og hvilke sider som fungerer, og inngrepet er minimalt fordi målingen er informasjonskapselfri og ikke kan identifisere deg (se punkt 4). Fordi ingenting lagres eller leses på enheten din, utløses ikke kravet om cookie-samtykke. Vi respekterer likevel «Do Not Track» / «Global Privacy Control» — sender nettleseren din et slikt signal, måler vi deg ikke.
  • Analyse og markedsføring via informasjonskapsler — samtykke (art. 6 nr. 1 bokstav a). Aktiveres kun hvis du godtar det i cookie-banneret, og kan trekkes tilbake når som helst uten å påvirke lovligheten av det som er gjort før.
  • Nyhetsbrev og kampanjeeposter — samtykke (art. 6 nr. 1 bokstav a), i kombinasjon med markedsføringsloven § 15. Aktiveres kun hvis du krysser av for opt-in ved booking, kjøp, eller på profilsiden din. Du kan melde deg av med ett klikk (avmeldingslenken i alle slike eposter) eller via profilsiden. Se punkt 11.
  • Sikkerhet, rate-limit og driftslogger — berettiget interesse (art. 6 nr. 1 bokstav f): vi må kunne beskytte tjenesten mot misbruk og holde den i drift.
  • Forsvar mot rettskrav og dokumentasjon ved tvister — berettiget interesse (art. 6 nr. 1 bokstav f) og rettslig forpliktelse der det gjelder regnskap.

7. Databehandlere og underleverandører

Vi bruker følgende underleverandører. Avtalene (DPA) for plattformleverandørene (Supabase, Vercel, Stripe, Resend, Cloudflare) er inngått og forvaltes av Zellap (se punkt 2) på V.F. Studios vegne. Regnskapssystemet Fiken og Google-tjenestene (Analytics og Ads) er V.F. Studios egne avtaler, uavhengig av Zellap. Google-tjenestene aktiveres i tillegg kun hvis du samtykker til analyse- eller markedsføringskapsler. Alle er bundet av databehandleravtaler med standardvilkår om sikkerhet, taushetsplikt, sletting og brudd-varsling.

Supabase Inc.

USA · EU-region (Irland)

Autentisering, PostgreSQL-database og lagring av profilbilder (avatarer). Hva som lagres her: bruker- og påloggingsdata, bookinger, ordre, kontaktforespørsler, og en audit-logg over admin-handlinger (endring, sletting og tilgang til kundedata). Her ligger også den anonymiserte, informasjonskapselfrie besøksstatistikken (se punkt 4 og 11) — aggregert og uten personidentifikatorer. Vanlig sidedrift logges ikke på personnivå.

Overføringsgrunnlag: data i ro lagres i EU-region; eventuell tilgang fra USA dekkes av EU-kommisjonens standardkontraktklausuler (SCC) og EU-US Data Privacy Framework.

Vercel Inc.

USA · EU-edge

Hosting av nettsted og serverless-funksjoner, edge-cache, og Vercel Analytics (anonymisert sidestatistikk uten informasjonskapsler — aktiveres kun ved samtykke).

Overføringsgrunnlag: SCC + DPF. Vercel behandler kun IP og brukeragent for å levere forespørselen; ingen kontoopplysninger lagres hos Vercel utover det som er nødvendig for å servere sidene.

Stripe Payments Europe Ltd.

Irland

Kortbetaling og digital betaling. Stripe er selv behandlingsansvarlig for kortdata iht. PCI-DSS, og vi mottar kun en betalings-ID, beløp, valuta, status og kvitteringsmetadata. Kortnummer berører aldri våre eller Zellaps servere.

Overføringsgrunnlag: behandling i EU. Stripe kan i begrenset grad bruke underdatabehandlere i tredjeland med SCC.

Fiken AS

Norge

Regnskaps- og fakturasystem som V.F. Studio bruker for å oppfylle bokføringsplikten (bokføringsloven § 13). Hva som overføres hit: kundens navn, fakturaadresse, kontaktopplysninger, ordrenummer, beløp, mva-grunnlag og betalingsstatus — det vil si den informasjonen som må ligge på en kvittering eller faktura.

Etablert og driftet i Norge — ingen overføring til tredjeland. DPA inngås direkte mellom V.F. Studio og Fiken AS.

Resend Inc.

USA · EU-region (Irland)

Utsendelse av e-post — både transaksjonelle meldinger (bekreftelse på kontaktskjema, bookingvarsler, kvitteringer, driftsmeldinger) og — der du har gitt eksplisitt samtykke — markedsføring (nyhetsbrev og kampanjer). Mottakers e-postadresse, navn og e-postens innhold passerer Resend for å bli levert. Vår konto er konfigurert med EU-region (Irland), så meldingene behandles primært i Europa. Avmeldingslenkene i markedsføringseposter implementeres etter RFC 8058 one-click unsubscribe, slik at Gmail og Apple Mail viser en innebygget avmeldingsknapp ved siden av avsendernavnet.

Overføringsgrunnlag: lagring i EU-region; eventuell tilgang fra Resends amerikanske organisasjon dekkes av SCC + DPF. Markedsføringseposter sendes kun til adresser som har krysset av for opt-in (booking, kjøp, kontaktskjema eller profilside).

Cloudflare, Inc.

USA · global edge

Privat lagring av klientleveranser (R2-objektlager), CDN og brannmur (WAF). Klientfiler ligger i en privat bøtte og leveres kun via korttidssignerte URL-er etter at vi har bekreftet at innlogget bruker har rett til filen.

Overføringsgrunnlag: SCC + DPF. Cloudflare ser metadata om forespørsler (IP, sti, tidsstempel) for sikkerhets- og leveringsformål.

Google (Google Ireland Ltd. / Google LLC)

EU (Irland) · USA

Google Analytics 4 (besøksstatistikk) og Google Ads (konverteringsmåling og remarketing). Begge aktiveres kun hvis du samtykker til analyse- og/eller markedsføringskapsler i cookie-banneret. Vi kjører Googles Consent Mode v2, så ingen Google-kapsler settes og ingen data sendes til Google før samtykket ditt foreligger. Gir du samtykke, kan Google motta hendelsesdata (hvilke sider og handlinger, grov enhets- og nettlesertype, og en kapsel-ID) for å måle statistikk og annonseeffekt. IP-anonymisering er slått på for Analytics.

Overføringsgrunnlag: SCC + EU-US Data Privacy Framework. Du kan når som helst trekke tilbake samtykket via cookie-banneret, og da stopper all datadeling med Google.

Hvis listen endres — for eksempel ved bytte av leverandør — oppdateres dette punktet, og versjonsnummeret/datoen øverst justeres. Du kan be om en kopi av gjeldende underleverandørliste og databehandleravtalene direkte fra Zellap på account@zellap.com.

8. Hva betyr det at noen leverandører ligger i USA?

Flere av selskapene vi bruker (se punkt 7) er amerikanske. Selv om vi lagrer dataene dine i Europa der vi kan, skjer det at noe trafikk eller metadata håndteres av disse selskapenes systemer i USA. Det er lov etter GDPR, men bare hvis det finnes en godkjent ordning som beskytter dataene. Vi støtter oss på tre slike, avhengig av leverandør:

  1. Vi lagrer i Europa når vi kan. Databasen vår hos Supabase ligger i Irland, og Vercel serverer sidene fra europeiske datasentre. Da krysser dataene aldri Atlanteren i normaltilfellet.
  2. EU-US Data Privacy Framework (DPF) — en avtale mellom EU og USA som sertifiserer amerikanske selskaper som har forpliktet seg til europeiske personvernregler. Leverandørene våre er registrert under denne ordningen.
  3. Standardkontraktklausuler (SCC) — en EU-godkjent standardkontrakt som forplikter leverandøren til å behandle dataene etter europeiske regler uansett hvor de sitter. Vi har slike kontrakter med alle leverandørene som behandler data utenfor EØS.

I tillegg er dataene kryptert både når de overføres og når de ligger lagret, og kun de ansatte hos leverandøren som faktisk trenger tilgang for drift, kan komme til dem.

Kort fortalt: ja, noen av leverandørene våre er amerikanske, men dataene er beskyttet av de samme reglene som om de bare lå i Norge — det er ingen mulighet for at vi eller leverandøren kan «hoppe over» personvernreglene fordi tjeneren står et annet sted. Vil du ha den fyldigere tekniske vurderingen (overføringsvurdering, krypteringsoppsett, hvilke regioner som faktisk brukes), kan du be om den direkte hos Zellap på account@zellap.com.

9. Lagringstid

Vi oppbevarer personopplysninger så lenge det er nødvendig for formålet — og deretter sletter eller anonymiserer dem. Konkret:

  • Bookinger og ordre — minst 5 år etter regnskapsårets slutt, jf. bokføringsloven § 13.
  • Kvitteringer og regnskapsbilag — 5 år.
  • Henvendelser fra kontaktskjema — slettes normalt 24 måneder etter siste aktivitet, med mindre saken har gått over til en booking eller ordre. I så fall arkiveres korrespondansen sammen med selve bookingen/ordren og omfattes da av bokføringsregelen på 5 år, fordi den utgjør bokføringsdokumentasjon.
  • Konto og profildata — så lenge kontoen er aktiv. Slettes på oppsigelse, med unntak av data vi er pålagt å beholde for regnskap (anonymisert/pseudonymisert der mulig).
  • Klientleveranser — råfiler / originaler — typisk 12 måneder etter levering, deretter slettes med mindre annet er avtalt (eks. utvidet arkivering eller særskilt kontraktsbestemt opphavsrettslig arkivformål).
  • Klientleveranser — leverte/bearbeidede filer — så lenge kontoen er aktiv. Slettes ved oppsigelse av konto eller etter eksplisitt forespørsel.
  • Offline sikkerhetskopier — oppbevares på frakoblet disk hos V.F. Studio som backup, separat fra det nettilkoblede miljøet. Ved sletteforespørsel fra deg slettes også backup-kopien, med mindre kontrakten gir V.F. Studio særskilt arkiveringsrett.
  • Bilder brukt i markedsføring eller portefølje — så lenge samtykket gjelder (se punkt 5). Ved tilbaketrekking fjernes bildet fra V.F. Studios egne kanaler snarest mulig og senest innen 14 dager.
  • Sikkerhets- og driftslogger — inntil 30 dager, deretter slettes eller aggregeres uten personidentifikatorer.
  • Anonymisert besøksstatistikk (førsteparts analyse) — vi skiller mellom detaljerte rådata og aggregerte tall. Rådataene (side, henvisende domene, enhetstype, land og den døgnroterende hashen) slettes automatisk etter 14 måneder. Aggregerte døgn- og månedstall uten personidentifikatorer (kun antall besøk og besøkende per dag) beholdes på ubestemt tid, slik at vi kan vise utvikling over tid og sammenligne år for år. Den døgnroterende hashen kan uansett ikke knyttes til deg etter 24 timer.
  • Klientportal-logger (innlogginger og nedlastinger) — inntil 12 måneder som leveringsbevis, deretter slettes eller aggregeres.
  • Cookie-samtykke — inntil 12 måneder, deretter spør vi på nytt.
  • Markedsføringsmottakere (e-postliste) — beholdes så lenge samtykket ditt står. Trekkes samtykket tilbake (via avmeldingslenke eller profilside), beholdes raden i 24 måneder kun for å dokumentere at avmelding er gjennomført og hindre re-import; deretter slettes raden eller anonymiseres.
  • Kampanje-revisjonslogg (hvem fikk hvilken e-post når) — 24 måneder. Vi trenger den for å kunne svare på «hadde jeg samtykket da denne meldingen gikk ut?».
  • 1-til-1 e-postlogg (svar og oppfølginger fra studioet) — 24 måneder etter siste melding, eller lengre hvis korrespondansen er knyttet til en booking eller ordre som er underlagt regnskapsplikten på 5 år.
  • Avatarbilder — slettes når brukeren erstatter eller fjerner dem, eller når kontoen slettes.

10. Dine rettigheter

I henhold til GDPR har du følgende rettigheter — vi besvarer dem normalt innen 30 dager:

  • Innsyn i hvilke opplysninger vi behandler om deg, og en kopi av dem.
  • Retting av feilaktige eller ufullstendige opplysninger.
  • Sletting («retten til å bli glemt») der det ikke er en rettslig plikt eller en avtale som krever at vi beholder dem.
  • Begrensning av behandlingen mens en innsigelse eller retting vurderes.
  • Innsigelse mot behandling basert på berettiget interesse.
  • Dataportabilitet — utlevering av dine opplysninger i et strukturert, maskinlesbart format (JSON eller CSV).
  • Trekke tilbake samtykke du har gitt (f.eks. til analyse-cookies, til bildebruk etter punkt 5, eller til markedsføringseposter etter punkt 11), uten at det påvirker lovligheten av behandling utført før tilbaketrekningen. For markedsføringseposter er ettklikks-avmeldingslenken den raskeste veien — se punkt 11.
  • Ikke være gjenstand for utelukkende automatiserte avgjørelser med rettsvirkning — se punkt 13.

Send selve forespørselen til V.F. Studio på hei@vfstudio.no. Det er studioet som er behandlingsansvarlig og som har det juridiske ansvaret for å innfri dine rettigheter. Hvis forespørselen gjelder tekniske detaljer (som en full dataeksport i JSON-format), kan du gjerne sette account@zellap.com på kopi for raskere teknisk ekspedering — men V.F. Studio vil alltid være den som håndterer og godkjenner saken. For å verifisere identiteten kan vi måtte be om dokumentasjon; dette gjør vi for å beskytte opplysningene mot uautoriserte forespørsler.

Du har også rett til å klage til Datatilsynet (datatilsynet.no), men vi setter pris på å få muligheten til å rette opp i saken først.

11. Samtykkebaserte kanaler — cookies og e-post

Vi har to helt separate samtykker som ofte blandes sammen: ett for hva som lagres i nettleseren din (cookies/sporing), og ett for om du mottar nyhetsbrev fra oss på e-post. Du kan godta det ene uten det andre.

Informasjonskapsler

Vi setter strengt nødvendige informasjonskapsler for innlogging, sikkerhet (CSRF-vern, rate-limit) og cookie-samtykke. Disse kan ikke slås av uten at deler av tjenesten slutter å fungere.

Ved samtykke setter vi i tillegg informasjonskapsler for anonymisert analyse og — der det er relevant — markedsføring. Du styrer dette via cookie-banneret og kan når som helst endre eller trekke tilbake samtykket. Full oversikt og styring finner du i cookie-policyen.

I tillegg fører vi en informasjonskapselfri førsteparts besøksstatistikk som ikke krever samtykke, fordi den verken lagrer eller leser noe på enheten din og ikke kan identifisere deg (se punkt 4 og 6). Den kjøres på grunnlag av berettiget interesse og respekterer «Do Not Track» / «Global Privacy Control». De samtykkebaserte analyse- og markedsføringskapslene over (Google Analytics og Google Ads) er noe helt annet, og settes kun hvis du aktivt godtar dem.

Nyhetsbrev og kampanjeeposter

Vi sender bare markedsføringseposter til adresser som har gitt eksplisitt opt-in. Du kan gi samtykket på fire måter:

  • Krysse av for «send meg nyhetsbrev» når du sender inn kontaktskjemaet.
  • Krysse av i bookingflyten.
  • Krysse av i kasse-skjemaet i nettbutikken.
  • Slå på bryteren under «Kommunikasjon» på profilsiden din (kun for innloggede brukere).

Vi loggfører tidspunktet for samtykket — uten dette kan vi ikke dokumentere at vi hadde lov til å sende en bestemt e-post. Selve markedsføringsmaterialet sendes via Resend (se punkt 7) og inneholder typisk informasjon om nye tjenester, kampanjer, sesongtilbud eller arrangementer.

Slik melder du deg av

  • Avmeldingslenken nederst i e-posten — ett klikk og du er meldt av. Lenken inneholder et engangs-token og krever ikke innlogging. Avmeldingen får virkning umiddelbart.
  • Innebygget «Unsubscribe»-knapp i Gmail / Apple Mail — vi setter List-Unsubscribe-headeren etter RFC 8058, så mailklienten din kan tilby ett-trinns avmelding ved siden av avsendernavnet.
  • Profilside-bryteren — innloggede brukere kan slå av/på når som helst på profilsiden.
  • Send oss en e-post til hei@vfstudio.no så fjerner vi deg manuelt.

Avmelding påvirker ikke bookingbekreftelser, kvitteringer eller andre driftsmeldinger — disse er nødvendige for å oppfylle en avtale eller en rettslig forpliktelse (jf. punkt 6) og styres ikke av markedsføringssamtykket.

Cookie-marketing vs. e-post-marketing

For å unngå forvirring: «marketing» i cookie-banneret styrer sporings­piksler og remarketing-cookies. I dag brukes dette til Google Ads (konverteringsmåling og remarketing), med Googles Consent Mode v2 slik at ingenting settes før du har samtykket. Det styrer ikke om du mottar e-post fra oss. Du kan godt avslå marketing-cookies og samtidig ha krysset av for nyhetsbrev, og motsatt.

12. Sikkerhet

Vi har truffet både tekniske og organisatoriske tiltak for å beskytte personopplysningene:

  • All trafikk mot nettsted og API krypteres over TLS 1.2+.
  • Passord lagres aldri i klartekst — kun som bcrypt-hash gjennom Supabase Auth.
  • Tilgang til admin- og klientdata er rollebasert og håndhevet på databasenivå (row-level security), ikke bare i applikasjonslaget.
  • Klientgallerier ligger i en privat bøtte (Cloudflare R2) og leveres utelukkende via korttidssignerte URL-er etter at retten til filen er verifisert.
  • Mistenkelig trafikk begrenses automatisk via rate-limit, brute-force-vern og CSP-bruddsrapportering.
  • Tilgang for Zellap er logget og begrenset til det som er nødvendig for det enkelte vedlikeholdsarbeidet.
  • Originale klientfiler oppbevares dessuten på frakoblet disk hos V.F. Studio, separat fra det nettilkoblede miljøet.

Hvis det skulle oppstå et personvernbrudd som sannsynligvis medfører risiko for dine rettigheter, vil vi varsle Datatilsynet innen 72 timer og varsle deg direkte uten ugrunnet opphold — slik GDPR krever.

13. Profilering og automatiserte avgjørelser

Vi tar ingen avgjørelser med rettsvirkning eller tilsvarende vesentlig betydning på rent automatisert grunnlag (GDPR art. 22). Det skjer ingen profilering for å vurdere deg som kunde, og ingen algoritmisk prisdiskriminering.

Booking- og ordrebehandling utføres med menneskelig involvering fra V.F. Studio. Systemet gjør kun praktiske ting automatisk — som å beregne sluttidspunkt ut fra varighet, sende bekreftelses-e-post og vise ledige tider.

14. Barn

Tjenesten er ikke rettet mot barn under 16 år. Behandling av barns personopplysninger og bilder er underlagt strengere regler enn for voksne — både etter GDPR art. 8 og åndsverkloven § 104. Konkret hos V.F. Studio:

  • Bookinger der barn er motiv krever at foresatt foretar bookingen og samtykker til behandlingen.
  • Publisering av bilder av barn under 16 år — uansett om det gjelder portefølje, nettsted, sosiale medier, trykt materiale eller andre kanaler — krever skriftlig samtykke fra begge foresatte. Dette er strengere enn GDPRs minstekrav fordi åndsverkloven § 104 og GDPR art. 8 begge stiller særskilte krav for barn.
  • For ungdom 16–17 år innhenter vi samtykke fra både ungdommen selv og foresatt(e).
  • Samtykket gis via eget skjema — et eget modellsamtykke for barn med signaturfelt for begge foresatte.
  • Foresatte kan trekke samtykket når som helst på vegne av barnet. Når barnet fyller 18 år, kan vedkommende selv overta forvaltningen av samtykket.
  • V.F. Studio publiserer aldri bilder av identifiserbare barn — heller ikke i porteføljen — uten dette samtykket.
  • Bilder av barn brukes ikke til kommersiell tredjepartsbruk uten særskilt avtale.

15. Endringer i erklæringen

Erklæringen oppdateres ved endringer i tjenesten, leverandørbildet eller regelverket. Den til enhver tid gjeldende versjonen publiseres her, med dato og versjonsnummer øverst på siden. Vesentlige endringer kommuniseres i tillegg via e-post til registrerte kunder eller varsel i tjenesten.

16. Kontakt

Velg riktig kontaktpunkt så får du raskere og bedre svar:

V.F. Studio · personvernrettigheter

Innsyn, retting, sletting, dataportabilitet, tilbaketrekking av samtykke, eller mistanke om brudd. V.F. Studio er det offentlige og juridiske kontaktpunktet for alle henvendelser om personopplysninger.

hei@vfstudio.no

Zellap · teknisk avklaring etter forhåndsavtale

Et lavterskeltilbud for rene tekniske avklaringer etter forhåndsavtale med V.F. Studio: eksport av data i bestemte formater, oversikt over underleverandører, databehandleravtaler (DPA), overføringsvurderinger, og sikkerhetstekniske spørsmål. V.F. Studio sitter med det fulle juridiske ansvaret og godkjenner alle henvendelser som gjelder personopplysninger. Henvend deg alltid til V.F. Studio først.

account@zellap.com

Datatilsynet · klage

Hvis du mener vi behandler dataene dine i strid med regelverket, kan du klage til tilsynsmyndigheten.

datatilsynet.no

Er du i tvil, skriv til V.F. Studio. Vi avklarer med Zellap der det er nødvendig.

Versjonshistorikk

  • v1.3 · 18. juni 2026. Google Ads er tatt i bruk for konverteringsmåling og remarketing: nytt Google-kort i § 7 (Analytics og Ads, Consent Mode v2, overføringsgrunnlag SCC + DPF), oppdatert intro i § 7, og § 11 endret slik at marketing-kapslene beskrives som aktive (Google Ads) i stedet for hypotetiske.
  • v1.2 · 30. mai 2026 — lagt til informasjonskapselfri førsteparts besøksstatistikk: nytt bullet i § 4, nytt rettslig grunnlag (berettiget interesse) i § 6, oppdatert Supabase-kortet i § 7, ny lagringstid i § 9, og presisering i § 11 om at målingen ikke krever samtykke og respekterer DNT/GPC.
  • v1.1 · 22. mai 2026 — lagt til e-post-markedsføring: ny § 11 dekker både cookies og nyhetsbrev-opt-in, nytt bullet i § 4 (markedsføringsmottakere), oppdaterte Resend-kortet i § 7 til å inkludere markedsføring, nye lagringstider i § 9 (markedsføringsliste, kampanje-revisjonslogg, 1-til-1 e-postlogg), og presisering i § 6 og § 10 om samtykke og avmelding.
  • v1.0 · 19. mai 2026 — første versjon.