Personvernerklæring
Beskyttelse av dine personopplysninger — GDPR
Sist oppdatert: Januar 2026
VeraTrace SAS (heretter «VeraTrace», «vi», «vår») forplikter seg til å beskytte ditt personvern og dine personopplysninger. Denne personvernerklæringen forklarer hvordan vi samler inn, bruker, lagrer og beskytter dine personopplysninger i samsvar med forordning (EU) 2016/679 (GDPR). Den gjelder for alle data som samles inn via nettstedet vårt veratrace.xyz, våre mobilapplikasjoner, skjemaer og IoT-enheter.
Virkeområde
Denne policyen gjelder for alle personopplysninger vi samler inn gjennom våre nettsteder veratrace.xyz (hovedside), veratrace.eu (Europa-side) og veratrace.net (internasjonal side), våre mobilapplikasjoner (VeraTrace Producteur, VeraTrace Client), våre kontaktskjemaer, våre IoT-sett og NFC-brikker, og enhver annen interaksjon med våre tjenester.
Denne policyen dekker ikke personvernpraksisen til tredjepartsnettsteder som vi kan opprette lenker til. Vi oppfordrer Dem til å lese personvernpolicyen til ethvert tredjepartsnettsted De besøker.
Behandlingsansvarlig
Behandlingsansvarlig for dine personopplysninger er:
VeraTrace SAS
35 rue de la République, 95110 Sannois, Frankrike
Representert av Frédéric Georjon, President
Kontakt personvernombud: [email protected]
Vårt personvernombud (DPO) kan nås for alle spørsmål om beskyttelsen av dine personopplysninger. Du kan kontakte vedkommende når som helst for å utøve dine rettigheter eller for spørsmål om behandlingen av dine opplysninger.
Innsamlede data
Vi samler inn følgende datakategorier avhengig av din brukerprofil og din interaksjon med våre tjenester:
Datakategorier
Identifikasjonsdata
Etternavn, fornavn, e-postadresse, telefonnummer, firmanavn, SIRET (for profesjonelle), postadresse
Profesjonelle data
Type virksomhet (produsent, restaurant, distributør), gårdsstørrelse, antall ansatte, innehavte sertifiseringer (Bio, HVE, AOP, IGP, Label Rouge), betegnelser, dyrket areal
Sporbarhetsdata
Produksjonspartier, innhøstings-/produksjonsdatoer, produktenes rute, registrerte temperaturer, geolokalisering av leveranser, blockchain-tidsstempler
Transaksjonsdata
Ordrehistorikk, fakturaer, betalingsmidler (tokenisert), akkumulerte VRT-poeng, Pioneer-status
Navigasjonsdata
IP-adresse (anonymisert etter 13 måneder), nettlesertype, operativsystem, besøkte sider, besøkets varighet, trafikkilde, utførte handlinger
Tilkoblingsdata
Innloggingsopplysninger (hashet), tilkoblingslogger, øktsoghistorikk, brukte enheter
Kommunikasjonsdata
Innholdet i meldinger sendt til kundestøtten, utvekslingshistorikk, kommunikasjonspreferanser, samtykker til nyhetsbrev
IoT-data
Sensoridentifikatorer, temperaturmålinger, geolokalisering av trackere, batteristatus, utløste varsler
Sensitive data
Vi samler ikke inn sensitive data i henhold til artikkel 9 i GDPR (rasemessig eller etnisk opprinnelse, politiske oppfatninger, religiøs overbevisning, helseopplysninger, seksuell legning, osv.), med mindre det er strengt nødvendig og med ditt uttrykkelige samtykke.
Mindreårige
Våre tjenester er ikke rettet mot mindreårige under 16 år. Vi samler ikke bevisst inn personopplysninger om mindreårige. Hvis du er forelder eller verge og mener at barnet ditt har gitt oss personopplysninger, vennligst kontakt oss umiddelbart på [email protected] slik at vi kan slette dem.
Datakilder
- •Direkte fra deg (skjemaer, manuell registrering)
- •Automatisk (informasjonskapsler, logger, IoT-sensorer)
- •Via tredjeparter (partner-API-er, tilkoblede informasjonssystemer)
- •Offentlige kilder (offisielle registre for verifisering)
Behandlingsformål
Dine personopplysninger behandles for følgende formål, hver basert på et spesifikt rettslig grunnlag:
Levering av sporbarhetstjeneste
Registrere og sertifisere sporingsdata for produktene dine, generere QR-koder, tillate konsultasjon av sluttbrukere.
Administrasjon av brukerkontoer
Opprette og administrere kontoen din, håndtere tilganger, tilpasse opplevelsen din.
Behandling av bestillinger og betalinger
Håndtere forhåndsbestillinger, abonnementer, fakturaer, maskinvareleveranser.
Håndtering av poeng og VRT-tokens
Beregne, tildele og spore sporingspoengene dine, forberede konvertering til tokens.
Kundestøtte
Svare på forespørsler, løse tekniske problemer, gi ettersalgsservice.
Markedskommunikasjon
Informere deg om nyheter, nye produkter, spesialtilbud, arrangementer.
Forbedring av tjenester
Analysere plattformbruk, utvikle nye funksjoner.
Regelverkssamsvar
Oppfylle våre juridiske forpliktelser: EUDR, DPP, regnskap, skatt, HACCP.
Sikkerhet og svindelforebygging
Beskytte plattformen mot uautorisert tilgang, oppdage svindel.
Blockchain-bevis
Forankre sporings-hasher på blockchain for å garantere uforanderlighet av bevis. Kun hasher lagres, ikke personopplysningene dine.
Rettslig grunnlag for behandling
I samsvar med GDPR må all behandling av personopplysninger være basert på et rettslig grunnlag. Her er de rettslige grunnlagene som vi baserer vår behandling på:
Samtykke (Art. 6.1.a GDPR)
For utsending av nyhetsbrev, markedskommunikasjon, bruk av ikke-essensielle informasjonskapsler. Du kan trekke tilbake samtykket ditt når som helst via avmeldingslenker eller ved å kontakte oss.
Kontraktsoppfyllelse (Art. 6.1.b GDPR)
For oppfyllelse av kontrakten som binder oss: kontoopprettelse, levering av sporbarhetstjeneste, ordrehåndtering, kundestøtte, tildeling av VRT-poeng.
Rettslig forpliktelse (Art. 6.1.c GDPR)
For å overholde våre juridiske forpliktelser: oppbevaring av fakturaer i 10 år (bokføringslovgivning), EUDR/DPP-samsvar, påloggingslogger i 12 måneder, svar på rettslige henvendelser.
Berettiget interesse (Art. 6.1.f GDPR)
For våre berettigede interesser som ikke krenker dine rettigheter: forbedring av tjenester, plattformsikkerhet, anonymisert statistikk, svindelforebygging.
Interesseavveining
Når vi påberoper oss berettiget interesse, har vi foretatt en avveining mellom våre interesser og dine rettigheter og friheter. Denne analysen er dokumentert og tilgjengelig på forespørsel hos vår DPO.
Oppbevaringsperiode
Vi oppbevarer dine personopplysninger kun så lenge det er nødvendig for formålene de ble samlet inn for, i samsvar med de juridiske forpliktelsene:
| Données | Durée | Justification |
|---|---|---|
| Kontodata (potensielle kunder) | 3 år etter siste aktive kontakt | CNIL-anbefaling |
| Kontodata (kunder) | Kontraktens varighet + 5 år | Sivilrettslig foreldelse |
| Sporbarhetsdata | Minst 10 år | Regulatoriske forpliktelser for næringsmidler |
| Faktureringsdata | 10 år | Handelsloven (art. L123-22) |
| Navigasjonsdata (informasjonskapsler) | Maksimalt 13 måneder | CNIL-anbefaling |
| Tilkoblingslogger | 12 måneder | LCEN / Sikkerhet |
| Samtykker (bevis) | Samtykkets varighet + 5 år | Bevis ved kontroll |
| Nyhetsbrevdata | Inntil avmelding + 3 år | Håndtering av innsigelser |
| Supporthenvendelser | 3 år etter avslutning | Tjenestekvalitet |
| Blockchain-hash | Permanent | Blockchainens uforanderlighet (kun hash, ikke dataene) |
Arkivering
Ved utløpet av de aktive oppbevaringsperiodene kan enkelte data arkiveres i en mellomlagringsbase med begrenset tilgang for å oppfylle våre juridiske forpliktelser eller for å fastsette, utøve eller forsvare rettigheter for domstolene.
Sletting
Ved utløpet av oppbevarings- og arkiveringsperiodene slettes dine data på en sikker måte eller anonymiseres uigjenkallelig.
Mottakere av data
Dine personopplysninger kan bli meddelt følgende mottakere, strengt begrenset til det som er nødvendig for å oppfylle formålene beskrevet ovenfor:
Internt
Kun medlemmer av VeraTrace-teamet som har behov for tilgang til dine data i forbindelse med sine oppgaver har tilgang:
- •Teknisk team (støtte, utvikling)
- •Salgsteam (kunderelasjoner)
- •Administrativt team (fakturering, regnskap)
- •Ledelse (tilsyn)
Tilgangen kontrolleres i henhold til prinsippet om minste privilegium og loggføres i våre revisjonslogger.
Underleverandører og tjenesteleverandører
Vi benytter tekniske leverandører for driften av våre tjenester. Alle er underlagt strenge kontraktsmessige forpliktelser (Artikkel 28 GDPR):
Hetzner Online GmbH
Hosting av nettstedet og CDN
Navigasjonsdata, logger
Amazon Web Services (AWS)
Skyinfrastruktur, datalagring
Alle applikasjonsdata
Make (tidligere Integromat)
Automatisering av skjemaer og arbeidsflyter
Skjemadata
Brevo (tidligere Sendinblue)
Utsendelse av transaksjonelle e-poster og nyhetsbrev
E-post, fornavn, preferanser
Stripe
Betalingsbehandling
Betalingsdata (tokenisert)
Blockchain privée VeraTrace
Forankring av sporbarhetsbevis
Kun kryptografiske hasher
Airtable
CRM og kontakthåndtering
Profesjonelle kontaktopplysninger
Denne listen oppdateres regelmessig. Siste gjennomgang: januar 2026.
Partnere (med ditt samtykke)
Med ditt uttrykkelige samtykke kan visse data deles med våre partnere:
- •Landbrukssamvirker der du er medlem
- •Partner lokale myndigheter (kun aggregerte data)
- •Sertifiseringsorganer (for verifisering)
Myndigheter og juridiske forpliktelser
Dine data kan meddeles kompetente myndigheter etter juridisk anmodning:
- •Skatteetaten (kontroller)
- •Rettslige myndigheter (pålegg)
- •CNIL (kontroller)
- •Matreguleringsmyndigheter (DGCCRF, DDPP)
Salg av data
Vi selger ALDRI dine personopplysninger til tredjeparter. Vi deler dem ikke for reklameformål uten ditt uttrykkelige samtykke.
Overføringer utenfor EU
Noen av våre tjenesteleverandører befinner seg utenfor Den europeiske union, hovedsakelig i USA. I slike tilfeller sørger vi for at passende garantier er innført i samsvar med kapittel V i GDPR:
Innførte garantier
Standard kontraktsklausuler (SCC)
Klausuler godkjent av Europakommisjonen (beslutning 2021/914) signert med våre amerikanske tjenesteleverandører
Ytterligere tiltak
Kryptering av data under overføring og i hvile, pseudonymisering der det er mulig, vurdering av overføringens konsekvenser (TIA)
EU-hosting foretrukket
Vi foretrekker systematisk tjenesteleverandører som er vert for data innenfor EU
Berørte land
USA
Stripe, Airtable
SCC + ytterligere tiltakDu kan få en kopi av standardkontraktsklausulene eller de innførte garantiene ved å kontakte oss på [email protected]
Automatiserte beslutninger og profilering
I samsvar med artikkel 22 i GDPR informerer vi deg om behandling som involverer automatiserte beslutninger:
Beregning av sporbarhetsscore
Vi beregner automatisk en sporbarhetsscore (fra A til E) basert på dataene du oppgir: informasjonens fullstendighet, sertifiseringer, kjededekning osv.
Denne scoren er informativ og har ingen vesentlig rettslig virkning. Den påvirker ikke din mulighet til å bruke tjenesten.
Du kan bestride denne scoren ved å kontakte vårt støtteteam.
Tildeling av VRT-poeng
Poengene beregnes automatisk i henhold til en algoritme som tar hensyn til: tilbakelagt avstand, sertifiseringer, produkttype, kjølekjede osv.
Denne beregningen påvirker antall poeng du samler opp.
Du kan be om en manuell gjennomgang dersom du mener det er gjort en feil.
Ingen utelukkende automatisert beslutning
Ingen beslutning som har rettslige virkninger eller påvirker deg vesentlig, treffes utelukkende ved automatiserte midler. Menneskelig inngripen er alltid mulig på forespørsel.
Dine rettigheter
I samsvar med GDPR har du følgende rettigheter over dine personopplysninger:
Rett til innsyn (Art. 15 GDPR)
Få bekreftet at det behandles data om deg, få tilgang til disse dataene og få en kopi. Du kan også be om informasjon om formål, datakategorier, mottakere, oppbevaringsperioder osv.
Rett til retting (Art. 16 GDPR)
Få rettet unøyaktige data om deg eller fullført ufullstendige data.
Rett til sletting (Art. 17 GDPR)
Be om sletting av dataene dine i visse tilfeller: data ikke lenger nødvendige, tilbaketrekking av samtykke, innsigelse, ulovlig behandling. Denne retten gjelder ikke dersom behandlingen er nødvendig for en rettslig forpliktelse.
Rett til begrensning (Art. 18 GDPR)
Be om begrensning av behandling under verifisering av datanøyaktighet, hvis behandlingen er ulovlig, eller under vurdering av en innsigelse.
Rett til dataportabilitet (Art. 20 GDPR)
Motta dataene dine i et strukturert format (JSON, CSV) og overføre dem til en annen behandlingsansvarlig.
Rett til innsigelse (Art. 21 GDPR)
Protestere mot behandling basert på berettiget interesse. Du kan protestere uten grunn mot behandling for direkte markedsføringsformål.
Rett til å trekke tilbake samtykke
Trekke tilbake samtykket ditt når som helst for behandling basert på det, uten å påvirke lovligheten av tidligere behandling.
Rett til å definere post mortem-direktiver
Definere direktiver angående oppbevaring og kommunikasjon av dataene dine etter din død.
Rett til ikke å bli gjenstand for automatiserte beslutninger
Ikke bli gjenstand for en beslutning utelukkende basert på automatisert behandling som har rettslige virkninger for deg eller påvirker deg betydelig.
Hvordan utøve dine rettigheter
For å utøve dine rettigheter har du flere muligheter:
På nett
Via ditt personlige område, seksjonen „Mine opplysninger" (for brukere med konto)
Per e-post
Ved å skrive til [email protected]
Per post
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, Frankrike
Vennligst vedlegg en kopi av et identitetsbevis med hver forespørsel (identitetskort, pass). Dette tiltaket tar sikte på å beskytte dine opplysninger mot bedragerske forespørsler.
Vi forplikter oss til å svare på din forespørsel innen én måned fra mottakelsen. Denne fristen kan forlenges med to måneder tatt i betraktning kompleksiteten og antallet forespørsler, i så fall vil du bli informert om denne forlengelsen.
Utøvelsen av dine rettigheter er gratis. Ved åpenbart ugrunnede eller overdrevne forespørsler, særlig på grunn av deres gjentakende karakter, kan vi imidlertid kreve betaling av et rimelig gebyr eller nekte å etterkomme forespørselen.
Klage til Datatilsynet
Hvis du mener at behandlingen av dine personopplysninger utgjør et brudd på regelverket, har du rett til å sende inn en klage til Datatilsynet (den norske tilsynsmyndigheten for personvern) eller CNIL (den franske tilsynsmyndigheten):
CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
www.cnil.fr
Du kan også inngi en klage på nett på CNILs nettsted.
Informasjonskapsler og sporere
Nettstedet vårt bruker informasjonskapsler og lignende teknologier (piksler, nettfyr, lokal lagring). En informasjonskapsel er en liten tekstfil som lagres på enheten din (datamaskin, smarttelefon, nettbrett) når du besøker et nettsted.
Hva er en informasjonskapsel?
En informasjonskapsel lar nettstedet gjenkjenne nettleseren din og huske bestemte opplysninger (preferanser, økt, osv.). Informasjonskapsler kan ikke kjøre programmer eller overføre virus.
Typer informasjonskapsler som brukes
Strengt nødvendige informasjonskapsler
Uunnværlige for nettstedets funksjon
Brukerøkt, språkinnstillinger, sikkerhet (CSRF), handlekurv
Ytelses- / analytiske informasjonskapsler
Forstå hvordan besøkende bruker nettstedet
Viste sider, besøksvarighet, brukerreise, forekomne feil
Preferanse-informasjonskapsler
Huske valgene dine for å tilpasse opplevelsen
Språk, valuta, mørkt/lyst tema, foretrukket visning
Det vi IKKE bruker
- Reklame- eller målrettingsinformasjonskapsler
- Sporere fra sosiale nettverk (Facebook Pixel, osv.)
- Google Analytics eller enhver Google-sporingstjeneste
- Tredjeparts informasjonskapsler til markedsføringsformål
Administrasjon av informasjonskapsler
Du kan når som helst endre preferansene dine for informasjonskapsler:
Samtykkebanner
Tilgjengelig via lenken «Administrer informasjonskapsler» nederst på hver side
Nettleserinnstillinger
Du kan konfigurere nettleseren din til å avvise alle informasjonskapsler eller varsle deg når en informasjonskapsel sendes
Lenker til innstillingene til de viktigste nettleserne
Å deaktivere visse informasjonskapsler kan påvirke nettstedets funksjon og nettleseropplevelsen din.
Datasikkerhet
Vi iverksetter passende tekniske og organisatoriske tiltak for å beskytte dine personopplysninger mot utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering eller tilgang:
Tekniske tiltak
- •Kryptering av data under overføring (HTTPS/TLS 1.3)
- •Kryptering av sensitive data i hvile (AES-256)
- •Hashing av passord (bcrypt med salt)
- •Sterk autentisering for tilgang til systemene (obligatorisk 2FA)
- •Applikasjonsbrannmur (WAF) og DDoS-beskyttelse
- •Overvåking og deteksjon av inntrengning (IDS/IPS)
- •Daglige krypterte sikkerhetskopier med månedlig gjenopprettingstest
- •Atskilte utviklings-, test- og produksjonsmiljøer
Organisatoriske tiltak
- •Streng tilgangskontroll basert på prinsippet om minste privilegium
- •Sporbarhet av datatilgang (revisjonslogger)
- •Regelmessig opplæring av teamene i sikkerhet og databeskyttelse
- •Retningslinjer for håndtering av sikkerhetshendelser
- •Regelmessig gjennomgang av tilgangsrettigheter
- •Konfidensialitetsklausuler for alle ansatte og leverandører
Tester og revisjoner
Vi gjennomfører regelmessig sikkerhetstester (penetrasjonstester, sårbarhetsskanninger) og revisjoner av vår praksis.
Datainnbrudd
Ved et brudd på personopplysningssikkerheten som kan innebære en risiko for dine rettigheter og friheter:
- Vi varsler CNIL innen 72 timer etter at vi har blitt kjent med bruddet
- Vi informerer deg så snart som mulig dersom risikoen for dine rettigheter og friheter er høy
- Vi dokumenterer ethvert brudd i vårt interne register
- Vi iverksetter tiltak for å utbedre bruddet og begrense konsekvensene
Særtrekk knyttet til blokkjeden
VeraTrace bruker blokkjedeteknologi for å sertifisere sporbarhetsdata. Her er hva De bør vite:
Hva som lagres på blokkjeden
- •Kun kryptografiske hasher (digitale fingeravtrykk)
- •Tidsstempler for registreringene
- •Partiidentifikatorer (anonymisert)
Hva som IKKE lagres på blokkjeden
- •Deres personopplysninger (navn, adresse osv.)
- •Kommersielle detaljer (priser, volumer)
- •Sensitive opplysninger om Deres virksomhet
Uforanderlighet
Hashene som er registrert på blokkjeden er i sin natur uforanderlige og kan ikke slettes. Disse hashene gjør det imidlertid ikke mulig å rekonstruere Deres personopplysninger. Sletting av Deres data fra våre systemer gjør disse hashene ubrukelige.
Rett til sletting og blokkjeden
Dersom De utøver Deres rett til sletting, sletter vi alle Deres personopplysninger fra våre databaser. Blokkjedehashene består, men kan ikke lenger knyttes til Deres identitet og kan ikke brukes til å rekonstruere Deres data.
Endringer i denne policyen
Vi forbeholder oss retten til å endre denne personvernerklæringen når som helst for å gjenspeile utviklingen i vår praksis eller regulatoriske endringer.
Hvordan du vil bli informert
- •E-postvarsel om vesentlige endringer (brukere med konto)
- •Informasjonsbanner synlig på nettstedet i 30 dager
- •Oppdatering av datoen for «siste oppdatering» øverst i dokumentet
Fortsatt bruk av våre tjenester etter publisering av endringene utgjør aksept av den nye personvernerklæringen.
Versjonshistorikken er tilgjengelig på forespørsel hos vår DPO.
Kontakt oss
For alle spørsmål om denne personvernerklæringen eller behandlingen av dine personopplysninger:
Postadresse
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Rekommandert post for formelle forespørsler
Vi forplikter oss til å svare på enhver henvendelse innen 5 virkedager med en første bekreftelse, og innen den lovpålagte fristen på én måned med et fullstendig svar.