Personvernerklæring

Yubi Invest AS er behandlingsansvarlig for personopplysninger som behandles i tjenesten. Henvendelser om personvern rettes til post@yubiinvest.no.

Skatteetaten er selvstendig behandlingsansvarlig for skattemeldingen etter at den er levert, og for utkast som lagres hos Skatteetaten/Altinn.

• Innloggingsopplysninger fra ID-porten: navn, fødselsnummer og en pseudonym bruker-ID inngår i påloggingsbevisene ID-porten utsteder. Disse lagres kun som beskyttede informasjonskapsler i din egen nettleser i innloggingsperioden. Fødselsnummeret ditt lagres aldri i våre systemer og vises aldri i fullstendig form i tjenesten.
• Hvilke virksomheter du kan representere: hentes fra Altinn når du er innlogget, slik at du kan velge riktig selskap. Listen vises kun til deg og lagres ikke hos oss.
• Skattemeldingsdata for selskapet: regnskaps- og skatteopplysninger du fyller inn eller henter fra Skatteetaten. Disse behandles i minnet på vår server når de valideres og sendes inn, men lagres ikke der — utkast lagres hos Skatteetaten/Altinn, og arbeidsversjonen din ligger i din egen nettleser.
• SAF-T regnskapsfil (valgfritt): hvis du importerer en SAF-T-fil, leses den i minnet for å fylle ut skjemaet og forkastes deretter. Filen lagres ikke.
• Sikkerhets- og innsendingslogg: ved innsending registrerer vi tidspunkt, organisasjonsnummer, inntektsår, utfall og en forkortet pseudonym bruker-ID (de første åtte tegnene). Fulle påloggingsbevis, fødselsnummer og navn logges aldri.

Tjenesten bruker kun strengt nødvendige informasjonskapsler, og disse brukes utelukkende til innlogging og sikkerhet:

• påloggingsbevis fra ID-porten (tilgangs-, oppfrisknings- og ID-token)
• en sesjons-ID som knytter nettleseren til innloggingen din
• kortlevde tekniske verdier som beskytter selve innloggingsforløpet (maks 10 minutter)

Alle er utilgjengelige for skript i nettleseren (httpOnly), sendes kun kryptert i produksjon og utløper senest 8 timer etter innlogging. Vercel Web Analytics bruker ikke analyseinformasjonskapsler, og Skattelett setter ingen sporings- eller tredjepartskapsler.

I tillegg lagres utkastet ditt i nettleserens sessionStorage, slik at du ikke mister arbeid ved en sideoppdatering. Dette slettes automatisk når fanen lukkes, og tømmes også når du logger ut.

• ID-porten (Digitaliseringsdirektoratet) — for innlogging og utlogging.
• Skatteetaten og Altinn — for å hente, validere, mellomlagre og sende inn skattemeldingen på vegne av selskapet du representerer.
• Brønnøysundregistrene — for oppslag av offentlig virksomhetsinformasjon (navn, organisasjonsform, adresse) basert på organisasjonsnummer.
• Vercel Inc. (drifts- og analyseleverandør) — tjenesten driftes hos Vercel, som dermed er vår databehandler. Det foreligger en databehandleravtale (DPA), og eventuell overføring til USA skjer på grunnlag av EU-US Data Privacy Framework supplert med EUs standardavtaler (SCC). Vercel Web Analytics brukes til aggregert måling av offentlige sider. Skattemeldingsinnhold, organisasjonsnummer, kvitteringsreferanser og private `/wizard`-sider sendes ikke til Web Analytics.

Vi bruker ikke annonsenettverk. Skrifttyper leveres fra våre egne servere, slik at ingen eksterne fontleverandører ser din IP-adresse. Opplysninger selges eller deles aldri til markedsføringsformål.

Innlogging, henting og innsending av skattemeldingen behandles fordi det er nødvendig for å levere tjenesten du ber om (GDPR artikkel 6 nr. 1 bokstav b). Sikkerhets- og innsendingsloggen føres med grunnlag i vår berettigede interesse i å sikre tjenesten og kunne ettergå feil (artikkel 6 nr. 1 bokstav f). Fødselsnummer behandles kun som del av påloggingsbevisene fra ID-porten, jf. personopplysningsloven § 12.

• Informasjonskapsler: utløper senest 8 timer etter innlogging og slettes ved utlogging.
• Utkast i nettleseren: slettes når fanen lukkes eller du logger ut.
• Sesjonsregister på server: inneholder kun pseudonyme sesjonsidentifikatorer, slettes automatisk ved utløp (senest 8 timer) og ved utlogging.
• Sikkerhets- og innsendingslogg: slettes automatisk etter 90 dager. Loggen inneholder ikke navn eller fødselsnummer.
• Skattemeldingsutkast og innleverte meldinger: lagres hos Skatteetaten/Altinn etter deres regler — ikke hos oss.

• All kommunikasjon skjer kryptert (TLS med HSTS).
• Påloggingsbevis er utilgjengelige for skript i nettleseren og verifiseres kryptografisk mot ID-porten.
• Alle endrende forespørsler beskyttes mot forfalskning fra andre nettsteder (CSRF-kontroll).
• Feilmeldinger fra underliggende systemer renses før de vises, og fulle påloggingsbevis logges aldri.
• Utlogging hos ID-porten avslutter også sesjonen her umiddelbart (backchannel logout).

Du har rett til innsyn i, retting og sletting av personopplysninger vi behandler om deg, samt rett til å protestere mot behandling som skjer på grunnlag av berettiget interesse. Siden tjenesten lagrer svært lite om deg — og skattemeldingsdataene ligger hos Skatteetaten — vil innsyn i selve skattemeldingen rettes til Skatteetaten.

Du kan klage på vår behandling til Datatilsynet, men vi setter pris på om du kontakter oss først.

Spørsmål om personvern? Kontakt Yubi Invest AS på post@yubiinvest.no.

Sist oppdatert: 18. juni 2026.