Vitne
Personvernerklæring

Personvernerklæring

Hva Vitne samler inn, hvordan vi sikrer det, og hva du kan kreve

Versjon 1.0 Sist oppdatert 2026-04-25 Behandlingsansvarlig On-Ramp AS Servere Norge
Først — det viktigste, forklart enkelt

Slik fungerer Vitne

Vitne er en webtjeneste som lar deg ta opp lyd og video som bevis i akutte situasjoner — vold, trusler, trakassering. Du holder inne en knapp i ett sekund, og opptaket starter. Hvert sekund av opptaket sendes umiddelbart til en sikker server i Norge — ikke når du er ferdig, men mens det skjer. Det betyr at bevisene eksisterer selv om telefonen blir tatt fra deg eller ødelagt.

Hva lagrer vi?

Selve opptaket (lyd og video, biter på 250 millisekunder), tidspunkt, omtrentlig posisjon (GPS, hvis du har gitt tilgang), telefonmodellen din (slik nettleseren rapporterer den), og en App-ID som identifiserer enheten din uten å vite hvem du er. Hvis du har opprettet en konto: e-postadressen din og et bcrypt-kryptert passord. Vi lagrer ikke noe annet uten at du har bedt om det.

Hvem får tak i opptakene?

Du selv. Punktum. Politi får ikke automatisk tilgang — de må enten få det fra deg (du anmelder, deler), eller gjennom rettslig pålegg (ransaking, beslag) på samme måte som med alt annet bevismateriale i Norge. Nødkontakter du registrerer får ingenting med mindre du eksplisitt har skrudd på «kan se opptak» eller «får varsel» for hver enkelt — og selv da bare når du selv aktiverer SOS.

Kan dere endre opptakene mine?

Nei. Hver bit av opptaket signeres med en kryptografisk hash (SHA-256) og låses til biten foran. Endrer noen én bit, brytes hele kjeden — og det er teknisk påvisbart. Vi kan ikke skjule manipulering. Det er det som gjør Vitne brukbart som bevis.

Hva om jeg vil slette?

Du sletter selv, fra biblioteket ditt. Slettede opptak er borte for deg umiddelbart, men beholdes i 7 dager før permanent sletting — så du kan angre hvis du slettet ved et uhell, eller hvis noen tvang deg. Etter 7 dager er det fysisk borte fra serveren.

Hvorfor finnes Vitne?

Saker om vold i nære relasjoner henlegges ofte fordi det ikke finnes objektive bevis. Vi mener ingen skal måtte velge mellom å beskytte seg og å dokumentere det som skjer. Tjenesten er gratis for sluttbrukere og finansieres av offentlige tilskudd, krisesentre og arbeidsgivere med ansatte i risikoyrker.

Denne erklæringen beskriver hvordan On-Ramp AS, som behandlingsansvarlig for tjenesten Vitne, behandler personopplysninger om deg når du bruker opptaker-appen, kontoportalen, eller politiportalen. Erklæringen oppfyller informasjonsplikten etter personvernforordningen (GDPR) artikkel 13–14 og personopplysningsloven.

01 — Behandlingsansvarlig

Hvem er ansvarlig for personopplysningene dine

Selskap
On-Ramp AS
Tjeneste
Vitne — sikret bevisopptak
Kontakt
personvern@vitne.no
Personvernombud
Kontaktes via samme adresse, merket «DPO».
Tilsynsmyndighet
Datatilsynet — Postboks 458 Sentrum, 0105 Oslo

Som behandlingsansvarlig bestemmer On-Ramp AS formålet med og midlene for behandlingen, og er juridisk ansvarlig for at GDPR følges.

02 — Datakategorier

Hva vi behandler om deg

Bevismateriale (opptak)

  • Lyd- og videospor du tar opp via tjenesten, lagret som WebM-filer i sekvensielle biter.
  • Tidsstempel per bit (start- og sluttid for hver chunk).
  • Geolokasjon (siste registrerte koordinat, hvis du har gitt geolokasjon-tilgang i nettleseren).
  • Hash-kjede — SHA-256 av hver chunk, signert mot foregående chunk.
  • Sesjonsmetadata — start, slutt, totalt antall chunks, slutt-årsak (normal / forbindelse tapt).

Tekniske enhetsdata

  • App-ID — en pseudonym streng (VTN-DEV-…) som genereres lokalt i nettleseren ved første bruk.
  • User-agent og plattform som nettleseren rapporterer (telefonmodell utledes fra dette der det er mulig).
  • Skjermdimensjoner og språk.
  • IP-adresse ved kontakt med server (lagres i tilgangslogg).

Kontodata (hvis du oppretter konto)

  • E-postadresse.
  • Passord — lagres aldri i klartekst. Vi lagrer kun en bcrypt-hash.
  • Tilknytning mellom konto og App-ID.
  • Tidspunkt for opprettelse og siste pålogging.

Nødkontakter (hvis du registrerer dem)

  • Navn, telefonnummer, e-post og relasjon for kontakter du selv legger inn.
  • Per-kontakt rettighetsflagg (kan se opptak / kan se live / får varsel ved opptak).

Driftslogg

  • Tilgangslogg — IP, App-ID/bruker, endpunkt, tidspunkt for hver server-forespørsel.
  • Audit-logg — sletting, gjenoppretting, SOS-aktiveringer (også simulerte), kontotilknytninger.
Ingen reklame, ingen sporing. Vi kjører ingen tredjeparts analyse-, reklame- eller sporingsverktøy. Det er ingen Google Analytics, ingen Facebook-piksel, ingen affiliates.
03 — Behandlingsgrunnlag

Hjemmelen for å behandle data

Vi behandler personopplysninger med følgende rettslige grunnlag etter GDPR:

Art. 6(1)(a)
Samtykke — for opptak, geolokasjon, mikrofontilgang og kameratilgang. Du gir dette aktivt når nettleseren spør.
Art. 6(1)(b)
Avtale — for å levere kontotjenesten (innlogging, bibliotek, sletteflyt) når du har opprettet konto.
Art. 6(1)(d)
Vitale interesser — for å bevare bevismateriale i akutte situasjoner der det kan være avgjørende for liv og helse.
Art. 6(1)(f)
Berettiget interesse — for sikkerhetslogger og misbruksdeteksjon, etter avveining mot dine rettigheter.
Art. 9(2)(c)
Vitale interesser ved særlige kategorier — opptak kan inneholde sensitive data (helse, etnisitet). Brukes når du selv ikke kan samtykke i situasjonen.
Art. 9(2)(f)
Rettskrav — fastsettelse, gjøre gjeldende eller forsvar av rettskrav (bevis i straffesak).

Du kan trekke samtykke tilbake når som helst — uten begrunnelse — ved å slette opptaket eller kontoen. Tilbaketrekking påvirker ikke lovligheten av behandlingen før tilbaketrekkingen.

04 — Formål

Hvorfor vi behandler dataene

  1. Bevisbevaring i akuttsituasjon. Hovedformålet: å sikre at lyd- og videoopptak av en hendelse eksisterer på sikker server selv om enheten din mistes, ødelegges eller slås av.
  2. Tilgjengeliggjøring til deg selv. Du skal kunne se, spille av, eksportere og slette opptakene dine fra biblioteket på account.php.
  3. Bevisintegritet. Hash-kjeden og tidsstemplingen har som formål å gjøre opptakene etterprøvbare og bestandige mot manipulasjon.
  4. Etterforskningsstøtte. Når politi får tilgang gjennom rettslig grunnlag eller deling fra deg, gir vi dem mulighet til å verifisere kjeden og spille av materialet.
  5. Drift og sikkerhet. Tilgangslogger og audit-logger brukes til å oppdage misbruk, feilsøke, og dokumentere hvem som har sett hva.
Vi bruker ikke dataene dine til å trene AI-modeller. Opptak forlater ikke vår infrastruktur og er ikke tilgjengelig for tredjeparter til maskinlæring, statistikk eller produktutvikling.
05 — Sikkerhet

Slik beskyttes dataene dine

Vi har implementert tekniske og organisatoriske tiltak etter GDPR art. 32 for å sikre fortrolighet, integritet, tilgjengelighet og motstandsdyktighet:

I transitt (mellom enhet og server)

  • TLS 1.3 for all kommunikasjon. Eldre TLS-versjoner og usikre cipher-suites er deaktivert.
  • HSTS med 2-årig max-age og preload-direktiv.
  • Strict CSP som blokkerer eksterne skript og innebygde rammer.

I hvile (på server)

  • LUKS-diskkryptering på alle disker som lagrer bevismateriale. Nøkler oppbevares atskilt fra disk.
  • Application-level kryptering per chunk med nøkler bundet til sesjon.
  • Bcrypt (cost 12) for alle brukerpassord. Klartekst-passord lagres aldri.
  • Sesjonscookies med HttpOnly, Secure, SameSite=Lax, og kort levetid.
  • Tofaktorautentisering kreves for politi- og administratorkontoer.

Bevisintegritet

  • SHA-256 hash-kjede. Hver chunk hashes; hashen lagres sammen med hashen til foregående chunk. Manipulering bryter kjeden.
  • Server-sidehash beregnes uavhengig av klient ved mottak — sammenligning gjør juks fra klient synlig.
  • Tidsstempling både på klient og server.
  • Signert manifest ved sesjon-slutt — kan verifiseres av tredjepart med åpen verifikasjonskode.

Operasjonell sikkerhet

  • Servere drives på norsk infrastruktur med fysisk adgangskontroll.
  • Brannmur foran applikasjonsserver, fail2ban for brute-force-deteksjon, rate-limit på autentisering.
  • Backup til adskilt geografisk lokasjon i Norge, kryptert i hvile, automatisk daglig rotasjon.
  • Logging av alle administrative tilganger; loggene er tamper-evident og oppbevares 6 måneder.
  • Hendelseshåndtering — varsling til berørte og Datatilsynet innen 72 timer ved alvorlig brudd, jf. art. 33–34.
  • Penetrasjonstester årlig av uavhengig tredjepart, samt løpende sårbarhetsskanning.

Tilgangskontroll

  • Driftspersonell hos On-Ramp AS har ikke tilgang til klartekstinnhold i opptak. Kun krypterte chunks er synlige.
  • Tilgang til avspilling krever rettslig grunnlag eller eksplisitt deling fra eier.
  • Hver tilgang logges — bruker, tidspunkt, IP — i audit-loggen.
06 — Mottakere

Hvem kan motta data

Personopplysninger deles bare i klart definerte tilfeller, og mottaker er avhengig av handlingen som utløser delingen:

Du selv
Full tilgang til alle opptak, kontodata og kontakter via biblioteket.
Politi
Bare etter (a) at du selv har anmeldt og delt opptak knyttet til saken, eller (b) rettslig pålegg etter straffeprosessloven (beslag, ransaking). Politi har ikke generell innsyns-tilgang.
Krisesenter / pilotpartner
Når du selv har valgt å dele med en konkret partner, og bare for den enkelte sesjonen.
Nødkontakter
Bare hvis du har skrudd på rettighetsflaggene per kontakt. «Kan se opptak», «kan se live» og «får varsel» er av som standard.
Underleverandører (databehandlere)
Hostingpartner i Norge for serverdrift. Databehandleravtale (DPA) etter art. 28 er signert. Ingen videre underleveranse uten forhåndsgodkjenning.
Domstol / advokat
Når du selv legger frem opptak som bevis, eller når domstol krever det.
Per dags dato sender vi ikke reelle SMS, anrop eller e-post. SOS-funksjonen er i nåværende versjon en intern simulering — ingen kanaler aktiveres for ekstern levering uten at vi først har inngått avtale med valgt kommunikasjonsleverandør og oppdatert denne erklæringen.
07 — Tredjeland

Overføring utenfor EØS

Vi overfører ikke personopplysninger ut av EØS. Servere, backup, logghåndtering og driftspersonell befinner seg i Norge. Vi bruker ingen amerikanske skytjenester for behandling av bevismateriale.

Frontend-fonter lastes fra Google Fonts. Dette er en ikke-personidentifiserende teknisk anrop. Hvis du foretrekker å unngå dette, kan vi levere en variant av tjenesten med self-hostede fonter — kontakt oss.

08 — Lagringstid

Hvor lenge vi beholder data

Aktive opptak
Så lenge du selv velger. Du kan slette når som helst.
Slettede opptak
Permanent fjerning 7 dager etter at du initierer sletting (angrefrist). Gjenopprettes med ett klikk innen fristen.
Aktiv konto
Til du selv sletter den. Inaktive kontoer (24 mnd uten innlogging) varsles og slettes etter 30 dagers responsfrist.
Bcrypt-passord
Til kontoen slettes.
Tilgangslogg
6 måneder, deretter automatisk fjernet.
Audit-logg
12 måneder ved normal drift; opptil 5 år ved aktiv etterforskning eller rettslig pålegg.
Backup
Daglig backup beholdes i 30 dager. Slettet bevismateriale fjernes også fra backup ved neste rotasjon.
Bevarings-lås
Ved aktiv etterforskning kan opptak låses mot sletting i opptil 7 år, etter rettslig grunnlag.
09 — Dine rettigheter

Hva du kan kreve etter GDPR

Du har følgende rettigheter overfor oss som behandlingsansvarlig. Alle henvendelser besvares innen 30 dager (kan forlenges med 60 dager for komplekse saker, jf. art. 12).

Innsyn — art. 15

Få bekreftelse på hva vi har om deg, og en kopi av det.

Korrigering — art. 16

Få rettet uriktige eller ufullstendige personopplysninger.

Sletting — art. 17

«Retten til å bli glemt» — be om at data fjernes når formålet er borte.

Begrensning — art. 18

Pause behandlingen mens andre krav vurderes.

Dataportabilitet — art. 20

Få ut data i et strukturert, maskinlesbart format.

Innsigelse — art. 21

Protestere mot behandling basert på berettiget interesse.

Tilbaketrekking — art. 7(3)

Trekke samtykke når som helst, uten begrunnelse.

Klage — art. 77

Klage til Datatilsynet hvis du mener vi behandler ulovlig.

Du har også rett til å ikke være gjenstand for automatiserte avgjørelser (art. 22). Vi tar ingen automatiserte avgjørelser som har rettslig eller tilsvarende betydning for deg.

10 — Utøve rettighetene

Slik bruker du rettighetene dine

Det meste klarer du selv

  • Innsyn: Logg inn på account.php og se alle opptak, kontakter og kontodata.
  • Sletting av opptak: Slett-knapp på hvert opptak i biblioteket. 7 dagers angrefrist før permanent fjerning.
  • Sletting av konto: Lenke i kontoinnstillingene. Sletter konto + alle opptak + alle kontakter.
  • Korrigere e-post: Endres direkte i kontoinnstillinger.
  • Eksport (portabilitet): Lastes ned som ZIP fra biblioteket — inneholder original WebM, manifest og hash-kjede.

Ved skriftlig henvendelse

Send e-post til personvern@vitne.no med tydelig hva du ønsker (innsyn, sletting, dataportabilitet osv.). Vi bekrefter mottak innen 5 arbeidsdager og svarer innen 30 dager. Vi kan be om identifisering hvis det er tvil om hvem henvendelsen kommer fra — du skal ikke trenge å oppgi mer enn det som er strengt nødvendig.

Henvendelsen er gratis. Vi kan kreve et rimelig gebyr eller nekte respons bare ved åpenbart grunnløse eller overdrevne forespørsler, jf. art. 12(5).

Klage til Datatilsynet

Hvis du mener vi behandler personopplysninger i strid med GDPR, kan du klage til Datatilsynet: datatilsynet.no. Vi oppfordrer likevel til å ta kontakt med oss først — de fleste saker løses raskere direkte.

11 — Cookies og lokal lagring

Hva som lagres i nettleseren din

Cookies

  • vitne_session — sesjons-token når du er pålogget. Settes med HttpOnly, Secure, SameSite=Lax, og er gyldig i 30 dager. Slettes ved utlogging.

Vi setter ingen tredjeparts-cookies. Ingen reklame- eller analyse-cookies.

localStorage

  • vitne_device_id — App-ID generert lokalt ved første bruk.
  • vitne_emergency_contacts — speilet kopi av nødkontaktene dine for offline-tilgang.
  • vitne_theme — fargetema-valg (lys/mørk).

IndexedDB

  • vitne-chunks — buffer for opptaks-chunks når nettverket er nede. Tømmes så snart chunks er bekreftet mottatt av server.

Du kan tømme alt dette ved å bruke nettleserens innstillinger («Tøm lagringsdata for vitne.no»). Tjenesten regenererer App-ID ved neste besøk.

12 — Barn og sårbare grupper

Særlige hensyn

Vitne er ikke designet for barn under 13 år. For mindreårige mellom 13 og 16 anbefaler vi at foresatt eller verge involveres, i tråd med personopplysningsloven § 5.

Tjenesten brukes ofte av personer i sårbare situasjoner. Vi har implementert flere tiltak rettet mot dette:

  • Soft-delete med 7-dagers grace hindrer at panikk-sletting eller tvunget sletting blir endelig.
  • Cool-off ved opptaksstopp — opptaket fortsetter i 3 sekunder etter at brukeren prøver å stoppe, slik at avgjørende sluttsekunder ikke går tapt.
  • Diskret modus (under utvikling) — tjenesten kan kjøre med svart skjerm og deaktiverte hørbare bekreftelser.
  • Ingen automatisk varsling til andre uten eksplisitt samtykke per kontakt.
  • Pålogging valgfritt — du kan ta opp helt anonymt; konto kreves bare hvis du vil ha varig bibliotek.
13 — DPIA

Vurdering av personvernkonsekvenser

Behandlingen omfatter særlige kategorier av personopplysninger (art. 9) i sårbare situasjoner. En personvernkonsekvensvurdering (DPIA) etter art. 35 er gjennomført før utrulling, og oppdateres løpende ved vesentlige endringer.

DPIA-en dekker risikoanalyse, mottiltak, og en avveining mellom individuelle rettigheter og tjenestens samfunnsnytte. Vi har hatt forhåndsdialog med Datatilsynet der vurderingen er presentert. Sammendrag er tilgjengelig på forespørsel for partnere som krever det.

14 — Endringer

Når vi oppdaterer denne erklæringen

Vesentlige endringer varsles på e-post (registrerte brukere) eller ved tydelig melding i appen, minst 30 dager før de trer i kraft. Mindre endringer publiseres med oppdatert versjonsnummer og dato på toppen av denne siden.

Du kan til enhver tid se siste oppdaterte versjon her, og en historikk over tidligere versjoner er tilgjengelig på forespørsel.

Versjon
1.0
Sist oppdatert
2026-04-25
Forrige versjon
Ingen — første publiserte versjon
15 — Kontakt

Spørsmål eller bekymringer

Send e-post til personvern@vitne.no for henvendelser om denne erklæringen, dine rettigheter, eller personvern generelt. Personvernombudet svarer på saker merket «DPO».

For tekniske spørsmål om appen: kontakt@vitne.no.

For klage som ikke løses gjennom oss: Datatilsynet, Postboks 458 Sentrum, 0105 Oslo.

Vi tar dette på alvor. Hvis du oppdager noe du mener er feil, en mulig sårbarhet, eller en behandling vi ikke har redegjort for — skriv til oss. Vi svarer uansett, og vi belønner ansvarlig sårbarhetsrapportering.