Last updated: 20250701

NOTE: A Swedish translation  is provided below for your convenience. While we strive to provide an accurate translation, please note that the original English version is the sole legally valid and binding text.   

Layer 1: The quick overview 

This brief overview summarizes our privacy practices. For more information, please refer to the extended statement below. 

Table of Contents:

• Article 1. Who we are? 
• Article 2. What data do we collect (broad categories)?
• Article 3. Why do we collect it?
• Article 4. Who do we share it with (broad categories)?
• Article 5. Your fundamental rights

Article 1. Who we are?  

Björn Lundén AB, including our websites www.bjornlunden.com in www.lundify.com  is the processor for the use of your personal data in the context of our services. 

Our details:
Björn Lundén AB 
Kastellvägen 21, 824 55 Hudiksvall 
Sweden
Registration number 5562939982

Article 2. What data do we collect (broad categories)?

We collect information that is necessary to provide and improve our services, manage your account, process payments, and ensure security. 

This broadly includes: 

• Identity and account information: Your name, email address, username, password, contact details and specific Bjorn ID data such as tokens, Citizen Service Number (if you use BankID) and telephone number. 

• Usage and technical data: Information about how you use our applications (e.g. features used, IP address, device information, error logs). This information is collected to improve our services and for security. 

• Billing and financial information: Billing address, payment information, billing history, and subscription status. 

• Communication data: Your support questions, feedback, and marketing preferences. 

• Workflow specific data (Lundify workflow): Operational data such as task assignments, project details, notifications, customer contacts and financial documents relevant to your workflow. 

Article 3. Why do we collect it?

We collect your data primarily to: 

• Provide/manage access to Lundify environment. 

• To provide software updates, technical support, and troubleshoot problems. 

• Payments and management of your subscriptions. 

• To improve our products, develop new features and enhance the user experience. 

• To ensure the security of our services and prevent fraud. 

• To communicate with you about our services, updates and (with your consent) marketing offers. 

• Comply with legal and regulatory obligations. 

Article 4. Who do we share it with (broad categories)?

We share your data with: 

• Service providers: Trusted third parties that assist us in operating our services (e.g., cloud hosting, monitoring, analytics, payment processors, email marketing platforms, customer relationship management systems, remote support tools, survey platforms). 

• Companies of the Bjorn Lunden Group: Our affiliated entities in Sweden, Denmark and the Netherlands for shared services. 

• Your organization/other users: Within Lundify, data can be shared with your colleagues or managers to facilitate collaboration. In Lundify Workflow, data from your clients can be processed on your behalf. 

• Legal Authorities: When required by law or to protect our rights. 

• Possible business transfers: In the event of a merger, acquisition or sale of assets. 

Article 5. Your fundamental rights

You have rights in relation to your personal data, including the right of access, rectification, erasure, restriction of processing, data portability, objection to processing and withdrawal of your consent. You can exercise these rights by contacting us. 

Layer 2: The detailed policy (extensive legal text)

Table of Contents:

• Article 1. Introduction and Scope 
• Article 2. Who we are (data controller)
• Article 3. Definitions
• Article 4. Information we collect and how we use it
• Section 4.A. General Data Collected in All Applications and Purposes 
• Section 4.B. Bjorn ID-specific data
• Section 4.C Lundify-specific data
• Section 4.D Lundify Workflow Specific Data
• Article 5. How we share your information
• Article 6. International data transfers 
• Article 7. Data retention   
• Article 8. Data security
• Article 9. Your rights 
• Article 10. Children's Privacy
• Article 11. Cookies and tracking technologies
• Article 12. Changes to this policy 
• Article 13. Contact us
• Article 14. Complaints mechanism  

Article 1. Introduction and Scope 

This privacy statement describes how Björn Lundén AB ("Björn Lundén", "we", "us" or "our") collects, uses, processes and shares personal data when you use our applications and services, including Björn ID, Lundify and Lundify Workflow (collectively "the Services"). 

Target audience: Our services are primarily designed for and used by businesses and organizations, particularly accounting firms and small businesses (B2B users). While we process data relating to your organization and its staff, our Lundify application also enables accountants to manage financial data for their end clients. 

Our role as controller and processor:  

Data controller: For the personal data of our direct users, such as employees of accounting firms or small businesses, Bjorn Lunden acts as the controller (hereinafter: data controller).   

This applies when you: 

• creates accounts; 

• manages licenses; 

• use our workflow tools; 

• communicate with us. 

As data controller, we determine the purpose and means of processing your data. 

Data processor: When you process your end customers' financial data with Lundify, your organization (the accounting firm or company) acts as the data controller. Bjorn Lunden acts as the data processor. 

As a data processor, we act exclusively on your behalf and in accordance with the data processing agreement (DPA). This privacy statement primarily focuses on our role as data controller. 

Applicability: This policy applies to all users of the Lundify service. By using and accessing the Lundify services, you agree to the terms of this privacy statement. 

Article 2. Who we are (data controller) 

Björn Lundén AB is responsible for the processing of your personal data as described in this privacy statement. 

Our full details are: 
Björn Lundén AB 
Kastellvägen 21 
824 55 Hudiksvall 
Sweden
Swedish registration number: 5562939982 

For our activities in the Netherlands: 
Bjorn Lunden 
The Trumpet 2880
1967 DD Heemskerk
The Netherlands
Org. no.: 34086387 

Data Protection Officer (registered DPO in Sweden) / Privacy Contact in NL: 
Names: Joris Enkelaar 
Email address:dpo@bjornlunden.com 
Phone: +316 13 17 87 61
(Use this email address for all your privacy questions and to exercise your rights.)

Article 3. Definitions 

• Personal data: Any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person. 

• Data Controller: The natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. 

• Data processor: A natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller. 

• Services: Refers collectively to Bjorn ID, Lundify and Lundify Workflow, and related support, websites and infrastructure provided by Bjorn Lunden. 

• User/Customer: Refers to the person or organization that uses our Services. In a B2B context, this primarily refers to the employees or representatives of our client organizations (for example, accountants and small business owners). 

Article 4. Information we collect and how we use it 

We collect personal data to provide, maintain, and improve our services. Below we describe the types of data we collect, the purposes for which we use it, and the legal basis under the GDPR for each processing activity. 

Legal bases for the processing of personal data (Article 6 GDPR):  

• (a) Consent: The data subject has given consent to the processing of his or her personal data for one or more specific purposes. 

• (b) Contractual necessity: The processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract. 

• (c) Legal obligation: The processing is necessary for compliance with a legal obligation to which the controller is subject. 

• (f) Legitimate interest: Processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data. 

Section 4.A. General Data Collected in All Applications and Purposes 

The following types of information are collected across our Services for general account management, service provision, and legal compliance purposes. 

Section 4.B. Bjorn ID-specific data 

Bjorn ID is your central identity provider enabling secure and seamless single sign-on (SSO) within the Lundify ecosystem. 

Section 4.C Lundify-specific data 

Lundify primarily refers to our financial management and accounting software. We process data to enable you (the accountant or the company) to use Lundify to run your business. As mentioned above, for the financial End Customer Data if/when you process data using Lundify, we act as a data processor on your behalf. This section focuses on the data we collect from you as a user (for example your staff). 

Section 4.D Lundify Workflow Specific Data 

Lundify Workflow is a task management and project collaboration application specifically designed for accounting firms. It integrates with other applications such as Lundify and Lundify Compliance to streamline operational processes. 

Article 5. How we share your information

We only share personal information as described in this privacy statement, with your consent, or as required by law. 

* With external service providers: We employ trusted third party companies and individuals to perform services on our behalf and to help us operate, provide, and improve our Services. These providers are contractually obligated to keep personal information confidential and to use it only for the purposes for which we disclose it to them. Categories of service providers include: 

• Cloud hosting and infrastructure: 

•   Communication and support: 

•   Marketing a CRM: 

• Analyse:  

• Questionnaires: Typeform (for customer surveys and feedback). 

• Remote support:  

•  Payment processors: To process billing and payment transactions.

• Microsoft Business Central: for billing purposes. 

• Microsoft 365 services for: internal activities (e.g. email, collaboration tools). 

• With affiliated companies and group companies: We may share your personal data with other entities within the Björn Lundén Group in Sweden, Denmark and the Netherlands for shared services, internal administration and to provide you with integrated services. All such sharing will be subject to this Privacy Statement and appropriate safeguards. 

• Within your organization (for Lundify Workflow): Data processed within Lundify Workflow (e.g. task assignments, project details, communications) may be accessible to other authorized users within your organization (e.g. colleagues, managers, administrators) if needed for team collaboration and operational management. 

• For legal reasons: We may disclose your personal information if we are required to do so by law or if we believe in good faith that such disclosure is necessary to: 

• To comply with a legal obligation or a court order. 

• Protect and defend the rights and property of Bjorn Lunden. 

• Prevent or investigate possible misconduct in connection with the Services. 

• To protect the personal safety of users of the Services or the public. 

• Protect yourself from legal liability. 

• In case of business transfer: In the event of a merger, acquisition, reorganization, bankruptcy or other sale of all or a portion of our assets, your personal information may be transferred to the successor entity. 

Article 6. International data transfers 

As part of our business, personal data may be transferred to, and stored at, a destination outside the European Economic Area (EEA) or Sweden/Netherlands. This may happen if one of our service providers or their sub-processors is located outside these regions. 

We take all necessary steps to ensure that your data is treated securely and in accordance with this privacy policy and applicable data protection laws. This includes ensuring appropriate safeguards such as: 

• Standard Contractual Clauses (SCCs): Where applicable, we enter into Supplementary Compliance Risk Assessment Agreements (SCCs) as approved by the European Commission. These agreements provide contractual obligations for the recipient to protect your data. 

• Binding Corporate Rules (BCRs): For intra-group transfers, we rely on approved BCRs where applicable. 

• Adequacy decisions: Transfer to countries that the European Commission has deemed to provide an adequate level of data protection. We also ensure that our data processing agreements with such companies take BCRs and SCCs into account.

Article 7. Data retention 

We will only retain your personal data for as long as necessary to fulfil the purposes we collected it for, including for the purposes of satisfying any legal, accounting, or reporting requirements. Below is a more detailed breakdown of our retention periods for different types of personal data processing: 

General retention principles:
Unless a specific retention period is stated above, we will retain your personal information for as long as your account is active or as needed to provide you the Services. We may also retain your personal information for a reasonable period thereafter to facilitate account recovery, respond to queries, maintain business records for audit purposes, and comply with our legal obligations. When personal information is no longer needed, we will securely delete or anonymize it. 

Article 8. Data security

We are committed to protecting your personal data. We implement appropriate technical and organizational measures to protect your data against accidental or unlawful destruction, loss, alteration, unauthorized disclosure or access. 

These measures include: 

• Backups: Backups are performed regularly to ensure data recovery in the event of loss. 

• Password Policy: We maintain a robust password policy and offer the ability to enable Multi-Factor Authentication (MFA) for enhanced account security. 

• Information security policy: We maintain and maintain an internal information security policy that serves as a guideline for our working methods. 

• Website Security: Our websites use HTTPS to encrypt data in transit. Additionally, we implement measures such as login timeouts after multiple failed login attempts to prevent unauthorized access. 

• Traceability (logging): Logging is used to trace access and activity within our systems. 

• Vendor Management: We have a vendor management process for high-risk vendors to ensure they meet our security and privacy standards. 

• Data Minimization: We strive to collect only the personal data necessary for the stated purposes. 

• Human Resources Management: Our employees receive regular training on best practices in data protection and security. Access to personal data is limited based on their role and need. 

• Uptime Monitoring: Our systems are continuously monitored for uptime and performance so we can proactively identify and address potential issues. 

Article 9. Your rights  

Under the GDPR you have the following rights with respect to your personal data: 

• Right of access (Article 15): You have the right to obtain confirmation as to whether or not your personal data is being processed and, where applicable, to access that personal data. For Bjorn ID data and other account related data, this applies as long as your account is active. 

• Right to rectification (Article 16): You have the right to request correction of incorrect or incomplete personal data concerning you. You can usually correct your data by sending a support ticket. 

• Right to erasure ("Right to be forgotten") (Article 17): You have the right to request the erasure of your personal data under certain conditions (for example, if the data is no longer necessary for the purposes for which it was collected or if you withdraw your consent and no other legal basis applies). Erasure will be assessed on a case-by-case basis after evaluation of legal and contractual obligations. 

• Right to restriction of processing (Article 18): You have the right to request the restriction of the processing of your personal data under certain conditions (for example, if you contest the accuracy of the data, if the processing is unlawful, or if you have objected to processing based on legitimate interests). Restriction must be requested or, if applicable, can be set via the service account within your organization. 

• Right to data portability (Article 20): You have the right to receive the personal data concerning you, which you have provided to us, in a structured, commonly used and machine-readable format and you have the right to transmit that data to another controller without hindrance. This right applies to data processed based on consent or a contract. For data processed within our tools on behalf of your organization (where we are a Processor), portability is the responsibility of the Service Account within your organization for as long as it is active, not after termination. 

• Right to object (Article 21): You have the right to object, on grounds relating to your particular situation, at any time to processing of your personal data which is based on legitimate interests (Article 6(1)(f)). You can object by sending a request to dpo@bjornlunden.com. No actions are required to be taken prior to the processing by the data subject. 

• Rights relating to automated decision-making and profiling (Article 22): You have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning you or similarly significantly affects you. While our assistive technology may use AI to take notes during calls or in our ticketing system, this is assistive technology and does not take any final decisions about you. 

• Right to withdraw consent (Article 7(3)): Where our processing is based on your consent, you have the right to withdraw that consent at any time. Withdrawing consent to marketing communications can typically be done via unsubscribe links in emails or by sending a request to dpo@bjornlunden.com. This does not affect the lawfulness of processing based on consent before its withdrawal. 

To exercise these rights, you can contact our DPO at dpo@bjornlunden.com. We may ask you to verify your identity before responding to your request. 

Article 10. Children's Privacy 

Our Services are not directed to or intended for use by children under the age of 16. We do not knowingly collect personal information directly from children. If we become aware that we have collected personal information from a child under the age of 16 without appropriate parental or guardian consent, we will take steps to delete that information. 

If you as a client (for example an accountant) upload or process data of children (for example for the financial administration of a minor client) within our Services, you acknowledge that you are the data controller for such data and that you are responsible for obtaining any necessary consent from a legal guardian and for ensuring compliance with applicable children's privacy laws. 

Article 11. Cookies and tracking technologies

Our websites and applications use cookies and similar tracking technologies (such as pixels and SDKs) to enhance the user experience, analyze usage, and support our services. These may include essential/strictly necessary cookies, analytics cookies, and possibly personalization cookies. We may collect your browser's language settings to personalize the welcome page and administrative interface. 

For detailed information on the types of cookies we use, their purposes and how to manage your cookie preferences, please refer to our Cookie policy on the main website: https://www.bjornlunden.com

Article 12. Changes to this policy 

We may update this privacy statement from time to time to reflect changes in our practices or legal requirements. We encourage you to review this policy periodically for any changes. We will notify you of material changes by posting a new privacy statement on our website, sending you email notifications, or announcing them in our support forum. The “Last Updated” date at the top of this policy indicates when it was last revised. 

Article 13. Contact us 

If you have any questions or comments about this privacy statement or our privacy practices, please contact our Data Protection Officer: 

Björn Lundén AB (DPO) 
Names: Joris Enkelaar 
Email address: dpo@bjornlunden.com 
Phone: +316 13 17 87 61

Article 14. Complaints mechanism 

If you believe that we have not adequately addressed your privacy concerns, you have the right toto lodge a complaint with a supervisory authority, in particular in the EU/EEA Member State of your habitual residence, place of work or place of the alleged infringement. 

• For users in Sweden: You can contact the Swedish Data Protection Authority (Integritetsskyddsmyndigheten - IMY).
  Website: https://www.imy.se   

• For users in the Netherlands: You can contact the Dutch Data Protection Authority (Autoriteit Persoonsgegevens - AP).
  Website: https://www.autoriteitpersoonsgegevens.nl  

• For users in Denmark: You can contact the Danish Data Protection Agency (Datatilsynet). Website: https://www.datatilsynet.dk

Björn Lunden Layered Sekretesspolicy 

Lager 1: Snabböversikten

Den här korta översikten sammanfattar vår sekretesspraxis. För mer information, se utökat uttalande nedan. 

Innehållsförteckning:

• Artikel 1. Vilka är vi? 

• Artikel 2. Vilka uppgifter samlar vi in (breda kategorier)?

• Artikel 3. Varför samlar vi in det?

• Artikel 4. Vem delar vi det med (breda kategorier)?

• Artikel 5. Dina grundläggande rättigheter

Artikel 1. Vilka är vi? 

Björn Lundén AB, including our websites www.bjornlunden.com i www.lundify.com är processor för användningen av dina personuppgifter i samband med våra tjänster. 

Våra detaljer:
Björn Lundén AB 
Kastellvägen 21, 824 55 Hudiksvall 
Sverige
Registreringsnummer 5562939982

Artikel 2. Vilka uppgifter samlar vi in (breda kategorier)?

Vi samlar in information som är nödvändig för att tillhandahålla och förbättra våra tjänster, hantera ditt konto, behandla betalningar och säkerställa säkerheten. 

Detta inkluderar i stort: 

• Identitet och kontoinformation: Ditt namn, e-postadress, användarnamn, lösenord, kontaktuppgifter och specifika Björn ID-data såsom polletter, medborgarservicenummer (om du använder BankID) och telefonnummer. 

• Användning och tekniska data: Information om hur du använder våra applikationer (t.ex. funktioner som används, IP-adress, enhetsinformation, felloggar). Denna information samlas in för att förbättra våra tjänster och för säkerheten. 

• Fakturerings- och finansiell information: Faktureringsadress, betalningsinformation, faktureringshistorik och prenumerationsstatus. 

• Kommunikationsdata: Dina supportfrågor, feedback och marknadsföringspreferenser. 

• Arbetsflödesspecifik data (Lundify arbetsflöde): Driftsdata som uppdragsuppgifter, projektdetaljer, aviseringar, kundkontakter och ekonomiska dokument som är relevanta för ditt arbetsflöde. 

Artikel 3. Varför samlar vi in det?

Vi samlar in dina uppgifter främst för att: 

• Ge/hantera åtkomst till Lundify-miljön. 

• För att tillhandahålla programuppdateringar, teknisk support och felsöka problem. 

• Betalningar och hantering av dina prenumerationer. 

• För att förbättra våra produkter, utveckla nya funktioner och förbättra användarupplevelsen. 

• För att säkerställa säkerheten för våra tjänster och förhindra bedrägerier. 

• För att kommunicera med dig om våra tjänster, uppdateringar och (med ditt samtycke) marknadsföringserbjudanden. 

• Följ juridiska och regulatoriska skyldigheter. 

Artikel 4. Vem delar vi det med (breda kategorier)?

Vi delar dina uppgifter med: 

• Tjänsteleverantörer: Betrodda tredje parter som hjälper oss att driva våra tjänster (t.ex. molnhosting, övervakning, analys, betalningsbehandlare, e-postmarknadsföringsplattformar, kundrelationshanteringssystem, fjärrsupportverktyg, undersökningsplattformar). 

• Företag i Björn Lunden Group: Våra anslutna enheter i Sverige, Danmark och Nederländerna för delade tjänster. 

• Din organisation/andra användare: Inom Lundify kan data delas med dina kollegor eller chefer för att underlätta samarbete. I Lundify Workflow kan data från dina kunder behandlas för din räkning. 

• Juridiska myndigheter: När det krävs enligt lag eller för att skydda våra rättigheter. 

• Möjliga företagsöverlåtelser: Vid fusion, förvärv eller försäljning av tillgångar. 

Artikel 5. Dina grundläggande rättigheter

Du har rättigheter i förhållande till dina personuppgifter, inklusive rätten till åtkomst, rättelse, radering, begränsning av behandling, dataportabilitet, invändning mot behandling och återkallande av ditt samtycke. Du kan utöva dessa rättigheter genom att kontakta oss. 

Lager 2: Den detaljerade policyn (omfattande lagtext)

Innehållsförteckning:

• Artikel 1. Inledning och tillämpningsområde 

• Artikel 2. Vilka vi är (uppgiftsansvarig)

• Artikel 3. Definitioner

• Artikel 4. Information vi samlar in och hur vi använder den

• Avsnitt 4.A. Allmän information som samlas in i alla applikationer och ändamål 

• Avsnitt 4.B. Björn ID-specifika uppgifter

• Avsnitt 4.C Lundify-specifika data

• Avsnitt 4.D Lundify arbetsflödesspecifika data

• Artikel 5. Hur vi delar din information

• Artikel 6. Internationella dataöverföringar 

• Artikel 7. Datalagring   

• Artikel 8. Datasäkerhet

• Artikel 9. Dina rättigheter 

• Artikel 10. Barns integritet

• Artikel 11. Cookies och spårningstekniker

• Artikel 12. Ändringar av denna policy 

• Artikel 13. Kontakta oss

• Artikel 14. Klagomålsmekanism 

Artikel 1. Inledning och tillämpningsområde 

Denna integritetspolicy beskriver hur Björn Lundén AB ("Björn Lundén", "vi", "oss" eller "vår") samlar in, använder, behandlar och delar personuppgifter när du använder våra applikationer och tjänster, inklusive Björn ID, Lundify och Lundify Workflow (sammantaget "Tjänsterna"). 

Målgrupp: Våra tjänster är främst designade för och används av företag och organisationer, särskilt revisionsbyråer och småföretag (B2B-användare). Samtidigt som vi behandlar data relaterade till din organisation och dess personal, gör vår Lundify-applikation också det möjligt för revisorer att hantera finansiell data för sina slutkunder. 

Vår roll som registeransvarig och processor:  

Personuppgiftsansvarig: För personuppgifter för våra direkta användare, såsom anställda på revisionsbyråer eller småföretag, agerar Björn Lunden som personuppgiftsansvarig (nedan: personuppgiftsansvarig).   

Detta gäller när du: 

• skapar konton; 

• hanterar licenser; 

• använda våra arbetsflödesverktyg; 

• kommunicera med oss. 

Som personuppgiftsansvarig bestämmer vi syftet och medlen för att behandla dina uppgifter. 

Databehandlare: När du behandlar dina slutkunders ekonomiska data hos Lundify agerar din organisation (redovisningsbyrån eller företaget) som personuppgiftsansvarig. Björn Lunden fungerar som databehandlare. 

Som databehandlare agerar vi uteslutande för din räkning och i enlighet med databehandlingsavtalet (DPA). 

 Denna integritetspolicy fokuserar i första hand på vår roll som personuppgiftsansvarig. 

Tillämplighet: Denna policy gäller för alla användare av Lundify-tjänsten. Genom att använda och komma åt Lundifys tjänster godkänner du villkoren i denna sekretesspolicy. 

Artikel 2. Vilka vi är (uppgiftsansvarig) 

Björn Lundén AB är ansvarig för behandlingen av dina personuppgifter enligt beskrivningen i denna integritetspolicy. 

Våra fullständiga detaljer är: 
Björn Lundén AB 
Kastellvägen 21 
824 55 Hudiksvall 
Sverige
Svenskt registreringsnummer: 5562939982 

För våra aktiviteter i Nederländerna: 
Björn Lunden 
Trumpeten 2880
1967 DD Heemskerk
Nederländerna
Org. inga.: 34086387 

Dataskyddsombud (registrerad dataskyddsombud i Sverige) / Sekretesskontakt i NL: 
Namn: Joris Enkelaar 
E-postadress:dpo@bjornlunden.com 
Telefon: +316 13 17 87 61
(Använd den här e-postadressen för alla dina integritetsfrågor och för att utöva dina rättigheter.)

Artikel 3. Definitioner 

• Personuppgifter: All information som rör en identifierad eller identifierbar fysisk person (”den registrerade”); en identifierbar fysisk person är en som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet. 

• Datakontrollant: Den fysiska eller juridiska person, myndighet, myndighet eller annat organ som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. 

• Databehandlare: En fysisk eller juridisk person, myndighet, myndighet eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. 

• Tjänster: Avser tillsammans Bjorn ID, Lundify och Lundify Workflow, och relaterad support, webbplatser och infrastruktur som tillhandahålls av Björn Lunden. 

• Användare/Kund: Avser den person eller organisation som använder våra tjänster. I ett B2B-sammanhang avser detta i första hand anställda eller representanter för våra kundorganisationer (till exempel revisorer och småföretagare). 

Artikel 4. Information vi samlar in och hur vi använder den 

Vi samlar in personuppgifter för att tillhandahålla, underhålla och förbättra våra tjänster. Nedan beskriver vi vilka typer av data vi samlar in, de syften vi använder dem för och den rättsliga grunden enligt GDPR för varje behandlingsaktivitet. 

Rättsliga grunder för behandling av personuppgifter (artikel 6 GDPR):  

• (a) Samtycke: Den registrerade har gett sitt samtycke till behandlingen av hans eller hennes personuppgifter för ett eller flera specifika ändamål. 

• (b) Avtalsmässig nödvändighet: Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade är part i eller för att vidta åtgärder på begäran av den registrerade innan ett avtal ingås. 

• (c) Rättslig skyldighet: Behandlingen är nödvändig för att uppfylla en rättslig skyldighet som den personuppgiftsansvarige är föremål för. 

• (f) Berättigat intresse: Behandlingen är nödvändig för ändamålen för de legitima intressen som eftersträvas av den registeransvarige eller av en tredje part, utom där sådana intressen åsidosätts av den registrerades intressen eller grundläggande rättigheter och friheter som kräver skydd av personuppgifter. 

Avsnitt 4.A. Allmän information som samlas in i alla applikationer och ändamål 

Följande typer av information samlas in i våra tjänster för allmän kontohantering, tillhandahållande av tjänster och lagliga efterlevnadsändamål. 

Avsnitt 4.B. Björn ID-specifika uppgifter 

Bjorn ID är din centrala identitetsleverantör som möjliggör säker och sömlös enkel inloggning (SSO) inom Lundifys ekosystem. 

Avsnitt 4.C Lundify-specifika data

Lundify avser i första hand vår ekonomistyrning och redovisningsprogramvara. Vi behandlar data för att du (revisorn eller företaget) ska kunna använda Lundify för att driva din verksamhet. Som nämnts ovan, för den finansiella Slutkundsdata IfNär du behandlar data med Lundify, agerar vi som databehandlare för din räkning. Det här avsnittet fokuserar på de uppgifter vi samlar in från dig som användare (till exempel din personal). 

Avsnitt 4.D Lundify arbetsflödesspecifika data

Lundify Workflow är en applikation för uppgiftshantering och projektsamarbete speciellt utformad för redovisningsbyråer. Den integreras med andra applikationer som Lundify Finance och Lundify Compliance för att effektivisera operativa processer. 

Artikel 5. Hur vi delar din information

Vi delar endast personlig information enligt beskrivningen i denna integritetspolicy, med ditt samtycke eller enligt lag. 

* Med externa tjänsteleverantörer: Vi anställer pålitliga tredjepartsföretag och individer för att utföra tjänster för vår räkning och för att hjälpa oss att driva, tillhandahålla och förbättra våra tjänster. Dessa leverantörer är avtalsenligt skyldiga att hålla personlig information konfidentiell och att endast använda den för de ändamål för vilka vi avslöjar den till dem. Kategorier av tjänsteleverantörer inkluderar: 

• Molnvärd och infrastruktur: 

•   Kommunikation och support: 

•   Marknadsföra ett CRM: 

• Analysera:  

• Frågeformulär: Typformulär (för kundundersökningar och feedback). 

• Fjärrsupport:  

•  Betalningsbehandlare: För att behandla fakturerings- och betalningstransaktioner.

• Microsoft Business Central: för faktureringsändamål. 

• Microsoft 365-tjänster för: interna aktiviteter (t.ex. e-post, samarbetsverktyg). 

• Med närstående företag och koncernföretag: Vi kan komma att dela dina personuppgifter med andra enheter inom Björn Lundén-gruppen i Sverige, Danmark och Nederländerna för delade tjänster, intern administration och för att förse dig med integrerade tjänster. All sådan delning kommer att omfattas av denna sekretesspolicy och lämpliga skyddsåtgärder. 

• Inom din organisation (för Lundify Workflow): Data som behandlas inom Lundify Workflow (t.ex. uppgiftsuppgifter, projektdetaljer, kommunikation) kan vara tillgängliga för andra auktoriserade användare inom din organisation (t.ex. kollegor, chefer, administratörer) om det behövs för teamsamarbete och operativ ledning. 

• Av juridiska skäl: Vi kan komma att avslöja din personliga information om vi är skyldiga att göra det enligt lag eller om vi i god tro anser att ett sådant avslöjande är nödvändigt för att: 

• För att följa en rättslig skyldighet eller ett domstolsbeslut. 

• Skydda och försvara Björn Lundens rättigheter och egendom. 

• Förebygga eller undersöka eventuella missförhållanden i samband med tjänsterna. 

• För att skydda den personliga säkerheten för användare av tjänsterna eller allmänheten. 

• Skydda dig från juridiskt ansvar. 

• Vid företagsöverlåtelse: I händelse av fusion, förvärv, rekonstruktion, konkurs eller annan försäljning av hela eller en del av våra tillgångar kan dina personuppgifter överföras till den efterträdande enheten. 

Artikel 6. Internationella dataöverföringar 

Som en del av vår verksamhet kan personuppgifter överföras till, och lagras på, en destination utanför Europeiska ekonomiska samarbetsområdet (EES) eller Sverige/Nederländerna. Detta kan hända om en av våra tjänsteleverantörer eller deras underbehandlare finns utanför dessa regioner. 

Vi vidtar alla nödvändiga åtgärder för att säkerställa att dina uppgifter behandlas säkert och i enlighet med denna integritetspolicy och tillämpliga dataskyddslagar. Detta inkluderar att säkerställa lämpliga skyddsåtgärder såsom: 

• Standardavtalsklausuler (SCCs): I tillämpliga fall ingår vi kompletterande överensstämmelseriskbedömningsavtal (SCCs) som godkänts av Europeiska kommissionen. Dessa avtal ger avtalsenliga skyldigheter för mottagaren att skydda dina uppgifter. 

• Bindande företagsregler (BCR): För koncerninterna överföringar förlitar vi oss på godkända BCR där så är tillämpligt. 

• Beslut om tillräcklighet: Överföring till länder som Europeiska kommissionen har bedömt tillhandahåller en adekvat nivå av dataskydd.
  Vi säkerställer också att våra databehandlingsavtal med sådana företag tar hänsyn till BCR och SCC.

Artikel 7. Datalagring

Vi kommer endast att behålla dina personuppgifter så länge det är nödvändigt för att uppfylla de syften vi samlade in dem för, inklusive i syfte att uppfylla eventuella juridiska, redovisnings- eller rapporteringskrav. Nedan följer en mer detaljerad uppdelning av våra lagringstider för olika typer av personuppgiftsbehandling: 

Allmänna lagringsprinciper:
Om inte en specifik lagringsperiod anges ovan kommer vi att behålla din personliga information så länge som ditt konto är aktivt eller vid behov för att tillhandahålla tjänsterna till dig. Vi kan också behålla din personliga information under en rimlig period därefter för att underlätta kontoåterställning, svara på frågor, föra affärsregister för revisionsändamål och följa våra juridiska skyldigheter. När personlig information inte längre behövs kommer vi att radera eller anonymisera dem på ett säkert sätt.

Artikel 8. Datasäkerhet

Vi är angelägna om att skydda dina personuppgifter. Vi implementerar lämpliga tekniska och organisatoriska åtgärder för att skydda dina uppgifter mot oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller åtkomst. 

Dessa åtgärder inkluderar: 

• Säkerhetskopiering: Säkerhetskopiering utförs regelbundet för att säkerställa dataåterställning i händelse av förlust. 

• Lösenordspolicy: Vi har en robust lösenordspolicy och erbjuder möjligheten att aktivera Multi-Factor Authentication (MFA) för förbättrad kontosäkerhet. 

• Informationssäkerhetspolicy: Vi upprätthåller och upprätthåller en intern informationssäkerhetspolicy som fungerar som vägledning för våra arbetssätt. 

• Webbplatssäkerhet: Våra webbplatser använder HTTPS för att kryptera data under överföring. Dessutom implementerar vi åtgärder som inloggningstidsgränser efter flera misslyckade inloggningsförsök för att förhindra obehörig åtkomst. 

• Spårbarhet (loggning): Loggning används för att spåra åtkomst och aktivitet inom våra system. 

• Leverantörshantering: Vi har en leverantörshanteringsprocess för högriskleverantörer för att säkerställa att de uppfyller våra säkerhets- och integritetsstandarder. 

• Dataminimering: Vi strävar efter att endast samla in de personuppgifter som är nödvändiga för de angivna ändamålen. 

• Human Resources Management: Våra anställda får regelbunden utbildning om bästa praxis inom dataskydd och säkerhet. Tillgången till personuppgifter är begränsad utifrån deras roll och behov. 

• Drifttidsövervakning: Våra system övervakas kontinuerligt för drifttid och prestanda så att vi proaktivt kan identifiera och åtgärda potentiella problem. 

Artikel 9. Dina rättigheter 

Enligt GDPR har du följande rättigheter med avseende på dina personuppgifter: 

• Rätt till tillgång (artikel 15): Du har rätt att få bekräftelse på huruvida dina personuppgifter behandlas eller inte och, i förekommande fall, att få tillgång till dessa personuppgifter. För Björn ID-data och andra kontorelaterade data gäller detta så länge ditt konto är aktivt. 

• Rätt till rättelse (artikel 16): Du har rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter som rör dig. Du kan vanligtvis korrigera dina uppgifter genom att skicka ett supportärende. 

• Rätt till radering ("Rätt att bli glömd") (artikel 17): Du har rätt att begära radering av dina personuppgifter under vissa förutsättningar (till exempel om uppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller om du återkallar ditt samtycke och ingen annan rättslig grund gäller). Radering kommer att bedömas från fall till fall efter utvärdering av rättsliga och avtalsenliga förpliktelser. 

• Rätt till begränsning av behandlingen (artikel 18): Du har rätt att begära begränsning av behandlingen av dina personuppgifter under vissa förutsättningar (till exempel om du ifrågasätter uppgifternas riktighet, om behandlingen är olaglig eller om du har invänt mot behandling utifrån legitima intressen). Begränsning måste begäras eller, om tillämpligt, kan ställas in via tjänstekontot inom din organisation. 

• Rätt till dataportabilitet (artikel 20): Du har rätt att få de personuppgifter som rör dig, som du har lämnat till oss, i ett strukturerat, allmänt använt och maskinläsbart format och du har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan hinder. Denna rätt gäller uppgifter som behandlas utifrån samtycke eller avtal. För data som behandlas i våra verktyg på uppdrag av din organisation (där vi är en Behandlare), är portabilitet ansvaret för Servicekontot inom din organisation så länge det är aktivt, inte efter uppsägning. 

• Rätt att göra invändningar (artikel 21): Du har rätt att när som helst göra invändningar mot behandling av dina personuppgifter som grundar sig på berättigade intressen på grund av din speciella situation (artikel 6.1 f). Du kan invända genom att skicka en förfrågan till dpo@bjornlunden.com. Inga åtgärder krävs innan behandlingen av den registrerade. 

• Rättigheter relaterade till automatiserat beslutsfattande och profilering (artikel 22): Du har rätt att inte bli föremål för ett beslut som enbart baseras på automatiserad behandling, inklusive profilering, som ger rättsverkningar för dig eller på liknande sätt väsentligt påverkar dig. Även om vår hjälpmedel kan använda AI för att göra anteckningar under samtal eller i vårt biljettsystem, är detta hjälpmedel och tar inga slutgiltiga beslut om dig. 

• Rätt att återkalla samtycke (artikel 7.3): Där vår behandling baseras på ditt samtycke, har du rätt att när som helst återkalla detta samtycke. Återkalla samtycke till marknadsföringskommunikation kan vanligtvis göras via avregistreringslänkar i e-postmeddelanden eller genom att skicka en begäran till dpo@bjornlunden.com. Detta påverkar inte lagligheten av behandling baserad på samtycke innan dess återkallelse. 

För att utöva dessa rättigheter kan du kontakta vår DPO på dpo@bjornlunden.com. Vi kan be dig att verifiera din identitet innan vi svarar på din begäran. 

Artikel 10. Barns integritet

Våra tjänster är inte riktade till eller avsedda att användas av barn under 16 år. Vi samlar inte medvetet in personlig information direkt från barn. Om vi blir medvetna om att vi har samlat in personlig information från ett barn under 16 år utan lämpligt medgivande från föräldrar eller vårdnadshavare, kommer vi att vidta åtgärder för att radera den informationen. 

Om du som kund (till exempel en revisor) laddar upp eller bearbetar data om barn (till exempel för den ekonomiska administrationen av en minderårig kund) inom våra tjänster, bekräftar du att du är personuppgiftsansvarig för sådana uppgifter och att du är ansvarig för att inhämta eventuellt nödvändigt samtycke från en vårdnadshavare och för att säkerställa efterlevnad av tillämpliga barns integritetslagar. 

Artikel 11. Cookies och spårningstekniker

Våra webbplatser och applikationer använder cookies och liknande spårningstekniker (som pixlar och SDK) för att förbättra användarupplevelsen, analysera användningen och stödja våra tjänster. Dessa kan inkludera nödvändiga/strikt nödvändiga cookies, analyscookies och möjligen personaliseringscookies. Vi kan samla in din webbläsares språkinställningar för att anpassa välkomstsidan och det administrativa gränssnittet. 

För detaljerad information om vilka typer av cookies vi använder, deras syften och hur du hanterar dina cookie-preferenser, se vår cookiepolicy på huvudwebbplatsen: https://www.bjornlunden.com 

Artikel 12. Ändringar av denna policy 

Vi kan uppdatera denna sekretesspolicy då och då för att återspegla ändringar i vår praxis eller juridiska krav. Vi uppmuntrar dig att granska denna policy regelbundet för eventuella ändringar. Vi kommer att meddela dig om väsentliga ändringar genom att publicera ett nytt sekretessmeddelande på vår webbplats, skicka dig e-postmeddelanden eller tillkännage dem i vårt supportforum. "Senast uppdaterad"-datumet överst i denna policy anger när den senast reviderades. 

Artikel 13. Kontakta oss 

Om du har några frågor eller kommentarer om denna sekretesspolicy eller vår sekretesspraxis, vänligen kontakta vår dataskyddsombud: 

Björn Lundén AB (DPO) 
Namn: Joris Enkelaar 
E-postadress: dpo@bjornlunden.com 
Telefon: +316 13 17 87 61

Artikel 14. Klagomålsmekanism 

Om du anser att vi inte har åtgärdat dina integritetsproblem på ett adekvat sätt, har du rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i EU/EES-medlemsstaten där din vanliga vistelseort, arbetsplats eller plats för den påstådda intrånget inträffade. 

• För användare i Sverige: Du kan kontakta Integritetsskyddsmyndigheten - IMY.
  Webbplats: https://www.imy.se   

• För användare i Nederländerna: Du kan kontakta den nederländska dataskyddsmyndigheten (Autoriteit Persoonsgegevens - AP).
  Webbplats: https://www.autoriteitpersoonsgegevens.nl  

• För användare i Danmark: Du kan kontakta det danska datatilsynet (Datatilsynet). Webbplats: https://www.datatilsynet.dk