Personvernerklæring

AgerTechAI Consulting AS («AgerTechAI», «vi», «oss») er opptatt av å ivareta personvernet til alle som besøker aktsom.app og som registrerer seg som pilotkunde. Aktsom utvikles av AgerTechAI Studio og driftes av AgerTechAI Consulting AS som er behandlingsansvarlig. Denne erklæringen forklarer hvilke personopplysninger vi samler inn, hvordan vi bruker dem, hvem vi deler dem med, og hvilke rettigheter du har.

Behandlingen skjer i samsvar med personvernforordningen (GDPR) og personopplysningsloven.

1. Behandlingsansvarlig

• Firmanavn: AgerTechAI Consulting AS
• Organisasjonsnummer: 937 616 694
• Adresse: Flafjellet 34a, 1454 Fagerstrand, Norge
• E-post: post@agertechai.no
• Kontaktperson for personvern: Roger Agerup

AgerTechAI har vurdert at vi ikke er forpliktet til å oppnevne personvernombud (DPO). Du kan rette alle personvernhenvendelser til kontaktpersonen over.

2. Hvilke personopplysninger vi behandler, og hvorfor

2.1 Besøk på aktsom.app

Når du besøker aktsom.app samler vi inn begrenset teknisk informasjon: IP-adresse (kortvarig), nettlesertype og sider du besøker. Dette brukes til drift, feilsøking og sikkerhet.

• Rettslig grunnlag: berettiget interesse i å drifte og sikre nettsiden (GDPR art. 6 nr. 1 bokstav f).
• Lagringstid: tekniske logger hos hostingleverandør (Vercel) slettes innen 30 dager.

2.2 Pilot-skjema

Når du sender inn pilot-søknadsskjemaet behandler vi opplysningene du oppgir: selskapsnavn, organisasjonsnummer, estimert antall leverandører, navn og rolle for kontaktperson, og e-postadresse. Vi lagrer også teknisk informasjon (IP-adresse og nettleser-streng) for å forebygge misbruk av skjemaet.

• Formål: vurdere pilot-fit, besvare henvendelsen, og kontakte deg om mulig pilot-onboarding.
• Rettslig grunnlag: samtykke ved innsending (GDPR art. 6 nr. 1 bokstav a) og tiltak før avtaleinngåelse (art. 6 nr. 1 bokstav b).
• Lagringstid: inntil 3 år fra siste kontakt, med mindre et pilot-/kundeforhold etableres (se 2.4). IP-adresser og nettleser-strenger slettes etter 90 dager.

2.3 Pilot-konto og innlogging

Når du blir tatt opp som pilotkunde og logger inn i Aktsom, behandler vi e-postadressen din for å sende magic-link og opprettholde sesjonen din. Innloggingen leveres av Supabase Inc. (se pkt. 4).

• Formål: levere tjenesten — autentisering og sesjonshåndtering.
• Rettslig grunnlag: avtale (GDPR art. 6 nr. 1 bokstav b).
• Lagringstid: så lenge pilotforholdet varer + sletteperiode etter pkt. 2.5.

2.4 Pilot-bruk og leverandørdata

Når pilotkunden bruker Aktsom for å gjennomføre aktsomhetsvurdering, lastes leverandørlister opp og berikes med offentlig data (Brønnøysund, EU-sanksjonslister, ITUC, Transparency International CPI). Leverandørene er typisk juridiske enheter (AS) — ikke fysiske personer — og org.nr for AS regnes ikke som personopplysning.

For leverandører som er enkeltmannsforetak (ENK) er org.nr indirekte koblet til innehaverens identitet og regnes som personopplysning. Disse markeres for individuell vurdering av pilotkunden før behandling. Når Aktsom behandler personopplysninger på vegne av pilotkunden som ledd i tjenesten, er pilotkunden behandlingsansvarlig og AgerTechAI Consulting AS databehandler. Egen databehandleravtale signeres ved pilot-onboarding (se databehandleravtalen).

2.5 Kunde- og oppdragsdata

Når vi inngår avtale om pilot-/kundeleveranse, behandler vi kontaktopplysninger om deg som kontaktperson og eventuelle personopplysninger du velger å dele som ledd i oppdraget.

• Formål: gjennomføre avtalen, fakturere (når relevant) og oppfylle lovpålagte krav (regnskap mv.).
• Rettslig grunnlag: avtale (GDPR art. 6 nr. 1 bokstav b) og rettslig forpliktelse (art. 6 nr. 1 bokstav c, bl.a. bokføringsloven).
• Lagringstid: fakturagrunnlag og regnskapsbilag lagres i 5 år etter regnskapsårets slutt, jf. bokføringsloven. Øvrig kundekorrespondanse lagres så lenge det er saklig behov, typisk inntil 3 år etter avsluttet kundeforhold.

3. Informasjonskapsler (cookies)

Aktsom v0.1 bruker kun strengt nødvendige cookies — i praksis Supabase sin sesjonscookie ved innlogging. Vi setter ingen analyse- eller markedsføringscookies. Plausible Analytics og lignende personvernvennlige verktøy kan aktiveres senere — denne erklæringen oppdateres da.

4. Hvem vi deler opplysninger med

Vi deler bare personopplysninger med leverandører som hjelper oss å levere tjenesten. Disse opptrer som databehandlere og er bundet av databehandleravtale:

Når Aktsom Phase 2-funksjoner aktiveres (AI-scoring, e-post-bekreftelser) vil ytterligere leverandører bli involvert — typisk Anthropic, PBC (Claude AI) og Resend, Inc. (transaksjonell e-post). Vi oppdaterer denne erklæringen før slik behandling settes i drift.

Vi selger aldri personopplysninger og utleverer dem ikke til andre tredjeparter med mindre vi er pålagt det ved lov eller rettslig pålegg.

5. Overføring til land utenfor EØS

Hoveddatabasen og autentisering ligger i EU (Supabase Dublin, Irland). Hosting via Vercel benytter EU-regioner primært, men global CDN kan innebære at statisk innhold og logger midlertidig passerer servere utenfor EØS. Overføringer til USA er sikret gjennom:

• EU–US Data Privacy Framework der leverandøren er sertifisert, eller
• EU-kommisjonens standardpersonvernbestemmelser (SCC) kombinert med supplerende tiltak etter Schrems II-avgjørelsen.

Oppdatert oversikt finnes i databehandleravtalen(Vedlegg C).

6. Sikkerhet

Vi iverksetter egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene mot uautorisert tilgang, endring, sletting eller spredning, jf. GDPR art. 32. Dette inkluderer blant annet:

• kryptering av data i transitt (TLS) og i ro,
• sterk autentisering og minste-privilegium for tilganger,
• row-level security (RLS) på alle tabeller i databasen,
• regelmessige sikkerhetskopier,
• audit-trail og loggføring av tilgang og endringer.

Ved brudd på personopplysningssikkerheten som medfører risiko for dine rettigheter, melder vi fra til Datatilsynet innen 72 timer og varsler deg når dette kreves etter loven.

7. Dine rettigheter

Du har følgende rettigheter etter GDPR:

• Innsyn (art. 15) — få vite hvilke opplysninger vi har om deg.
• Retting (art. 16) — få rettet feil eller ufullstendige opplysninger.
• Sletting (art. 17) — få slettet opplysninger, forutsatt at vi ikke er pålagt å oppbevare dem.
• Begrensning (art. 18) — be om at behandlingen midlertidig begrenses.
• Dataportabilitet (art. 20) — motta opplysninger du har gitt oss i et maskinlesbart format.
• Innsigelse (art. 21) — protestere mot behandling basert på berettiget interesse.
• Trekke samtykke (art. 7 nr. 3) — når behandlingen er basert på samtykke. Tilbaketrekking påvirker ikke behandlingen som er utført før tilbaketrekkingen.

Send henvendelse til post@agertechai.no. Vi svarer normalt innen 30 dager.

8. Klageadgang

Dersom du mener vi behandler personopplysninger i strid med loven, kan du klage til Datatilsynet. Vi oppfordrer deg likevel til først å ta kontakt med oss, så vi kan forsøke å rette opp eventuelle forhold.

• Datatilsynet: www.datatilsynet.no — postkasse@datatilsynet.no — 22 39 69 00.

9. Automatiserte avgjørelser

Aktsom genererer risikoscores per leverandør og utkast til redegjørelse. Disse er beslutnings-støtte, ikke avgjørelser i seg selv — pilotkunden (og dennes styre) tar alle avgjørelser om publisering og signering. Ingen automatisert avgjørelse i GDPR art. 22 forstand utføres mot deg som registrert.

10. Barn

Tjenestene våre retter seg mot virksomheter og profesjonelle. Vi retter oss ikke mot barn under 13 år (aldersgrensen for samtykke til informasjonssamfunnstjenester etter personopplysningsloven § 5) og samler ikke bevisst inn personopplysninger om barn.

11. Endringer i denne erklæringen

Vi kan oppdatere personvernerklæringen ved vesentlige endringer i tjenesten eller i regelverket. Gjeldende versjon publiseres alltid på denne siden med datomerking. Ved vesentlige endringer varsler vi registrerte pilotkunder på e-post.

12. Kontakt

Har du spørsmål om denne erklæringen eller hvordan vi behandler personopplysninger, kontakt:

Roger Agerup
AgerTechAI Consulting AS
E-post: post@agertechai.no