kravklar

Personvernerklæring

Behandlingsansvarlig

Torsvik Labs v/ Jakob Torsvik
Org.nr: 937 316 704 (enkeltpersonforetak)
Eliasmarken 14, 5164 Laksevåg
kontakt@kravklar.no

Personopplysninger vi samler inn

  • E-postadresse og navn (ved registrering)
  • Organisasjonsnavn, organisasjonsnummer, sektor og størrelse (ved profil-utfylling)
  • Vurderingssvar og modenhetsscore (ved gjennomføring av NIS2-vurdering)
  • Betalingsinformasjon (behandles direkte av Stripe, vi lagrer ikke kortdetaljer)
  • Teknisk feilinformasjon (feilmeldinger, nettlesertype, URL, tidspunkt) ved tjenestefeil, for å sikre stabil drift

Rettslig grunnlag

Vi behandler personopplysninger på følgende grunnlag:

  • Avtale (Art. 6(1)(b) GDPR): E-postadresse, kontoinformasjon, organisasjonsdata og vurderingssvar behandles for å levere tjenesten du har registrert deg for, både gratis egenvurdering og betalt abonnement.
  • Berettiget interesse (Art. 6(1)(f) GDPR): Vi behandler begrenset teknisk informasjon (f.eks. tidspunkt for innlogging) for å sikre tjenestens drift, sikkerhet og forbedring. Vi vurderer at dette ikke veier tyngre enn dine personverninteresser, da opplysningene er begrenset til forretningsrelatert informasjon knyttet til din virksomhets bruk av tjenesten.
  • Samtykke (Art. 6(1)(a) GDPR): For eventuell fremtidig markedsføring. Du vil i så fall bli bedt om uttrykkelig samtykke, som du når som helst kan trekke tilbake.

E-post for vurderingsresultater

Når du velger å motta vurderingsresultatene på e-post, lagrer vi e-postadressen din og vurderingsdataene (samlet score og svakeste kategorier). Behandlingsgrunnlag: samtykke (GDPR artikkel 6(1)(a)). Du kan når som helst trekke tilbake samtykket ved å kontakte kontakt@kravklar.no, og vi vil slette dataene dine.

Automatiske e-postsekvenser

Basert på samtykket du ga ved registrering av e-post eller opprettelse av konto, sender vi en begrenset serie med informative e-poster om NIS2-etterlevelse og Kravklar-funksjoner. Du kan når som helst melde deg av via lenken i hver e-post.

Behandlingsgrunnlag: samtykke (Art. 6(1)(a) GDPR) for leads som har registrert e-post, berettiget interesse (Art. 6(1)(f) GDPR) for registrerte brukere.

Databehandlere

Vi har inngått databehandleravtaler med alle underleverandører som behandler personopplysninger på våre vegne:

  • Supabase – database og autentisering (EU-region)
  • Vercel – hosting og innholdsleveranse
  • Stripe – betalingsbehandling
  • Resend – transaksjonell e-post (EU-region)
  • Sentry – feilovervåking og feilrapportering (USA)
  • Google – annonsekonverteringsmåling (Google Ads med Consent Mode v2)

Lagring og sletting

Data lagres så lenge kontoen din er aktiv. Kontoer som ikke har vært i bruk på 12 måneder regnes som inaktive, og du vil motta et varsel per e-post før data slettes. Ved sletting av konto fjernes personopplysninger innen 30 dager. Du kan når som helst be om sletting ved å kontakte kontakt@kravklar.no.

Dine rettigheter

Etter personopplysningsloven og GDPR har du følgende rettigheter:

  • Innsyn: Du kan be om en kopi av personopplysningene vi har om deg.
  • Retting: Du kan be om at uriktige opplysninger korrigeres.
  • Sletting: Du kan be om at opplysningene dine slettes.
  • Dataportabilitet: Du kan be om å motta dine data i et maskinlesbart format.
  • Begrensning: Du kan be om at behandlingen begrenses i visse situasjoner.
  • Innsigelse: Du har rett til å protestere mot behandling basert på berettiget interesse (Art. 21 GDPR).

For å utøve rettighetene dine, kontakt oss på kontakt@kravklar.no. Vi svarer innen 30 dager.

Dersom du mener vi behandler personopplysninger i strid med regelverket, kan du klage til Datatilsynet.

Informasjonskapsler (cookies)

Kravklar bruker kun nødvendige informasjonskapsler for autentisering (sesjonshåndtering via Supabase). Vi bruker ingen sporings- eller markedsføringscookies.

Vi bruker Google Ads med Consent Mode v2 for å måle effekten av annonsekampanjer. Alle samtykkesignaler er satt til avslått som standard, noe som betyr at Google ikke setter noen informasjonskapsler og ikke samler inn personidentifiserbar informasjon. Google mottar kun anonymiserte, modellerte konverteringssignaler (såkalte «cookieless pings»). Det er derfor ikke nødvendig med et cookie-samtykke-banner.

Overføring utenfor EØS

Supabase-prosjektet kjører i EU. Resend behandler e-post i EU. Stripe, Vercel, Sentry og Google er amerikanske selskaper sertifisert under EU-US Data Privacy Framework og benytter EUs standardkontraktsklausuler (SCCs) som overføringsgrunnlag. Vercel bruker et globalt CDN, men personopplysninger behandles primært i EU/EØS. Google Ads mottar kun anonymiserte konverteringssignaler uten personidentifiserbar informasjon (Consent Mode v2 med alle samtykker avslått).

Sist oppdatert: 25. mars 2026