NordspectPersonvern
Sist oppdatert: 19. mai 2026
Dette er hvordan Nordspect behandler personopplysninger på nordspect.no og i Nordspect-appen. Vi tar personvern på alvor og forklarer her hva vi samler inn, hvorfor, og hvilke rettigheter du har.
1. Om denne erklæringen
Erklæringen dekker:
- Besøk og påmelding på varslingslisten på nordspect.no
- Bruk av Nordspect-appen i lukket pilotfase
- Behandling av lead-data hentet fra offentlige norske kilder
Nordspect er i en lukket pilotfase. Når vi går over til kommersiell drift og registrerer Nordspect AS, oppdateres denne erklæringen med spesifikke rutiner for kommersiell drift.
2. Behandlingsansvarlig
Nordspect drives av:
- Eirik Imsen (primær kontakt)
- Eliah Knudsen
Vi har en skriftlig avtale om felles behandlingsansvar i samsvar med GDPR artikkel 26. Avtalen fordeler ansvar mellom oss for hvordan personopplysningene dine behandles.
Hovedpunkter i avtalen:
- Eirik er primærkontakt for henvendelser fra registrerte og Datatilsynet
- Begge har lik tilgang til systemene og lik ansvarlighet
- Vesentlige beslutninger om databehandling tas i fellesskap
Når Nordspect AS registreres, overføres behandlingsansvaret til selskapet, og vi gir beskjed til alle som er registrert med oss.
Kontakt: post@nordspect.no
3. Hvilke personopplysninger vi behandler
Vi behandler tre kategorier personopplysninger.
3.1 Varslingslisten på nordspect.no
Når du melder deg på varslingslisten, behandler vi:
- E-postadresse
- IP-adresse
- Nettleser og enhet (user-agent)
- Tidspunkt for påmelding
- Status på abonnementet (om du har meldt deg av)
Vi samler ikke inn navn, telefonnummer eller andre personopplysninger fra varslingslisten.
3.2 Pilotbrukere av Nordspect-appen
Når du oppretter konto og bruker tjenesten, behandler vi:
- Navn og e-postadresse
- Bedriftsinformasjon (navn, bransje, tone, differensiator)
- Kampanjeinnstillinger (bransje, geografi, handover-regler)
- Brukerdata (IP-adresse, tidspunkt, handlinger i systemet)
- Google-konto-data ved OAuth-innlogging (e-post + grunnleggende profil)
- Gmail OAuth-tokens hvis du kobler til Gmail
I pilotfasen brukes Gmail-tilkoblingen kun i sandkasse-modus til din egen testadresse. Ingen e-poster sendes til eksterne leads.
3.3 Leads (potensielle kunder for pilotbrukere)
Når en pilotbruker kjører en kampanje, behandler vi for hver lead:
- Navn på kontaktperson
- E-postadresse
- Stillingstittel
- Bedriftstilknytning (navn, organisasjonsnummer)
- Offentlig bedriftsinformasjon (bransje, omsetning, antall ansatte, lokasjon)
- AI-generert personlig meldingstekst
Vi samler ikke inn sensitive personopplysninger som definert i GDPR artikkel 9 (helse, politisk oppfatning, religion, etc.).
4. Hvor vi henter dataene fra
4.1 Fra deg
Hvis du er på varslingslisten eller pilotbruker, oppgir du dataene direkte når du melder deg på eller oppretter konto.
4.2 For leads — offentlige kilder
For leads henter vi data fra:
- Brønnøysundregistrene (BRREG) — offentlig foretaksregister
- Brønnøysund Regnskapsregister — offentlige regnskapstall
- Google-søk via Serper — offentlig tilgjengelig informasjon
- Bedriftsnettsider — offentlig publisert informasjon
5. Hvorfor vi behandler dataene
5.1 Varslingslisten
| Formål | Rettsgrunnlag |
|---|---|
| Sende e-post når Nordspect lanseres | Samtykke (GDPR art. 6(1)(a)) |
| Hindre spam og misbruk av påmeldingsskjemaet | Berettiget interesse (GDPR art. 6(1)(f)) |
Vi sender ikke nyhetsbrev, deler ikke dataene, og bruker dem ikke til markedsføring utover lanseringsvarselet.
5.2 Pilotbrukere
| Formål | Rettsgrunnlag |
|---|---|
| Levere Nordspect-tjenesten | Avtale (GDPR art. 6(1)(b)) |
| Drift, sikkerhet og feilretting | Berettiget interesse (GDPR art. 6(1)(f)) |
| Kommunikasjon om pilot og oppdateringer | Avtale og berettiget interesse |
5.3 Leads
| Formål | Rettsgrunnlag |
|---|---|
| Bygge database over potensielle B2B-kontakter | Berettiget interesse (GDPR art. 6(1)(f)) |
| Generere personaliserte meldingsforslag (i sandkasse) | Berettiget interesse |
| Kvalitetssikring og produktutvikling | Berettiget interesse |
Vi har gjennomført en interesseavveining (LIA) som konkluderer med at behandlingen i pilotfasen er forholdsmessig fordi:
- Kun offentlig tilgjengelig informasjon samles inn
- Ingen e-post sendes eksternt i pilotfasen (sandkasse-modus)
- Formålet (produktutvikling for B2B-marked) er legitimt
- Innvirkningen på registrerte er minimal
Interesseavveiningen er tilgjengelig for Datatilsynet på forespørsel.
6. Pilotfase og varsling av leads
GDPR artikkel 14 krever at vi normalt informerer personer hvis personopplysninger vi samler inn fra andre kilder. I pilotfasen utsetter vi denne varslingen fordi:
- Sandkasse-modus: Ingen e-poster sendes eksternt. Alle utgående e-poster rutes til våre egne testadresser.
- Kun intern bruk: Lead-data brukes som testmateriale internt for å validere tekniske prosesser.
- Ingen deling: Lead-data deles ikke utover tekniske underleverandører under databehandleravtale.
- Sletting: Alle lead-data slettes senest 30 dager etter pilot-slutt.
Når Nordspect går over til kommersiell drift, får hver mottaker eksplisitt artikkel 14-informasjon i første e-post, med lenke til oppdatert personvernerklæring.
7. Hvordan du kan melde deg av
7.1 Fra varslingslisten på nordspect.no
Hver e-post fra varslingslisten har en avmeldings-lenke nederst. Klikker du den, fjernes du umiddelbart. Du kan også kontakte oss på post@nordspect.no.
7.2 Fra kampanje-e-poster (fra kommersiell drift)
Når Nordspect sender e-poster eksternt, vil hver e-post inneholde en avmeldings-lenke. Klikker du den, skjer to ting automatisk:
- Den pågående e-postsekvensen stoppes umiddelbart
- E-postadressen din legges til pilotbrukerens ikke-kontakt-liste (suppression list)
E-postadressen din legges også automatisk på ikke-kontakt-listen hvis du svarer med:
- Spørsmål om personvern
- Juridiske spørsmål
- Eksplisitt avvisning kombinert med ingen møte-interesse
Viktig om scope: Ikke-kontakt-listen er per pilotbruker. Hvis du ber én pilotbruker fjerne deg, kontaktes du ikke av dem igjen — men en annen pilotbruker kan teoretisk kontakte deg. For å fjernes helt fra Nordspect, send en e-post til post@nordspect.no.
8. Underleverandører (databehandlere)
Vi bruker disse tredjepartstjenestene som behandler personopplysninger på vegne av oss under databehandleravtale:
| Leverandør | Tjeneste | Lokasjon | Overføringsgrunnlag |
|---|---|---|---|
| Supabase Inc. | Database, autentisering, fillagring | EU (Irland) | Innenfor EØS |
| Resend Inc. | E-postlevering | USA | EU-US Data Privacy Framework |
| Anthropic PBC | AI-generering | USA | Standard Contractual Clauses |
| Vercel Inc. | Hosting og midlertidig HTTP-logging | USA | EU-US Data Privacy Framework |
| Google LLC | OAuth-innlogging (valgfri) | USA | EU-US Data Privacy Framework |
Vi deler ikke personopplysninger med andre tredjeparter, med mindre:
- Du har gitt uttrykkelig samtykke
- Vi er juridisk pålagt (rettskraftig avgjørelse)
- Det er nødvendig for å beskytte våre rettigheter i en juridisk prosess
9. Overføring utenfor EØS
Enkelte underleverandører er etablert i USA. Overføringen skjer i henhold til:
- EU-US Data Privacy Framework for DPF-sertifiserte leverandører (Resend, Vercel, Google LLC)
- Standard Contractual Clauses (SCC) for øvrige (Anthropic)
Du kan be om kopi av sikkerhetstiltakene ved å kontakte post@nordspect.no.
10. Lagringstider
Vi lagrer personopplysninger kun så lenge det er nødvendig.
| Kategori | Lagringstid |
|---|---|
| Varslingsliste | Til du melder deg av eller ber om sletting |
| Pilotbrukerkontoer (aktive) | Så lenge pilotavtalen løper |
| Pilotbrukerkontoer (slettet på forespørsel) | Deaktivering innen 24 timer, full sletting innen 30 dager |
| Pilotbrukerkontoer (inaktive) | Varsel etter 6 måneder, sletting 2 måneder senere |
| Leads og tilhørende data | Senest 30 dager etter pilot-slutt |
| Ikke-kontakt-liste | Ubegrenset så lenge formålet varer |
| Pilotavtaler og dokumentasjon | 3 år etter pilotavslutning |
| Dokumentasjon av rettighetshåndtering | 3 år fra behandling |
| Sikkerhetshendelser og bruddlogger | 5 år |
Backup-syklusene våre (Supabase) rydder opp innen 30 dager etter sletting.
Når Nordspect AS registreres og starter fakturering, vil bokføringsloven kreve at regnskapsdokumentasjon oppbevares i minst 5 år. Dette overstyrer kortere sletteperioder for berørte data.
11. Dine rettigheter
Under GDPR har du følgende rettigheter:
- Innsyn (artikkel 15) — be om kopi av dataene vi behandler
- Retting (artikkel 16) — korrigere feilaktige eller ufullstendige opplysninger
- Sletting (artikkel 17) — be om at vi sletter dataene
- Begrensning (artikkel 18) — be oss stoppe visse former for behandling
- Dataportabilitet (artikkel 20) — få dataene i maskinlesbart format
- Innsigelse (artikkel 21) — protestere mot behandling basert på berettiget interesse
- Trekke samtykke — når behandling er basert på samtykke
Send forespørsler til post@nordspect.no. Vi svarer innen 30 dager. Det er gratis, men vi kan kreve gebyr eller avvise åpenbart grunnløse eller overdrevne forespørsler.
12. Sikkerhet
Vi tar tekniske og organisatoriske tiltak for å beskytte dataene:
- Kryptering i hvile og under overføring (Supabase)
- Tilgangskontroll via Row Level Security (RLS)
- To-faktor-autentisering for administrativ tilgang
- Loggføring av tilganger og endringer
- Skriftlige databehandleravtaler med alle underleverandører
Ved mistanke om sikkerhetsbrudd følger vi GDPR artikkel 33 (varsling til Datatilsynet innen 72 timer) og artikkel 34 (varsling til berørte registrerte uten unødig opphold).
13. Cookies og sporing
Nordspect.no: Vi bruker ikke cookies, analytics, eller andre sporingsverktøy.
Nordspect-appen: Vi bruker kun funksjonelle cookies som er nødvendige for at du skal kunne logge inn og bruke tjenesten. Ingen sporings- eller markedsføringscookies.
14. Endringer i denne erklæringen
Erklæringen kan oppdateres ved behov. Siste oppdateringsdato står øverst.
En endring er vesentlig hvis den påvirker hvordan vi behandler dataene dine. Eksempler:
- Nye formål
- Nye underleverandører
- Lengre lagringstid
- Endring i rettslig grunnlag
- Overføring til nye land utenfor EØS
- Overgang fra pilotfase til kommersiell drift
Varsling ved vesentlige endringer:
- Pilotbrukere og på varslingslisten: e-post minimum 14 dager før endring trer i kraft
- Leads i pilotfase: oppdaterte versjoner publiseres her på nordspect.no/personvern
Mindre justeringer (språklige rettelser, oppdatering av kontaktinfo) publiseres uten særskilt varsel.
15. Klage til Datatilsynet
Hvis du mener vi behandler dataene dine i strid med loven, kan du klage til Datatilsynet:
Datatilsynet
Postboks 458 Sentrum
0105 Oslo
www.datatilsynet.no
postkasse@datatilsynet.no
Vi oppfordrer deg til å kontakte oss først på post@nordspect.no slik at vi kan forsøke å løse saken direkte.
16. Kontakt
Spørsmål, forespørsler om rettigheter eller klager sendes til:
Vi svarer innen 30 dager, ofte raskere.