Personvern

Ekspedenten AS («vi», «oss») er behandlingsansvarlig for personopplysninger vi samler om besøkende på vår nettside og brukere av tjenesten vår. Denne personvernerklæringen forklarer hvilke opplysninger vi behandler, hvorfor, hvor lenge, og hvilke rettigheter du har.

For klinikker som bruker Ekspedenten til å behandle pasientdata: klinikken er behandlingsansvarlig for pasientdataene, og vi er databehandler. Detaljene er regulert i en egen databehandleravtale (DPA) som inngås ved oppstart.

Vi samler bare det vi trenger for å levere tjenesten og kommunisere med deg:

• Når du fyller ut et skjema: navn, e-post, telefon, klinikknavn, melding.
• Når du bruker CRM-en: innloggings-token, sesjonsdata, valgte preferanser.
• Når du ringer eller chatter med Ekspedenten: samtaleinnhold, telefonnummer, tid og varighet. Dette behandles på vegne av klinikken som databehandler.
• Når du besøker nettsiden: tekniske data fra hosting-leverandør (IP-adresse, nettlesertype) for å levere siden og oppdage feil.

Vi setter ingen sporings- eller markedsføringscookies. Vi selger ikke data til tredjeparter.

All data lagres innenfor EU. CRM-data lagres i Frankfurt via Supabase. Voice-AI kjører på Microsoft Azure i Sweden Central. Telnyx (telefoni) bruker EU-region. Ingen pasientdata forlater EU.

Vi bruker noen underleverandører som hver har inngått databehandleravtaler med oss. Hele listen finner du på Underleverandører →

Vi behandler personopplysninger basert på følgende rettslige grunnlag etter GDPR artikkel 6:

• Avtale (Art. 6(1)(b)) — for å levere tjenesten du har avtalt med oss, inkludert support og fakturering.
• Berettiget interesse (Art. 6(1)(f)) — for å forbedre tjenesten, oppdage feil og sikkerhetstrusler. Vi vurderer din interesse opp mot vår, og setter samtykke der det er påkrevd.
• Samtykke (Art. 6(1)(a)) — der det er påkrevd, for eksempel ved markedsføring per e-post.
• Rettslig forpliktelse (Art. 6(1)(c)) — for å overholde bokførings- og skattelovgivning.

Når Ekspedenten brukes på klinikker, kan tjenesten komme i kontakt med helseopplysninger (GDPR artikkel 9). Dette er sensitiv informasjon med strengere krav til behandling.

For klinikker er en separat databehandleravtale (DPA) etter GDPR artikkel 28 et obligatorisk vedlegg til tjenesteavtalen.

Etter GDPR har du rett til å:

• Innsyn — be om kopi av opplysninger vi har om deg.
• Retting — be oss korrigere feil eller mangler.
• Sletting — be oss slette opplysninger der det er rettslig grunnlag for det.
• Begrensning — be oss begrense behandlingen midlertidig.
• Dataportabilitet — få utlevert dine opplysninger i et standard format.
• Innsigelse — protestere mot behandling basert på berettiget interesse.
• Klage — sende klage til Datatilsynet hvis du mener vi behandler opplysninger feil.

Ta kontakt på aleksander@ekspedenten.no for å utøve rettighetene. Vi svarer innen 30 dager.

Vi behandler data med tekniske og organisatoriske tiltak som er egnet til risikonivået:

• Kryptering i transitt (HTTPS/TLS 1.3) og i hvile (AES-256).
• Rollebasert tilgangsstyring i CRM-en (Row Level Security i Supabase).
• To-faktor-autentisering (TOTP) er obligatorisk for alle admins.
• Sikkerhetsmonitorering via Sentry (feil) og BetterStack (oppetid).
• Regelmessige backups i EU-region.

Ved brudd på sikkerheten som påvirker dine personopplysninger, varsler vi Datatilsynet innen 72 timer og deg dersom risikoen er høy.

Vi bruker minimalt med cookies, kun det som er strengt nødvendig for innlogging og sikkerhet. Vi setter ingen sporings- eller markedsføringscookies. Detaljer på Cookies-siden →

Vi oppdaterer denne siden når praksis eller regelverk endres. Datoen øverst viser sist oppdatering. Vesentlige endringer varsles til innloggede brukere ved neste sesjon, og til klinikker per e-post minst 30 dager før de trer i kraft.