Personvernerklæring

Åpenhet om hvordan vi behandler personopplysningene dine — hva vi samler inn, hvorfor, hvor lenge, og hvilke rettigheter du har.

Hvem vi er

GLØDI-plattformen — glodi.no med tilhørende klinikksider, bestillingsløsning og portaler — drives av Nordic Cognitive Labs AS, org.nr. 933 866 327 («GLØDI», «vi»). Denne erklæringen forklarer hvordan vi behandler personopplysninger om besøkende, kunder, klinikker, behandlere, partnere og distributører, i samsvar med personvernforordningen (GDPR) og personopplysningsloven. Har du spørsmål, når du oss på [email protected].

Sist oppdatert: 8. juli 2026

Kort fortalt

Vi selger aldri dataene dine

Personopplysninger deles bare med leverandørene som trengs for å levere tjenesten — aldri solgt eller leid ut til tredjeparter.

Klinikken eier journalen din

Helse- og behandlingsopplysninger tilhører klinikken du går til. GLØDI oppbevarer dem trygt på klinikkens vegne og bruker dem aldri til egne formål.

Du bestemmer over markedsføring

Nyhetsbrev og tilbud sendes bare med ditt samtykke, og du kan når som helst melde deg av med ett klikk.

Selvbetjent innsyn og sletting

På Min side kan du selv laste ned dataene dine og sende sletteforespørsel — uten å skrive e-post eller vente på saksbehandling.

Ingen skjult sporing

Analyse-informasjonskapsler settes bare hvis du takker ja i banneret. Nødvendige kapsler brukes kun til innlogging og sikkerhet.

Streng tilgangsstyring

Dataene er isolert per klinikk, kryptert og tilgangsstyrt. Personell ser bare det de trenger for å gjøre jobben sin.

Våre to roller: behandlingsansvarlig og databehandler

GLØDI leverer både egne tjenester til deg og drifter systemer på vegne av klinikkene. Hvem som er ansvarlig for behandlingen, avhenger av hvilke opplysninger det gjelder:

GLØDI er behandlingsansvarlig

For opplysninger der GLØDI bestemmer formål og midler:

  • GLØDI-kontoen din og innloggingsopplysninger
  • Bestillingshistorikken din på tvers av klinikker på Min side
  • GLØDIs egen markedsføring og nyhetsbrev
  • Bruk av nettsidene, informasjonskapsler og analyse
  • Sikkerhet, misbruksforebygging og feilsøking
  • Abonnement og fakturering for klinikker (bedriftskunder)

Klinikken er behandlingsansvarlig — GLØDI er databehandler

For opplysninger klinikken registrerer om deg som sin kunde. Disse behandler GLØDI kun etter dokumentert instruks fra klinikken, regulert av databehandleravtale:

  • Kunderegisteret og behandlingshistorikken hos den enkelte klinikk
  • Journalnotater, konsultasjonsskjemaer og samtykker
  • Behandlingsbilder (før/etter)
  • Meldinger mellom deg og klinikken
  • Kampanjer og oppfølging klinikken sender via plattformen

Ønsker du innsyn i eller sletting av opplysninger en klinikk har registrert om deg, er det klinikken som beslutter — GLØDI gir både deg og klinikken verktøyene til å gjennomføre det direkte i plattformen. Opplysningene dine deles aldri på tvers av klinikker.

1. Hvilke opplysninger vi behandler

Vi behandler kun opplysninger som er nødvendige for å levere tjenestene. Hva som registreres, avhenger av hvordan du bruker GLØDI:

Besøkende på nettsidene

Teknisk informasjon som IP-adresse, nettleser- og enhetstype, samt sidevisninger. Analysedata samles kun inn hvis du samtykker til analyse-informasjonskapsler.

Kunder

Navn, e-post og telefonnummer, kontoinnstillinger, bestillinger og kjøpshistorikk, gavekort, vurderinger, meldinger med klinikken, samtykker og varslingspreferanser.

Helse- og behandlingsopplysninger

Journalnotater, konsultasjonsskjemaer og behandlingsbilder registrert av klinikken. Disse er særlige kategorier av opplysninger og er beskrevet i egen del nedenfor.

Betalingsopplysninger

Betalinger behandles av våre betalingsleverandører. GLØDI lagrer aldri fullstendige kortnumre — vi mottar kun bekreftelse på at betalingen er gjennomført, samt referanser for kvittering og oppgjør.

Klinikker, behandlere og partnere

Identitet og kontaktinformasjon, kvalifikasjoner og autorisasjoner, kalender- og aktivitetsdata, samt data nødvendig for oppgjør og rapportering.

Distributører

Firma- og kontaktopplysninger, katalog- og ordredata, leveringshendelser og oppgjørsdata.

2. Formål og behandlingsgrunnlag

All behandling har et definert formål og et rettslig grunnlag etter GDPR artikkel 6 (og artikkel 9 for helseopplysninger):

Levere tjenesten

Gjennomføre bestillinger, betalinger, gavekort, arrangementer og kundeforhold, og gi deg tilgang til Min side. Grunnlag: avtale, art. 6(1)(b).

Helseopplysninger og journal

Behandles kun med ditt uttrykkelige samtykke (art. 9(2)(a)), eller som ledd i helsehjelp der klinikken er underlagt helselovgivningen (art. 9(2)(h) og helsepersonelloven). Klinikken er ansvarlig for denne behandlingen.

Lovpålagte plikter

Oppbevaring av regnskapsmateriale, journalplikt og utlevering ved lovpålagte krav. Grunnlag: rettslig forpliktelse, art. 6(1)(c).

Markedsføring

Nyhetsbrev og tilbud på e-post eller SMS sendes med ditt samtykke (art. 6(1)(a)), eller i eksisterende kundeforhold for tilsvarende tjenester etter markedsføringsloven § 15 — alltid med enkel avmelding.

Sikkerhet og forbedring

Feilsøking, misbruksforebygging, statistikk og forbedring av tjenestene. Grunnlag: berettiget interesse, art. 6(1)(f) — du kan protestere mot slik behandling.

Kort forklart: «avtale» betyr at behandlingen er nødvendig for å levere det du har bestilt; «samtykke» betyr at du aktivt har sagt ja og når som helst kan trekke det tilbake; «rettslig forpliktelse» betyr at loven pålegger oss det; «berettiget interesse» betyr at vi har et saklig behov som er veid mot ditt personvern — og som du kan protestere mot.

3. Helseopplysninger, journal og bilder

GLØDI er bygget for klinikker som fører journal — derfor stiller vi strengere krav til denne kategorien enn til alt annet:

Kun med uttrykkelig samtykke

Klinikken registrerer helseopplysninger, journalnotater og konsultasjonssvar kun med ditt uttrykkelige samtykke, eller der helselovgivningen gir grunnlag for det som ledd i helsehjelp.

Klinikken styrer journalen

Journalen føres og eies av klinikken som behandlingsansvarlig. Tilgangen er begrenset til personell som deltar i behandlingen og oppfølgingen din.

Bilder

Før- og etterbilder brukes kun til dokumentasjon av behandlingen din. De brukes aldri i markedsføring uten et separat, uttrykkelig samtykke fra deg.

Aldri til egne formål

GLØDI bruker aldri helse- eller journalopplysninger til egne formål, analyse eller markedsføring, og opplysningene deles aldri på tvers av klinikker.

AI-assistert journalføring

Der klinikken bruker AI-støtte (for eksempel tale-til-tekst ved journalføring), behandles innholdet av våre underleverandører utelukkende for å levere funksjonen — det brukes aldri til å trene AI-modeller.

4. Markedsføring og kommunikasjon

Samtykke først

Elektronisk markedsføring (e-post/SMS) sendes med ditt forhåndssamtykke. Unntaket for eksisterende kundeforhold i markedsføringsloven § 15 brukes snevert — kun for tjenester tilsvarende dem du allerede har kjøpt.

Enkel avmelding

Alle markedsføringshenvendelser har avmeldingslenke, og du kan styre kanaler og kategorier i varslingsinnstillingene på Min side.

To avsendere

GLØDIs egen markedsføring er GLØDIs ansvar. Kampanjer og oppfølging fra klinikken din sendes på klinikkens vegne — da er klinikken ansvarlig og GLØDI databehandler.

Servicemeldinger

Bestillingsbekreftelser, påminnelser og kvitteringer er ikke markedsføring — de sendes som en del av avtalen om tjenesten du har bestilt.

5. Hvem vi deler opplysninger med

Vi selger aldri personopplysningene dine. Vi deler kun med leverandører som er nødvendige for å levere tjenesten — alle bundet av databehandleravtaler etter GDPR artikkel 28 — og med myndigheter der loven krever det:

Betaling — Stripe og Vipps MobilePay

Kort- og Klarna-betalinger behandles av Stripe (Irland/USA); Vipps-betalinger av Vipps MobilePay (Norge). Kortdata lagres hos betalingsleverandøren, aldri hos GLØDI.

SMS — Twilio

Utsending av SMS-varsler og påminnelser (USA, med EU-garantier).

Drift og lagring — Google Cloud

Servere, database og fillagring for hele plattformen, driftet i EØS (Norden). E-post sendes via Google.

AI og tale-til-tekst — Google og Anthropic

Brukes kun for AI-funksjoner klinikken har tatt i bruk. Innholdet brukes aldri til å trene modellene.

Feilsporing — Sentry

Tekniske feilrapporter (EU-region) slik at vi kan rette feil raskt.

Analyse — Google Analytics

Kun hvis du har samtykket til analyse-informasjonskapsler.

Innholdslevering — Cloudflare

Rask utlevering av offentlige bilder og medier.

Regnskap — Fiken

Når klinikken din har koblet plattformen til sitt regnskapssystem, overføres salgs- og oppgjørsdata dit. Dette styres av klinikken.

Offentlige myndigheter

Kun ved lovpålagt utleveringsplikt, for eksempel til skattemyndigheter eller politi med hjemmel.

6. Overføring til land utenfor EØS

Hovedregel

Plattformen driftes og lagres i EØS: serverne står i Sverige og fillagringen i Finland (Google Cloud, Norden). Enkelte leverandører — blant andre Stripe, Twilio, Anthropic, Cloudflare og enkelte Google-tjenester (som analyse og e-postutsending) — kan likevel behandle opplysninger i USA.

Overføringsgrunnlag

Alle overføringer ut av EØS skjer med gyldig grunnlag etter GDPR kapittel V: EU-U.S. Data Privacy Framework og/eller EUs standardkontraktsvilkår (SCC) med nødvendige tilleggstiltak.

Innsyn i garantiene

Du kan kontakte oss for nærmere informasjon om overføringsgrunnlagene.

7. Hvor lenge vi lagrer opplysningene

Vi lagrer aldri lenger enn nødvendig for formålet — deretter slettes eller anonymiseres opplysningene:

Kontoen din

Så lenge kontoen er aktiv. Du kan når som helst be om sletting; da slettes eller anonymiseres opplysningene med mindre lovpålagt oppbevaring krever noe annet.

Regnskapsmateriale

Kvitteringer, fakturaer og oppgjør oppbevares i 5 år etter regnskapsårets slutt, som bokføringsloven krever.

Journal og helseopplysninger

Oppbevares så lenge helselovgivningen krever. Klinikken er ansvarlig for journalens lagringstid etter helsepersonelloven og pasientjournalloven.

Markedsføringssamtykker

Til du trekker samtykket. Selve avmeldingsvalget beholdes, slik at reservasjonen din blir respektert.

Tekniske logger

Kort tid, kun for sikkerhet og feilsøking.

8. Dine rettigheter

Som registrert har du følgende rettigheter etter GDPR — bruk av rettighetene er alltid gratis:

  • Innsyn: få vite hvilke opplysninger vi har om deg, og få en kopi.
  • Retting: få rettet uriktige eller ufullstendige opplysninger.
  • Sletting: få slettet opplysningene dine («retten til å bli glemt»), med mindre lovpålagt oppbevaring krever noe annet.
  • Begrensning: kreve at behandlingen begrenses i visse situasjoner.
  • Dataportabilitet: få utlevert opplysningene dine i et maskinlesbart format.
  • Innsigelse: protestere mot behandling basert på berettiget interesse, inkludert direkte markedsføring.
  • Trekke samtykke: når som helst, uten at det påvirker lovligheten av behandlingen frem til da.
  • Automatiserte avgjørelser: du har rett til å ikke være gjenstand for rene automatiserte avgjørelser med rettsvirkning — GLØDI treffer ingen slike.

Vi besvarer forespørsler innen 30 dager (ved komplekse saker kan fristen forlenges med inntil to måneder — da får du beskjed). Gjelder forespørselen opplysninger en klinikk har registrert om deg, er det klinikken som beslutter; vi sørger for at både du og klinikken har verktøyene til å gjennomføre det i plattformen.

Selvbetjening på Min side

Du trenger ikke sende e-post for å bruke rettighetene dine. Under «Konto og personvern» på Min side kan du laste ned en kopi av dataene dine, sende sletteforespørsel, administrere samtykker og styre varslingspreferansene dine.

Åpne personverninnstillinger

9. Informasjonskapsler (cookies)

Vi bruker to kategorier informasjonskapsler, i tråd med ekomloven § 2-7b:

Nødvendige

Kreves for innlogging, sikkerhet, handlekurv og for å huske samtykkevalget ditt. Disse kan ikke slås av.

Analyse (valgfritt)

Google Analytics settes kun hvis du samtykker i banneret. Alt er avslått som standard (Google Consent Mode v2), valget ditt huskes i seks måneder, og du kan ombestemme deg når som helst.

Du kan når som helst endre hvilke informasjonskapsler du tillater:

10. Sikkerhet

Kryptering

All trafikk er kryptert (TLS), og data er kryptert også der de lagres.

Tilgangsstyring og isolasjon

Rollebasert tilgangskontroll for alt personell, og streng dataisolasjon mellom klinikker — en klinikk kan aldri se en annen klinikks kunder.

Sporbarhet

Sentrale handlinger logges, slik at uautorisert bruk kan oppdages og følges opp.

Avvikshåndtering

Ved brudd på personopplysningssikkerheten varsler vi Datatilsynet innen 72 timer og berørte klinikker og registrerte uten ugrunnet opphold.

11. Barn og unge

Aldersgrense

Bestilling og konto krever at du er over 18 år eller har foresattes samtykke. Vi retter ikke markedsføring mot barn.

12. Endringer i denne erklæringen

Varsling ved vesentlige endringer

Denne erklæringen oppdateres ved behov. Vesentlige endringer varsles på plattformen eller per e-post, og datoen øverst viser alltid gjeldende versjon.

Klagerett til Datatilsynet

Mener du at vi behandler personopplysningene dine i strid med regelverket, vil vi gjerne at du kontakter oss først, slik at vi kan rydde opp. Du har uansett alltid rett til å klage direkte til Datatilsynet.

Datatilsynet, Postboks 458 Sentrum, 0105 Oslo · Telefon: 22 39 69 00 · [email protected] · datatilsynet.no

Spørsmål om personvern?

Ta kontakt hvis du har spørsmål om denne erklæringen, ønsker innsyn i overføringsgrunnlag, eller vil bruke rettighetene dine.

E-post: [email protected]

Vi svarer normalt innen 24 timer på hverdager, og senest innen 30 dager på formelle innsynsforespørsler.