Personvernerklæring
Åpenhet om hvordan vi behandler personopplysningene dine — hva vi samler inn, hvorfor, hvor lenge, og hvilke rettigheter du har.
Hvem vi er
GLØDI-plattformen — glodi.no med tilhørende klinikksider, bestillingsløsning og portaler — drives av Nordic Cognitive Labs AS, org.nr. 933 866 327 («GLØDI», «vi»). Denne erklæringen forklarer hvordan vi behandler personopplysninger om besøkende, kunder, klinikker, behandlere, partnere og distributører, i samsvar med personvernforordningen (GDPR) og personopplysningsloven. Har du spørsmål, når du oss på [email protected].
Kort fortalt
Vi selger aldri dataene dine
Personopplysninger deles bare med leverandørene som trengs for å levere tjenesten — aldri solgt eller leid ut til tredjeparter.
Klinikken eier journalen din
Helse- og behandlingsopplysninger tilhører klinikken du går til. GLØDI oppbevarer dem trygt på klinikkens vegne og bruker dem aldri til egne formål.
Du bestemmer over markedsføring
Nyhetsbrev og tilbud sendes bare med ditt samtykke, og du kan når som helst melde deg av med ett klikk.
Selvbetjent innsyn og sletting
På Min side kan du selv laste ned dataene dine og sende sletteforespørsel — uten å skrive e-post eller vente på saksbehandling.
Ingen skjult sporing
Analyse-informasjonskapsler settes bare hvis du takker ja i banneret. Nødvendige kapsler brukes kun til innlogging og sikkerhet.
Streng tilgangsstyring
Dataene er isolert per klinikk, kryptert og tilgangsstyrt. Personell ser bare det de trenger for å gjøre jobben sin.
Våre to roller: behandlingsansvarlig og databehandler
GLØDI leverer både egne tjenester til deg og drifter systemer på vegne av klinikkene. Hvem som er ansvarlig for behandlingen, avhenger av hvilke opplysninger det gjelder:
GLØDI er behandlingsansvarlig
For opplysninger der GLØDI bestemmer formål og midler:
- GLØDI-kontoen din og innloggingsopplysninger
- Bestillingshistorikken din på tvers av klinikker på Min side
- GLØDIs egen markedsføring og nyhetsbrev
- Bruk av nettsidene, informasjonskapsler og analyse
- Sikkerhet, misbruksforebygging og feilsøking
- Abonnement og fakturering for klinikker (bedriftskunder)
Klinikken er behandlingsansvarlig — GLØDI er databehandler
For opplysninger klinikken registrerer om deg som sin kunde. Disse behandler GLØDI kun etter dokumentert instruks fra klinikken, regulert av databehandleravtale:
- Kunderegisteret og behandlingshistorikken hos den enkelte klinikk
- Journalnotater, konsultasjonsskjemaer og samtykker
- Behandlingsbilder (før/etter)
- Meldinger mellom deg og klinikken
- Kampanjer og oppfølging klinikken sender via plattformen
Ønsker du innsyn i eller sletting av opplysninger en klinikk har registrert om deg, er det klinikken som beslutter — GLØDI gir både deg og klinikken verktøyene til å gjennomføre det direkte i plattformen. Opplysningene dine deles aldri på tvers av klinikker.
1. Hvilke opplysninger vi behandler
Vi behandler kun opplysninger som er nødvendige for å levere tjenestene. Hva som registreres, avhenger av hvordan du bruker GLØDI:
Besøkende på nettsidene
Teknisk informasjon som IP-adresse, nettleser- og enhetstype, samt sidevisninger. Analysedata samles kun inn hvis du samtykker til analyse-informasjonskapsler.
Kunder
Navn, e-post og telefonnummer, kontoinnstillinger, bestillinger og kjøpshistorikk, gavekort, vurderinger, meldinger med klinikken, samtykker og varslingspreferanser.
Helse- og behandlingsopplysninger
Journalnotater, konsultasjonsskjemaer og behandlingsbilder registrert av klinikken. Disse er særlige kategorier av opplysninger og er beskrevet i egen del nedenfor.
Betalingsopplysninger
Betalinger behandles av våre betalingsleverandører. GLØDI lagrer aldri fullstendige kortnumre — vi mottar kun bekreftelse på at betalingen er gjennomført, samt referanser for kvittering og oppgjør.
Klinikker, behandlere og partnere
Identitet og kontaktinformasjon, kvalifikasjoner og autorisasjoner, kalender- og aktivitetsdata, samt data nødvendig for oppgjør og rapportering.
Distributører
Firma- og kontaktopplysninger, katalog- og ordredata, leveringshendelser og oppgjørsdata.
2. Formål og behandlingsgrunnlag
All behandling har et definert formål og et rettslig grunnlag etter GDPR artikkel 6 (og artikkel 9 for helseopplysninger):
Levere tjenesten
Gjennomføre bestillinger, betalinger, gavekort, arrangementer og kundeforhold, og gi deg tilgang til Min side. Grunnlag: avtale, art. 6(1)(b).
Helseopplysninger og journal
Behandles kun med ditt uttrykkelige samtykke (art. 9(2)(a)), eller som ledd i helsehjelp der klinikken er underlagt helselovgivningen (art. 9(2)(h) og helsepersonelloven). Klinikken er ansvarlig for denne behandlingen.
Lovpålagte plikter
Oppbevaring av regnskapsmateriale, journalplikt og utlevering ved lovpålagte krav. Grunnlag: rettslig forpliktelse, art. 6(1)(c).
Markedsføring
Nyhetsbrev og tilbud på e-post eller SMS sendes med ditt samtykke (art. 6(1)(a)), eller i eksisterende kundeforhold for tilsvarende tjenester etter markedsføringsloven § 15 — alltid med enkel avmelding.
Sikkerhet og forbedring
Feilsøking, misbruksforebygging, statistikk og forbedring av tjenestene. Grunnlag: berettiget interesse, art. 6(1)(f) — du kan protestere mot slik behandling.
Kort forklart: «avtale» betyr at behandlingen er nødvendig for å levere det du har bestilt; «samtykke» betyr at du aktivt har sagt ja og når som helst kan trekke det tilbake; «rettslig forpliktelse» betyr at loven pålegger oss det; «berettiget interesse» betyr at vi har et saklig behov som er veid mot ditt personvern — og som du kan protestere mot.
3. Helseopplysninger, journal og bilder
GLØDI er bygget for klinikker som fører journal — derfor stiller vi strengere krav til denne kategorien enn til alt annet:
Kun med uttrykkelig samtykke
Klinikken registrerer helseopplysninger, journalnotater og konsultasjonssvar kun med ditt uttrykkelige samtykke, eller der helselovgivningen gir grunnlag for det som ledd i helsehjelp.
Klinikken styrer journalen
Journalen føres og eies av klinikken som behandlingsansvarlig. Tilgangen er begrenset til personell som deltar i behandlingen og oppfølgingen din.
Bilder
Før- og etterbilder brukes kun til dokumentasjon av behandlingen din. De brukes aldri i markedsføring uten et separat, uttrykkelig samtykke fra deg.
Aldri til egne formål
GLØDI bruker aldri helse- eller journalopplysninger til egne formål, analyse eller markedsføring, og opplysningene deles aldri på tvers av klinikker.
AI-assistert journalføring
Der klinikken bruker AI-støtte (for eksempel tale-til-tekst ved journalføring), behandles innholdet av våre underleverandører utelukkende for å levere funksjonen — det brukes aldri til å trene AI-modeller.
4. Markedsføring og kommunikasjon
Samtykke først
Elektronisk markedsføring (e-post/SMS) sendes med ditt forhåndssamtykke. Unntaket for eksisterende kundeforhold i markedsføringsloven § 15 brukes snevert — kun for tjenester tilsvarende dem du allerede har kjøpt.
Enkel avmelding
Alle markedsføringshenvendelser har avmeldingslenke, og du kan styre kanaler og kategorier i varslingsinnstillingene på Min side.
To avsendere
GLØDIs egen markedsføring er GLØDIs ansvar. Kampanjer og oppfølging fra klinikken din sendes på klinikkens vegne — da er klinikken ansvarlig og GLØDI databehandler.
Servicemeldinger
Bestillingsbekreftelser, påminnelser og kvitteringer er ikke markedsføring — de sendes som en del av avtalen om tjenesten du har bestilt.
5. Hvem vi deler opplysninger med
Vi selger aldri personopplysningene dine. Vi deler kun med leverandører som er nødvendige for å levere tjenesten — alle bundet av databehandleravtaler etter GDPR artikkel 28 — og med myndigheter der loven krever det:
Betaling — Stripe og Vipps MobilePay
Kort- og Klarna-betalinger behandles av Stripe (Irland/USA); Vipps-betalinger av Vipps MobilePay (Norge). Kortdata lagres hos betalingsleverandøren, aldri hos GLØDI.
SMS — Twilio
Utsending av SMS-varsler og påminnelser (USA, med EU-garantier).
Drift og lagring — Google Cloud
Servere, database og fillagring for hele plattformen, driftet i EØS (Norden). E-post sendes via Google.
AI og tale-til-tekst — Google og Anthropic
Brukes kun for AI-funksjoner klinikken har tatt i bruk. Innholdet brukes aldri til å trene modellene.
Feilsporing — Sentry
Tekniske feilrapporter (EU-region) slik at vi kan rette feil raskt.
Analyse — Google Analytics
Kun hvis du har samtykket til analyse-informasjonskapsler.
Innholdslevering — Cloudflare
Rask utlevering av offentlige bilder og medier.
Regnskap — Fiken
Når klinikken din har koblet plattformen til sitt regnskapssystem, overføres salgs- og oppgjørsdata dit. Dette styres av klinikken.
Offentlige myndigheter
Kun ved lovpålagt utleveringsplikt, for eksempel til skattemyndigheter eller politi med hjemmel.
6. Overføring til land utenfor EØS
Hovedregel
Plattformen driftes og lagres i EØS: serverne står i Sverige og fillagringen i Finland (Google Cloud, Norden). Enkelte leverandører — blant andre Stripe, Twilio, Anthropic, Cloudflare og enkelte Google-tjenester (som analyse og e-postutsending) — kan likevel behandle opplysninger i USA.
Overføringsgrunnlag
Alle overføringer ut av EØS skjer med gyldig grunnlag etter GDPR kapittel V: EU-U.S. Data Privacy Framework og/eller EUs standardkontraktsvilkår (SCC) med nødvendige tilleggstiltak.
Innsyn i garantiene
Du kan kontakte oss for nærmere informasjon om overføringsgrunnlagene.
7. Hvor lenge vi lagrer opplysningene
Vi lagrer aldri lenger enn nødvendig for formålet — deretter slettes eller anonymiseres opplysningene:
Kontoen din
Så lenge kontoen er aktiv. Du kan når som helst be om sletting; da slettes eller anonymiseres opplysningene med mindre lovpålagt oppbevaring krever noe annet.
Regnskapsmateriale
Kvitteringer, fakturaer og oppgjør oppbevares i 5 år etter regnskapsårets slutt, som bokføringsloven krever.
Journal og helseopplysninger
Oppbevares så lenge helselovgivningen krever. Klinikken er ansvarlig for journalens lagringstid etter helsepersonelloven og pasientjournalloven.
Markedsføringssamtykker
Til du trekker samtykket. Selve avmeldingsvalget beholdes, slik at reservasjonen din blir respektert.
Tekniske logger
Kort tid, kun for sikkerhet og feilsøking.
8. Dine rettigheter
Som registrert har du følgende rettigheter etter GDPR — bruk av rettighetene er alltid gratis:
- Innsyn: få vite hvilke opplysninger vi har om deg, og få en kopi.
- Retting: få rettet uriktige eller ufullstendige opplysninger.
- Sletting: få slettet opplysningene dine («retten til å bli glemt»), med mindre lovpålagt oppbevaring krever noe annet.
- Begrensning: kreve at behandlingen begrenses i visse situasjoner.
- Dataportabilitet: få utlevert opplysningene dine i et maskinlesbart format.
- Innsigelse: protestere mot behandling basert på berettiget interesse, inkludert direkte markedsføring.
- Trekke samtykke: når som helst, uten at det påvirker lovligheten av behandlingen frem til da.
- Automatiserte avgjørelser: du har rett til å ikke være gjenstand for rene automatiserte avgjørelser med rettsvirkning — GLØDI treffer ingen slike.
Vi besvarer forespørsler innen 30 dager (ved komplekse saker kan fristen forlenges med inntil to måneder — da får du beskjed). Gjelder forespørselen opplysninger en klinikk har registrert om deg, er det klinikken som beslutter; vi sørger for at både du og klinikken har verktøyene til å gjennomføre det i plattformen.
Selvbetjening på Min side
Du trenger ikke sende e-post for å bruke rettighetene dine. Under «Konto og personvern» på Min side kan du laste ned en kopi av dataene dine, sende sletteforespørsel, administrere samtykker og styre varslingspreferansene dine.
Åpne personverninnstillinger9. Informasjonskapsler (cookies)
Vi bruker to kategorier informasjonskapsler, i tråd med ekomloven § 2-7b:
Nødvendige
Kreves for innlogging, sikkerhet, handlekurv og for å huske samtykkevalget ditt. Disse kan ikke slås av.
Analyse (valgfritt)
Google Analytics settes kun hvis du samtykker i banneret. Alt er avslått som standard (Google Consent Mode v2), valget ditt huskes i seks måneder, og du kan ombestemme deg når som helst.
Du kan når som helst endre hvilke informasjonskapsler du tillater:
10. Sikkerhet
Kryptering
All trafikk er kryptert (TLS), og data er kryptert også der de lagres.
Tilgangsstyring og isolasjon
Rollebasert tilgangskontroll for alt personell, og streng dataisolasjon mellom klinikker — en klinikk kan aldri se en annen klinikks kunder.
Sporbarhet
Sentrale handlinger logges, slik at uautorisert bruk kan oppdages og følges opp.
Avvikshåndtering
Ved brudd på personopplysningssikkerheten varsler vi Datatilsynet innen 72 timer og berørte klinikker og registrerte uten ugrunnet opphold.
11. Barn og unge
Aldersgrense
Bestilling og konto krever at du er over 18 år eller har foresattes samtykke. Vi retter ikke markedsføring mot barn.
12. Endringer i denne erklæringen
Varsling ved vesentlige endringer
Denne erklæringen oppdateres ved behov. Vesentlige endringer varsles på plattformen eller per e-post, og datoen øverst viser alltid gjeldende versjon.
Klagerett til Datatilsynet
Mener du at vi behandler personopplysningene dine i strid med regelverket, vil vi gjerne at du kontakter oss først, slik at vi kan rydde opp. Du har uansett alltid rett til å klage direkte til Datatilsynet.
Datatilsynet, Postboks 458 Sentrum, 0105 Oslo · Telefon: 22 39 69 00 · [email protected] · datatilsynet.no
Spørsmål om personvern?
Ta kontakt hvis du har spørsmål om denne erklæringen, ønsker innsyn i overføringsgrunnlag, eller vil bruke rettighetene dine.
E-post: [email protected]
Vi svarer normalt innen 24 timer på hverdager, og senest innen 30 dager på formelle innsynsforespørsler.