Personvernerklæring

Sist oppdatert: 25. mars 2026 · Versjon 2026-03-25-v1

Den norske versjonen av dette dokumentet er den juridisk bindende versjonen. Engelske og spanske oversettelser tilbys kun for å gjøre innholdet tilgjengelig — ved uoverensstemmelser mellom språkversjonene har den norske versjonen forrang.

1. Behandlingsansvarlig

Behandlingsansvarlig for personopplysninger er Filgueira Sanchez (innehaver av enkeltpersonforetaket Magrathea ved Filgueira Sanchez), org.nr. 937 509 332, Hegnunvegen 63, 3804 Bø i Telemark, Norge. Som enkeltpersonforetak er behandlingsansvarlig den fysiske personen som driver virksomheten. Apantula er et produktnavn levert av denne virksomheten. I denne erklæringen betyr «vi», «oss» og «Apantula» den nevnte virksomheten. Kontakt: [email protected].

2. Personvernombud

Vi har ikke utnevnt et personvernombud (DPO). Behandlingens omfang og art oppfyller ikke kriteriene for obligatorisk utnevnelse i GDPR artikkel 37, og personopplysningsloven stiller ikke ytterligere krav for vår virksomhet. Personvernspørsmål kan sendes direkte til [email protected] og besvares av virksomhetens innehaver.

3. Personopplysninger vi behandler

Vi behandler følgende kategorier av personopplysninger om deg som bruker: kontoinformasjon (navn, e-postadresse, valgt språk, autentiseringsdata fra Supabase); eiendomsdata du laster opp eller registrerer (adresser, dokumenter, bilder, økonomiske oppføringer, vedlikeholdshistorikk, fakta og hendelser om eiendommen); AI-chatsamtaler du fører i tjenesten; betalingsinformasjon (behandlet av Stripe — vi mottar kun bekreftelser og kvitteringsdata, ikke fullstendige kortdetaljer); tekniske data (IP-adresse, nettleserinformasjon, økt-tokens, sikkerhetslogger). Vi behandler ingen særlige kategorier av personopplysninger i henhold til GDPR artikkel 9. Det er frivillig å oppgi all informasjon, men uten konto- og eiendomsdata kan vi ikke levere tjenesten.

4. Fødselsnummer og nasjonale identifikasjonsnumre

Vi samler ikke aktivt inn fødselsnummer (norsk personnummer eller D-nummer) og bruker det aldri til identifikasjon av brukere — vi identifiserer brukere kun via e-post og autentiseringsdata. Dokumenter du laster opp (skjøter, lånepapirer, forsikringsavtaler, takster) kan inneholde fødselsnummer som en del av dokumentinnholdet. Slike numre lagres kun som del av det opprinnelige dokumentet, indekseres ikke separat for søk, og brukes ikke til noe annet formål enn å bevare dokumentet i sin opprinnelige form. Dette er i samsvar med personopplysningsloven § 12, som krever objektivt behov for entydig identifikasjon — et behov vi ikke har for å levere Apantula. Dersom du ønsker å fjerne et fødselsnummer fra et dokument du allerede har lastet opp, kan du redigere eller slette dokumentet i grensesnittet, eller kontakte oss for hjelp.

5. Personopplysninger om tredjeparter

Dokumenter du laster opp inneholder ofte personopplysninger om andre personer enn deg selv — for eksempel familiemedlemmer på skjøter, leietakere på leiekontrakter, sameiere, håndverkere på fakturaer, eiendomsmeglere på kjøpekontrakter eller naboer i korrespondanse. Når du laster opp slike dokumenter, bekrefter du at du har et legitimt grunnlag for å dele disse opplysningene med oss for behandling. Vi behandler tredjepartsdata utelukkende for å levere Apantula-tjenesten til deg, og vi videreselger eller viderebruker dem aldri til andre formål. Tredjeparter hvis personopplysninger fremkommer i dine opplastede dokumenter kan kontakte oss på [email protected] for å utøve sine rettigheter etter GDPR (innsyn, retting, sletting). Vi vil samarbeide med deg som vår kunde for å oppfylle slike forespørsler i samsvar med GDPR artikkel 14, 15 og 17.

6. Formål og rettslig grunnlag

Vi behandler dine personopplysninger for følgende formål, med tilhørende rettslig grunnlag etter GDPR artikkel 6: å levere Apantula-tjenesten inkludert AI-analyse av dokumenter og chatfunksjon (oppfyllelse av avtale, art. 6(1)(b)); å behandle betalinger og levere kreditter (oppfyllelse av avtale, art. 6(1)(b)); å sende tjenestevarslinger og kontorelaterte e-poster (oppfyllelse av avtale, art. 6(1)(b)); å sende markedsføring via e-post når du har samtykket (samtykke, art. 6(1)(a) — kan trekkes tilbake når som helst); å forebygge svindel og opprettholde sikkerhet (berettiget interesse, art. 6(1)(f)); å oppbevare regnskapsdokumenter og fakturaer (rettslig forpliktelse etter bokføringsloven § 13, art. 6(1)(c)). Vurderinger av berettiget interesse er tilgjengelige på forespørsel.

7. Automatisert behandling og kunstig intelligens

Apantula bruker kunstig intelligens (AI) til å analysere dokumentene dine og besvare spørsmål om eiendommene dine. Dokumenter og chatmeldinger behandles av Anthropic (Claude) for tekstanalyse i Anthropics globale region med Zero Data Retention aktivert, og av vår valgte tilbyder for vektorinnbygginger til semantisk søk. Vi bruker aldri dataene dine til å trene AI-modeller, og våre databehandlere forplikter seg avtalefestet til det samme. AI-resultater er kun til informasjon og utgjør ikke profesjonell juridisk, økonomisk, forsikringsmessig eller teknisk rådgivning — du må alltid verifisere viktig informasjon på egen hånd før du tar beslutninger basert på AI-svar. I henhold til EU-forordning 2024/1689 (EU AI Act) artikkel 50 informeres du herved tydelig om at du samhandler med et AI-system når du bruker chat- og dokumentanalysefunksjonene. Vi tar ingen automatiserte avgjørelser med rettslige eller tilsvarende vesentlige virkninger på deg i henhold til GDPR artikkel 22 — alle avgjørelser om eiendommen, økonomien og bruken av tjenesten din ligger fullt ut hos deg.

8. Mottakere og databehandlere

Vi deler personopplysninger med følgende databehandlere, hver under en databehandleravtale (DPA) i samsvar med GDPR artikkel 28: Anthropic Ireland, Limited (AI-tekstanalyse, global region, Zero Data Retention aktivert); Supabase Inc. (database, autentisering og fillagring, distribuert i Sverige); Stripe Payments Europe Ltd. (betalingsbehandling, irsk juridisk enhet); Brevo SAS (transaksjonelle e-poster, fransk juridisk enhet). Vi selger eller utleier aldri personopplysningene dine til tredjeparter for markedsføringsformål. En oppdatert liste over alle databehandlere er tilgjengelig på forespørsel.

9. Internasjonale dataoverføringer

Personopplysningene dine behandles primært innenfor EØS. Der data overføres til amerikanske databehandlere (typisk Anthropics underliggende infrastruktur), baserer vi oss på EU-US Data Privacy Framework (vedtatt 10. juli 2023 av Europakommisjonen) og/eller EUs standardkontraktsbestemmelser fra 2021 (Decision 2021/914) som juridisk grunnlag for overføringen. Vi har gjennomført en overføringsvurdering (Transfer Impact Assessment) for våre amerikanske leverandører, med utgangspunkt i adekvansvedtaket og US Executive Order 14086. Dokumentasjon er tilgjengelig på forespørsel.

10. Lagringsperioder

Vi lagrer personopplysninger så lenge det er nødvendig for de angitte formålene: aktive kontodata lagres så lenge kontoen er aktiv, pluss 30 dager etter sletting; eiendomsdokumenter lagres så lenge kontoen er aktiv, pluss 6 måneder etter sletting for å gi deg mulighet til eksport; chathistorikk lagres i 2 år eller til kontoen slettes; vektorinnbygginger slettes samtidig med kildedokumentet; fakturaer, kvitteringer og regnskapsdokumenter lagres i 5 år etter utstedelse i samsvar med bokføringsloven § 13. Etter at en konto er slettet gjelder en 30-dagers angrefrist for gjenoppretting; deretter slettes alle personopplysninger permanent fra våre systemer og fra databehandlernes systemer (med unntak av de regnskapspliktige dokumentene som loven krever vi oppbevarer).

11. Sikkerhetstiltak

Vi beskytter personopplysningene dine med tekniske og organisatoriske tiltak i samsvar med GDPR artikkel 32, herunder: kryptering under overføring (TLS 1.2 eller nyere); kryptering ved lagring av dokumenter; rollebasert tilgangskontroll med minste-rettighet-prinsippet; sikker hashing av passord; regelmessige sikkerhetsoppdateringer av plattformkomponenter; audit-logger for sensitive operasjoner; hosting i EU-region. Til tross for disse tiltakene er ingen system fullstendig sikkert; vi anbefaler at du bruker et sterkt og unikt passord for kontoen din.

12. Dine rettigheter

I henhold til GDPR har du rett til: innsyn i dine personopplysninger (art. 15); retting av unøyaktige eller ufullstendige opplysninger (art. 16); sletting av dine personopplysninger (art. 17 — funksjon tilgjengelig i profilinnstillingene); begrensning av behandling (art. 18); dataportabilitet i strukturert maskinlesbart format (art. 20 — eksportfunksjon tilgjengelig i profilinnstillingene); innsigelse mot behandling basert på berettiget interesse (art. 21); og tilbakekall av samtykke når som helst, uten at dette påvirker lovligheten av behandling utført før tilbakekallet. For å utøve disse rettighetene, kontakt oss på [email protected]. Vi svarer innen én måned etter mottak av forespørselen.

13. Informasjonskapsler og lokal lagring

Apantula bruker per i dag ikke HTTP-informasjonskapsler. All lokal data lagres i nettleserens localStorage og sessionStorage, som regnes som «liknende teknologier» under ekomloven § 2-7b. All slik lagring vi bruker er nødvendig for at tjenesten skal fungere — vi bruker ingen analyse-, markedsførings- eller tredjeparts sporingsteknologier. Tabellen nedenfor viser alle lagringselementer vi setter. Nødvendige lagringselementer krever ikke samtykke etter ekomloven § 2-7b andre ledd. Dersom vi i fremtiden innfører ikke-nødvendige teknologier (for eksempel anonyme bruksanalyser), vil vi be om ditt forhåndssamtykke gjennom samtykkebanneret som allerede finnes i applikasjonen, og oppdatere denne erklæringen tilsvarende. Inntil videre er ingen handling påkrevd fra deg.

NavnLagringFormålVarighetKategori
refresh_tokenlocalStorageHolder deg pålogget mellom økter ved hjelp av en oppdateringstokenTil du logger ut eller token tilbakekallesNødvendig
cookie-consentlocalStorageLagrer ditt valg av samtykke for ikke-nødvendig lagringTil lagringen tømmes manueltNødvendig
apantula_localecookieLagrer det valgte språket ditt slik at appen vises på riktig språk ved fremtidige besøkEtt år fra siste oppdateringNødvendig

14. Avvik og varsling

Ved et personvernavvik som sannsynligvis medfører høy risiko for dine rettigheter og friheter, varsler vi deg uten ugrunnet opphold i samsvar med GDPR artikkel 34, normalt via e-post. Alle kvalifiserte avvik meldes til Datatilsynet innen 72 timer etter at vi har blitt kjent med avviket, i samsvar med GDPR artikkel 33. Vi fører en intern avviksprotokoll over alle hendelser, også de som ikke utløser varslingsplikt.

15. Endringer i denne erklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen. Vi varsler deg om vesentlige endringer via e-post eller via et varsel i appen. Den oppdaterte erklæringen gjelder fra datoen som er angitt øverst på denne siden. Versjonshistorikken nedenfor viser endringer over tid:

Versjonshistorikk

  • 2026-03-25-v1 (25. mars 2026): Første publiserte versjon.

16. Kontakt og klager

For personvernspørsmål, for å utøve dine rettigheter eller for å rapportere et avvik, kontakt oss på [email protected]. Vi svarer innen én måned. Du har også rett til å klage til Datatilsynet, den norske tilsynsmyndigheten for personvern, på datatilsynet.no eller telefon 22 39 69 00.

Vi bruker nødvendige informasjonskapsler for autentisering og sikkerhet. Med ditt samtykke bruker vi også analyseinformasjonskapsler for å forbedre tjenesten. Les mer