Sist oppdatert: 27. mars 2026
1. Behandlingsansvarlig
Sertio AS (org.nr. 937 286 643, Ulvenveien 123D, 0665 Oslo), som opererer plattformen Sertio (sertio.no), er behandlingsansvarlig for personopplysningene som samles inn gjennom denne tjenesten.
Kontakt: martin@sertio.no
2. Hvilke personopplysninger vi samler inn
- Kontoinformasjon: Fullt navn, e-postadresse, passord (kryptert)
- Kursdata: Fremdrift, svar, resultater, tid brukt
- Betalingsinformasjon: Transaksjonshistorikk (kortdata lagres av Vipps MobilePay, ikke av oss)
- Sertifikatdata: Sertifikatnummer, utstedelsesdato, utløpsdato
- Teknisk data: IP-adresse, nettlesertype, enhet (for informasjonskapsler)
- Kommunikasjon: E-poster og henvendelser
3. Formålet med behandlingen
- Levere e-læringskurset og sertifiseringstjenesten
- Administrere brukerkontoer og autentisering
- Behandle betalinger
- Utstede og verifisere kursbevis/sertifikater
- Overholde lovpålagte krav (bokføring, brannsikkerhet)
- Forbedre tjenesten (anonymisert analyse)
4. Rettslig grunnlag
- Avtale (GDPR art. 6(1)(b)): Nødvendig for å levere tjenesten
- Rettslig forpliktelse (GDPR art. 6(1)(c)): Bokføringsloven, brannsikkerhetskrav
- Samtykke (GDPR art. 6(1)(a)): Informasjonskapsler, markedsføring
- Berettiget interesse (GDPR art. 6(1)(f)): Sikkerhet, svindelforebygging
5. Deling av personopplysninger
Vi deler personopplysninger med:
- Supabase (database og autentisering) — EU-basert
- Vipps MobilePay (betalingsbehandling) — PCI DSS-sertifisert
- Vercel (hosting) — DPA på plass
- Twilio (SMS-verifisering og sertifikatlevering) — USA, EU SCCs
- Resend (transaksjonell e-post) — USA, EU SCCs
- Anthropic (AI-veileder «Brann-Mads») — USA, EU SCCs
- Sentry (feilovervåkning og driftsstabilitet) — USA, EU SCCs
- Norsk Brannvernforening (sertifiseringsdata, ved utstedelse av endelig sertifikat)
Vi selger aldri personopplysninger til tredjeparter.
6. Analyse og innsikt
Vi bruker PostHog (EU-basert, Frankfurt) for produktanalyse. PostHog samler inn:
- Sidevisninger og navigasjon (kun med ditt samtykke via cookie-banneret)
- Sesjonsopptak: Interaksjoner på ikke-sensitive sider (aldri eksamen, identitetsverifisering eller sertifikatsider)
PostHog-data lagres i EU (Frankfurt) med DPA (databehandleravtale) på plass. Du kan trekke samtykke tilbake når som helst via cookie-innstillingene.
7. Lagring og sletting
- Kontoinformasjon: Så lenge kontoen er aktiv + 30 dager etter sletting
- Kursdata: 5 år etter sertifikatets utløp (lovpålagt dokumentasjon)
- Detaljert læringsdata: Anonymiseres 2 år etter sertifikatets utløp
- Betalingsdata: 5 år (bokføringsloven)
- Sertifikatdata: 10 år etter utstedelse (brannsikkerhetskrav)
8. Dine rettigheter
Du har rett til:
- Innsyn: Se hvilke data vi har om deg
- Retting: Korrigere uriktige opplysninger
- Sletting: Be om sletting av dine data (med unntak for lovpålagt lagring)
- Dataportabilitet: Eksportere dine data (tilgjengelig i dashboardet)
- Dataeksport: Last ned alle dine data via
/api/user/data-export - Innsigelse: Protestere mot behandling basert på berettiget interesse
- Klage: Klage til Datatilsynet (datatilsynet.no)
9. Informasjonskapsler
Vi bruker nødvendige informasjonskapsler for autentisering (Supabase Auth). Analytiske informasjonskapsler krever ditt samtykke og kan avvises via cookie-banneret.
10. Sikkerhet
Vi bruker bransjestandard sikkerhetstiltak: kryptert dataoverføring (TLS), krypterte passord, Row Level Security i databasen, og regelmessige sikkerhetsgjennomganger.
11. Endringer
Vi kan oppdatere denne personvernerklæringen. Vesentlige endringer varsles via e-post og/eller i tjenesten. Fortsatt bruk etter varsling utgjør aksept av endringene.