Personvernerklæring

Innhold

Hvem vi er
Hvilke data vi samler inn
Hvordan vi bruker dataene dine
Rettslig grunnlag for behandling
Informasjonskapsler og sporing
Datadeling og tredjeparter
Dataoppbevaring
Datasikkerhet
Internasjonale dataoverføringer
Dine rettigheter
Barns personvern
Endringer i denne policyen
Kontakt oss

1. Hvem vi er

DORA GRC er en compliance-administrasjonsplattform for finansinstitusjoner underlagt EU Digital Operational Resilience Act (EU 2022/2554). For personvernlovgivningens formål er DORA GRC behandlingsansvarlig for personopplysningene som behandles gjennom dette nettstedet og plattformen.

Kontakt e-post: [email protected]

2. Hvilke data vi samler inn

Vi samler inn et minimum av data som er nødvendig for å drifte tjenesten vår. Dataene vi behandler faller inn i disse kategoriene:

2.1 Kontaktskjema-innsendinger

Når du sender inn kontaktskjemaet vårt, samler vi inn:

Navn — for å tiltale deg personlig
E-postadresse — for å svare på din henvendelse
Selskapsnavn (valgfritt) — for å forstå din organisasjon
Meldingsinnhold — for å forstå og besvare din forespørsel

2.2 Plattformkontodata

Hvis du oppretter en konto på DORA GRC-plattformen, lagrer vi:

Brukernavn og fullt navn — for identifikasjon og revisjonsspor
E-postadresse — for kontoopprettelse og varsler
Passord — lagret som en saltet PBKDF2-hash (100 000 iterasjoner); vi lagrer aldri og kan ikke se ditt passordet i klartekst
Rolle — (administrator, analytiker, tilskuer) for tilgangskontroll
Revisjonsloggoppføringer — tidsstemplede registreringer av handlinger du utfører i plattformen, for regulatorisk etterlevelse

2.3 Analysedata (med samtykke)

Kun hvis du godtar analysekapsler, samler Google Analytics 4 inn:

Besøkte sider og tid på siden
Henvisningskilde (hvordan du fant oss)
Enhetstype, nettleser, skjermoppløsning
Omtrentlig geografisk plassering (land/by-nivå, utledet fra IP)
IP-adresse (anonymisert av Google Analytics)

Disse dataene er anonyme og kan ikke identifisere deg personlig. De samles bare inn etter at du har gitt eksplisitt samtykke via informasjonskapsel-banneret vårt.

2.4 Data vi IKKE samler inn

Vi samler ikke inn betalings- eller finansiell informasjon via dette nettstedet
Vi bruker ikke reklame-, markedsførings- eller retargeting-kapsler
Vi kjøper eller anskaffer ikke personopplysninger fra tredjeparter
Vi bruker ikke automatisert beslutningstaking eller profilering

3. Hvordan vi bruker dataene dine

Data	Formål	Rettslig grunnlag
Kontaktskjema (navn, e-post, selskap, melding)	Besvare din henvendelse	Berettiget interesse (Art. 6(1)(f))
Kontodata (brukernavn, navn, e-post, rolle)	Levere DORA GRC-plattformtjenesten	Kontraktsoppfyllelse (Art. 6(1)(b))
Revisjonslogg (handlinger, tidsstempler, brukertilknytning)	Regulatorisk etterlevelse under DORA	Rettslig plikt (Art. 6(1)(c))
Analyse (sidevisninger, enhet, plassering)	Forstå nettstedsbruk for å forbedre tjenesten	Samtykke (Art. 6(1)(a))

4. Rettslig grunnlag for behandling

Vi behandler personopplysninger under følgende rettslige grunnlag som definert i Personvernforordningen (GDPR), gjeldende i Norge gjennom Personopplysningsloven:

Samtykke (Art. 6(1)(a)) — for analysekapsler. Du kan trekke tilbake samtykket når som helst ved å klikke på 🍪-ikonet på hjemmesiden vår.
Kontraktsoppfyllelse (Art. 6(1)(b)) — for plattformkontodata som er nødvendig for å levere tjenesten du har registrert deg for.
Rettslig plikt (Art. 6(1)(c)) — for revisjonsspordata som kreves under DORA (EU 2022/2554) og relaterte regulatoriske tekniske standarder.
Berettiget interesse (Art. 6(1)(f)) — for behandling av kontaktskjema. Vår berettigede interesse er å besvare salgs- og støttehenvendelser. Denne interessen overstyrer ikke dine grunnleggende rettigheter.

5. Informasjonskapsler og sporing

Nettstedet vårt bruker kun informasjonskapsler for analyse, og bare med ditt eksplisitte samtykke. Vi overholder den norske Ekomloven (oppdatert januar 2025) og EU-direktivet om personvern i elektronisk kommunikasjon.

Informasjonskapsel	Leverandør	Formål	Kategori	Varighet
`_ga`	Google Analytics	Skiller unike besøkende	Analyse	2 år
`_ga_ZZK7ZHY0QZ`	Google Analytics	Lagrer sesjonstilstand	Analyse	2 år

Ingen informasjonskapsler uten samtykke. Analysekapsler er blokkert som standard ved hjelp av Google Consent Mode v2 (Basic). Google Analytics-skriptet lastes ikke inn før du eksplisitt klikker «Godta» på informasjonskapsel-banneret vårt. Hvis du avviser kapsler, samles ingen analysedata inn overhodet.

Plattformapplikasjonen vår bruker sessionStorage (ikke informasjonskapsler) for autentiseringstokens. Disse er strengt nødvendige for innloggingsfunksjonalitet, eksisterer kun i nettleserens fanehukommelse, og slettes automatisk når du lukker fanen.

Du kan endre dine kapslerpreferanser når som helst ved å klikke på 🍪-ikonet nederst til venstre på hjemmesiden vår, eller ved å slette kapsler via nettleserinnstillingene.

6. Datadeling og tredjeparter

Vi selger, leier ikke ut eller handler med dine personopplysninger. Vi deler data kun med følgende tredjeparter, som opptrer som databehandlere på våre vegne:

Leverandør	Tjeneste	Data som behandles	Plassering
Cloudflare, Inc.	Hosting, CDN, database (D1)	All plattformdata, kontaktinnsendinger	Globalt nettverk (EU-kompatibelt)
Google LLC	Google Analytics 4	Anonym nettstedsbruk (kun med samtykke)	EU/USA (under EU-US Data Privacy Framework)
Google Fonts	Fontlevering	IP-adresse (for fontlasting)	Globalt

Cloudflare behandler data i samsvar med sin Personvernerklæring og opererer under Standardkontraktsklausuler (SCC) for internasjonale overføringer. Google Analytics-databehandling er regulert av Google Ads Data Processing Terms og EU-US Data Privacy Framework.

7. Dataoppbevaring

Datatype	Oppbevaringsperiode	Begrunnelse
Kontaktskjema-innsendinger	12 måneder	Tilstrekkelig tid til å svare og følge opp
Plattformkontodata	Kontraktens varighet + 30 dager	Tjenesteleveranse
Revisjonsloggoppføringer	Minimum 5 år	DORA regulatorisk krav
Analysedata (Google)	14 måneder (Google standard)	Nettstedsforbedring
Samtykkeregistreringer	365 dager	Dokumentasjon av samtykke for regulatorisk etterlevelse

Etter oppbevaringsperioden slettes eller anonymiseres data. Du kan be om tidligere sletting — se Dine rettigheter nedenfor.

8. Datasikkerhet

Vi tar sikkerheten til dine data på alvor og implementerer passende tekniske og organisatoriske tiltak, inkludert:

Kryptering under overføring — alle tilkoblinger bruker TLS 1.3 (HTTPS håndhevet via HSTS)
Kryptering i ro — data lagret i Cloudflare D1 med Cloudflares infrastrukturkryptering
Passordhashing — PBKDF2 med SHA-256, 100 000 iterasjoner og unike salter
Sesjonssikkerhet — kryptografisk tilfeldige tokens (256-bit), 24-timers utløp, lagret i sessionStorage (ikke kapsler)
Tilgangskontroll — rollebasert tilgang (administrator/analytiker/tilskuer) med revisjonslogging av alle handlinger
Hastighetsbegrensning — innlogging (5 forsøk per 15 min) og kontaktskjema (3 per time) for å forhindre misbruk
Sikkerhetshoder — CSP, HSTS, X-Frame-Options: DENY, X-Content-Type-Options: nosniff
CORS-begrensninger — API godtar kun forespørsler fra samme opprinnelse

Intet system er 100% sikkert. Hvis du oppdager en sårbarhet, vennligst rapporter den til [email protected].

9. Internasjonale dataoverføringer

Plattformen vår er hostet på Cloudflares globale nettverk, som kan behandle data utenfor EØS. Disse overføringene er beskyttet av:

Standardkontraktsklausuler (SCC) godkjent av EU-kommisjonen
EU-US Data Privacy Framework (for Google Analytics)
Cloudflares Data Processing Addendum som inkorporerer SCC

Vi sikrer at enhver internasjonal overføring av personopplysninger oppfyller kravene i GDPR kapittel V.

10. Dine rettigheter

Under GDPR og den norske Personopplysningsloven har du følgende rettigheter:

Rett til innsyn (Art. 15) — be om en kopi av personopplysningene vi har om deg
Rett til retting (Art. 16) — be om korrigering av unøyaktige data
Rett til sletting (Art. 17) — be om sletting av dine data («retten til å bli glemt»)
Rett til å begrense behandlingen (Art. 18) — be om at vi begrenser hvordan vi bruker dine data
Rett til dataportabilitet (Art. 20) — be om dine data i et strukturert, maskinlesbart format
Rett til å protestere (Art. 21) — protestere mot behandling basert på berettiget interesse
Rett til å trekke tilbake samtykke (Art. 7(3)) — trekk tilbake kapselsamtykke når som helst via 🍪-ikonet

For å utøve noen av disse rettighetene, kontakt oss på [email protected]. Vi vil svare innen 30 dager som påkrevd ved lov.

Rett til å klage. Hvis du mener vi ikke har håndtert dine data korrekt, har du rett til å sende en klage til Datatilsynet på datatilsynet.no eller via e-post til [email protected].

11. Barns personvern

DORA GRC er en bedrift-til-bedrift compliance-plattform. Tjenestene våre er ikke rettet mot personer under 18 år. Vi samler ikke bevisst inn personopplysninger fra barn. Hvis du mener vi utilsiktet har samlet inn data fra et mindreårig person, kontakt oss og vi vil slette det umiddelbart.

12. Endringer i denne policyen

Vi kan oppdatere denne personvernerklæringen for å gjenspeile endringer i våre praksiser eller juridiske krav. Når vi gjør vesentlige endringer, vil vi oppdatere «Sist oppdatert»-datoen øverst på denne siden. Vi oppfordrer deg til å gjennomgå denne policyen med jevne mellomrom.

13. Kontakt oss

Hvis du har spørsmål om denne personvernerklæringen eller hvordan vi håndterer dine data:

E-post: [email protected]
Nettsted: doragrc.com/no/contact