Personvernerklæring for Krescado AS.

§ 1 · Behandlingsansvarlig

Hvem er ansvarlig for behandlingen§

Din arbeidsgiver er behandlingsansvarlig for personopplysningene som samles inn gjennom denne opplæringen. Krescado AS opptrer som databehandler på vegne av din arbeidsgiver.

§ 2 · Hva vi samler inn

Opplysninger som samles inn§

• Navn og e-postadresse (oppgitt ved registrering)
• Quiz-resultater (score, svake kategorier, antall forsøk)
• Tidsstempler (registrering, modulfremdrift, quizforsøk, sertifikatutstedelse)
• Sertifikatinformasjon (verifiseringskode, score, rollespor)
• Teknisk metadata for rate limiting (hashet IP-adresse, kortvarig)

§ 3 · Formål og rettslig grunnlag

Hvorfor vi behandler opplysningene§

Opplysningene behandles for å dokumentere at din arbeidsgiver oppfyller kompetansekravene i EU AI Act Artikkel 4, som krever at virksomheter som tilbyr eller bruker AI-systemer sikrer tilstrekkelig AI-kompetanse hos personalet.

• Berettiget interesse (GDPR art. 6(1)(f))
• Rettslig forpliktelse (GDPR art. 6(1)(c))

§ 3b · AI-generert analyse

Bruk av AI for rapport og risikovurdering§

Scorecard-rapporten genereres ved hjelp av AI-analyse via Anthropic. For rapportgenerering sendes dataminimerte svar til Anthropics API. Dette inkluderer bransje, rolle, størrelse, datatyper, dimensjonsscorer og alle 15 svar med spørsmålstekst.

I tillegg brukes Anthropics API til automatisk risikovurdering av godkjente AI-verktøy i admin-panelet. For denne vurderingen sendes kun verktøynavnet. Ingen personopplysninger sendes i denne prosessen.

• Direkte personidentifikatorer sendes ikke til Anthropic
• Anthropic bruker ikke kommersielle API-data til modelltrening
• API-data slettes normalt innen 30 dager
• Genererte rapporter lagres i Supabase (EU/EØS)

§ 4 · Hvem har tilgang

Tilgangsstyring§

Din arbeidsgiver

Admin har tilgang til navn, e-post, status, score og sertifikatinformasjon for sine inviterte deltakere.

Krescado AS

Databehandler. Teknisk tilgang til alle data for drift og support. Regulert gjennom databehandleravtale.

Anthropic PBC

Underleverandør. Mottar dataminimerte scorecard-svar for AI-generering. Ingen direkte identifikatorer.

E-postleverandører

Underleverandører. Brevo (EU) sender applikasjons-e-post som invitasjoner og passordtilbakestilling. Postmark/ActiveCampaign (USA, SCC) sender innloggingskoder via autentiseringstjenesten. Begge mottar e-postadresse og innholdet i den enkelte e-posten. Se /underleverandorer.

§ 5 · Lagring og sletting

Hvor lenge vi oppbevarer dataene§

Opplysningene lagres så lenge det er nødvendig for å dokumentere etterlevelse av EU AI Act Artikkel 4.

§ 6 · Anonymisering

Sletting og anonymisering§

Du kan be om sletting eller anonymisering av dine personopplysninger. Retten vurderes opp mot arbeidsgivers dokumentasjonsplikt og andre lovlige oppbevaringsbehov.

• Navn og e-post erstattes med generiske verdier
• Aggregert statistikk bevares, men er ikke lenger personopplysninger
• Kontakt din arbeidsgiver for å utøve denne retten

§ 7 · Dine rettigheter

Hva du kan kreve§

Du har rett til:

• Innsyn i hvilke opplysninger som er lagret om deg
• Retting av uriktige opplysninger
• Anonymisering (gjennom arbeidsgiver, med forbehold om dokumentasjonsplikt)
• Klage til Datatilsynet dersom du mener behandlingen er ulovlig

§ 8 · Innsynsforespørsel

Hvordan du ber om innsyn§

Kontaktpunkt

Din arbeidsgiver eller personvern@krescado.no

Responstid

Innen 30 dager (GDPR art. 12(3))

Hva du mottar

Oversikt over lagrede personopplysninger. Tilgjengelig som CSV-eksport.

§ 9 · Webanalyse

Plausible Analytics§

Vi bruker Plausible Analytics for å forstå hvordan plattformen brukes. Plausible er en cookiefri, personvernvennlig analyseløsning.

• Leverandør: Plausible Analytics OÜ (Estland)
• Data: Anonymiserte sidevisninger, trafikkilde, nettlesertype og land
• Lagring: EU (Hetzner, Tyskland)
• Personopplysninger: Ingen. Plausible behandler ikke IP-adresser.

§ 10 · Kontakt

Spørsmål om personvern§

For spørsmål om personvern i denne tjenesten, kontakt: