Personvernerklæring — HR-Kompis

HR-Kompis er en tjeneste levert av AgerTechAI Consulting AS ("AgerTechAI", "vi", "oss") og presentert under merket AgerTechAI Studio. Denne erklæringen forklarer hvilke personopplysninger vi samler inn når du bruker HR-Kompis, hvordan vi bruker dem, hvem vi deler dem med, og hvilke rettigheter du har.

Behandlingen skjer i samsvar med personvernforordningen (GDPR) og personopplysningsloven.

Sist oppdatert: 16. mai 2026.

1. Behandlingsansvarlig

Firmanavn: AgerTechAI Consulting AS
Organisasjonsnummer: 937 616 694
Adresse: Flafjellet 34a, 1454 Fagerstrand, Norge
E-post: post@agertechai.no
Kontaktperson for personvern: Roger Agerup

AgerTechAI har vurdert at vi ikke er forpliktet til å oppnevne personvernombud (DPO). Du kan rette alle personvernhenvendelser til kontaktpersonen over.

Når HR-Kompis behandler personopplysninger på vegne av en kunde (typisk hvis dine ansatte tas opp i en chatlogg knyttet til et HR-spørsmål du stiller), er kunden — din virksomhet — behandlingsansvarlig, og AgerTechAI er databehandler. Da gjelder vår databehandleravtale.

2. Hvilke personopplysninger vi behandler, og hvorfor

2.1 Konto og innlogging

Når du registrerer en bedrift på HR-Kompis behandler vi:

e-postadressen din,
organisasjonsnummer (brukes for å verifisere selskapet mot Brønnøysundregistrene),
selskapsnavn (hentes fra Enhetsregisteret),
din rolle (daglig leder eller registrerer på vegne av daglig leder),
tidspunkt for samtykke til vilkår.
Formål: opprette og drifte kontoen din, sikre at den som registrerer har myndighet til å binde selskapet, og levere tjenesten.
Rettslig grunnlag: avtale (GDPR art. 6 nr. 1 bokstav b) og tiltak før avtaleinngåelse.
Lagringstid: så lenge kontoen er aktiv. Ved kontoens opphør slettes personopplysninger innen 30 dager, med unntak av fakturagrunnlag (se 2.6).

2.2 Verifisering mot Brønnøysundregistrene

For å sikre at registrerte selskaper er reelle og aktive, slår vi opp organisasjonsnummeret du oppgir mot Brønnøysundregistrenes åpne API (data.brreg.no). Vi henter selskapsnavn, organisasjonsform, statusinformasjon og navn på registrert daglig leder.

Formål: verifisere selskapet og forebygge svindel ved signup.
Rettslig grunnlag: berettiget interesse (GDPR art. 6 nr. 1 bokstav f) i å vite hvem som registrerer en bedriftskonto.
Datakilde: Enhetsregisteret er offentlig og lisensiert under NLOD 2.0. Brønnøysundregistrene er ikke en databehandler i GDPRs forstand i denne sammenhengen — vi sender bare et offentlig identifikasjonsnummer.
Lagringstid: orgnr og selskapsnavn lagres så lenge kontoen er aktiv. Navn på daglig leder hentet fra Brreg vises kun i registreringsprosessen og lagres ikke.

2.3 Chat — spørsmål og svar

Hjertet av HR-Kompis er en samtaletjeneste hvor du stiller spørsmål om HR, lønn, HMS, GDPR og internkontroll og får svar med kildeparagraf. Vi behandler:

spørsmålene dine,
svarene tjenesten genererer,
referanser til lovparagrafer hentet i hvert svar,
tidspunkter og samtale-ID.
Formål: levere tjenesten du har bestilt — gjenfinne lovgrunnlag, generere svar, lagre samtalene dine så du kan komme tilbake til dem.
Rettslig grunnlag: avtale (GDPR art. 6 nr. 1 bokstav b) og berettiget interesse i misbrukskontroll (art. 6 nr. 1 bokstav f).
Underbehandlere: Anthropic (språkmodellen Claude som genererer svar) og Voyage AI (embedding-modell brukt for semantisk søk). Spørsmålet ditt sendes til disse for å produsere svaret. Se pkt. 4.
Lagringstid: samtalene dine beholdes så lenge kontoen er aktiv og du ikke selv sletter dem (via "Slett samtale" i grensesnittet). Ved kontoens opphør slettes alt chatinnhold innen 30 dager.
Viktig: Ikke oppgi personnumre, sensitive personopplysninger eller informasjon du ikke har rett til å dele i chatten. HR-Kompis viser en advarsel hvis vi registrerer et personnummer i meldingen, men ansvaret for hva du skriver ligger hos deg.

2.4 Bedriftskonto med flere brukere

Daglig leder kan invitere kollegaer som medlemmer av bedriftens HR-Kompis-konto. For inviterte brukere behandler vi:

e-postadressen som ble invitert,
rollen de ble tildelt (medlem eller daglig leder),
hvem som inviterte dem,
tidspunkt for invitasjon og aksept.
Formål: la flere ledelsesmedlemmer i samme bedrift bruke tjenesten under én konto.
Rettslig grunnlag: avtale (art. 6 nr. 1 bokstav b).
Lagringstid: medlemskap lagres så lenge personen er aktiv i bedriften. Daglig leder kan fjerne medlemmer fra /team; ved fjerning mister vedkommende tilgangen umiddelbart, men kontoen og chatloggene deres slettes innen 30 dager.

2.5 Sikkerhet, rategrenser og misbruksforebygging

For å beskytte tjenesten mot misbruk fører vi:

en daglig teller over antall spørsmål per bruker (rategrense),
en klassifisering av om en melding er innenfor tjenestens omfang (HR/lønn/HMS/GDPR/internkontroll), eller om den utgjør et forsøk på prompt injection, kriminell instruks, eller er utenfor temaet,
tekniske server- og driftslogger som registrerer kritiske operasjoner (innlogging, feilhendelser, sikkerhetsavvik). Disse kan inneholde IP-adresser og brukeridentifikatorer.
Formål: beskytte tjenesten mot overbelastning, drift- og kostnadsmessig misbruk, oppdage og dokumentere sikkerhetsbrudd, samt opprettholde kvaliteten.
Rettslig grunnlag: berettiget interesse (GDPR art. 6 nr. 1 bokstav f). Du kan protestere mot denne behandlingen (se pkt. 7).
Lagringstid: rategrense-tellere slettes etter 30 dager. Tekniske server- og driftslogger oppbevares så lenge det er nødvendig for sikkerhetsformål, typisk maksimalt 30 dager. Klassifisering av en melding lagres som del av selve meldingen og følger samtalenes lagringstid.

2.6 Fakturering og regnskap

Når bedriften kjøper et abonnement behandler vi:

selskapsnavn og organisasjonsnummer,
kontaktperson og e-post for fakturering,
transaksjonsdata fra Stripe eller manuell fakturering.
Formål: kreve inn betaling og oppfylle bokføringsplikten.
Rettslig grunnlag: avtale (art. 6 nr. 1 bokstav b) og rettslig forpliktelse (art. 6 nr. 1 bokstav c, jf. bokføringsloven).
Lagringstid: fakturagrunnlag og regnskapsbilag lagres i 5 år etter regnskapsårets slutt, jf. bokføringsloven.

2.7 E-post og support

Når du tar kontakt med oss på e-post eller via support i tjenesten behandler vi opplysningene du oppgir.

Formål: besvare henvendelsen.
Rettslig grunnlag: berettiget interesse (art. 6 nr. 1 bokstav f) og/eller avtale (art. 6 nr. 1 bokstav b).
Lagringstid: inntil 3 år etter siste kontakt.

2.8 Anonymisert statistikk for tjenesteforbedring

For å forbedre kvalitet, dekning og treffsikkerhet i svarene kan vi behandle anonymiserte og aggregerte bruksmønstre — for eksempel hvilke domener spørsmål oftest stilles i, hvor godt retrieval-pipelinen treffer kildeparagrafen, og hvor ofte modellen anbefaler advokat.

Formål: forbedre kvalitet, retrieval og kildeoppslag.
Rettslig grunnlag: berettiget interesse (art. 6 nr. 1 bokstav f). Du kan protestere mot denne behandlingen (se pkt. 7).
Hva vi gjør: vi anonymiserer (fjerner bruker-ID og selskaps-ID) og aggregerer dataene før analyse. Kombinasjonen brukes ikke for å identifisere enkeltbrukere eller enkeltselskaper.
Lagringstid: anonymisert og aggregert statistikk kan beholdes lenger enn underliggende chat-data, fordi det ikke lenger utgjør personopplysninger.
Vi bruker ikke kunders chat-innhold til å trene språkmodeller. Anonymisert statistikk brukes utelukkende internt for å forbedre tjenesten — ikke som treningsdata.

3. Hva HR-Kompis ikke samler inn

For å være tydelige på hva vi ikke gjør:

Vi bruker ikke Google Analytics, Meta Pixel, LinkedIn Insight Tag eller andre annonsesporere på HR-Kompis-produktet.
Vi setter ikke cookies for sporing eller markedsføring. Kun nødvendige cookies for innlogging og sesjon.
Vi selger aldri personopplysninger.

4. Hvem vi deler opplysninger med

Vi deler personopplysninger kun med leverandører som hjelper oss å levere tjenesten. Disse opptrer som databehandlere og er bundet av databehandleravtale:

Leverandør	Tjeneste	Lagringssted
Anthropic, PBC	Språkmodell Claude (genererer chat-svar og klassifiserer input)	USA
Voyage AI Innovations, Inc.	Embedding-modell (semantisk søk i lovtekst)	USA
Supabase Inc.	Database, auth, og lagring	Frankfurt, EU
Vercel Inc.	Hosting (Next.js bygg og kjøretid)	EU
Resend, Inc.	Transaksjonell e-post (magic link, invitasjoner)	USA
Stripe, Inc.	Betalingsbehandling og fakturering (ved aktivt abonnement)	USA

Vi utleverer ikke personopplysninger til andre tredjeparter med mindre vi er pålagt det ved lov eller rettslig pålegg.

5. Overføring til land utenfor EØS

Noen av leverandørene over er basert i USA. Overføringer til USA er sikret gjennom:

EU–US Data Privacy Framework der leverandøren er sertifisert, eller
EU-kommisjonens standardpersonvernbestemmelser (SCC) kombinert med supplerende tiltak etter Schrems II-avgjørelsen.

For chat-meldinger som sendes til Anthropic og Voyage gjelder følgende:

Anthropic lagrer ikke kunders API-data for å trene modeller, og lagrer kun input/output kortvarig for misbruksdeteksjon (typisk 30 dager). Se Anthropic Trust Center.
Voyage AI behandler embedding-forespørsler kortvarig og bruker dem ikke til trening.

Oppdatert oversikt over underdatabehandlere finnes i vår databehandleravtale. Du kan kontakte oss for å få tilsendt gjeldende oversikt.

6. Sikkerhet

Vi iverksetter egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene mot uautorisert tilgang, endring, sletting eller spredning, jf. GDPR art. 32. Dette inkluderer:

kryptering av data i transitt (TLS) og i ro,
streng autentisering med magic link via e-post,
radkjedet sikkerhet (Row Level Security) i databasen — hver bruker ser kun sine egne data,
minste-privilegium for tjenestekontoer,
regelmessige sikkerhetskopier,
loggføring av kritiske operasjoner.

Ved brudd på personopplysningssikkerheten som medfører risiko for dine rettigheter, melder vi fra til Datatilsynet innen 72 timer og varsler deg når dette kreves etter loven.

7. Dine rettigheter

Du har følgende rettigheter etter GDPR:

Innsyn (art. 15) — få vite hvilke opplysninger vi har om deg.
Retting (art. 16) — få rettet feil eller ufullstendige opplysninger.
Sletting (art. 17) — få slettet opplysninger, forutsatt at vi ikke er pålagt å oppbevare dem (typisk faktura/regnskap).
Begrensning (art. 18) — be om at behandlingen midlertidig begrenses.
Dataportabilitet (art. 20) — motta opplysninger du har gitt oss i et maskinlesbart format.
Innsigelse (art. 21) — protestere mot behandling basert på berettiget interesse (inkl. misbrukskontroll).
Trekke samtykke (art. 7 nr. 3) — når behandlingen er basert på samtykke. Tilbaketrekking påvirker ikke behandlingen som er utført før tilbaketrekkingen.

Send henvendelse til support@hr-kompis.no. Vi svarer normalt innen 30 dager.

8. Klageadgang

Dersom du mener vi behandler personopplysninger i strid med loven, kan du klage til Datatilsynet. Vi oppfordrer deg likevel til først å ta kontakt med oss, så vi kan forsøke å rette opp eventuelle forhold.

Datatilsynet: www.datatilsynet.no — postkasse@datatilsynet.no — 22 39 69 00.

9. Automatiserte avgjørelser

HR-Kompis gir automatiserte svar via en språkmodell, men ingen av disse utgjør avgjørelser i GDPR art. 22 forstand. Svarene er beslutningsstøtte — du tar selv beslutninger om HR, lønn, HMS, GDPR og internkontroll i din egen bedrift.

Når et spørsmål er juridisk komplisert, sier HR-Kompis tydelig fra om at saken trenger advokat. Vi forsøker aldri å erstatte juridisk rådgivning.

10. Barn

HR-Kompis retter seg mot virksomheter og profesjonelle. Vi retter oss ikke mot barn under 16 år og samler ikke bevisst inn personopplysninger om barn.

11. Endringer i denne erklæringen

Vi kan oppdatere personvernerklæringen ved vesentlige endringer i tjenesten eller i regelverket. Gjeldende versjon publiseres alltid på denne siden med datomerking. Ved vesentlige endringer varsler vi registrerte brukere på e-post.

12. Kontakt

Har du spørsmål om denne erklæringen eller hvordan vi behandler personopplysninger, kontakt:

Roger Agerup AgerTechAI Consulting AS E-post: post@agertechai.no

Databehandleravtale

For kunder som ønsker en formell databehandleravtale (DPA) tilbyr vi en standardavtale basert på EU-kommisjonens malverk. Send henvendelse til support@agertechai.no.