Hopp til hovedinnhold
HMS Klar

Personvernerklæring

Sist oppdatert 20. mai 2026

HEM, enkeltpersonforetak. Org.nr 924 807 342. Folke Bernadottes vei 6, 0862 Oslo.

1. Behandlingsansvarlig

HEM, et enkeltpersonforetak registrert i Norge med organisasjonsnummer 924 807 342 og forretningsadresse Folke Bernadottes vei 6, 0862 Oslo, er behandlingsansvarlig for personopplysninger som samles inn gjennom HMS Klar (hmslederkurs.no). HMS Klar er foretakets handelsnavn for denne tjenesten.

Personvernhenvendelser: [email protected].

Tjenesten er ikke rettet mot barn under 16 år. Vi behandler ikke bevisst personopplysninger om mindreårige.

2. Hvilke opplysninger vi behandler

Vi samler inn:

  • Navn og e-post (innlogging, kursbevis, kommunikasjon).
  • Arbeidsgiver / virksomhet hvis oppgitt for kursbeviset.
  • Kursprogresjon, leksjons-quiz-svar og resultat på avsluttende test.
  • Fakturadata (kjøpsbeløp, kjøper, ev. organisasjonsnummer ved næringskjøp) for bokføring.
  • Innholdet i support-henvendelser og ticket-tråder.
  • Teknisk: IP-adresse, user-agent, attribusjons-tagger ved kjøp (gclid, utm_*, referrer, landing-side).
  • Sesjonscookie (hms-session). første-parts, strengt nødvendig for innlogging.

3. Formål og rettslig grunnlag

  • Levere kurset og utstede kursbevis: GDPR art. 6(1)(b) (kontrakt).
  • Føre regnskap og oppbevare bilag i 5 år: art. 6(1)(c) (bokføringsloven §13).
  • Forebygge svindel, sikre tjenesten, måle aggregert bruk: art. 6(1)(f) (berettiget interesse).
  • Måle effekten av markedsføringskanaler via egen attribusjon (gclid, utm_*): art. 6(1)(f). Vi setter ingen tredjeparts-cookies uten ditt samtykke.

4. Lagring og sletting

Konkrete oppbevaringstider:

  • Fakturabilag og betalingsreferanser: 5 år (bokføringsloven §13 primærdokumentasjon).
  • Kursbevis-data: så lenge brukerkontoen din er aktiv. Du kan be om sletting når som helst (men bilaget over består de 5 årene).
  • Kursprogresjon og quiz-svar: så lenge kontoen er aktiv; anonymiseres ved sletting.
  • Support-tråder: 24 måneder fra siste melding.
  • Attribusjonsdata (gclid, utm_*): 24 måneder.
  • Sesjonscookie og logg-inn-koder: sesjon 30 dager rullerende, engangskoder 10 minutter.
  • E-postlogger (leverings-status fra Resend): 12 måneder.

Ønsker du tidligere sletting, send oss en e-post på [email protected] så fjerner vi det vi kan innenfor lovkrav.

5. Databehandlere og mottakere

Vi deler personopplysninger med følgende kategorier av leverandører, kun i den grad det er nødvendig for å levere tjenesten. Databehandleravtale (GDPR art. 28) er på plass med hver av dem.

  • Stripe. betalingsbehandling. Hovedkontor EU (Irland), datakanaler USA. Overføringsgrunnlag: Standard Contractual Clauses + EU-US Data Privacy Framework.
  • Resend. e-postutsendelse (transaksjonell + support-svar). EU-region eu-west-1.
  • Hetzner Online GmbH. server- og databasehosting. EU (Nürnberg / Falkenstein, Tyskland).
  • Cloudflare. CDN, edge-TLS og DDoS-beskyttelse. Globalt nettverk med EU-/USA-noder; overføringsgrunnlag SCC + EU-US DPF.
  • Sentry. feilrapportering fra serveren. EU-region (Frankfurt). Aktiveres når DSN er satt; inntil da samles ingen feil-data hos Sentry.

Vi selger aldri personopplysninger, og bruker dem ikke til markedsføring fra tredjeparter.

6. Dine rettigheter

Etter GDPR har du rett til:

  • innsyn i hvilke opplysninger vi har om deg,
  • retting av uriktige opplysninger,
  • sletting der det er mulig innenfor lovkrav (bokføring er et unntak),
  • begrensning eller innsigelse mot behandling basert på berettiget interesse,
  • dataportabilitet for opplysninger du har gitt oss.

Send forespørsel til [email protected]. Vi svarer normalt innen 30 dager.

7. Klage til Datatilsynet

Du har rett til å klage på vår behandling av personopplysninger til Datatilsynet. Vi oppfordrer deg gjerne til å kontakte oss først på [email protected] slik at vi kan forsøke å løse saken direkte.

8. Automatiserte avgjørelser

Vi gjør ingen automatiserte avgjørelser eller profilering som har juridiske eller tilsvarende vesentlige virkninger for deg. Quizene og den avsluttende kunnskapstesten scores automatisk, men resultatet er en mekanisk telling av riktige svar. ikke en vurdering av personen.

9. Informasjonskapsler

Strengt nødvendige (alltid satt, kan ikke skrus av uten at tjenesten slutter å virke):

  • hms-session: første-parts øktkapsel som holder deg innlogget. Levetid 30 dager rullerende. Settes først etter at du har logget inn.
  • Korte tekniske kapsler for CSRF-beskyttelse og språkvalg. Levetid avgrenset til økten eller maksimalt 30 dager.

Markedsføring og attribusjon (settes kun hvis du kommer inn med en sporings-parameter i URL-en, typisk fra en Google Ads-annonse):

  • hms-gclid og hms-gclid-type: første-parts kapsler som lagrer Googles klikkidentifikator (gclid, gbraid eller wbraid) når den finnes i landings-URL-en. Levetid ca. 90 dager. Formål: knytte et eventuelt kjøp tilbake til den opprinnelige annonsen, slik at vi kan måle hvilke kampanjer som faktisk leverer kunder. Behandlingsgrunnlag: art. 6(1)(f), berettiget interesse i å måle effekten av markedsføring.
  • utm_*-parametere (utm_source, utm_medium, utm_campaign m.fl.) leses kun fra URL-en ved kjøp og lagres knyttet til ordren i databasen, ikke i en informasjonskapsel.

Vi setter ingen tredjeparts sporings-, analyse- eller annonse-kapsler, og bruker verken Google Analytics, Facebook Pixel eller lignende verktøy. All måling skjer utelukkende på vår egen server gjennom kapslene listet over.

10. Endringer i erklæringen

Vi kan oppdatere denne erklæringen ved endringer i tjenesten eller regelverket. Gjeldende versjon publiseres på denne siden. Vesentlige endringer varsles per e-post til registrerte brukere.

11. Kontakt

For spørsmål om personvern, kontakt oss på [email protected]. For øvrige henvendelser: [email protected].