Disse reglene beskriver hvilke personopplysninger People's Group behandler i forbindelse med People's Wallet, hvorfor vi behandler dem, hvordan vi beskytter dem, og hvilke rettigheter du har. Reglene dekker besøk på peopleswallet.ai og påmelding til ventelisten.

1 Hvem er vi

People's Wallet er en innbyggerrettet digital helsebank, levert av People's Group, Teglværksvej 2, 5600 Faaborg, Danmark (CVR 40930809).

Henvendelser kan rettes til:

2 Roller, behandlingsansvarlig og databehandler

People's Group er behandlingsansvarlig for personopplysningene vi behandler fra besøkende på peopleswallet.ai og personer på ventelisten: kontaktskjema, supportkorrespondanse og tekniske driftslogger.

Når People's Wallet etter hvert åpnes for brukere, vil helsedata bli behandlet under en separat brukeravtale med eksplisitt samtykke per datakategori og per mottaker. Vi oppdaterer disse reglene før det skjer, og varsler eksisterende kontakter.

3 Hvilke data vi behandler

Vi behandler følgende kategorier av data fra deg som besøkende eller på ventelisten:

  • Ventelisten: e-postadressen din, språkpreferanse og samtykkestatus.
  • Tekniske metadata: referrer, tidsstempel, eventuelle UTM-parametre.
  • Sesjonsdata: anonymisert sesjons-ID og skjemaets flyttid (elapsed_ms) for botbeskyttelse.
  • Analyse (kun med samtykke): anonymiserte bruksdata via cookie-basert sporing.

Vi behandler ikke særlige kategorier av personopplysninger (GDPR Art. 9) før vi åpner produktet. Når helsedata inngår, skjer det under en separat brukeravtale med Art. 9-behandlingsgrunnlag og granulært samtykke.

4 Formål og behandlingsgrunnlag

Hver kategori av opplysninger behandles for et bestemt formål med et bestemt behandlingsgrunnlag:

  • Ventelisten, formål: kontakte deg når vi åpner tilgang og sende produktoppdateringer. Behandlingsgrunnlag: samtykke (GDPR Art. 6 nr. 1 bokstav a).
  • Tekniske metadata og sesjonsdata, formål: driftssikkerhet, botbeskyttelse og dokumentasjon av tilgang. Behandlingsgrunnlag: berettiget interesse (GDPR Art. 6 nr. 1 bokstav f). Interesseavveiing: behovet for å beskytte infrastruktur og brukere mot misbruk veier tyngre enn den enkelte besøkendes interesse i fullstendig fravær av logging.
  • Analyse, formål: forbedre nettsiden og innholdet. Behandlingsgrunnlag: samtykke (GDPR Art. 6 nr. 1 bokstav a).

5 KI og automatiserte avgjørelser

For besøkende på peopleswallet.ai og på ventelisten foregår det ingen automatisert beslutningstaking etter GDPR Art. 22. Henvendelser besvares manuelt av teamet vårt.

Når People's Wallet åpnes for brukere, vil eventuelle KI-funksjoner (f.eks. forklaringer av prøvesvar) være eksplisitt opt-in, og vi vil dokumentere klassifisering under EU AI Act (Forordning (EU) 2024/1689) i den separate brukeravtalen. People's Wallet vil være EU AI Act-aligned.

6 Ingen trening på dine data

Dine data brukes aldri til å trene, finetune eller optimalisere KI-modeller, verken i identifiserbar, anonymisert eller aggregert form. Når KI-funksjoner åpnes i produktet, kjører de i inference-only-modus.

Dine data sendes ikke til eksterne KI-API-er, heller ikke til OpenAI, Anthropic, Google eller andre tredjepartsleverandører.

7 Lagring og sletting

Vi oppbevarer bare opplysninger så lenge det er nødvendig for formålet de er samlet inn til:

DatakategoriLagringsperiode
Ventelisten (e-post + samtykke)Inntil du melder deg av, eller senest 24 måneder etter siste oppdatering fra oss
Tekniske driftslogger185 dager
AnalysedataSlettes ved tilbakekall av samtykke eller senest etter 26 måneder
Krypterte sikkerhetskopierInngår i periodene over; sletteforespørsler påføres på nytt på gjenopprettede sikkerhetskopier

Sletting er teknisk ugjenkallelig etter lagringsperioden. Forespørsler om tidligere sletting kan rettes til support@peopleswallet.ai.

8 Underdatabehandlere

Vi benytter underdatabehandlere i følgende kategorier:

  • Skyhosting av peopleswallet.ai i EU-region (Frankfurt).
  • Skjemahåndtering via vår egen plattform i EU-region.

Oppdatert liste over spesifikke underdatabehandlere kan rekvireres fra support@peopleswallet.ai.

9 Dataplassering

peopleswallet.ai hostes i EU-region (Frankfurt). Data fra ventelisten passerer gjennom EU-hostet infrastruktur og forlater ikke EU.

Når produktet åpnes og helsedata inngår, vil plassering bli spesifisert i den separate brukeravtalen - med samme EU-only-prinsipp.

10 Overføringer utenfor EU/EØS

Ingen overføringer av personopplysninger utenfor EU/EØS. Data fra ventelisten og kontakthenvendelser behandles utelukkende i EU-hostet infrastruktur.

For nettsidens hosting benyttes en leverandør med primær forretningsaktivitet utenfor EU, men hosting skjer i EU-region. Det kan teoretisk forekomme overføring av drifts-metadata (ikke skjemadata) til USA gjennom leverandørens globale infrastruktur. Slik overføring er dekket av EUs standardvilkår (SCC).

11 Tekniske og organisatoriske sikkerhetstiltak

Vi har iverksatt de tiltakene som etter GDPR Art. 32 er forholdsmessige til risikoen, inkludert særlig skjerpede krav for regulerte bransjer:

Kryptering:

  • Under overføring: TLS 1.2 eller nyere på all nettverkstrafikk.
  • I hvile: full disk-kryptering på databaseservere.
  • Sikkerhetskopier: AES-256-kryptering på separat EU-lagring.

Tilgangskontroll:

  • Rollebasert tilgangskontroll (RBAC) etter prinsippet om minst nødvendig tilgang.
  • MFA/TOTP påkrevd for all privilegert tilgang.
  • VPN påkrevd for administrativ tilgang til produksjon.
  • Fire-øyne-prinsipp ved produksjonsendringer.

Overvåking og integritet:

  • File integrity monitoring på produksjonsnoder.
  • Sentralt innsamlede systemlogger.
  • SHA-256-hashing av kritiske transaksjonslogger (immutable audit trail).

Organisatorisk:

  • Personalet har som utgangspunkt ikke tilgang til persondata. Tilgang i konkrete supportsituasjoner dokumenteres.
  • Taushetserklæringer for alle ansatte med tilgang til produksjonsmiljøet.
  • Regelmessig sikkerhetstrening.

12 Revisjon og sertifisering

Kontrollene våre revideres løpende etter anerkjente standarder. Aktuell revisjonsstatus oppgis på forespørsel.

13 Dine rettigheter

Du har følgende rettigheter etter GDPR knyttet til opplysningene vi behandler om deg:

  • Innsyn (Art. 15): få bekreftelse på om vi behandler opplysninger om deg, samt en kopi av opplysningene.
  • Retting (Art. 16): få rettet uriktige opplysninger.
  • Sletting (Art. 17): få slettet opplysninger uten ugrunnet opphold når vilkårene i Art. 17 nr. 1 er oppfylt.
  • Begrensning (Art. 18): begrense vår behandling i konkrete situasjoner.
  • Dataportabilitet (Art. 20): få opplysningene utlevert i et strukturert, alminnelig anvendt og maskinlesbart format.
  • Innsigelse (Art. 21): gjøre innsigelse mot behandling basert på berettiget interesse.
  • Tilbakekall av samtykke (Art. 7 nr. 3): der behandling skjer på grunnlag av samtykke, kan samtykket trekkes tilbake med virkning fremover.

Slik utøver du rettighetene: kontakt support@peopleswallet.ai.

Vi svarer innen 30 dager, jf. GDPR Art. 12 nr. 3. Komplekse forespørsler kan forlenges med inntil to måneder med begrunnet varsel innen samme frist. Vi krever ikke gebyr, med mindre forespørselen er åpenbart grunnløs eller overdreven (Art. 12 nr. 5).

14 Sikkerhetsbrudd

Hvis det oppstår et brudd på personopplysningssikkerheten:

  • Datatilsynet (i landet der bruddet rapporteres) varsles innen 72 timer etter at det er konstatert, jf. GDPR Art. 33.
  • Berørte registrerte varsles etter Art. 34 hvis bruddet sannsynligvis innebærer høy risiko for deres rettigheter og friheter - internt mål er samme dag som konstatering.
  • Vi publiserer en offentlig post-mortem innen 14 dager.

Sikkerhetshendelser kan rapporteres til support@peopleswallet.ai.

15 Informasjonskapsler og nettsporing

peopleswallet.ai bruker for tiden utelukkende strengt nødvendige informasjonskapsler (sesjons-ID og språkpreferanse). Vi bruker ikke markedsføringssporere, fingerprinting eller cross-site-sporing.

Ved fremtidig bruk av analyse- eller markedsføringskapsler innhentes samtykke via cookie-banner før slike kapsler settes. Samtykket kan til enhver tid trekkes tilbake via "Cookie-innstillinger" nederst på siden.

16 Klage til datatilsynsmyndigheten

Du kan klage til datatilsynsmyndigheten dersom du mener at vår behandling av opplysningene dine er i strid med personvernreglene. I Danmark er tilsynsmyndighet Datatilsynet:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby, Danmark
Telefon: +45 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk

Du trenger ikke å ha henvendt deg til oss først, men vi oppfordrer til å gi oss mulighet til å finne en løsning før du klager.

17 Endringer i disse reglene

Vesentlige endringer kommuniseres til registrerte kunder via e-post minst 30 dager før de trer i kraft. Mindre endringer (presiseringer, oppdaterte kontaktopplysninger) kan publiseres uten særskilt varsel.

Tidligere versjoner kan rekvireres via support@peopleswallet.ai.