Databehandling og tredjeparter

Sist oppdatert: 3. mars 2026

1. Innledning

Virkely AS («vi», «oss» eller «vår») er behandlingsansvarlig for personopplysninger som behandles gjennom våre tjenester. Denne erklæringen beskriver hvordan vi benytter databehandlere og underdatabehandlere, samt hvordan vi sikrer lovlig overføring av data til tredjeland utenfor EU/EØS.

2. Behandlingsansvarlig

Virkely AS er behandlingsansvarlig i henhold til GDPR artikkel 4 nr. 7.

Virkely AS

E-post: kontakt@virkely.no

3. Databehandlere

Vi benytter følgende kategorier av databehandlere:

  • AI-tjenesteleverandører: Språkmodeller og analyseverktøy for støttematchning og bedriftsanalyse.
  • Skyinfrastruktur: Servere og databaser for lagring og prosessering av data.
  • E-posttjenester: Utsending av transaksjons-e-post, verifiseringsmeldinger og varsler.
  • Innholdsekstraksjon: Tjenester for analyse av offentlig tilgjengelig nettstedinnhold.
  • Søketjenester: Semantisk søk for å finne relevante støtteordninger.

Vi inngår databehandleravtaler med alle databehandlere i henhold til GDPR artikkel 28.

4. Overføring til tredjeland

Enkelte av våre databehandlere er etablert i land utenfor EU/EØS-området, herunder USA. Vi sikrer at slike overføringer skjer i samsvar med GDPR kapittel V gjennom følgende tiltak:

  • EU-US Data Privacy Framework: For leverandører sertifisert under rammeverket baserer vi overføringen på adekvansbeslutningen fra EU-kommisjonen (GDPR art. 45).
  • Standardkontraktsklausuler (SCCs): For leverandører som ikke er dekket av en adekvansbeslutning benytter vi EUs standardkontraktsklausuler (GDPR art. 46 nr. 2 bokstav c).
  • Supplerende tiltak: Vi gjennomfører risikovurderinger og implementerer tekniske og organisatoriske tiltak der det er nødvendig.

5. AI-tjenesterelatert databehandling

  • Anthropic (USA): Behandler bedriftsdata for analyse og kvalifisering av støtteordninger. Data brukes utelukkende for å besvare den aktuelle forespørselen. Overføringsgrunnlag: EU-US Data Privacy Framework / Standardkontraktsklausuler.
  • Google Cloud (USA/EU): Alternativ AI-behandling og skyinfrastruktur. Overføringsgrunnlag: EU-US Data Privacy Framework / Standardkontraktsklausuler.
  • Microsoft Azure (EU/USA): Skyinfrastruktur for AI-prosessering. Overføringsgrunnlag: EU-US Data Privacy Framework / Standardkontraktsklausuler.
  • Jina AI (Tyskland): Innholdsekstraksjon fra nettsider. Behandler data innenfor EU/EØS.

6. Andre tjenesteleverandører

Vi benytter eller kan komme til å benytte følgende tjenesteleverandører og offentlige datakilder i forbindelse med levering, utvikling og kvalitetssikring av våre tjenester. Listen inkluderer både nåværende og planlagte integrasjoner.

6.1 E-post og kommunikasjon

  • Resend (USA): Utsending av transaksjons-e-post, verifiseringsmeldinger og varsler. Overføringsgrunnlag: Standardkontraktsklausuler.

6.2 Norske offentlige registre og myndigheter

  • Brønnøysundregistrene (Norge): Foretaksregisteret, Enhetsregisteret og Regnskapsregisteret. Offentlige registerdata om norske virksomheter. Ingen overføring til tredjeland.
  • Skatteetaten (Norge): Offentlig tilgjengelig skatte- og avgiftsinformasjon, herunder Aksjonærregisteret og MVA-registeret. Ingen overføring til tredjeland.
  • Digitaliseringsdirektoratet / Altinn (Norge): Maskinporten og Altinn-plattformen for sikker datautveksling med offentlige registre og tjenester. Ingen overføring til tredjeland.
  • Statistisk sentralbyrå — SSB (Norge): Offentlig statistikk om næringsliv, sysselsetting og økonomi. Ingen overføring til tredjeland.
  • Finanstilsynet (Norge): Advarselslister, konsesjonsregistre og tilsynsdata for finansiell sektor. Ingen overføring til tredjeland.
  • Kartverket (Norge): Eiendomsdata, adresseregisteret og geografisk informasjon. Ingen overføring til tredjeland.
  • Patentstyret (Norge): Registrerte patenter, varemerker og designrettigheter. Ingen overføring til tredjeland.
  • Politiet / Økokrim (Norge): Offentlig tilgjengelige opplysninger relatert til økonomisk kriminalitet og sanksjonsregistre. Ingen overføring til tredjeland.
  • Nasjonal kommunikasjonsmyndighet — Nkom (Norge): Registre over elektroniske kommunikasjonstjenester og domeneregistreringer. Ingen overføring til tredjeland.
  • Datatilsynet (Norge): Offentlige vedtak, retningslinjer og veiledninger om personvernpraksis. Ingen overføring til tredjeland.
  • Lotteri- og stiftelsestilsynet (Norge): Stiftelsesregisteret og tilsynsdata for stiftelser og frivillige organisasjoner. Ingen overføring til tredjeland.
  • Miljødirektoratet (Norge): Offentlige data om miljøtillatelser, utslipp og miljørapportering. Ingen overføring til tredjeland.

6.3 Støtte- og virkemiddelaktører

  • Innovasjon Norge (Norge): Offentlig tilgjengelige data om støtteordninger, tildelinger og virkemidler for næringslivet. Ingen overføring til tredjeland.
  • Norges forskningsråd (Norge): Data om forsknings- og innovasjonsprogrammer, utlysninger og tildelinger. Ingen overføring til tredjeland.
  • SIVA — Selskapet for industrivekst SF (Norge): Informasjon om næringshager, inkubatorer og katapultsentre. Ingen overføring til tredjeland.
  • Enova SF (Norge): Støtteordninger og tildelinger innen energi og klima. Ingen overføring til tredjeland.
  • Eksportfinansiering Norge — Eksfin (Norge): Eksportgarantier, lån og finansieringsordninger for eksportvirksomheter. Ingen overføring til tredjeland.
  • Husbanken (Norge): Offentlige støtteordninger og lån innen bolig- og byggesektoren. Ingen overføring til tredjeland.
  • Skattefunn / Skatteetaten (Norge): Offentlig tilgjengelig informasjon om skattefradragsordningen for forskning og utvikling. Ingen overføring til tredjeland.

6.4 Europeiske institusjoner og programmer

  • EU-kommisjonen / European Commission (EU): Data om EU-finansieringsprogrammer, herunder Horisont Europa, COSME, InvestEU og Det europeiske innovasjonsrådet (EIC). Behandler data innenfor EU/EØS.
  • Den europeiske investeringsbanken — EIB (EU): Informasjon om finansieringsordninger og investeringsprogrammer for europeiske virksomheter. Behandler data innenfor EU/EØS.
  • European Innovation Council — EIC (EU): Støtteordninger for banebrytende innovasjon og oppskalering. Behandler data innenfor EU/EØS.
  • EØS-midlene / EEA and Norway Grants (EU/Norge): Finansieringsmekanismer under EØS-avtalen. Behandler data innenfor EU/EØS.
  • Eurostat (EU): Europeisk statistikk om næringsliv, økonomi og innovasjon. Behandler data innenfor EU/EØS.

6.5 Kredittopplysnings- og forretningsinformasjonstjenester

  • Bisnode / Dun & Bradstreet (Sverige/EU): Kredittopplysninger, bedriftsdata og risikovurderinger. Behandler data innenfor EU/EØS.
  • Experian Norge AS (Norge/EU): Kredittopplysninger og forretningsdata for norske virksomheter. Behandler data innenfor EU/EØS.
  • Creditsafe Norge AS (Norge/EU): Kredittrapporter og bedriftsanalyser. Behandler data innenfor EU/EØS.
  • Proff AS / Proff.no (Norge): Offentlig tilgjengelig bedriftsinformasjon, regnskapsdata og rolleinnehavere. Ingen overføring til tredjeland.

6.6 Betaling og finanstjenester

  • Stripe, Inc. (USA): Betalingsbehandling og abonnementshåndtering. Overføringsgrunnlag: EU-US Data Privacy Framework / Standardkontraktsklausuler.
  • Vipps MobilePay AS (Norge): Betalingsløsning og identitetsverifisering. Ingen overføring til tredjeland.

6.7 Infrastruktur og analyse

  • Vercel, Inc. (USA): Hosting og distribusjon av nettapplikasjonen. Overføringsgrunnlag: EU-US Data Privacy Framework / Standardkontraktsklausuler.
  • PostHog, Inc. (USA): Produktanalyse og brukerinnsikt. Data kan behandles i EU. Overføringsgrunnlag: Standardkontraktsklausuler.
  • Sentry (Functional Software, Inc.) (USA): Feilovervåkning og ytelsesanalyse. Overføringsgrunnlag: Standardkontraktsklausuler.
  • Upstash, Inc. (USA): Serverløs database og hastighetsbegrensning (rate limiting). Overføringsgrunnlag: Standardkontraktsklausuler.

Denne listen kan oppdateres ved endringer i våre integrasjoner. Ved vesentlige endringer i bruken av tjenesteleverandører vil vi oppdatere denne erklæringen og informere berørte brukere i henhold til GDPR artikkel 13 og 14.

7. Dataminimering

Vi følger prinsippet om dataminimering (GDPR art. 5 nr. 1 bokstav c) ved å:

  • Kun overføre data som er nødvendig for det aktuelle formålet til hver databehandler
  • Anonymisere eller pseudonymisere data der dette er mulig uten å svekke tjenestekvaliteten
  • Begrense tilgangen til personopplysninger til de som har et tjenstlig behov
  • Regelmessig gjennomgå hvilke data som overføres til databehandlere

8. Lagringstid

  • Sesjonsdata: Slettes automatisk ved sesjonsutløp eller etter inaktivitetsperioden.
  • Bedriftsprofiler: Lagres så lenge du har en aktiv konto eller sesjon. Slettes på forespørsel.
  • AI-analyseresultater: Midlertidig lagring for levering av tjenesten.
  • E-postadresser: Lagres så lenge du har en aktiv konto eller abonnement. Slettes på forespørsel.
  • Loggdata: Lagres i opptil 90 dager for feilsøking og sikkerhetsformål.

9. Vurdering av personvernkonsekvenser

Vi gjennomfører vurderinger av personvernkonsekvenser (DPIA) i henhold til GDPR artikkel 35 for behandlingsaktiviteter som innebærer høy risiko, herunder vår AI-baserte profilering og automatiserte beslutningstaking.

10. Dine rettigheter

I forbindelse med vår bruk av databehandlere har du rett til:

  • Innsyn i hvilke databehandlere som behandler dine opplysninger
  • Informasjon om overføringsgrunnlaget for overføringer til tredjeland
  • Kopi av standardkontraktsklausuler der disse benyttes
  • Å klage til Datatilsynet dersom du mener dine rettigheter ikke er ivaretatt

For å utøve dine rettigheter, kontakt oss på kontakt@virkely.no.

11. Endringer

Vi kan oppdatere denne erklæringen ved endringer i våre databehandlere eller overføringspraksis. Ved vesentlige endringer vil vi informere deg via e-post eller gjennom en melding på nettsiden vår.

12. Kontakt

Virkely AS

E-post: kontakt@virkely.no

Finn støtte til din bedrift

Match din bedrift mot alle offentlige støtteordninger i Norge og EU – helt gratis.

https://