Personvernerklæring

Vitandi AS (Org.nr. 933 423 557) er ansvarlig for behandling av personopplysninger på tilskudd.ai.

Sist oppdatert: 12. juni 2026

Introduksjon

Vitandi AS (tilskudd.ai) tar personvernet ditt på alvor. Her forklarer vi hvilke opplysninger vi samler inn, hvordan vi bruker dem, og hvilke rettigheter du har.

Adresse: Breidablikkveien 8, 1167 Oslo

E-post: oscar@tilskudd.ai

Vi er behandlingsansvarlig for personopplysninger på tilskudd.ai og følger personopplysningsloven og GDPR.

Basically,

Vi lager AI-verktøy som hjelper deg med tilskuddssøknader og tar personvernet ditt seriøst. Dette dokumentet forklarer hvordan vi håndterer informasjonen din.

1. Hvilke opplysninger vi samler inn

Når du bruker tjenesten vår kan vi behandle:

Kontaktinformasjon: Navn, e-postadresse og telefonnummer (ved opprettelse av konto eller henvendelse).

Prosjektbeskrivelse: Tekst og opplysninger du legger inn i tjenesten, som kan inneholde forretningshemmeligheter og strategisk informasjon.

Firmaopplysninger: Hvis du velger å oppgi dette sammen med prosjektbeskrivelsen.

Teknisk informasjon: IP-adresse, nettleser, enhetstype, og hvordan du navigerer på nettsiden.

Analyseinformasjon: Vi bruker Vercel Web Analytics (uten informasjonskapsler) for anonymisert besøksstatistikk, og Microsoft Clarity for sesjonsopptak hvis du har samtykket til det.

Brukerdata i tjenesten: Vi lagrer prosjektbeskrivelser og genererte utkast slik at du kan hente dem opp senere.

Basically,

Vi samler kun det vi trenger:

• Navn og e-post for kontoen din

• Prosjektinformasjon du skriver inn

• Tekniske data for å forbedre tjenesten

• Betalingsinfo (via Stripe eller Vipps)

• AI-genererte søknader vi lager for deg

2. Formål med behandlingen

Vi bruker opplysningene til:

Levere tjenesten du har bedt om – inkludert å generere søknadstekst med vår AI-tjeneste. (Grunnlag: Avtale)

Vedlikeholde, feilsøke og forbedre tjenesten. (Grunnlag: Berettiget interesse)

Sende deg markedsføring hvis du har samtykket til det. (Grunnlag: Samtykke)

Overholde lovkrav, for eksempel bokføringsregler. (Grunnlag: Rettlig forpliktelse)

Vi bruker ikke opplysningene dine til andre formål uten ditt samtykke.

Basically,

Vi bruker dataene dine til:

• Levere AI-tjenesten (lage søknader)

• Forbedre plattformen

• Sende markedsføring (kun hvis du vil)

• Følge loven (regnskap osv.)

Ingenting annet uten at du sier ja først.

3. Deling av opplysninger

Vi deler bare data når det er nødvendig for å levere og drifte tjenesten:

OpenAI og Anthropic (Claude) – genererer tekst basert på prosjektbeskrivelsen din.

Google – AI-tjenester (Gemini).

Vercel – hosting av nettsiden og anonymisert besøksstatistikk uten informasjonskapsler.

Microsoft Clarity – sesjonsopptak for å forbedre brukeropplevelsen, lastes kun etter samtykke.

Supabase – database og autentisering. Lagrer brukerkontoer, prosjektdata og genererte søknader.

DigitalOcean – leverer serverne vi kjører tjenesten på.

Stripe – håndterer kortbetalinger sikkert.

Vipps – håndterer norske mobilbetalinger.

Loops.so – sender e-post på våre vegne (velkomst- og oppfølgings-e-poster).

Cloudflare – DNS og domeneadministrasjon.

Flere av disse leverandørene kan behandle data i USA. Deres standard vilkår inkluderer databehandlingsavtaler (DPA) og overføringsmekanismer som EU–US Data Privacy Framework og/eller Standard Contractual Clauses (SCC).

Basically,

Vi deler kun med våre tekniske partnere:

• OpenAI og Claude for AI-tekstgenerering

• Google for AI-tjenester

• Vercel for hosting og besøksstatistikk

• Microsoft Clarity for sesjonsopptak (kun med samtykke)

• Supabase for database og innlogging

• DigitalOcean for servere

• Stripe og Vipps for betalinger

• Loops.so for e-postutsending

• Cloudflare for DNS

Alle har GDPR-kompatible standard vilkår.

4. AI og automatiserte beslutninger

API Data Policy - Ingen AI-trening

Alle våre AI-leverandører garanterer at data sendt via API IKKE brukes til å trene deres modeller:

• Google Gemini API: "Enterprise data is not used for model training" (Google Cloud Data Governance)

• OpenAI API: Data sendt via API brukes ikke til trening (OpenAI API Data Usage Policy)

• Anthropic Claude API: API-data trener aldri modeller (Anthropic Privacy Policy)

AI Act Compliance

Tilskudd.ai er klassifisert som et "limited risk" AI-system under EU AI Act (i kraft fra august 2024).

Transparens om AI-bruk

• All søknadstekst genereres av AI-modeller

• Du blir alltid informert når innhold er AI-generert

• Vi bruker Google Gemini, OpenAI og Anthropic Claude

• Dine data sendes kun for å generere søknaden din - aldri for AI-trening

Dine rettigheter (GDPR Art. 22)

• Rett til å kreve manuell gjennomgang av AI-genererte søknader

• Rett til forklaring på hvordan AI-en fungerer

• Rett til å protestere mot automatisert behandling

• Rett til å be om menneskelig intervensjon

Kvalitetssikring

• Du er alltid ansvarlig for å verifisere AI-generert innhold

• Vi logger AI-interaksjoner for forbedring og feilsøking (uten sensitiv bedriftsdata)

Basically,

Dine data trener ALDRI AI-modeller:

• Google, OpenAI og Anthropic bruker IKKE API-data til trening

• Deres offentlige API-policyer bekrefter dette

• Data sendes kun for å lage søknaden din

• Du kan alltid be om manuell hjelp

Les mer:

• Google: cloud.google.com/gemini/docs/discover/data-governance

• OpenAI: openai.com/enterprise-privacy

• Anthropic: anthropic.com/privacy

Vi følger EU's nye AI-regler.

5. Databehandleravtaler

Våre databehandlere

Våre leverandører har databehandlingsvilkår (DPA) inkludert i sine standard tjenestevilkår:

AI-leverandører

• OpenAI

• Anthropic (Claude)

• Google Cloud (Gemini)

Infrastruktur og tjenester

• Supabase (database, autentisering og datalagring)

• DigitalOcean (servere)

• Cloudflare (DNS og domeneadministrasjon)

• Stripe (kortbetaling)

• Vipps (norsk mobilbetaling)

• Loops.so (e-postautomatisering)

Alle leverandørene ovenfor er GDPR-kompatible og har databehandlingsvilkår som dekker formålsbegrensning, konfidensialitet og sletting av data.

Basically,

Leverandørene vi bruker har alle GDPR-kompatible vilkår som sier:

• Ikke trene AI på dine data

• Holde dataene dine konfidensielle

• Slette data når vi ber om det

Vi bruker standard tjenestevilkår fra disse leverandørene.

6. Overføring til utlandet

6.1 Lagring innenfor EØS

Databasen vår (Supabase) kjører på AWS i Stockholm (eu-north-1), innenfor EØS-området.

6.2 Overføringer utenfor EØS

Søknadstekst og chat sendes til KI-leverandører i USA (Anthropic, OpenAI og Google) for å generere søknader. Alle tre er sertifisert under EU–US Data Privacy Framework, så overføringen hviler på en gyldig adekvansbeslutning, med Standard Contractual Clauses (SCC) som reserve. Det samme gjelder Stripe og Loops.

6.3 Dine rettigheter

Du kan kontakte oss for spørsmål om hvordan dataene dine overføres.

Basically,

Databasen vår står i Stockholm (EØS).

Når vi sender søknadstekst til KI-leverandører i USA, er de godkjent under EU–US Data Privacy Framework — et rammeverk EU har vurdert som trygt nok, med ekstra avtaler i bunn.

Forskerdata fra offentlige registre

For den akademiske delen av tjenesten henter vi data om forskere fra offentlige kilder (NVA, ORCID og OpenAlex) — også om forskere som ikke selv har registrert seg.

Grunnlag: berettiget interesse (art. 6(1)(f)). Vi bruker bare profesjonell, offentlig publisert informasjon (publikasjoner, ORCID, siteringer) for å hjelpe institusjonen forskeren tilhører med å finne og søke relevant finansiering. Vi behandler ingen sensitive opplysninger.

Innsigelse: er du forsker og ikke ønsker å være med, kan du protestere ved å kontakte oss. Da fjerner vi navnet og publikasjonene dine, og sørger for at du ikke kommer inn igjen ved senere oppdateringer.

Basically,

Hjelper vi en institusjon, henter vi offentlig forskerinfo (publikasjoner o.l.) — også om forskere uten konto.

Vil du ikke være med? Si fra, så fjerner vi deg og holder deg ute av senere oppdateringer.

7. Informasjonssikkerhet

Vi har implementert følgende sikkerhetstiltak:

7.1 Tekniske tiltak

- HTTPS/TLS-kryptering for all dataoverføring

- Sikker autentisering via Supabase (med støtte for tofaktor)

- Cloudflare DNS med DDoS-beskyttelse

- Kryptert lagring hos våre skyleverandører

7.2 Infrastruktur

- Database og autentisering hos Supabase (PostgreSQL med Row-Level Security)

- Servere hos DigitalOcean

- Betalingsdata håndteres av Stripe (PCI DSS-sertifisert) og Vipps

- Regelmessige backups av data

7.3 Tilgangskontroll

- Rollebasert tilgangskontroll i applikasjonen

- API-nøkler og hemmeligheter lagres sikkert

- Minst mulig tilgang-prinsippet for interne systemer

Basically,

Vi beskytter dataene dine:

• Kryptering: All trafikk er kryptert (HTTPS)

• Autentisering: Sikker innlogging med støtte for tofaktor

• Betaling: Stripe håndterer all betalingsinfo (vi lagrer aldri kortnummer)

• Backup: Vi tar regelmessig backup av data

8. Dine rettigheter

Du har følgende rettigheter under GDPR:

Innsyn - Se hvilke opplysninger vi har om deg

Retting - Korrigere feil eller ufullstendig informasjon

Sletting - Be om at vi sletter dataene dine

Begrensning - Pause behandlingen midlertidig

Dataportabilitet - Få dataene dine i strukturert format

Protestere - Si nei til visse typer behandling

Trekke samtykke - Ombestemme deg når som helst

Du kan laste ned alle dataene dine og slette kontoen selv under «Personvern og data» i innstillingene. Du kan også kontakte oss på oscar@tilskudd.ai. Vi svarer uten ugrunnet opphold, og senest innen 30 dager.

Du kan også klage til Datatilsynet hvis du mener vi ikke følger reglene.

Basically,

Du har full kontroll:

• Se alt vi har om deg

• Rette feil informasjon

• Slette dataene dine

• Stoppe behandling

• Flytte dataene dine

• Si nei til markedsføring

• Ombestemme deg når som helst

Bare send en e-post, så ordner vi det.

9. Barn og mindreårige

9.1 Aldersgrense

I henhold til personopplysningsloven § 5 er aldersgrensen for samtykke i Norge 13 år.

9.2 Vår policy

- Tjenesten er primært rettet mot bedrifter og voksne entreprenører

- Vi samler ikke bevisst inn opplysninger fra personer under 13 år

- Personer mellom 13-18 år må ha foreldresamtykke for ungdomsbedrifter

9.3 Foreldrerettigheter

Foreldre eller verger kan:

- Be om innsyn i mindreåriges data

- Kreve retting eller sletting

- Trekke tilbake samtykke

9.4 Tiltak ved feil

Hvis vi oppdager at vi har samlet inn data fra barn under 13 år uten foreldresamtykke, vil vi umiddelbart:

- Slette all informasjon

- Varsle berørte parter

- Gjennomgå rutiner for å forhindre gjentakelse

Basically,

Tjenesten er for voksne bedriftseiere.

• Under 13 år: Kan ikke bruke tjenesten

• 13-18 år: Trenger tillatelse fra foreldre (for ungdomsbedrifter)

• Hvis vi gjør en feil: Vi sletter umiddelbart data fra barn

Foreldre kan kontakte oss hvis de har spørsmål.

10. Informasjonskapsler

10.1 Typer informasjonskapsler

Nødvendige (alltid aktive)

- Sesjonsadministrasjon

- Sikkerhetsformål

- Innloggingsstatus

Analytiske

- Vercel Web Analytics: anonymisert besøksstatistikk uten informasjonskapsler, alltid på

- Microsoft Clarity: sesjonsopptak og varmekart, lastes kun etter samtykke i cookie-banneret

10.2 Administrasjon

Du kan administrere informasjonskapsler via:

- Knappen «Endre cookie-valg» nedenfor, som nullstiller valget ditt og viser banneret på nytt

- Nettleserinnstillinger

10.3 Konsekvenser

Deaktivering av nødvendige informasjonskapsler kan påvirke tjenestefunksjonalitet.

Basically,

Vi bruker cookies (små datafiler) for å:

• Huske deg: Så du slipper å logge inn hele tiden

• Forbedre: Se hvordan tjenesten brukes (Microsoft Clarity, kun hvis du har sagt ja)

Besøksstatistikken vår (Vercel) bruker ikke cookies i det hele tatt.

Har du ombestemt deg? Bruk knappen under for å velge på nytt.

11. Lagringstid

Vi lagrer personopplysninger kun så lenge formålet krever det (lagringsbegrensning).

Spesifikke lagringstider:

Kontoinformasjon - Mens kontoen er aktiv. Etter 36 måneder uten innlogging varsler vi deg på e-post, og anonymiserer kontoen hvis du ikke logger inn igjen.

Søknadsdokumenter - Sammen med kontoen

Transaksjonsdata - Minst 5 år etter regnskapsårets slutt (bokføringsloven § 13)

Markedsføring - Til du trekker samtykket

Tekniske logger - 90 dager

Ved sletting:

• Personopplysningene dine fjernes permanent

• Vi kan beholde anonyme aggregater (bransje, fase, treff) som ikke kan spores tilbake til deg

• Betalingsdata beholdes til bokføringsplikten er ute

Du kan be om sletting når som helst — du gjør det selv under «Personvern og data» i innstillingene — med mindre loven krever at vi beholder dataene.

Basically,

Vi beholder dataene dine:

• Aktiv konto: Så lenge du bruker tjenesten. Er du borte i 36 måneder, varsler vi deg og sletter hvis du ikke kommer tilbake.

• Regnskap: Minst 5 år (loven krever det)

• Tekniske logger: 90 dager (for å fikse bugs)

Når formålet er over, sletter vi. Du kan også slette selv i innstillingene når som helst.

12. Endringer

12.1 Rett til endringer

Vi forbeholder oss retten til å endre denne personvernerklæringen for å:

- Reflektere endringer i våre behandlingsaktiviteter

- Overholde nye lovkrav

- Implementere nye sikkerhetstiltak

- Klargjøre eksisterende praksis

12.2 Varslingsrutiner

- Vesentlige endringer varsles via e-post minimum 30 dager før ikrafttredelse

- Mindre justeringer publiseres på nettsiden

12.3 Samtykke til endringer

- Fortsatt bruk etter varsel anses som aksept

- Ved uenighet kan du avslutte kontoen

- Eksisterende rettigheter påvirkes ikke retroaktivt

Basically,

Vi kan oppdatere denne erklæringen når:

• Loven endres

• Vi legger til nye funksjoner

• Vi forbedrer sikkerheten

Store endringer = e-post til deg 30 dager før

Små endringer = bare oppdatert på nettsiden

Liker du ikke endringene? Du kan alltid avslutte kontoen din.

13. Kontaktinformasjon

13.1 Behandlingsansvarlig

Vitandi AS (tilskudd.ai)

Organisasjonsnummer: 933 423 557

Postadresse: Breidablikkveien 8, 1167 Oslo

E-post: oscar@tilskudd.ai

13.2 Klagerett

Du har rett til å klage til tilsynsmyndigheten:

Datatilsynet

Postboks 458 Sentrum

0105 Oslo

E-post: postkasse@datatilsynet.no

Telefon: 22 39 69 00

Nettside: www.datatilsynet.no

13.3 Responstid

- Innsynsbegjæringer: 30 dager

- Generelle henvendelser: 5 virkedager

- Sikkerhetshendelser: 72 timer til Datatilsynet

Vi oppfordrer deg til å kontakte oss først ved bekymringer, slik at vi kan løse saken direkte.

Basically,

Spørsmål om personvern? Kontakt oss:

oscar@tilskudd.ai

Ikke fornøyd? Du kan klage til Datatilsynet, men prøv oss først - vi er her for å hjelpe!

Vi svarer vanligvis innen 5 dager.

Har du spørsmål? Kontakt oss på oscar@tilskudd.ai