Personvernerklæring for Preferium AS

Sist oppdatert: 13. november 2025 · Gjelder for: preferium.no og øvrige nettressurser vi omtaler her (samlet «Tjenestene»).

1. Om Preferium og omfang

Behandlingsansvarlig

Preferium AS («Preferium», «vi», «oss»)

Org.nr.

999 323 286

Besøksadresse

Produksjonsveien 18, 2. etasje, 1618 Fredrikstad

Postadresse

Sponheimveien 19, 1613 Fredrikstad

E-post (personvern)

post@preferium.no

Telefon

+47 977 912 86

Personvernkontakt

Robert André Johansen (daglig leder) – E-post: post@preferium.no · Telefon: +47 977 912 86. Vi har ikke utpekt personvernombud (DPO).

Erklæringen dekker all behandling av personopplysninger når du bruker Tjenestene. Enkelte tjenester kan ha egne vilkår/policier; ved motstrid gjelder den mest spesifikke/oppdaterte teksten for den aktuelle tjenesten.

Bare næringskunder (B2B): Preferium leverer tjenester til virksomheter og organisasjoner. Når vi omtaler «kunder» i denne erklæringen, menes normalt næringskunder. Privatpersoner kan likevel besøke nettsiden vår og bruke kontaktkanaler, og denne erklæringen gjelder også for slik bruk.

Forholdet til øvrige avtaler: Denne personvernerklæringen er informativ og erstatter ikke våre vilkår for bruk og levering eller databehandleravtaler. Ved motstrid om ansvar, erstatning eller andre kontraktsmessige forhold, er det vilkår og avtaler som gjelder foran denne teksten.

Databehandler-roller: Når vi behandler personopplysninger på vegne av våre kunder som databehandler, reguleres dette primært av databehandleravtalen med den enkelte kunde og kundens egen personvernerklæring. Ved motstrid mellom denne erklæringen og en databehandleravtale går databehandleravtalen foran for slik behandling.

2. Definisjoner

• Personopplysninger: opplysning om en identifisert/identifiserbar fysisk person (f.eks. navn, e-post, IP-adresse).
• Behandling: enhver operasjon på personopplysninger (innsamling, lagring, bruk, utlevering, sletting m.m.).
• Behandlingsansvarlig: den som bestemmer formål og midler for behandlingen (ofte vår kunde på egne domener).
• Databehandler: ekstern aktør som behandler personopplysninger på vegne av en behandlingsansvarlig.
• Tredjeland: land utenfor EØS.

3. Hvilke personopplysninger vi behandler

3.1 Opplysninger du gir oss

• Kontakt og henvendelser: navn, e-post, telefon, virksomhet, tekst/vedlegg i skjema eller chat.
• Kundedata/ordre/fakturering: firmanavn, org.nr., faktura- og leveringsdata, referansepersoner.
• Samtykker/innstillinger: valg i samtykkebanner (CMP) og kommunikasjonspreferanser.

3.2 Opplysninger som samles inn automatisk

• Tekniske data: IP-adresse, dato/klokkeslett, enhet/OS, nettleser, språk, URL-henviser, lastetider, feillogger, sikkerhetssignaler (anti-misbruk, rate-limiting).
• Bruksdata (valgfrie): sidevisninger, klikk/hendelser, rulle-/navigasjonsmønstre, aggregert statistikk (kun hvis aktivert etter samtykke).

3.3 Særlige kategorier og barns data

Ikke oppgi særlige kategorier (helse, religion m.m.) via Tjenestene. Tjenestene er ikke rettet mot barn (se §17), og vi etterstreber å ikke behandle slike data.

Dersom det likevel mottas særlige kategorier personopplysninger eller opplysninger om barn på en måte vi ikke har bedt om, vil vi så langt praktisk mulig begrense bruken til det som er strengt nødvendig (f.eks. svare på en konkret henvendelse) og deretter slette eller anonymisere opplysningene.

4. Formål og rettslig grunnlag

LIA (interesseavveiing) – kort

Drift/sikkerhet: nødvendig for å levere sikre og stabile tjenester; vi benytter dataminimering, tilgangsstyring og korte lagringstider.

SEO-skript: kun berettiget uten samtykke der skriptet er strengt nødvendig for en brukerforespurt kjernefunksjon og ikke leser/lagrer informasjon på brukerens enhet eller gjør unødvendige tredjepartskall. Ellers kreves samtykke.

5. Kilder til personopplysninger

• Direkte fra deg: skjema, e-post, chat, telefon, avtale.
• Automatisk: via nettleser/enhet ved bruk av Tjenestene.
• Leverandører: driftslogger, leveringsstatus, tekniske målinger.
• Offentlige registre (B2B): virksomhetsopplysninger ved avtaler.

6. Informasjonskapsler (cookies) og lokal lagring

Vi bruker et samtykkebanner (CMP) som blokkerer alle ikke-nødvendige cookies/skript inntil du gir aktivt samtykke. Du kan endre eller trekke tilbake samtykke når som helst via nettstedets samtykkebanner (CMP).

Vi etterstreber at CMP-løsningen fungerer korrekt, men kan ikke garantere at alle tredjepartsteknologier til enhver tid respekterer innstillinger i nettleser, på brukerens enhet eller hos tredjepartsleverandører. Slike forhold ligger delvis utenfor vår kontroll.

På kunders egne domener er det den enkelte kunden som er behandlingsansvarlig og som har ansvaret for korrekt oppsett av CMP, rettslig grunnlag og cookie-innstillinger. Vi kan bistå teknisk, men kunden tar endelig ansvar for konfigurasjonen.

7. AI-chat på preferium.no

• Formål: kundedialog, support og bedre brukeropplevelse.
• Grunnlag: Avtale (svare på henvendelser) og/eller berettiget interesse.
• Datatyper: IP-adresse, brukeragent, innholdet du skriver, tidspunkt, tekniske feillogger.
• Dataminimering: Unngå sensitive personopplysninger. Ikke del kontonumre eller helseopplysninger.
• Modelltrening: Samtaler brukes ikke til modelltrening uten særskilt samtykke.
• Lagring: Hos Preferium normalt inntil 6 mnd. (kortere ved behov). Eventuelle leverandørspesifikke tider fremgår av databehandleravtaler.
• Overføringer: Dersom leverandør er utenfor EØS benytter vi gyldig overføringsgrunnlag (se §10).

8. SEO-optimaliseringsskript

Vi kan bruke et skript som lastes i <head> og kjører klient-side for å identifisere/justere SEO-elementer (metadata, strukturert data, interne lenker). Skriptet endrer ikke server-/CMS-kode eller database.

Dataløp (forenklet)

1. Nettleseren kan kontakte infrastruktur for leveranse og drift (behandling av IP/brukeragent ved innlasting kan forekomme).
2. Skriptet skanner DOM lokalt og justerer SEO-elementer klient-side.
3. Drifts-/feillogger kan oppstå hos involverte aktører (kvalitet/ytelse/sikkerhet) med korte lagringstider.

Omfangsbegrensning: Vi minimerer hvilke sider som instrumenteres og hvilke DOM-elementer som evalueres. Skriptet er ikke ment å konsumere personopplysninger fra innloggede eller sensitive sider.

9. Mottakere og underbehandlere

Vi deler personopplysninger kun når nødvendig og i tråd med denne erklæringen. Vi publiserer ikke leverandørnavn offentlig. Navngitte underbehandlere oppgis i relevante avtaler (f.eks. databehandleravtaler) eller når vi er rettslig forpliktet (f.eks. ved innsyn etter art. 15).

Vi selger ikke personopplysninger.

Der enkelte leverandører opptrer som selvstendige behandlingsansvarlige (for eksempel enkelte betalings- eller kommunikasjonsleverandører), gjelder deres egne personvernerklæringer og vilkår for deres behandling. Preferium er ikke ansvarlig for slike aktørers egne plikter, praksis eller brudd på regelverket.

10. Overføring til tredjeland (USA m.fl.)

Dersom enkelte behandlinger innebærer overføring utenfor EØS (f.eks. USA), sikrer vi gyldig overføringsgrunnlag, eksempelvis:

• EU-US Data Privacy Framework (DPF) for sertifiserte mottakere; og/eller
• EU Standard Contractual Clauses (SCC) med supplerende tekniske/organisatoriske tiltak (kryptering, tilgangsstyring, logging m.m.).

Vi overfører ikke flere opplysninger enn nødvendig for å oppnå formålet, og vi forventer at mottakere holder et sikkerhetsnivå som står i forhold til risikoen. Vi kan likevel ikke gi garantier for fremtidige endringer hos slike mottakere eller i regelverket, og må kunne avslutte eller endre integrasjoner ved behov uten ansvar utover det som følger av inngåtte avtaler og gjeldende rett.

TIA (Transfer Impact Assessment) – essens

For relevante overføringer vurderer vi dataenes art, formål, mottakerens jurisdiksjon og rettshåndhevelse-tilgang, samt tekniske og organisatoriske tiltak. Konklusjon og tiltak dokumenteres og oppdateres ved endringer. Sammendrag kan gis på forespørsel der loven krever det.

11. Lagringstider (sletting og anonymisering)

Opplysningene kan lagres noe lenger i sikkerhetskopier før de overskrives gjennom ordinære backuprutiner. Der det er forenlig med formål og regelverk, kan vi anonymisere data slik at de ikke lenger utgjør personopplysninger.

Lagringstider kan justeres over tid dersom vi endrer systemer, lovpålagte plikter eller behov. Oppdaterte tider vil da fremgå av denne erklæringen eller av særskilt avtale med den enkelte kunde.

12. Sikkerhetstiltak

• TLS-kryptering, brannmurer, nettverkssegmentering.
• Minste privilegium, rolle-/tilgangsstyring, tofaktor der relevant.
• Sikret administrativ tilgang, logging og revisjon.
• Sikker utviklingspraksis og sårbarhets-patching.
• Databehandleravtaler med leverandører.

Til tross for omfattende sikkerhetstiltak kan vi ikke garantere fullstendig sikkerhet eller fravær av hendelser. Bruk av Tjenestene skjer innenfor de ansvar- og ansvarsbegrensninger som følger av våre vilkår og eventuelle avtaler med deg som kunde.

13. Automatiserte avgjørelser og profilering

Vi foretar ikke helautomatiserte avgjørelser med rettsvirkning eller tilsvarende betydelig påvirkning. Profilering kan forekomme for markedsføring/segmentering dersom du har gitt samtykke; du kan alltid trekke samtykke tilbake.

14. Personvern «by design & by default»

Vi arbeider etter prinsippene om innebygd personvern og dataminimering. Nye løsninger underlegges behovs- og risikovurdering (ROS/DPIA ved behov). Tilganger gis etter «need-to-know».

15. Dine rettigheter og hvordan du bruker dem

16. Myndigheter og rettslige krav

Vi kan utlevere personopplysninger der lov krever eller tillater det, f.eks. til offentlige myndigheter ved gyldig rettslig grunnlag. Vi vil så langt det er tillatt varsle berørte kunder/registrerte før utlevering, og vi vil begrense utleveringen til det som er nødvendig.

17. Barn

Tjenestene er ikke rettet mot barn. Den digitale samtykkealderen i Norge er 13 år. Dersom vi tilbyr tjenester direkte til barn basert på samtykke, vil vi innhente foresattes samtykke for barn under 13 år. Opplysninger som uriktig er samlet inn om barn, slettes uten ugrunnet opphold.

18. Bruddhåndtering (avvik)

Ved brudd på personopplysningssikkerheten vurderer vi raskt risiko, iverksetter tiltak og varsler Datatilsynet og/eller berørte registrerte når vilkårene er oppfylt (GDPR art. 33–34).

Der vi er databehandler for våre kunder, håndteres bruddvarsling, rollefordeling og kommunikasjonsløp i tråd med den aktuelle databehandleravtalen. Ingenting i denne erklæringen utvider vår erstatnings- eller ansvarsforpliktelse utover det som følger av inngåtte avtaler og gjeldende rett.

19. Kunders plikter ved bruk på egne domener

• Hvis du som kunde implementerer våre løsninger (inkl. SEO-skript) på eget domene, er du behandlingsansvarlig for dine besøkende.
• Oppdater din egen personvernerklæring med tydelig omtale av skriptet, datatyper, formål og internasjonale overføringer (USA m.fl.).
• Sørg for gyldig rettsgrunnlag (samtykke/berettiget interesse) etter egen vurdering og konfigurer løsningene i tråd med gjeldende regelverk.
• Ved behandling utenfor EØS: sikre egnet overføringsgrunnlag (DPF/SCC) og dokumentert TIA.

Preferium kan gi generell veiledning, men det er alltid kunden som har det endelige ansvaret for at egen bruk av våre løsninger på egne domener skjer i samsvar med personvernregelverket og lokale krav.

20. Endringer i denne erklæringen

Vi oppdaterer erklæringen ved behov. Ny versjon publiseres med oppdatert dato øverst. Vesentlige endringer varsles i Tjenestene der det er relevant.

Endringer i denne erklæringen innebærer ikke i seg selv nye erstatnings- eller kompensasjonsordninger. Slike forhold følger av lov og avtalene vi har inngått med deg som kunde.

21. Kontaktinformasjon

Preferium AS
post@preferium.no · +47 977 912 86
Produksjonsveien 18, 2. etasje, 1618 Fredrikstad

Vedlegg A – Cookie-kategorier og visning i CMP

Vi viser kategorier i denne erklæringen. Den detaljerte oversikten administreres i CMP og presenteres per formål/teknologikategori. Navngitte leverandører publiseres ikke offentlig; opplysninger kan gis der loven krever det.

Vedlegg B – Underbehandlere (kategorier)

Vi bruker kategorier av mottakere slik angitt i §9. Leverandørnavn publiseres ikke offentlig. Navngitte underbehandlere oppgis i kontrakter eller når vi er rettslig forpliktet, for eksempel ved innsyn etter art. 15.

Oversikt etter type (forenklet)

• Drift/hosting/CDN/sikkerhet: oppetid, ytelse, anti-DDoS, logger (primært EØS; enkelte utenfor EØS).
• Kommunikasjon/kundestøtte: e-post, skjema, chat (EØS/utenfor EØS).
• Betaling/faktura/regnskap: fakturering, bokføring (EØS).
• Analyse/innsikt (valgfrie): statistikk, A/B-testing (EØS/utenfor EØS).
• SEO-optimaliseringsskript: klient-side SEO-justeringer (kan være i USA eller andre tredjeland).
• AI-chat og språkmodeller: kundedialog/moderering (EØS/utenfor EØS).
• Profesjonelle rådgivere: juridisk/finansielt (EØS).

Vedlegg C – LIA-sammendrag (interesseavveiing)

C.1 Drift og sikkerhet

Formål: levere Tjenestene pålitelig og sikkert. Nødvendighet: uten drift/sikkerhet kan Tjenestene ikke fungere. Forventning: brukere forventer sikker og stabil drift. Tiltak: dataminimering, tilgangsstyring, kort lagring, logging/revisjon. Konklusjon: forholdsmessig.

C.2 SEO-optimaliseringsskript

Formål: muliggjøre visning/optimalisering. Nødvendighet: kun der funksjonen ikke kan leveres uten skriptet og uten lagring/lesing på enheten. Forventning: teknologiside kan optimaliseres, men brukers personvern skal respekteres. Tiltak: minimering av instrumenterte sider/DOM-lesing, korte logger, ingen sensitive felt. Konklusjon: berettiget kun i snevre tilfeller; ellers kreves samtykke.

Vedlegg D – Ord- og begrepsliste

• DPIA/ROS: personvernkonsekvens-/risikovurdering.
• DPF: EU-US Data Privacy Framework.
• SCC: EU Standard Contractual Clauses.
• DOM: Document Object Model (nettleserens representasjon av siden).