Personvernerklæring

Sist oppdatert: 9. mars 2026

1. Innledning

Denne personvernerklæringen beskriver hvordan Somsagt Online («vi», «oss», «vår», «Tjenesten») samler inn, bruker, lagrer og beskytter personopplysninger når du bruker vår plattform for direktestrømming og videoarkiv.

Somsagt Online er en skybasert tjeneste (SaaS) rettet mot ansatte i norsk helsesektor. Tilgang til tjenesten gis gjennom din arbeidsgiver eller avdelingsleder som en del av arbeidsforholdet. Du registrerer deg ikke selv og avslutter ikke abonnementet på egen hånd.

Vi behandler personopplysninger i samsvar med EUs personvernforordning (GDPR), den norske personopplysningsloven og tilhørende forskrifter.

2. Behandlingsansvarlig og databehandler

Behandlingsansvarlig

Din arbeidsgiver (organisasjonen som har kjøpt tilgang til Somsagt Online) er behandlingsansvarlig for personopplysninger som behandles i forbindelse med din bruk av tjenesten. Arbeidsgiveren bestemmer formålet med og midlene for behandlingen.

Databehandler

Somsagt AS opptrer som databehandler på vegne av din arbeidsgiver. Vi behandler personopplysninger kun i henhold til instrukser fra behandlingsansvarlig og i tråd med gjeldende databehandleravtale.

Kontaktinformasjon

Somsagt AS: post@somsagt.no

3. Hvilke personopplysninger vi samler inn

3.1 Kontoinformasjon (opprettet av din arbeidsgiver/avdelingsleder)

Opplysning	Formål	Behandlingsgrunnlag
Fullt navn	Identifisering og personalisering	Berettiget interesse / avtale
E-postadresse	Innlogging, varsler og kommunikasjon	Avtale / berettiget interesse
Telefonnummer (valgfritt)	Kontaktinformasjon	Samtykke
Profilbilde (valgfritt)	Visuell identifisering	Samtykke
Organisasjonstilhørighet og rolle	Tilgangsstyring	Avtale

3.2 Autentiserings- og sikkerhetsdata

Opplysning	Formål	Lagringsform
Passord	Innlogging	Kryptert hash (aldri i klartekst)
Tofaktor-hemmelighet (TOTP)	Ekstra sikkerhet	Kryptert
Reservekoder for tofaktor	Gjenoppretting av tilgang	Kryptert, engangsbruk
E-postbekreftelses- og tilbakestillingstokens	Kontoverifisering og passordbytte	Tidsbegrenset, automatisk utløp

3.3 Sesjonsdata

Opplysning	Formål	Oppbevaringstid
IP-adresse	Sikkerhetslogging og misbruksbeskyttelse	Så lenge sesjonen varer
Nettleser- og enhetsinformasjon (User-Agent)	Sesjonsadministrasjon	Så lenge sesjonen varer
Aktiv organisasjon per sesjon	Tilgangsstyring	Så lenge sesjonen varer
Tidspunkt for siste innlogging	Brukeraktivitetsovervåking	Kontinuerlig oppdatert

3.4 Videobruksdata

Opplysning	Formål	Beskrivelse
Hvilke videoer du har sett	Fremgangsvisning og gjenopptaking	Kobles til din brukerkonto
Seertid per video	Aktivitetsanalyse for organisasjonen	Aggregert og per bruker
Fullføringsstatus (over 90 % sett)	Engasjementsmåling	Automatisk beregnet
Tidsstempel for visning	Kronologisk oversikt	Lagres i databasen

3.5 Engasjementsdata (beregnet daglig)

Opplysning	Formål
Engasjementspoeng (0–100)	Helhetlig aktivitetsmåling
Aktivitetsnivå (aktiv / i faresonen / inaktiv)	Identifisere brukere som trenger oppfølging
Innloggingshyppighet og -aktualitet	Delkomponent i engasjementsberegning
Antall unike videoer sett	Delkomponent i engasjementsberegning
Total seertid	Delkomponent i engasjementsberegning
Trend (forbedring / stabil / nedgang)	Endring over tid

Disse dataene brukes av din organisasjon til å forstå samlet bruksmønster og sikre at tjenesten gir verdi. Engasjementsdata er tilgjengelig for administratorer i din organisasjon.

3.6 Spørsmål og interaksjoner

Opplysning	Formål
Spørsmål sendt inn under sendinger	Interaksjon med foredragsholdere
Navn og bruker-ID knyttet til spørsmål	Identifisering av innsender
Tidsstempel og type (direkte / generelt)	Organisering og visning

3.7 E-post- og varseldata

Opplysning	Formål
E-postadresse (mottaker)	Levering av varsler
Type varsel sendt	Loggføring og feilsøking
Leveringsstatus	Kvalitetssikring
Dine e-postpreferanser	Respektere dine kommunikasjonsvalg

4. Behandlingsgrunnlag (GDPR artikkel 6)

Grunnlag	Bruksområde
Avtale (art. 6(1)(b))	Levering av tjenesten: innlogging, videoavspilling, sesjonsadministrasjon.
Berettiget interesse (art. 6(1)(f))	Sikkerhetslogging, misbruksbeskyttelse, hastighetsbegrensning, engasjementsanalyse, feilsøking av e-postleveranser.
Samtykke (art. 6(1)(a))	Valgfrie opplysninger som telefonnummer og profilbilde. Du kan når som helst trekke tilbake samtykke.
Rettslig forpliktelse (art. 6(1)(c))	Eventuell lovpålagt oppbevaring av logger eller informasjon.

5. Deling av data med tredjeparter

Vi deler kun personopplysninger med tredjeparter som er nødvendige for å levere tjenesten. Alle tredjeparter er bundet av databehandleravtaler.

5.1 Underdatabehandlere

Leverandør	Tjeneste	Data som deles	Lokasjon
Mux, Inc.	Videostrømming og avspilling	Avspillings-IDer, seertidsdata, nettleser/OS	USA
Resend, Inc.	E-postlevering	E-postadresser, e-postinnhold, leveringsstatus	USA
Railway	Hosting, database, fillagring	All data som lagres i tjenesten	EU / USA

5.2 Overføringer utenfor EØS

Visse av våre underdatabehandlere opererer i USA. Vi sikrer lovlig overføring gjennom:

EU–US Data Privacy Framework (der leverandøren er sertifisert)
EUs standardkontraktsklausuler (SCC) med tilleggstiltak der nødvendig
Regelmessig vurdering av beskyttelsesnivået i mottakerlandet

5.3 Data vi IKKE deler

Vi selger aldri personopplysninger til tredjeparter
Vi deler ikke data med annonsører eller markedsføringsplattformer
Vi bruker ingen tredjeparts analyseverktøy (som Google Analytics e.l.)
Vi deler ikke brukerdata på tvers av organisasjoner

6. Informasjonskapsler og lokal lagring

6.1 Nødvendige informasjonskapsler

Kapsel	Formål	Type
Sesjonskapsel (BetterAuth)	Autentisering og innloggingsstatus	Strengt nødvendig
Språkpreferanse	Huske ditt valgte språk	Strengt nødvendig

6.2 Lokal lagring (localStorage)

Nøkkel	Formål
Velkomstbanner-status	Huske at du har lukket velkomstmeldingen
Arkivvisningsmodus	Huske liste- vs. rutenettvisning

Vi bruker ingen informasjonskapsler til sporing, profilering, reklame eller analyse utover det som er beskrevet ovenfor.

7. Datasikkerhet

Tekniske tiltak

Kryptering i transit: All kommunikasjon over HTTPS/TLS
Passordsikkerhet: Passord lagres kun som kryptografisk hash
Signerte avspillingstokens: Videoinnhold beskyttes med signerte JWT-tokens med begrenset gyldighet
Tofaktorautentisering: Valgfri TOTP-basert tofaktor med reservekoder
Hastighetsbegrensning: Beskyttelse mot brute-force-angrep
Webhook-verifisering: HMAC-signaturverifisering for innkommende webhooks
Tilgangskontroll: Rollebasert tilgang med organisasjonsskille

Organisatoriske tiltak

Begrenset tilgang til produksjonsdata
Databehandleravtaler med alle underdatabehandlere
Regelmessig gjennomgang av tilganger og sikkerhetsrutiner

8. Oppbevaringstid

Datatype	Oppbevaringstid
Kontoinformasjon	Så lenge arbeidsforholdet/tilgangen varer
Sesjonsdata	Til sesjonen utløper eller avsluttes
Videovisningshistorikk	Så lenge kontoen er aktiv
Engasjementsdata	Så lenge kontoen er aktiv
E-postlogger	Inntil 12 måneder etter sending
Innsendte spørsmål	Så lenge tilhørende sending er aktiv
Autentiseringstokens	Automatisk utløp (timer/dager)

Når din tilgang avsluttes av arbeidsgiveren, vil kontoen din deaktiveres og tilhørende sesjoner avsluttes umiddelbart. Personopplysninger slettes etter en rimelig overgangsperiode, med mindre lovpålagt oppbevaring krever annet.

9. Dine rettigheter

I henhold til GDPR har du følgende rettigheter. Siden din arbeidsgiver er behandlingsansvarlig, bør forespørsler som hovedregel rettes til din arbeidsgiver. Du kan også kontakte oss direkte.

Rettighet	Beskrivelse
Innsyn (art. 15)	Du har rett til å få vite hvilke personopplysninger vi behandler om deg.
Retting (art. 16)	Du kan be om at uriktige opplysninger rettes.
Sletting (art. 17)	Du kan be om sletting av dine personopplysninger når behandlingsgrunnlaget bortfaller.
Begrensning (art. 18)	Du kan be om at behandlingen begrenses under visse omstendigheter.
Dataportabilitet (art. 20)	Du har rett til å motta dine opplysninger i et strukturert, maskinlesbart format.
Innsigelse (art. 21)	Du kan motsette deg behandling basert på berettiget interesse.

Slik utøver du rettighetene

Via din arbeidsgiver: Kontakt din avdelingsleder eller organisasjonsleder.
Direkte til oss: Send e-post til personvern@somsagt.no med din forespørsel.
Klage til Datatilsynet: Du har rett til å klage til Datatilsynet (datatilsynet.no) dersom du mener personopplysningene dine behandles i strid med regelverket.

E-postpreferanser

Du kan selv administrere hvilke e-postvarsler du mottar under innstillinger i tjenesten. Alle e-poster inneholder også en lenke for direkte avmelding fra den aktuelle varselkategorien.

10. Spesielt om helsesektoren

Somsagt Online er en plattform for videokommunikasjon og -arkiv. Vi behandler ikke helseopplysninger (sensitive personopplysninger etter GDPR artikkel 9) som en del av tjenestens kjernefunksjonalitet.

Viktig for brukere: Ikke del pasientopplysninger, helseopplysninger om enkeltpersoner eller annen taushetsbelagt informasjon gjennom spørsmålsfunksjonen eller andre interaksjonsverktøy i tjenesten.

Viktig for administratorer: Sørg for at videoinnhold som strømmes eller arkiveres ikke inneholder identifiserbare pasientopplysninger, med mindre egne tiltak for informasjonssikkerhet er iverksatt utenfor denne tjenesten.

11. Automatiserte beslutninger og profilering

Tjenesten beregner engasjementspoeng basert på innloggings- og seeraktivitet. Dette brukes til å identifisere inaktive brukere for oppfølging og gi organisasjonsledere oversikt over bruken av tjenesten.

Engasjementspoeng har ingen automatiserte konsekvenser for din tilgang, arbeidsforhold eller rettigheter. Det fattes ingen automatiserte beslutninger med rettslig virkning basert på disse dataene.

12. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen ved behov. Ved vesentlige endringer vil vi oppdatere datoen øverst i dokumentet og varsle behandlingsansvarlige (organisasjoner) om endringene.

13. Kontakt

For spørsmål om personvern og denne erklæringen:

E-post: personvern@somsagt.no
Datatilsynet: www.datatilsynet.no

Denne personvernerklæringen gjelder fra 9. mars 2026.