Juridisk

Personvernerklæring

Sist oppdatert: 9. april 2026 · Versjon 1.5

      Kort fortalt: Vi behandler dine personopplysninger for å levere Good2Know-tjenesten. Dine opplysninger brukes kun til å hjelpe deg. Vi bruker anonymisert og aggregert informasjon for å forbedre tjenesten og gi mer presise svar — aldri persondata. Vi selger aldri data til tredjeparter. Du har full kontroll og kan slette kontoen din når som helst.
    

      Todeling: Good2Know er en SaaS-plattform for juridisk informasjon — ikke et advokatkontor. Juristsjekk er en formidlingstjeneste der jurister registrert i Advokattilsynets juristregister yter rettslig bistand som selvstendige oppdragstakere (jf. advokatlov av 2025). Dataflyten mellom de to tjenestenivåene er avgrenset — se avsnitt 4b.
    

1. Behandlingsansvarlig

Good2Know
Org.nr: Under registrering
E-post: hei@good2know.no
Nettsted: good2knowos.polsia.app

Good2Know er behandlingsansvarlig for dine personopplysninger etter EUs personvernforordning (GDPR) og norsk personopplysningslov.

2. Personopplysninger vi behandler

Vi samler inn følgende opplysninger om deg:

Kategori	Eksempler	Formål	Påkrevd / Valgfri
Kontaktinformasjon	E-postadresse, navn	Brukerautentisering, kommunikasjon	Påkrevd — nødvendig for å opprette konto
Kontoopplysninger	Språkpreferanse, abonnementsstatus	Levere og tilpasse tjenesten	Påkrevd — del av tjenesteavtalen
Samtalehistorikk	Spørsmål og svar i KI-selvhjelpsverktøyet	Levere veiledning, kontekst mellom økter	Påkrevd — nødvendig for at selvhjelpsverktøyet skal fungere
Dokumenter	Opplastede filer (brev, kontrakter)	Analyse og dokumentgenerering	Valgfri — kun dersom du laster opp filer
Rettighetsprofil	Svar i innledende spørreskjema	Personalisere juridisk informasjon	Valgfri — kan hoppes over
Betalingsinformasjon	Transaksjonsstatus (ikke kortdetaljer)	Abonnementshåndtering via Stripe	Påkrevd for betalte planer (FREE-plan er uten betaling)
Tekniske data	IP-adresse, nettlesertype, tidsstempler	Sikkerhet, feilsøking, statistikk	Påkrevd — samles automatisk ved bruk av tjenesten

Vi samler ikke inn fødselsnummer, helseopplysninger eller andre særlige kategorier av personopplysninger som standardopplysning.

2b. Særlige kategorier av personopplysninger (GDPR art. 9)

        Vær oppmerksom: Noen juridiske henvendelser — for eksempel saker om NAV, helse, gjeld eller familierett — kan inneholde opplysninger om helsetilstand, sosiale forhold eller økonomi. Slike opplysninger regnes som særlig sensitive under GDPR art. 9.
      

Good2Know er utformet for å minimere innsamling av særlige kategorier. Vi ber aldri eksplisitt om helsedata, etnisk opprinnelse, politisk overbevisning, religiøs tilhørighet, fagforeningsmedlemskap eller biometriske data.

Dersom du frivillig inkluderer slike opplysninger i samtalen din med KI-assistenten — for eksempel for å forklare en NAV-sak, helserelatert klage eller gjeldssituasjon — behandles disse utelukkende for å levere tjenesten du etterspurte. Rettslig grunnlag: eksplisitt samtykke (GDPR art. 9 nr. 2 a) — ved å sende inn slike opplysninger gir du aktivt samtykke til at de behandles for å besvare din henvendelse.

Ekstra sikkerhet for sensitive opplysninger: Juridisk informasjon om helse, NAV, gjeld og lignende behandles med samme tekniske sikkerhetstiltak som øvrige data (kryptering i transit og ved lagring, tilgangskontroll). Slike opplysninger brukes kun for å gi deg veiledning — de deles ikke med tredjeparter utover det som er strengt nødvendig, og brukes aldri til trening av AI-modeller.

Vi oppfordrer deg til kun å dele sensitive opplysninger i den grad det er nødvendig for å få hjelp med saken din. Du kan bruke generelle beskrivelser der det er tilstrekkelig.

Særlig sensitive opplysninger slettes etter samme retningslinjer som øvrige personopplysninger (se punkt 5).

2c. Anonymisert og aggregert data

        Trygg og nyttig: Vi bruker anonymisert og aggregert informasjon for å forbedre tjenesten og gi deg mer presise svar — aldri persondata.
      

Vi lagrer anonymisert og aggregert informasjon om sakstyper, handlinger og utfall (MOAT-modellen) for å forbedre kvaliteten på veiledningen. Denne dataen:

Inneholder ingen personopplysninger — ingen navn, fødselsnummer, adresser eller rå samtaletext.
Kan ikke spores tilbake til enkeltpersoner — mønstre lagres, ikke identiteter.
Brukes utelukkende til å forbedre anbefalinger og gi mer presise svar basert på erfaringsdata fra liknende saker.
Personopplysninger fjernes automatisk (PII-stripping) før data anonymiseres og lagres.

Rettslig grunnlag: Berettiget interesse (GDPR art. 6 nr. 1 f) eller samtykke (art. 6 nr. 1 a) basert på opt-in valg i innstillinger. Du kan når som helst reservere deg mot anonym datainnsamling via kontoinnstillinger.

3. Rettslig grunnlag (GDPR art. 6)

Vi behandler dine personopplysninger på følgende grunnlag:

Avtale (art. 6 nr. 1 b): Behandling nødvendig for å oppfylle tjenesteavtalen med deg — brukerautentisering, KI-veiledning, dokumenthåndtering.
Samtykke (art. 6 nr. 1 a): Markedsføring via e-post, informasjonskapsler (cookies) som ikke er strengt nødvendige, og opt-in til anonymisert datainnsamling. Du kan trekke samtykke når som helst.
Berettiget interesse (art. 6 nr. 1 f): Sikkerhet, feilsøking, forbedring av tjenesten og anonymisert mønsteranalyse (se punkt 2c).
Rettslig forpliktelse (art. 6 nr. 1 c): Bokføring og skattemessig dokumentasjon.

4. Tredjeparter og databehandlere

        Geografisk plassering: Applikasjonen og databasen vår er hostet i Europa (EØS). Data behandles som hovedregel innen EØS i samsvar med GDPR. Unntaket er KI-behandling via Anthropic og betalinger via Stripe, som skjer i USA med EU-standardavtaler (SCCs) som overføringsgrunnlag.
      

Vi deler data med følgende underleverandører (databehandlere) utelukkende for å levere tjenesten:

Tjenesteleverandør	Formål	Region / Overføringsgrunnlag
Render Services, Inc.	Web-hosting og kjøring av applikasjonen	EØS (EU-region)
Neon, Inc.	Databaselagring (PostgreSQL)	EØS (EU-region)
Anthropic, PBC	KI-basert tekstanalyse og selvhjelpsverktøy (Claude). Data brukes ikke til trening av AI-modeller — jf. databehandleravtale (DPA) med Anthropic. Overføringen skjer på grunnlag av EU Standard Contractual Clauses (SCCs, 2021-utgaven) i samsvar med Schrems II-kravene. Anthropic har gjennomført Transfer Impact Assessment (TIA) for EØS-overføringer.	USA (SCCs + DPA)
Stripe, Inc.	Betalingsbehandling og abonnementshåndtering. Good2Know har inngått databehandleravtale (DPA) med Stripe i henhold til Stripes Data Processing Agreement — se stripe.com/legal/dpa. Stripe behandler kun betalingsdata etter Good2Knows instrukser og er underlagt SCCs som overføringsgrunnlag til USA.	USA (SCCs + DPA)

SCCs = Standard Contractual Clauses (EU-standardavtaler for overføring til tredjeland). Vi har inngått databehandleravtaler med alle leverandører og krever at de behandler data utelukkende etter våre instrukser. Data deles ikke med andre tredjeparter enn det som er nødvendig for å levere tjenesten.

Vi selger eller utleier aldri dine personopplysninger til tredjeparter for markedsføring eller andre formål.

4b. Juristsjekk — dataflyt og jurist som databehandler

        Todeling: Good2Know (SaaS) og Juristsjekk (formidlingstjeneste) opererer som to atskilte tjenestenivåer. Dataflyten er avgrenset — juristen mottar kun det dokumentutkastet du aktivt sender inn til gjennomgang.
      

Jurist registrert i Advokattilsynets juristregister

Juristsjekk formidles til jurister registrert i Advokattilsynets juristregister i henhold til advokatlov av 2025 (trådte i kraft 1. januar 2025). Juristen er en selvstendig tjenesteyter og ikke ansatt i Good2Know.

I personvernrettslig forstand er juristen en databehandler for de personopplysningene som inngår i dokumentutkastet du sender til gjennomgang. Good2Know inngår databehandleravtale (DPA) med alle jurister som er tilknyttet Juristsjekk-tjenesten. Juristens behandling av dine opplysninger er begrenset til gjennomgang av det aktuelle dokumentet.

Dataflyt mellom SaaS-delen og Juristsjekk

        Hva sendes til juristen: Kun dokumentutkastet du aktivt laster opp eller sender til Juristsjekk. Good2Knows KI-samtalehistorikk, rettighetsprofil og kontoopplysninger overføres ikke til juristen.
      

SaaS-lag (Good2Know AI-plattform): Samtalehistorikk, dokumentgenerering, rettighetsprofil og anonymisert mønsterdata behandles utelukkende av Good2Know og underleverandørene i tabell ovenfor (Render, Neon, Anthropic). Juristene har ikke tilgang til dette laget.
Juristsjekk-lag (formidlingstjeneste): Dokumentutkastet du sender til gjennomgang, din kontaktinformasjon (e-post for leveranse) og oppdragsbeskrivelsen overføres til den aktuelle juristen. Juristen benytter disse opplysningene utelukkende for å utføre gjennomgangen.
Juristen har databehandleravtale med Good2Know og er forpliktet til å behandle mottatte opplysninger konfidensielt og i samsvar med GDPR.
Etter at oppdraget er levert, beholder juristen ikke dine opplysninger utover det som er påkrevd av bokførings- eller profesjonslovgivning.

Lagringstid for Juristsjekk-data

Opplysninger knyttet til Juristsjekk-oppdrag oppbevares av Good2Know i 3 år etter utført oppdrag for dokumentasjons- og eventuelle tvisteformål, og deretter slettes de.

4c. Tredjelandsoverføring og Schrems II-tiltak

        Overføring til USA: Deler av tjenesten er levert av Anthropic PBC (USA). Overføringen skjer med Standard Contractual Clauses (SCCs) som rettslig grunnlag, supplert med tekniske tiltak som reduserer risikoen ytterligere.
      

Etter Schrems II-dommen (C-311/18) og gjeldende EDPB-retningslinjer er det ikke tilstrekkelig å basere seg på SCCs alene ved overføring til USA. Vi har derfor gjennomført en Transfer Impact Assessment (TIA) og implementert følgende supplerende tiltak (supplementary safeguards):

Rettslig grunnlag for overføring til Anthropic (USA)

Databehandleravtale (DPA): Good2Know har inngått databehandleravtale med Anthropic i henhold til Anthropics kommersielle vilkår (ikke forbruker-API). Anthropic er bundet av DPA-forpliktelser og kan ikke bruke data til egne formål.
Standard Contractual Clauses (SCCs): EU-Kommisjonens standardavtaler av 2021 er implementert som overføringsgrunnlag.
Antropics forpliktelse: Anthropic sletter innsendte forespørsler og svar etter 30 dager og bruker dem ikke til trening av AI-modeller — bekreftet i DPA.

Tekniske supplerende tiltak (supplementary safeguards)

PII-anonymisering FØR API-kall: Personopplysninger (personnummer, telefonnummer, e-postadresser, kontonummer, adresser m.m.) anonymiseres automatisk av vårt system før samtalen sendes til Anthropics API. Personopplysninger erstattes med plassholdere (f.eks. [PERSONNUMMER], [EPOST], [KONTONR]) og aldri i klartekst.
Minimert dataeksponering: Kun den anonymiserte samtalehistorikken nødvendig for å generere svar overføres. Brukerens identitet (navn, e-post, bruker-ID) overføres aldri til Anthropic.
Kryptering i transit: All kommunikasjon med Anthropics API skjer over TLS (HTTPS). Data overføres aldri ukryptert.

Vurdering av risiko

Basert på vår TIA (Transfer Impact Assessment, intern dokumentasjon datert april 2026) er risikoen vurdert som akseptabel med følgende begrunnelse:

Anthropic er underlagt kommersielle vilkår (ikke forbruker-API) og behandler data som databehandler.
Personopplysninger anonymiseres server-side før overføring — selv ved teoretisk myndighetstilgang ville innholdet ikke inneholde direkte identifiserbare opplysninger.
Anthropic har ikke EU-eksklusiv API-region per i dag, men SCCs + DPA + teknisk anonymisering utgjør tilstrekkelige supplementary safeguards iht. EDPB Guidelines 05/2021.

Dersom du ønsker innsyn i TIA-dokumentet, kontakt oss på hei@good2know.no.

5. Oppbevaringsperiode og slettingsprosess

Vi oppbevarer dine personopplysninger så lenge kontoen din er aktiv. Lagringsperiodene per datakategori er:

Datakategori	Lagringsperiode	Grunnlag
Kontaktinformasjon (e-post, navn)	Aktiv konto + 30 dager grace period etter sletting	Avtale (art. 6 nr. 1 b)
Samtalehistorikk	Aktiv konto + 30 dager grace period etter sletting	Avtale (art. 6 nr. 1 b)
Opplastede dokumenter	Aktiv konto + 30 dager grace period etter sletting	Avtale (art. 6 nr. 1 b)
Betalings- og transaksjonsdata	5 år fra transaksjonsdato	Rettslig forpliktelse — regnskapsloven § 13
Tekniske logger (IP, hendelseslogger)	90 dager rullerende	Berettiget interesse — sikkerhet og feilsøking
Anonymisert mønsterdata (MOAT)	Ubegrenset — inneholder ingen persondata	Berettiget interesse / samtykke (art. 6 nr. 1 f / a)

Eksakt slettingsprosess

        Slik fungerer sletting:

        1. Kontosletting initiert: Du ber om sletting via kontoinnstillinger eller e-post.

        2. Grace period (30 dager): Kontoen deaktiveres umiddelbart. Data oppbevares i 30 dager for å håndtere eventuelle sikkerhetskopierings- og tvisteformål. Du kan angre innen denne perioden.

        3. Hard delete (dag 31): Alle personopplysninger slettes permanent fra aktive databaser — samtaler, dokumenter, profil, kontaktinformasjon.

        4. Hva beholdes: Kun (a) bokføringsdata som loven krever (5 år), og (b) helt anonymiserte statistikkdata uten kobling til deg personlig.

        5. Bekreftelse: Du mottar e-postbekreftelse ved sletting og ved permanent hard delete.

6. Dine rettigheter

Etter GDPR har du følgende rettigheter — kostnadsfritt og uten begrunnelse:

Innsyn (art. 15): Be om en kopi av alle personopplysninger vi har registrert om deg.
Retting (art. 16): Korrigere uriktige eller ufullstendige opplysninger.
Sletting (art. 17): Be om sletting av kontoen og alle personopplysninger («retten til å bli glemt»). Vi sletter innen 30 dager.
Dataportabilitet (art. 20): Motta dine data i et strukturert, maskinlesbart format (JSON/CSV) slik at du kan flytte dem til en annen tjeneste.
Innsigelse (art. 21): Protestere mot behandling basert på berettiget interesse.
Begrensning (art. 18): Be om midlertidig stopp i behandlingen, for eksempel mens en tvist pågår.
Trekke samtykke (art. 7 nr. 3): Tilbakekalle samtykke når som helst. Dette påvirker ikke lovligheten av behandling gjort før tilbakekallet.

Slik utøver du rettighetene dine:
Send e-post til hei@good2know.no med emne «Personvern — [ditt navn/e-post]» og oppgi hvilken rettighet du ønsker å benytte. Vi svarer innen 30 dager.

Du har rett til å klage til Datatilsynet dersom du mener vi behandler dine opplysninger i strid med loven:

Datatilsynet
Nettside: datatilsynet.no
Postadresse: Postboks 458 Sentrum, 0105 Oslo
E-post: postkasse@datatilsynet.no

7. Informasjonskapsler (cookies)

Vi bruker et begrenset sett med informasjonskapsler:

Nødvendige (krever ikke samtykke)

Sesjon og autentisering: JWT-token lagret i localStorage for innlogging. Nødvendig for at tjenesten skal fungere.

Analytiske (krever samtykke)

Vi bruker per i dag ikke tredjeparts analyseverktøy. Dersom dette innføres, vil samtykke innhentes først.

Du kan styre informasjonskapsler via nettleserinnstillingene dine, men merk at blokkering av nødvendige cookies kan gjøre at tjenesten ikke fungerer.

8. Datasikkerhet

Vi beskytter dine data med følgende tekniske og organisatoriske tiltak:

Kryptering i transit: All dataoverføring skjer via HTTPS/TLS. Data sendes aldri ukryptert over nettet.
Kryptering ved lagring: Sensitive data (inkludert tilgangstokens) krypteres med AES-256-GCM i databasen.
Passordfri autentisering: Innlogging via magisk lenke — ingen passord lagres.
Tilgangskontroll: Kun autoriserte systemer og personer med tjenstlig behov har tilgang til personopplysninger.
Minimalitetsprinsippet: Data deles ikke med tredjeparter utover det som er strengt nødvendig for å levere tjenesten.
Regelmessig sikkerhetsgjennomgang: Kodebase og infrastruktur gjennomgås jevnlig for sårbarheter.

Dersom vi oppdager et sikkerhetsbrudd som berører deg, vil vi varsle deg og Datatilsynet innen 72 timer i samsvar med GDPR art. 33–34.

9. Bruk av kunstig intelligens (KI)

Good2Know er KI og kan gjøre feil. Vennligst dobbeltsjekk svarene. Alle svar i Good2Know genereres av et AI-basert selvhjelpsverktøy (Claude, levert av Anthropic). Du kommuniserer ikke med en jurist eller advokat. Svar kan inneholde feil — oppfordres til å verifisere informasjon mot offisielle kilder som lovdata.no.

Good2Know bruker kunstig intelligens som del av en digital selvhjelpsplattform for å analysere spørsmål, generere informerende svar og produsere dokumentmaler til eget bruk. Teknologien er levert av Anthropic, PBC (USA) og behandler dine samtaledata for å gi relevante svar.

KI-selvhjelpsverktøyet innebærer at:

Personopplysninger anonymiseres FØR AI-behandling: Personnummer, telefonnummer, e-postadresser, kontonummer og adresser erstattes automatisk med plassholdere av vårt system før samtalen sendes til Anthropic. Dette er et teknisk supplerende tiltak (supplementary safeguard) i henhold til Schrems II-retningslinjene — se avsnitt 4b for detaljer.
Den anonymiserte samtalehistorikken overføres til Anthropics servere i USA for å generere svar (rettslig grunnlag: avtale, med SCCs og DPA som overføringsgrunnlag).
Samtaledata lagres ikke av AI-leverandøren utover 30 dager og brukes ikke til trening av AI-modeller — bekreftet i databehandleravtale (DPA) med Anthropic.
Brukerens identitet (navn, e-post) overføres aldri til Anthropic — kun anonymisert samtaleinnhold.
Anthropic har egne retningslinjer for personvern og databehandling — se anthropic.com/privacy.
KI-genererte svar er statistiske mønstertilpasninger basert på treningsdata — ikke individuell juridisk vurdering eller rådgivning.
Svarene kan inneholde feil, mangler eller utdatert informasjon om gjeldende rett. Brukeren oppfordres til å verifisere informasjon mot lovdata.no og andre offisielle kilder.
Good2Know gjennomfører ikke automatisert individuell beslutningstaking (GDPR art. 22) — KI-innholdet er veiledende informasjon, og ingen avgjørelser treffes automatisk basert på det.

Dersom du ønsker gjennomgang av et dokument av et menneske (jurist), kan du bestille Juristsjekk-tillegget — en avgrenset kvalitetsgjennomgang av brukerens eget dokumentutkast. Se vilkårene for nærmere informasjon.

10. Endringer i erklæringen

Vi kan oppdatere denne personvernerklæringen. Vesentlige endringer varsles via e-post til registrerte brukere minst 30 dager i forkant. Dato for siste revisjon vises øverst på siden.

11. Kontakt

For spørsmål om personvern, innsyn, sletting eller klager:

E-post: hei@good2know.no
Emne: «Personvern — [ditt navn/e-post]»
Svar innen: 30 dager

12. Personvernansvarlig (DPO)

GDPR art. 37 krever utpeking av en personvernombud (DPO) for virksomheter som i stor skala behandler særlige kategorier av personopplysninger, eller som foretar systematisk overvåking i stor skala.

        Vår status: Good2Know er en liten virksomhet med færre enn 250 ansatte og behandler ikke personopplysninger i et omfang som utløser plikten til å utpeke et formelt personvernombud etter GDPR art. 37. Vi behandler heller ikke særlige kategorier som kjernevirksomhet.
      

Ansvaret for personvern og GDPR-etterlevelse ivaretas direkte av daglig ledelse. For alle henvendelser om personvern, bruk kontaktinformasjonen ovenfor (punkt 11). Vi behandler slike forespørsler med samme prioritet som en DPO-funksjon ville gjort — svar innen 30 dager.

Dersom omfanget av vår behandling endres, vil vi vurdere utpeking av personvernombud og oppdatere denne erklæringen tilsvarende.