Personvern

Personvernerklæring

Kort, klart og på et menneskes språk: hva vi samler inn, hvorfor, og hva du bestemmer.

Behandlingsansvarlig: CapiVest AS (org.nr 936 286 690) · Sist oppdatert: 11. juli 2026

Denne erklæringen er under ferdigstilling for beta og gjennomgås juridisk før full lansering. Enkelte detaljer — som egen personvern-e-post og enkelte databehandlere — bekreftes før publisering.

Kort fortalt

Forsikring er uleselig fordi det er for mye tekst. Det gjelder personvern også — så her er det viktigste i klartekst:

  • checkVi hjelper deg å forstå forsikringene dine ved å lese dokumentene du selv laster opp.
  • checkDu bestemmer. Du laster opp det du vil, og kan slette det når som helst.
  • checkNoen forsikringsdokumenter inneholder helseopplysninger. Dem behandler vi bare fordi du uttrykkelig ber oss om det — og du kan trekke det tilbake.
  • checkVi lager anonym statistikk om priser og dekning på tvers av brukere. Anonyme tall kan ikke spores tilbake til deg.
  • checkVi sender deg aldri videre til et forsikringsselskap uten at du aktivt sier ja.

1. Behandlingsansvarlig

Polise gjør forsikring lesbar: du laster opp forsikringsdokumentene dine, og vi forklarer dekning, vilkår, egenandeler og hull i klartekst. Tjenesten eies og drives av CapiVest AS (org.nr 936 286 690), som er behandlingsansvarlig for personopplysningene som samles inn gjennom Polise. Vi behandler opplysningene etter EUs personvernforordning (GDPR) og personopplysningsloven. En egen personvern-e-post publiseres før lansering; inntil da når du oss via kontaktskjemaet.

Polise er i beta. Kjernetjenesten er å forklare forsikringene dine — vi selger ikke forsikring og gir ikke individuell rådgivning. Formidler vi deg på et tidspunkt videre til et forsikringsselskap, skjer det bare hvis du aktivt samtykker til nettopp det (se punkt 5). Vi kan da motta honorar fra mottakeren. Vi beskriver det åpent her, slik at du vet hva tjenesten er og hvordan den kan tjene penger.

2. Hvilke opplysninger vi behandler

Polise behandler mer følsomme data enn mange andre nettjenester, fordi forsikringsdokumenter kan inneholde helseopplysninger. Se punkt 4 om hvordan vi håndterer dette.

Opplysninger du oppgir selv

  • Navn, e-postadresse og mobilnummer.
  • Innholdet i dokumentene du laster opp — forsikringsbevis, vilkår og lignende, inkludert dekning, premie og egenandeler. Enkelte dokumenter kan inneholde helseopplysninger, fagforeningsmedlemskap eller fødselsnummer (se punkt 4).
  • Innhold i kontaktskjema og andre henvendelser.

Automatisk innsamlet

  • IP-adresse, nettleser (user agent) og samtykke-metadata, lagret sammen med innsendinger.
  • Enhetstype, nettleser og operativsystem, og geografisk plassering på land-/regionsnivå.
  • Sidevisninger, klikk, bruksmønstre og henvisende nettsted.
  • Informasjonskapsler (se punkt 8).

Fra tredjeparter

  • Statistikk fra analyseverktøy. Eventuelle offentlige oppslag legges til her hvis de tas i bruk.

3. Formål med behandlingen

All behandling er knyttet til et formål og et rettslig grunnlag:

FormålBehandlingRettslig grunnlag
Forklare forsikringene dineLese og tolke dokumentene du laster oppAvtale (6.1b) og berettiget interesse (6.1f)
Oppdage dobbeltdekningSammenligne forsikringene i husstandenBerettiget interesse (6.1f)
Konto og kommunikasjonOpprette konto, sende oppdateringer om tjenestenAvtale (6.1b)
Behandle helseopplysninger i dokumenterLese dokumenter som inneholder helsedataUttrykkelig samtykke (9.2a), i tillegg til art. 6-grunnlaget
Anonym statistikk / benchmarkingLage aggregert statistikk om priser og dekningAnonyme data — utenfor GDPR (se punkt 4)
Analyse og forbedringForstå bruksmønstre, forbedre tjenestenBerettiget interesse (6.1f)
Svindel- og misbruksforebyggingOppdage misbruk, sikre systemeneBerettiget interesse (6.1f) og rettslig forpliktelse (6.1c)
MarkedsføringNyhetsbrev/tips (til ikke-brukere ved samtykke)Samtykke (6.1a) / berettiget interesse for eksisterende brukere
Videreformidling til tredjepartFormidle deg til et forsikringsselskapUttrykkelig samtykke (6.1a)
Regnskap og rapporteringOppfylle bokførings-/regnskapskrav (ved betaling)Rettslig forpliktelse (6.1c)

4. Rettslig grunnlag — særlig om helseopplysninger

All behandling hviler på ett av grunnlagene i personvernforordningen artikkel 6:

  • Avtale (6.1b) — behandling som er nødvendig for å levere tjenesten: lese og forklare dokumentene dine, opprette konto og kommunisere med deg.
  • Samtykke (6.1a) — for markedsføring til ikke-brukere, kryssmarkedsføring mellom CapiVest-tjenester (punkt 6), valgfrie informasjonskapsler og enhver videreformidling. Du kan når som helst trekke det tilbake.
  • Berettiget interesse (6.1f) — for å forbedre tjenesten, oppdage dobbeltdekning, analysere bruk, forebygge svindel og drifte felles teknisk infrastruktur mellom CapiVest-tjenester (punkt 6). Vi har gjennomført interesseavveininger; du kan protestere (punkt 10).
  • Rettslig forpliktelse (6.1c) — der loven pålegger behandling, i hovedsak regnskaps-/bokføringskrav og utlevering til myndigheter.

Særlige kategorier (helseopplysninger m.m.) — artikkel 9

Noen forsikringsdokumenter (typisk person-, uføre- og helseforsikring) inneholder helseopplysninger eller opplysninger om fagforeningsmedlemskap. Dette er «særlige kategorier» med ekstra vern (art. 9), og behandling er som utgangspunkt forbudt uten et eget grunnlag.

Vi behandler slike opplysninger kun fordi du uttrykkelig ber oss om det når du laster opp dokumentet — altså på ditt uttrykkelige samtykke (9.2a). Dette samtykket gir du separat, ikke som en del av å godta de generelle vilkårene. Du kan trekke det tilbake når som helst; da stopper vi behandlingen og sletter opplysningene, med mindre vi er rettslig pålagt å oppbevare dem. Helseopplysninger brukes aldri til markedsføring og inngår aldri i en eventuell videreformidling.

Dukker det opp fødselsnummer i et dokument, behandles det med ekstra forsiktighet: kun der det er strengt nødvendig for å lese dokumentet, det vises ikke i e-post eller unødvendige logger, og det krypteres ved lagring (punkt 12).

Anonym statistikk og benchmarking

En del av verdien i Polise er å vise hvordan din dekning og premie står seg mot andres. Denne statistikken bygger vi på anonymiserte data. Når data er anonymisert, kan de ikke lenger knyttes til deg og regnes ikke som personopplysninger.

5. Deling av opplysninger

Vi deler personopplysninger kun når det er nødvendig, og i tråd med personvernlovgivningen.

Databehandlere (behandler på våre vegne)

Disse behandler opplysninger kun på våre instrukser, underlagt databehandleravtaler (art. 28):

  • Cloudflare (EU/USA) — hosting, infrastruktur, lagring og edge-beskyttelse.
  • Øvrige databehandlere, som e-post- og analyseleverandør, listes her når stacken er endelig satt.

Selvstendige behandlingsansvarlige

Tilbyr vi å formidle deg videre til for eksempel et forsikringsselskap, skjer det bare hvis du gir et eget, uttrykkelig samtykke. Mottakeren blir da selvstendig behandlingsansvarlig med eget ansvar overfor deg. Ingen videreformidling skjer uten at du aktivt har sagt ja. Det samme gjelder eventuelle betalingsleverandører.

Felles behandlingsansvarlige, myndigheter og virksomhetsoverdragelse

Der vi eventuelt bestemmer formål og midler sammen med en annen part, inngår vi en avtale om ansvarsfordeling (art. 26); vi har ingen slik behandling i dag. Vi kan utlevere opplysninger til offentlige myndigheter når vi er rettslig forpliktet. Ved fusjon, oppkjøp eller annen overføring av virksomhet kan personopplysninger inngå; vi informerer deg om hva det betyr før en slik endring får virkning.

6. Deling mellom CapiVest-tjenester

Polise eies og drives av CapiVest AS, som også driver andre tjenester (blant annet bedriftskapital.no). Der det foreligger et gyldig grunnlag, kan CapiVest AS dele personopplysninger mellom egne tjenester:

  • Samtykke — kryssmarkedsføring. Har du samtykket til markedsføring, kan vi informere deg om relevante tjenester fra våre andre nettsider. Du kan trekke samtykket tilbake når som helst.
  • Berettiget interesse — anonymisert analyse og felles infrastruktur. Vi kan bruke anonymisert, aggregert data på tvers av tjenestene og dele teknisk infrastruktur. Slik data kan ikke knyttes til deg.

Helseopplysninger deles aldri mellom tjenester. Ønsker vi å dele personopplysninger til et nytt formål, informerer vi deg og innhenter nytt samtykke først.

7. Markedsføring og nyhetsbrev

Er du eksisterende bruker, kan vi sende deg tips og nyhetsbrev via e-post om tjenesten og tilsvarende ytelser fra CapiVest AS på grunnlag av berettiget interesse (6.1f), i tråd med markedsføringsloven § 15s adgang ved eksisterende kundeforhold («soft opt-in»). Er du ikke bruker, sender vi slik e-post bare hvis du har samtykket. Uansett kan du når som helst melde deg av via avmeldingslenken i hver e-post eller ved å kontakte oss, og du kan alltid protestere mot direkte markedsføring (punkt 10).

Tar vi i bruk annonsering i sosiale medier, vil vi — med ditt samtykke — kunne dele opplysninger med plattformer som Meta, Google og LinkedIn for å vise relevante annonser. Disse er da selvstendige behandlingsansvarlige. Vi har ingen aktiv annonsering i sosiale medier i dag.

8. Informasjonskapsler (cookies)

Informasjonskapsler er små tekstfiler som lagres på enheten din. Bruken er regulert av ekomloven § 2-7, som krever at vi informerer om cookies og innhenter samtykke for alt som ikke er strengt nødvendig.

  • Nødvendige (påkrevd) — grunnleggende funksjonalitet som skjemainnsending og lagring av cookie-valg. Kan ikke slås av og krever ikke samtykke.
  • Analytiske (valgfri) — hjelper oss å forstå hvordan tjenesten brukes; aktiveres kun ved samtykke der verktøyet krever det.
  • Markedsføring (valgfri) — for relevante annonser; aktiveres kun ved samtykke.

En fullstendig, oppdatert liste med navn, leverandør, formål og varighet vises via samtykkeløsningen vår. Du kan når som helst endre eller trekke tilbake samtykket ved å slette informasjonskapsler i nettleseren; en egen «Endre cookie-valg»-innstilling kommer med samtykkeløsningen. Se også erklæringen om informasjonskapsler.

9. Oppbevaring og sletting

Vi oppbevarer personopplysninger kun så lenge det er nødvendig for formålet, eller så lenge vi er lovpålagt (art. 5.1e). Tidene under gjelder for beta og kan justeres.

Type opplysningerLagringstidBegrunnelse
Opplastede dokumenter (kan inneholde helseopplysninger)Til du sletter dem eller kontoen; automatisk innen 30 dager etter kontoslettingBehandles på ditt samtykke; sletter du, faller grunnlaget bort.
Kontoopplysninger (navn, e-post, mobil)Til kontosletting; innen 30 dager etterNødvendig for å levere tjenesten (avtale).
Anonym statistikk / benchmarkingBeholdesUtenfor personvernforordningen etter anonymisering.
Kontaktskjema / henvendelser6 månederFor oppfølging og dokumentasjon; deretter avidentifiseres.
Henvendelser om personvernrettigheter1 år (lenger ved klage-/tilsynssak)For å dokumentere korrekt håndtering.
Nyhetsbrev-samtykkeTil avmelding; innen 30 dager etterGjelder til du trekker det tilbake.
Sikkerhets- og svindellogger12–24 månederFor å oppdage og forebygge misbruk.
Regnskaps-/provisjonsdata (ved betaling)5 år fra regnskapsårets sluttLovpålagt (bokføringsloven).
Tekniske driftsloggerKortvarigEfemere logger for feilsøking og stabilitet.

Etter utløpt lagringstid slettes eller anonymiseres opplysningene.

10. Dine rettigheter

Etter GDPR har du rett til innsyn, retting, sletting, begrensning, dataportabilitet, å protestere mot behandling basert på berettiget interesse og mot direkte markedsføring, å trekke samtykke når som helst, og å klage til Datatilsynet. Regnskapsdata beholdes til bokføringslovens frist, da uten kontaktopplysningene dine. Se også GDPR og dine rettigheter.

For å utøve rettighetene, bruk kontaktskjemaet (egen personvern-e-post publiseres før lansering). Fordi vi kan behandle helseopplysninger, bekrefter vi at det er deg før vi utleverer eller sletter opplysninger — normalt med en engangskode til den registrerte e-postadressen. Vi svarer innen én måned; ved særlig komplekse eller mange henvendelser kan fristen forlenges med inntil to måneder, og vi varsler deg innen den første. Innsyn og sletting er gratis.

11. Overføring utenfor EU/EØS

Vi tilstreber å behandle personopplysninger innenfor EU/EØS. Enkelte databehandlere har serverkapasitet i USA (f.eks. Cloudflare). For slike overføringer sikrer vi gyldig grunnlag etter GDPR kapittel 5: EU–US Data Privacy Framework (DPF) der leverandøren er sertifisert, eller EUs standard kontraktsklausuler (SCC) med supplerende tiltak. Det finnes ingen generell adekvansbeslutning for USA; grunnlaget vurderes per leverandør.

12. Sikkerhet

Vi bruker tekniske og organisatoriske tiltak for å beskytte opplysningene dine:

  • Kryptering. All dataoverføring krypteres med TLS. Følsomme data, inkludert helseopplysninger og eventuelle fødselsnummer, krypteres ved lagring.
  • Tilgangskontroll. Kun autorisert personell har tilgang, etter prinsippet om minste nødvendige tilgang.
  • Edge- og misbruksbeskyttelse. Trafikken går gjennom Cloudflares beskyttelse; skjemaer er beskyttet mot misbruk.
  • Logging. Tilgang til følsomme data logges.
  • Databehandleravtaler. Alle leverandører som behandler opplysninger på våre vegne, er underlagt slike avtaler.

13. Relevante lover og tilsynsmyndighet

Behandlingen er regulert av blant annet personopplysningsloven (GDPR), markedsføringsloven, ekomloven og bokføringsloven.

Datatilsynet fører tilsyn med personvernlovgivningen i Norge. Mener du at vi behandler opplysningene dine i strid med regelverket, kan du klage til Datatilsynet, Postboks 458 Sentrum, 0105 Oslo, tlf. 22 39 69 00, datatilsynet.no. Vi setter pris på at du kontakter oss først.

14. Kontakt og endringer

Spørsmål om personvern, eller ønske om å utøve rettighetene dine: bruk kontaktskjemaet (egen personvern-e-post publiseres før lansering). Behandlingsansvarlig er CapiVest AS, org.nr 936 286 690.

Vi kan endre denne erklæringen ved behov — for eksempel ved nye tjenester, endrede formål eller endringer i lovverket. Ved vesentlige endringer som påvirker rettighetene dine, varsler vi deg før endringen trer i kraft. Den til enhver tid gjeldende versjonen ligger på denne siden.