Personvernerklæring for Skalde

Sist oppdatert: 3. juli 2026
Versjon: 1.5

1. Innledning

Denne personvernerklæringen beskriver hvordan Nortiq Lab AS («Nortiq Lab», «vi») behandler personopplysninger i forbindelse med:

  • Markedssiden skalde.no
  • Kontaktskjema og kundedialog
  • Skalde-applikasjonen for kompetansestyring, kursgjennomføring, anbudsstøtte og tilknyttede funksjoner

Erklæringen gjelder for besøkende på skalde.no, kontaktpersoner hos bedriftskunder, og brukere av applikasjonen.

2. Behandlingsansvarlig og databehandler

Nortiq Lab AS er behandlingsansvarlig for følgende behandlinger:

  • Bruk av markedssiden skalde.no og kontaktskjema
  • Kunderelasjonen til bedrifter som har avtale om bruk av Skalde
  • Den enkelte brukers personlige kompetanseprofil i applikasjonen
  • AI-funksjoner som behandler personopplysninger for Nortiq Labs egne formål, eller som en privatperson bruker på egen profil eller egne dokumenter

Nortiq Lab AS er databehandler for opplysninger som bedriftskunder lagrer om sine ansatte eller innleide i applikasjonen, herunder kompetansekrav, kursoppfølging, vurderinger, bemanningsforslag og oppdragstildeling. Dette gjelder også når AI-funksjoner brukes på slike opplysninger. For disse opplysningene er den enkelte bedriftskunde behandlingsansvarlig, og behandlingen reguleres av databehandleravtale mellom bedriften og Nortiq Lab.

Rollen følger altså av hvem opplysningene gjelder og hvem som bestemmer formål og midler, ikke av at en AI-funksjon er involvert. Når en AI-funksjon brukes på opplysninger en bedriftskunde behandler om sine ansatte eller innleide, er Nortiq Lab databehandler etter kundens instruks. Når en AI-funksjon brukes av en privatperson på egen profil eller egne dokumenter, eller for Nortiq Labs egne kundedialog- og driftsformål, er Nortiq Lab behandlingsansvarlig i den grad Nortiq Lab bestemmer formål og midler.

Kontaktinformasjon:

Nortiq Lab AS
Organisasjonsnummer: 837 393 302
E-post: support@skalde.no
Nettside: skalde.no

3. Personopplysninger som behandles

3.1 Markedssiden skalde.no

  • IP-adresse, nettlesertype og operativsystem
  • Sider som besøkes og tidsstempel
  • Informasjonskapsler som beskrevet i punkt 11

3.2 Kontaktskjema og kundedialog

  • Navn
  • E-postadresse
  • Telefonnummer
  • Bedrift, rolle og andre opplysninger som oppgis
  • Innholdet i henvendelsen

Når du sender e-post til vår support-adresse, behandler vi i tillegg avsenderens navn og e-postadresse, innholdet i meldingen og eventuelle vedlegg. Innkommende support-e-post hentes inn og lagres i tjenesten for å kunne følge opp henvendelsen.

3.3 Bedriftskundens behandling i applikasjonen

For opplysninger der bedriftskunden er behandlingsansvarlig, behandler Nortiq Lab følgende kategorier på bedriftens vegne:

  • Ansattes navn, e-post, telefonnummer og rolle
  • Avdeling og organisasjonstilknytning
  • Kompetansekrav knyttet til rolle
  • Sertifikater, kurs og dokumentasjon på gjennomført opplæring
  • Status på kompetansegap og oppfølging
  • Bemanningsforslag og oppdragstildeling
  • Referanseprosjekter og bedriftens kvalifikasjoner
  • Anbudsdokumenter og tilhørende analyser

Med «bemanningsforslag» menes systemstøttede forslag til hvilke ansatte som best dekker kravene i et konkret oppdrag eller anbud, basert på registrerte sertifikater, kurs, erfaring og kompetanse. Forslagene er beslutningsstøtte for bedriftens egne valg, jf. punkt 9.

3.4 Personlig kompetanseprofil

Brukere av Skalde kan opprette en personlig kompetanseprofil. Følgende opplysninger behandles når en profil opprettes:

  • Navn, e-postadresse, telefonnummer og fødselsår
  • Utdanning og arbeidserfaring
  • Kurs, sertifikater og kursbevis
  • Språkferdigheter
  • Innholdet i opplastede CV-er og dokumenter
  • Egne notater og kommentarer

Verifisert telefonnummer benyttes blant annet til å sende engangskode for innlogging på SMS, jf. punkt 10.

Den personlige profilen er knyttet til brukeren og ikke til noen bedrift. Profilen består uavhengig av om brukeren har én, flere eller ingen aktive arbeidsgivere registrert i Skalde.

3.5 Koblinger mellom personlig profil og bedriftskunder

Brukeren kan koble den personlige profilen til én eller flere bedriftskunder samtidig, for eksempel ved fast ansettelse, bistilling, frilansoppdrag eller engasjement gjennom bemanningsbyrå.

For hver kobling bestemmer brukeren selv hvilke felt fra den personlige profilen som vises for den aktuelle bedriftskunden. Brukeren kan endre tilgangsinnstillingene per kobling, eller koble fra en bedriftskunde, når som helst gjennom innstillingene i applikasjonen.

Når en kobling avsluttes, fjernes profilinnholdet umiddelbart fra bedriftskundens visning. Bedriftskunden beholder kun opplysninger som har eget rettslig grunnlag uavhengig av profilkoblingen, typisk dokumentasjon på kurs gjennomført på bedriftens regning eller obligatorisk HMS-opplæring registrert i ansettelsesperioden. Slike opplysninger behandles videre på bedriftens ansvar etter punkt 3.3.

3.6 Kilder til opplysningene

Opplysningene vi behandler kommer fra følgende kilder:

  • Brukeren selv, gjennom registrering, profil, opplastede dokumenter og bruk av tjenesten
  • Arbeidsgiver eller bedriftskunde, som legger inn opplysninger om sine ansatte eller innleide
  • Kursgjennomføring, som genererer status, resultater og kursbevis
  • Offentlige kunngjøringer fra Doffin, der bedriften bruker anbudsfunksjonene
  • Henvendelser til support
  • Betalingsleverandør, ved kjøp og fakturering
  • Opplysninger som utledes automatisk i tjenesten, for eksempel kompetansegap, score og forslag basert på registrerte opplysninger

3.7 Særlige kategorier og opplysninger om straffbare forhold

Skalde er ikke ment for behandling av særlige kategorier av personopplysninger etter GDPR art. 9 eller opplysninger om straffedommer og lovovertredelser etter art. 10. Slike opplysninger kan likevel forekomme utilsiktet, for eksempel i CV-er, sertifikater og fritekstfelt. Vi håndterer dette gjennom dataminimering, tilgangsbegrensning, og, der Nortiq Lab er databehandler, etter bedriftskundens dokumenterte instruks.

4. Formål og rettslig grunnlag

4.1 Markedssiden og kontaktskjemaet

FormålRettslig grunnlag
Drift og forbedring av skalde.noBerettiget interesse, GDPR art. 6 nr. 1 bokstav f
Besvare henvendelser via kontaktskjemaTiltak før avtaleinngåelse, GDPR art. 6 nr. 1 bokstav b
Utsending av nyhetsbrev og produktinformasjonSamtykke, GDPR art. 6 nr. 1 bokstav a

4.2 Bedriftskundens behandling

Når bedriftskunden er behandlingsansvarlig, må bedriften selv ha rettslig grunnlag for behandlingen. Nortiq Lab behandler opplysningene som databehandler etter dokumentert instruks fra bedriften, jf. GDPR art. 28. Bedriftens rettslige grunnlag vil typisk være:

  • Oppfyllelse av arbeidsavtale, GDPR art. 6 nr. 1 bokstav b
  • Rettslig forpliktelse, GDPR art. 6 nr. 1 bokstav c, herunder krav til dokumentert opplæring etter arbeidsmiljøloven og bransjespesifikt regelverk
  • Berettiget interesse, GDPR art. 6 nr. 1 bokstav f, ved kompetansekartlegging, kompetanseplanlegging og bemanningsforslag

For bemanningsforslag og oppdragstildeling vil bedriftens berettigede interesse kunne være å levere oppdrag i tråd med kontraktsforpliktelser og kvalifikasjonskrav fra oppdragsgiver, herunder å dokumentere personellets kompetanse overfor offentlige innkjøpere. Bedriftens interesse skal veies mot den ansattes interesse i å ikke bli profilert for arbeidsoppgaver. Forholdsmessigheten styrkes av at den ansatte er informert om bruken og kan innvende mot konkrete forslag, og av at endelig beslutning fattes av menneskelig saksbehandler hos bedriften, jf. punkt 9.

4.3 Personlig kompetanseprofil og koblinger til bedriftskunder

FormålRettslig grunnlag
Drift av brukerkonto og personlig profilAvtale med bruker, GDPR art. 6 nr. 1 bokstav b
Lagring av kompetansehistorikk over tidAvtale med bruker, GDPR art. 6 nr. 1 bokstav b
Koblinger til én eller flere bedriftskunderAvtale med bruker, GDPR art. 6 nr. 1 bokstav b. Hvilke felt som deles per kobling, styres av brukerens valg i applikasjonen.
Varsler om utløpende sertifikaterBerettiget interesse, GDPR art. 6 nr. 1 bokstav f

Opprettelse av personlig profil er frivillig overfor Nortiq Lab. Hvorvidt en ansatt er forpliktet til å dokumentere kompetansen sin i Skalde, følger av arbeidsforholdet til arbeidsgiveren og ikke av avtalen med Nortiq Lab. Nortiq Lab pålegger ingen plikt til å opprette profil. Dersom en ansatt velger ikke å opprette profil, behandles likevel opplysninger som arbeidsgiveren legger inn om vedkommende, jf. punkt 3.3, så lenge bedriften har rettslig grunnlag for det.

4.4 AI-funksjoner

Applikasjonen tilbyr AI-funksjoner som behandler personopplysninger, herunder kompetanseanalyse, anbudsanalyse, bemanningsforslag og rådgivning. Funksjonene leser og analyserer blant annet opplastede dokumenter som CV-er og sertifikater, i tillegg til kompetanseopplysninger som er registrert i tjenesten. Personopplysninger som navn, innholdet i opplastede dokumenter, kompetansebeskrivelser og rolleinformasjon kan inngå i forespørselen til den AI-leverandøren som behandler personopplysninger på våre vegne. Hvilken leverandør dette er, fremgår av mottakerlisten i punkt 6.

Det rettslige grunnlaget følger rollen, jf. punkt 2:

  • Når AI-funksjonen brukes på opplysninger en bedriftskunde behandler om sine ansatte eller innleide, er bedriftskunden behandlingsansvarlig og må selv ha rettslig grunnlag for behandlingen. Nortiq Lab behandler da opplysningene som databehandler etter dokumentert instruks, jf. GDPR art. 28.
  • Når AI-funksjonen brukes av en privatperson på egen profil eller egne dokumenter, eller for Nortiq Labs egne formål, er Nortiq Lab behandlingsansvarlig. Grunnlaget er da avtale med brukeren, GDPR art. 6 nr. 1 bokstav b, eller berettiget interesse i å levere etterspurt funksjonalitet, GDPR art. 6 nr. 1 bokstav f.

Innhold som sendes til denne leverandøren brukes ikke til trening av modellene og slettes hos leverandøren innen 30 dager.

Applikasjonen benytter i tillegg en separat AI-leverandør til generering av kursmateriell, herunder kursbilder og forslag til kursbevistekst. Til denne leverandøren sendes kun kursmetadata og innhold som kursforfatter selv har lagt inn for selve kursmateriellet. Personopplysninger om kursdeltakere, ansatte eller andre identifiserbare personer sendes ikke til denne leverandøren. Også denne leverandøren fremgår av mottakerlisten i punkt 6.

5. Lagringstid

Type opplysningLagringstid
Besøksstatistikk på markedssidenInntil 14 måneder, deretter anonymisert
Henvendelser via kontaktskjemaInntil 24 måneder etter siste kontakt
Innkommende support-e-postInntil 12 måneder
Kundedata for bedriftskunderSå lenge avtaleforholdet varer
Bedriftskundens behandling av ansattopplysningerEtter bedriftskundens instruks. Slettes ved opphør av avtale eller etter særskilt instruks.
Personlig kompetanseprofilSå lenge brukeren ønsker. Profilen er ment å følge brukeren gjennom yrkeslivet og slettes kun etter brukerens eget valg eller ved langvarig inaktivitet.
Inaktive personlige profilerProfiler uten aktivitet i 5 år varsles på registrert e-postadresse. Ved fortsatt inaktivitet i ytterligere 6 måneder slettes profilen.
DriftsloggerInntil 90 dager
FeilrapporterInntil 90 dager
AI-forespørsler med personopplysninger hos AI-leverandørenSlettes innen 30 dager
Fakturaer og regnskapsbilag5 år, jf. bokføringsloven § 13

6. Mottakere av personopplysninger

Nortiq Lab selger ikke personopplysninger. Følgende databehandlere benyttes for drift og levering av tjenestene:

LeverandørBehandlingLokasjon
Render Services, Inc.Drift av applikasjonen og lagring i PostgreSQL-databaseOregon, USA
Vercel Inc.Drift av nettside og statiske ressurserDelaware, USA
Cloudflare, Inc.Lagring av filer, CV-er og kursbevisEU-jurisdiksjon (R2), selskap registrert i USA
Brevo (Sendinblue SAS)Utsending av e-post og SMSFrankrike
One.com A/SMottak og lagring av innkommende support-e-postDanmark (e-post lagret i København)
Rustici Software, LLC (SCORMCloud)Levering av kursinnhold i SCORM-formatUSA
Anthropic Ireland LimitedLevering av AI-funksjoner som behandler personopplysningerIrland, med prosessering i USA
OpenAI Ireland LtdGenerering av kursmateriell. Behandler kun kursmetadata, ikke navn eller andre personopplysninger.Irland, med prosessering i USA
Stripe Payments Europe LtdBetalingsformidlingIrland
Functional Software, Inc. (Sentry)Feilrapportering og driftsovervåkingEU-region (selskap registrert i USA)
cron-job.org (Patrick Stadler)Tidsstyrte jobber. Lagrer serverrespons inkludert HTTP-headere per kjøring.Tyskland
Google Cloud EMEA LimitedAdresseoppslag (Google Places) ved registrering og i profil-innstillingerIrland, med overføring til USA
Umami Software, Inc. (Umami Cloud)Cookieless besøksstatistikk på markedssiden. Behandler ikke personopplysninger.EU-region
Crisp IM SASKundechat (live chat på markedssiden og på innlogget bedrift). Behandler chat-innhold, navn, e-postadresse, IP-adresse og tilkoblingsdata.EU (meldingsdata i Nederland, plugin-data i Tyskland)

Databehandleravtaler er inngått med samtlige leverandører som behandler personopplysninger på vegne av Nortiq Lab.

Adressesøket (Google Places) kjøres fra nettleseren din. Når du bruker adressesøk ved registrering eller i profil-innstillingene, sendes søketeksten du taster, og IP-adressen din, direkte fra nettleseren til Google. Det gjøres ingen videre oppslag utover selve søkeforslaget.

7. Overføring til tredjeland

Enkelte leverandører behandler personopplysninger utenfor EØS, hovedsakelig i USA. Det forekommer derfor overføring av personopplysninger til tredjeland.

For overføringer til USA benyttes følgende overføringsgrunnlag etter GDPR kapittel V:

  • Adekvansbeslutning under EU-US Data Privacy Framework, jf. GDPR art. 45, for leverandører som er sertifisert under rammeverket. Dette gjelder Render, Cloudflare, Stripe, Sentry, Google og Rustici Software (dekket under Learning Technologies Group sin sertifisering). For Render er rammeverket det primære grunnlaget, med Standard Contractual Clauses som reserve.
  • Standard Contractual Clauses (SCC), jf. GDPR art. 46 nr. 2 bokstav c. SCC er overføringsgrunnlaget for Vercel og for Anthropic, og benyttes i tillegg som supplerende grunnlag inntatt i databehandleravtalene for de rammeverk-sertifiserte leverandørene.

For Anthropic Ireland Limited skjer prosesseringen i USA på grunnlag av Standard Contractual Clauses. Innholdet som sendes, benyttes ikke til trening av modellene og slettes hos leverandøren innen 30 dager.

One.com A/S er etablert i Danmark, og support-e-posten lagres i København innenfor EØS. One.coms underdatabehandler One.com India utfører systemovervåking, som innebærer overføring til tredjeland på grunnlag av Standard Contractual Clauses. One.com varsler om personvernbrudd innen 48 timer.

Stripe Payments Europe Ltd er etablert i Irland og er PCI-DSS Level 1-sertifisert. Betalingsopplysninger overføres til Stripe LLC i USA på grunnlag av EU-US Data Privacy Framework og Standard Contractual Clauses. Stripe er databehandler for selve betalingsformidlingen og selvstendig behandlingsansvarlig for sin svindel- og hvitvaskingskontroll.

Brevo (Sendinblue SAS) er etablert i Frankrike med hosting i EU (OVH i Frankrike og Google Cloud i Belgia) og er ISO 27001-sertifisert. Amerikanske underdatabehandlere Brevo eventuelt benytter, er dekket av Standard Contractual Clauses og EU-US Data Privacy Framework.

Umami Cloud kjører i EU-region og samler besøksstatistikk uten informasjonskapsler og uten personopplysninger. Overføring av personopplysninger til tredjeland er derfor ikke aktuelt for denne tjenesten.

Tekniske og organisatoriske tiltak ved overføring omfatter kryptering i transitt og i hvile.

8. Den registrertes rettigheter

Etter GDPR har den registrerte følgende rettigheter:

  • Innsyn, GDPR art. 15
  • Retting, GDPR art. 16
  • Sletting, GDPR art. 17
  • Begrensning av behandling, GDPR art. 18
  • Dataportabilitet, GDPR art. 20
  • Innsigelse mot behandling basert på berettiget interesse, GDPR art. 21
  • Tilbaketrekking av samtykke, GDPR art. 7 nr. 3, der behandlingen er basert på samtykke

For utøvelse av rettigheter knyttet til behandling der Nortiq Lab er behandlingsansvarlig, kan den registrerte henvende seg til support@skalde.no. Henvendelser besvares senest innen én måned, jf. GDPR art. 12 nr. 3.

For henvendelser om opplysninger der bedriftskunden er behandlingsansvarlig (jf. punkt 2 og 3.3), må den registrerte henvende seg til den aktuelle bedriften. Nortiq Lab vil ved behov bistå bedriften i å besvare slike henvendelser i tråd med databehandleravtalen.

Den registrerte har rett til å klage til Datatilsynet, jf. GDPR art. 77. Datatilsynet nås på datatilsynet.no.

9. Automatiserte avgjørelser og profilering

Nortiq Lab og bedriftskunder fatter ikke avgjørelser med rettslig virkning eller tilsvarende vesentlig påvirkning for den registrerte basert utelukkende på automatisert behandling, jf. GDPR art. 22.

Applikasjonen tilbyr beslutningsstøtte i form av bemanningsforslag, kompetanseanalyser og forslag til oppdragstildeling. Slike forslag er rangeringer og anbefalinger basert på registrerte opplysninger om kompetanse, sertifikater og erfaring. Endelig beslutning om bemanning, oppdragstildeling eller andre arbeidsrelaterte forhold fattes av menneskelig saksbehandler hos bedriftskunden.

Den registrerte har rett til å få vite at slik beslutningsstøtte benyttes, og kan henvende seg til arbeidsgiveren for å få nærmere informasjon om hvordan forslagene inngår i konkrete beslutninger.

10. Sikkerhet

Nortiq Lab har iverksatt tekniske og organisatoriske tiltak for å sikre tilstrekkelig sikkerhet i behandlingen, jf. GDPR art. 32. Tiltakene omfatter blant annet:

  • Kryptering av personopplysninger i transitt (TLS) og i hvile
  • Tofaktor-autentisering ved innlogging gjennom engangskode på e-post eller telefon
  • Tilgangsstyring etter prinsippet om minste nødvendige tilgang
  • Loggføring av tilgang og endringer i produksjonsmiljø
  • Sikkerhetskopiering
  • Rutiner for håndtering av personvernbrudd, herunder varsling til Datatilsynet innen 72 timer ved brudd som kan medføre risiko for de registrertes rettigheter og friheter, jf. GDPR art. 33

11. Informasjonskapsler

Skalde benytter informasjonskapsler i to kategorier:

Nødvendige informasjonskapsler kreves for innlogging, sesjonshåndtering, sikkerhet og handlekurv. Disse settes med hjemmel i ekomloven § 2-7b annet ledd og krever ikke samtykke.

Til denne kategorien hører også informasjonskapslene som settes av vår kundechat (Crisp). De binder en meldings-økt slik at en samtale kan følges opp, og brukes ikke til sporing eller profilering. Kundechatten lastes som en funksjonell tjeneste og er derfor ikke omfattet av samtykkevalget. Crisp er nærmere omtalt i mottakerlisten i punkt 6.

Statistikk- og analysekapsler settes bare etter at du har gitt samtykke gjennom samtykkebanneret på skalde.no, og slik sporing kjøres ikke før samtykke er gitt. Samtykket kan trekkes tilbake når som helst gjennom samtykkebanneret eller ved å slette informasjonskapsler i nettleseren. Hvilken analyseleverandør som benyttes, fremgår av mottakerlisten i punkt 6.

12. Endringer

Personvernerklæringen kan endres ved behov, herunder ved bruk av nye leverandører eller endring i behandlingen. Vesentlige endringer kommuniseres på registrert e-postadresse eller i applikasjonen. Gjeldende versjon ligger til enhver tid på skalde.no/personvern.

13. Kontakt

Henvendelser knyttet til personvern rettes til:

Nortiq Lab AS
Organisasjonsnummer: 837 393 302
E-post: support@skalde.no

Klager rettes til Datatilsynet, Postboks 458 Sentrum, 0105 Oslo, eller via datatilsynet.no.

14. Versjonshistorikk

VersjonDatoEndringer
1.02026-05-06Første versjon
1.12026-06-16La til One.com, Google (Places API) og Umami i mottakerlisten. Oppdaterte Brevo til e-post og SMS. Gjorde AI-omtalen funksjonsdekkende og leverandør-nøytral, inkludert lesing av opplastede dokumenter. Dekket innkommende support-e-post og telefonnummer brukt til SMS.
1.22026-06-16Byttet kundevendt kontaktadresse til support@skalde.no i kontaktblokkene og i instruksen for utøvelse av GDPR-rettigheter.
1.32026-06-16Gjorde AI-rollen funksjonsbasert (databehandler for bedriftens ansattdata, behandlingsansvarlig for privat profil og egne formål) og koblet rettslig grunnlag til rollen (art. 6 og art. 28). La til avsnitt om kilder til opplysningene (3.6) og særlige kategorier (3.7). Skrev cookie-avsnittet samtykkestyrt og leverandør-nøytralt.
1.42026-06-18Rettet verifiserte leverandørfakta i mottaker-tabellen (punkt 6) og overføringsgrunnlag (punkt 7): Anthropic Ireland Limited med SCC og 30 dagers retensjon, OpenAI Ireland Ltd, One.com A/S med tredjelandsoverføring via One.com India, Render i Oregon, Vercel i USA med SCC, Stripe Payments Europe Ltd som databehandler og selvstendig behandlingsansvarlig med overføring til Stripe LLC, Google Cloud EMEA Limited, Brevo (Sendinblue SAS), Umami Cloud cookieless uten personopplysninger, og cron-job.org som lagrer serverrespons. La til at Google Places kalles fra nettleseren.
1.52026-07-03La til Crisp (kundechat) i mottakerlisten (punkt 6) og som funksjonell informasjonskapsel i punkt 11. Crisp IM SAS er databehandler, all data i EU (meldingsdata Nederland, plugin-data Tyskland), ingen tredjelandsoverføring.

Be om sletting eller dataeksport

I henhold til GDPR art. 17 kan du be om sletting av personopplysningene dine, og etter art. 20 kan du be om en kopi av dataene vi har lagret om deg. Send inn skjemaet under, så behandler vi forespørselen så raskt som mulig.

Vi bruker e-posten for å bekrefte forespørselen og kontakte deg om utfallet.