Personvernerklæring

Torma Solutions (org.nr 933 581 594) er behandlingsansvarlig for personopplysningene som behandles i Cortai.

Spørsmål, innsyns- og slettebegjæringer sendes til kontakt@cortai.no.

• E-postadresse for innlogging via magisk lenke (Supabase Auth).
• Bedriftstilknytning: organisasjonsnummeret du slår opp, samt offentlige data fra Brønnøysundregistrene og Regnskapsregisteret.
• Spørreundersøkelsessvar du fyller ut under onboarding.
• Generert rapport fra Cortai basert på dataene over.
• Chat-meldinger til AI-direktøren, inkludert avledede «lærte fakta» som hjelper Cortai å huske kontekst på tvers av samtaler.
• Bruksstatistikk (antall meldinger, token-bruk, tidsstempler) for å håndheve plan-grenser og forbedre tjenesten.

• Levere tjenesten — generere rapporten og kjøre AI-direktøren. Rettslig grunnlag: oppfyllelse av avtale (GDPR art. 6 nr. 1 b).
• Forbedre kvaliteten på din egen rapport og chat — for eksempel ved å huske detaljer du har delt. Rettslig grunnlag: berettiget interesse (GDPR art. 6 nr. 1 f).
• Sikkerhet og misbruksforebygging — logger og bruksstatistikk. Rettslig grunnlag: berettiget interesse.

Vi bruker ikke innholdet i samtalene dine til markedsføring, profilbygging på tvers av kunder, eller trening av språkmodeller.

• Supabase — database og autentisering. All lagring skjer i regionen eu-north-1 (Stockholm, EU/EØS).
• Anthropic (USA) — språkmodellen som driver AI-direktøren. I henhold til Anthropics API-vilkår blir forespørsler og svar ikke brukt til å trene språkmodeller. Data kan oppbevares hos Anthropic i opptil 30 dager for sikkerhets- og misbruksformål, og slettes deretter. Overføring til USA skjer under EU-godkjente standardkontraktklausuler (SCC).
• Vercel (USA) — hosting og serverless-kjøring. Overføring til USA skjer under EU-godkjente standardkontraktklausuler (SCC) og EU-US Data Privacy Framework.
• Brønnøysundregistrene er en offentlig kilde, ikke en databehandler. Vi henter bare data; vi sender ingen personopplysninger dit.

• Konto, rapport og chat-historikk: så lenge kontoen er aktiv. Slettes innen 30 dager etter sletteforespørsel.
• Bedriftsdata fra Brreg: caches i 30 dager; regnskapsdata i opptil 90 dager før de hentes på nytt.
• Bruksstatistikk per måned: nullstilles ved hvert månedsskifte. Aggregerte logger kan oppbevares i opptil 12 måneder for sikkerhet og fakturering.

Du har rett til å be om:

• Innsyn i opplysningene vi har om deg
• Retting av feilaktige opplysninger
• Sletting («retten til å bli glemt»)
• Begrensning av behandlingen
• Dataportabilitet (utlevering i maskinlesbart format)
• Å trekke tilbake samtykke der behandlingen bygger på det

Send forespørsel til kontakt@cortai.no. Mener du at vi behandler opplysninger i strid med regelverket, kan du klage til Datatilsynet.

All trafikk mellom deg og Cortai går over TLS. Data lagres kryptert i Supabase. Tilgang i appen er beskyttet av radnivå-sikkerhet (RLS) — du kan kun se dine egne data. Tjenestenøkler og service-roller brukes utelukkende på server-siden og er aldri eksponert i nettleseren.

Vi kan oppdatere denne erklæringen. Vesentlige endringer varsles på e-post. Datoen øverst viser når erklæringen sist ble revidert.

Torma Solutions
Org.nr 933 581 594
kontakt@cortai.no