Kort oppsummert

Vi har forsøkt å gjøre denne erklæringen så lettlest som mulig. Hvis du bare leser én ting, er det dette:

  • Vi er behandlingsansvarlig: Cloudline AS, org.nr. NO 898 795 802 MVA, Grønland 14, 5918 Frekhaug.
  • Vi samler bare inn det vi trenger for å levere kurset, ta betalt og holde tjenesten trygg.
  • Vi selger ikke personopplysninger til noen.
  • Du kan be om innsyn, retting eller sletting når som helst ved å skrive til support@teorikurs.no.
  • Tjenesten driftes på servere i EU (Frankrike og Nederland). Noen leverandører er amerikanske – se under for hvordan vi sikrer overføringen.

1. Hvem er behandlingsansvarlig?

Cloudline AS er behandlingsansvarlig for personopplysningene som behandles gjennom Teorikurs.no.

Selskap
Cloudline AS
Organisasjonsnummer
NO 898 795 802 MVA
Postadresse
Grønland 14, 5918 Frekhaug, Norge
Kontakt for personvernspørsmål
support@teorikurs.no

Cloudline AS har ikke utpekt et personvernombud. Henvendelser om personvern besvares direkte av selskapet via e-postadressen over.

2. Hvilke personopplysninger behandler vi?

Vi behandler ulike kategorier opplysninger avhengig av hvordan du bruker tjenesten:

Kontoopplysninger
E-postadresse, fornavn, etternavn, valgt språk og kontoinnstillinger (lydopplesing, tekstforklaringer, lesbarhetsmodus).
Innloggingsopplysninger
Passord, innloggingslenker og oppfriskingstokens lagres i en form som ikke kan tilbakeføres til opprinnelig tekst – verken vi eller noen som kommer over databasen kan lese dem direkte. Innloggingslenker er gyldige i maks 15 minutter; oppfriskingstokens i inntil 30 dager.
Kursfremdrift
Hvilke sider du har lest, hvilke oppgaver du har besvart, dine svar (riktig/feil), prøveresultater, sist besøkte side i hvert kurs.
Betalingsopplysninger
Ordrenummer, beløp, valuta, kjøpsdato, hvilket kurs/varighet som ble kjøpt, og en referanse til Stripe-betalingen. Vi ser aldri kortnummeret ditt – det håndteres av Stripe.
Tekniske opplysninger
IP-adresse, tidspunkt for handlinger, hendelser i revisjonsloggen (innlogging, betaling, tilgang gitt/trukket). Brukes for sikkerhet, feilsøking og oppfyllelse av lovkrav.
Tilbakemeldinger
Hvis du gir tilbakemelding på kurset: rating, kommentar, og om du har samtykket til at navnet ditt vises sammen med tilbakemeldingen.

3. Hvorfor behandler vi opplysningene?

Vi trenger et lovlig grunnlag for hver behandlingsaktivitet. Her er en oversikt:

FormålRettslig grunnlag (GDPR)
Opprette og drifte brukerkontoAvtale (art. 6(1)(b)) – nødvendig for å levere tjenesten
Lagre kursfremdrift og oppgavesvarAvtale (art. 6(1)(b))
Sende innloggingslenker, kvitteringer og driftsvarslerAvtale (art. 6(1)(b))
Tekst-til-tale-syntese av kursinnholdAvtale (art. 6(1)(b))
Behandle betalinger via StripeAvtale (art. 6(1)(b))
Oppbevare kvitteringer og regnskapsbilagRettslig forpliktelse (art. 6(1)(c)) – bokføringsloven § 13: 5 år
Revisjonslogg over innlogging, betaling og admin-handlingerBerettiget interesse (art. 6(1)(f)) – informasjonssikkerhet og svindelforebygging, jf. fortale 47 og 49
Loggføring av IP-adresse for feilsøking og misbruksbeskyttelseBerettiget interesse (art. 6(1)(f))
Publisering av tilbakemeldinger med navnSamtykke (art. 6(1)(a)) – avkryssing av samtykkeboks ved innsending

Vi behandler ingen særlige kategorier personopplysninger (helse, religion, politisk oppfatning osv.) og driver ingen automatisert beslutningstaking eller profilering med rettslig virkning for deg (GDPR art. 22).

4. Hvem deler vi opplysninger med?

Vi bruker noen utvalgte underleverandører («databehandlere») for å levere tjenesten. Hver av disse har en databehandleravtale med oss eller er bundet av tilsvarende vilkår. Vi selger aldri opplysninger til noen.

LeverandørFormålHva sendesSted
OVH SASHosting av applikasjon og databaseAlle data lagret i tjenestenFrankrike (EU)
Stripe Payments Europe Ltd.BetalingsbehandlingE-post, navn, ordreinformasjon; kortdetaljer skrives inn direkte hos StripeIrland (EU) + USA (DPF + SCC)
Postmark (ActiveCampaign LLC)Utsendelse av e-post (innloggingslenker, kvitteringer, varsler)E-postadresse, navn, innhold i e-postUSA (DPF + SCC)
Microsoft Azure (Speech Services + Blob Storage)Tekst-til-tale-syntese og mellomlagring av lydfilerKursteksten som skal leses opp og resulterende lydfiler (ingen brukerident sendes med)Nederland (West Europe)
Vipps MobilePay ASInnlogging via Vipps (valgfritt)Vipps-bruker-ID, e-post, navn, telefonnummerNorge (EØS)

Vi oppdaterer denne listen når den endres. Vesentlige endringer varsles på denne siden og, der det er relevant, per e-post.

5. Overføring til land utenfor EØS

Enkelte av underleverandørene over (Stripe, Postmark) er amerikanske selskaper. Overføring av personopplysninger til USA skjer under EU-US Data Privacy Framework (DPF) og som backup under EU-kommisjonens standardavtaler (Standard Contractual Clauses 2021/914 modul 2). Vi har i 2026 valgt å begrense bruken av amerikanske leverandører til det vi trenger for å drive tjenesten, og vi følger Datatilsynets vurderinger fortløpende. Hvis det rettslige grunnlaget for overføringen til USA endres, vil vi vurdere alternative leverandører.

6. Hvor lenge tar vi vare på opplysningene?

Vi tar bare vare på opplysninger så lenge det er nødvendig for formålet eller pålagt ved lov.

DatatypeOppbevaringstid
Konto- og profildataSå lenge kontoen er aktiv; slettes innen 30 dager etter sletteforespørsel
Kursfremdrift, oppgavesvar, prøveresultaterSlettes sammen med kontoen
Magic-link-tokensMaks 15 minutter; slettes ved bruk
Oppfriskingstokens (refresh tokens)30 dager fra utstedelse
Revisjonslogg (audit log)2 år, deretter automatisk slettet (standard IT-sikkerhetsperiode for etterforskning av hendelser)
Kvitteringer og ordrebilag5 år etter regnskapsårets utløp (bokføringsloven § 13)
Publiserte tilbakemeldingerInntil videre som del av tjenesten; bruker-ID anonymiseres ved kontosletting
Server- og tilgangslogger30 dager

7. Dine rettigheter

Etter personvernforordningen har du følgende rettigheter når vi behandler personopplysninger om deg:

Rett til innsyn
Du kan be om kopi av personopplysningene vi har om deg.
Rett til retting
Du kan be om at uriktige eller ufullstendige opplysninger blir rettet.
Rett til sletting («retten til å bli glemt»)
Du kan be om at vi sletter opplysningene dine. Vær oppmerksom på at vi ikke kan slette kvitteringer som vi er pålagt å oppbevare etter bokføringsloven – disse blir derimot kun beholdt i den lovpålagte perioden.
Rett til begrensning
Du kan be om at vi midlertidig slutter å bruke opplysningene mens en innsigelse behandles.
Rett til dataportabilitet
Du kan be om en maskinlesbar kopi av opplysningene du har gitt oss.
Rett til å protestere
Du kan protestere mot behandling som er basert på berettiget interesse.
Rett til å trekke tilbake samtykke
Når behandling er basert på samtykke (for eksempel publisering av navn i tilbakemeldinger), kan du trekke det tilbake når som helst. Tilbaketrekking påvirker ikke lovligheten av behandling som fant sted før.
Rett til å klage til Datatilsynet
Hvis du mener vi behandler opplysningene dine i strid med personvernreglene, kan du klage til Datatilsynet (datatilsynet.no).

For å bruke noen av disse rettighetene, skriv til support@teorikurs.no. Vi svarer normalt innen en uke.

8. Informasjonskapsler (cookies)

Vi setter både strengt nødvendige cookies og — etter ditt samtykke — cookies for analyse og markedsføring. Du kan endre samtykket ditt når som helst via «Administrer samtykke» nederst på siden.

Nødvendige cookies har behandlingsgrunnlag i ekomloven § 2-7b (tjenestens funksjon). Analyse- og markedsføringscookies krever samtykke etter samme bestemmelse, som du gir oss via samtykkebanneret.

Samtykket ditt lagres i cookien tk_consent i 180 dager, deretter spør vi på nytt.

9. Barn og unge

Teorikurset er først og fremst rettet mot personer som er gamle nok til å starte førerkortopplæring. I praksis er det vanlig å begynne å lese teori rundt 15 år (trafikalt grunnkurs og moped/lett MC) og fra 16 år for bil. Etter personopplysningsloven § 5 må barn under 13 år ha samtykke fra foresatte for å bruke informasjonssamfunnstjenester. Tjenesten retter seg ikke mot barn under 13 år, og vi samler ikke bevisst inn personopplysninger fra barn under 13 år. Hvis vi blir gjort oppmerksomme på at vi har slike opplysninger uten samtykke, sletter vi dem.

10. Sikkerhet

Vi bruker tekniske og organisatoriske tiltak for å beskytte opplysningene dine: TLS på all trafikk, lagring av passord og engangstokens i en form som ikke kan tilbakeføres til opprinnelig tekst, automatisk rotasjon av oppfriskingstokens med tilbakekalling ved mistanke om misbruk, sterk innholdssikkerhetspolicy (Content Security Policy), revisjonslogg av sikkerhetsrelevante handlinger og regelmessig oppdatering av avhengigheter.

Brudd på sikkerheten

Hvis det skjer et personvernbrudd som kan medføre risiko for dine rettigheter og friheter, vil vi varsle Datatilsynet innen 72 timer etter at vi er blitt oppmerksomme på det, og varsle deg direkte hvis risikoen er høy.

11. Endringer i denne erklæringen

Vi kan oppdatere denne personvernerklæringen. Vesentlige endringer varsles på denne siden og, hvis det er praktisk mulig, per e-post. Dato for siste oppdatering vises øverst på siden.

12. Kontakt oss

Spørsmål om personvern eller forespørsel om innsyn, retting eller sletting kan rettes til support@teorikurs.no. Du kan også klage til Datatilsynet via deres nettsider på datatilsynet.no.