Personvernerklæring

Sist oppdatert: 16. mai 2026

MedEksamen er behandlingsansvarlig for personopplysninger som samles inn via medeksamen.no. Vi tar personvernet ditt på alvor og behandler personopplysninger i samsvar med personopplysningsloven og EUs personvernforordning (GDPR). Foretaksinformasjon er angitt i vilkårene våre.

1. Hvilke opplysninger samler vi inn?

Når du oppretter konto og bruker MedEksamen, samler vi inn følgende kategorier av personopplysninger:

• Identifikasjon: Fornavn og etternavn.
• Kontaktopplysninger: E-postadresse og telefonnummer.
• Pålogging: Passordet ditt lagres aldri i klartekst. Vi lagrer kun en kryptografisk hash (bcrypt eller tilsvarende moderne algoritme) som ikke lar seg reversere.
• Studieopplysninger: Universitet (UiO, UiB, UiT, utlandet eller annet) og hvilket eksamenstidspunkt du sikter mot (f.eks. Vår 2026, Høst 2026).
• Samtykker: Tidspunkt, IP-adresse og nettleseragent ved aksept av vilkår og personvernerklæring, samt eventuelt markedsføringssamtykke. Dette er lovpålagt bevis under GDPR art. 7 nr. 1.
• Betalingsinformasjon: Betalingstransaksjoner behandles av Stripe og Vipps. Vi lagrer ikke kortnummer, kontonummer eller mobilnummer brukt til betaling; dette håndteres direkte av betalingsleverandøren i henhold til PCI DSS-standarden og finansforetaksloven. Vi mottar fra leverandøren en kunde-ID, abonnementsstatus, fornyelsesdato og oppsigelsesinformasjon.
• Bruksdata: Hvilke MCQ-spørsmål du har besvart, hvilke svaralternativer du valgte, om svaret var riktig, din egenrapporterte sikkerhetsgrad, og hvor lang tid du brukte. Disse lagres i din brukerkonto i vår database og brukes til fremgangsvisning og feilbank.
• Sikkerhetsspor (audit log): Innlogginger, mislykkede innloggingsforsøk, passordendringer, profilendringer og abonnementsendringer logges med tidspunkt, IP-adresse og nettleseragent. Brukes til kontosikkerhet og tilsynsformål.
• Tekniske data: IP-adresse, nettlesertype og enhetsinformasjon for å sikre at tjenesten fungerer korrekt og for å motvirke misbruk.

2. Hvorfor behandler vi opplysningene?

• Levere tjenesten: Gi deg tilgang til MCQ-treneren, lagre fremgangen din, og personalisere dashboardet (f.eks. nedtelling til din eksamen).
• Kontoadministrasjon: Bekrefte e-postadressen din, sende deg innloggings- og passordlenker, og gjøre det mulig å gjenopprette tilgangen.
• Betaling: Gjennomføre og administrere abonnementet ditt via Stripe.
• Sikkerhet: Beskytte kontoen din mot uautorisert tilgang og misbruk.
• Kommunikasjon: Sende deg kvittering, viktig informasjon om tjenesten, og eventuell kundeservice. Markedsføring sendes kun hvis du har gitt eget samtykke.
• Forbedring: Analysere anonymisert eller aggregert bruksdata for å forbedre spørsmålskvalitet og brukeropplevelse.

Behandlingsgrunnlaget er avtale (GDPR art. 6 nr. 1 bokstav b) for levering av tjenesten og betaling, berettiget interesse (art. 6 nr. 1 bokstav f) for sikkerhet og forbedring, og samtykke (art. 6 nr. 1 bokstav a) for markedsføring.

3. Deling med tredjeparter

Vi deler ikke personopplysningene dine med tredjeparter for markedsføring. Vi bruker følgende databehandlere som behandler data på våre vegne under databehandleravtale:

• Supabase: Databasebehandling og brukerautentisering. Hosting i EU (Stockholm, eu-north-1).
• Stripe: Betalingsbehandling for kort. Stripe er sertifisert under EU-US Data Privacy Framework.
• Vipps: Betalingsbehandling for Vipps og gjentakende betaling (Vipps Recurring). Behandler navn, mobilnummer og transaksjonsdata. Hosting i Norge og EØS.
• Cloudflare: Hosting, innholdsleveranse og bot-beskyttelse (global, med EU-routing der mulig).
• Resend (eller tilsvarende e-postleverandør): Utsendelse av transaksjonelle e-poster (bekreftelse, passord-tilbakestilling, kvittering). Hosting i EU.
• Plausible Analytics: Personvernvennlig, cookieløs sidestatistikk. Hosting i EU (Frankfurt). Lagrer ikke IP-adresser eller personidentifiserbare data.

Vi har Databehandler-avtaler (DPA) med alle leverandørene ovenfor i samsvar med GDPR artikkel 28. Avtalene sikrer at personopplysninger kun behandles i henhold til instruksene våre og med nødvendig sikkerhet.

Cloudflare og Stripe er sertifisert under EU-US Data Privacy Framework (DPF). For øvrig dataoverføring til land utenfor EØS benyttes EUs Standard Contractual Clauses (SCC). Du kan lese mer om disse mekanismene på datatilsynet.no.

4. Lagring og sletting

Vi lagrer personopplysninger så lenge du har en aktiv konto eller abonnement.

• Du kan be om full sletting av kontoen når som helst ved å kontakte oss på [email protected]. Konto og tilhørende data slettes innen 30 dager.
• Etter sletting kan vi være lovpålagt å oppbevare visse data (f.eks. fakturadata i 5 år, jf. bokføringsloven § 13). Slike data er da kun tilgjengelig for regnskaps- og tilsynsformål.
• Sikkerhetsspor (audit log) oppbevares i inntil 12 måneder etter siste aktivitet, deretter slettes de eller anonymiseres.
• Vi bruker kryptert kommunikasjon (HTTPS/TLS 1.2+) og følger bransjestandard sikkerhetspraksis, inkludert hashing av passord, MFA-mulighet, og logging av tilgang til administrasjonsverktøy.

5. Dine rettigheter

Etter GDPR har du rett til å:

• Be om innsyn i hvilke personopplysninger vi har om deg
• Be om retting av feilaktige opplysninger
• Be om sletting av dine opplysninger
• Be om begrensning av behandlingen
• Protestere mot behandling basert på berettiget interesse
• Be om dataportabilitet (eksport av dine data i et maskinlesbart format)
• Trekke tilbake samtykke (f.eks. markedsføring) når som helst, uten at det påvirker tidligere behandling

For å utøve rettighetene dine, kontakt oss på [email protected]. Vi besvarer henvendelsen innen 30 dager.

6. Informasjonskapsler og lokal lagring

MedEksamen bruker:

• Sesjons-cookie (teknisk nødvendig) for å holde deg innlogget. Slettes når du logger ut eller etter inaktivitet.
• "Husk meg"-cookie (frivillig, settes kun hvis du krysser av "Husk meg på denne enheten") for å holde deg innlogget over lengre tid. Gyldig i inntil 30 dager.
• Vi setter ikke Google Analytics, Facebook Pixel eller andre sporings-cookies.
• Plausible Analytics (personvernvennlig, EU-hostet) brukes for å måle sidetrafikk. Plausible setter ingen cookies og lagrer ikke personidentifiserbare opplysninger. Aggregerte tall som sidevisninger, kilder og enheter samles inn på et anonymisert nivå. Tjenesten er GDPR-, PECR- og CCPA-kompatibel uten samtykke-banner. Mer info: plausible.io/privacy.

7. Markedsføring

Hvis du har krysset av for markedsføringssamtykke ved registrering, kan vi sende deg eksamensforberedelses-tips og oppdateringer om tjenesten på e-post. Du kan når som helst trekke tilbake samtykket ved å klikke "avmeld" i en e-post fra oss, eller ved å kontakte oss. Avmelding påvirker ikke transaksjonelle e-poster (kvittering, varsler om abonnementet).

8. Endringer

Vi kan oppdatere denne personvernerklæringen ved behov. Vesentlige endringer varsles via e-post eller på nettsiden. Siste oppdateringsdato vises øverst. Hvis endringene krever fornyet samtykke, ber vi om det aktivt før de trer i kraft.

9. Kontakt

MedEksamen
E-post: [email protected]
Foretaksinformasjon: se vilkår.