Personvernerklæring

Oken er behandlingsansvarlig for behandlingen av personopplysninger som beskrevet i denne personvernerklæringen. Har du spørsmål om vår behandling av personopplysninger, kan du kontakte oss på kontakt@oken.no.

Denne personvernerklæringen gjelder for all bruk av nettstedet oken.no og tilhørende tjenester levert av Oken (heretter kalt «tjenesten»). Erklæringen beskriver hvilke personopplysninger vi samler inn, hvordan de behandles, hvem de deles med, og hvilke rettigheter du har som bruker.

Ved å opprette en konto og bruke tjenesten, bekrefter du at du har lest og forstått denne personvernerklæringen.

Vi behandler følgende kategorier av personopplysninger:

Kontoinformasjon

Navn og e-postadresse som du oppgir ved registrering via Clerk autentisering. Denne informasjonen er nødvendig for å opprette og administrere din brukerkonto.

Forsikringsdokumentdata

Innhold som ekstraheres fra forsikringsdokumenter du laster opp i PDF-format. Dette kan inkludere forsikringstype, dekningsomfang, premier, forsikringsselskap, forsikringsnummer, egenandeler, vilkårsdetaljer og andre opplysninger som fremkommer av dokumentene.

Særlige kategorier av personopplysninger

Forsikringsdokumenter kan inneholde helseopplysninger, for eksempel knyttet til behandlingsforsikring, kritisk sykdom-dekning eller uføreforsikring. Slike opplysninger regnes som særlige kategorier av personopplysninger etter GDPR artikkel 9, og behandles kun med ditt eksplisitte samtykke. Du gir dette samtykket gjennom en eksplisitt godkjenning første gang du laster opp dokumenter i tjenesten. Du kan når som helst trekke tilbake samtykket via Datainnstillinger i profilen din, eller ved å kontakte oss på kontakt@oken.no. Etter analyse kan dokumenter også bli indeksert (embedded) for søk, slik at du kan stille spørsmål om innholdet via AI-chatten. Denne indekseringen skjer automatisk dersom du har aktivert «Automatisk søkbar» i Datainnstillinger, men du kan også gjøre det manuelt per dokument. Indekserte data brukes kun for å besvare dine egne spørsmål og deles ikke med andre brukere. Dersom du har aktivert «Finn skjulte unntak» i Datainnstillinger, gjøres et eget, ekstra AI-kall etter at hovedanalysen er ferdig. I dette kallet sendes vilkårsteksten på nytt til OpenAI for å identifisere uvanlige eller kostbare unntak i polisen. Det er én ekstra forespørsel per dokument, og resultatene (inkludert de aktuelle sitatene fra vilkårene) lagres kryptert hos oss. OpenAI er samme underdatabehandler som for hovedanalysen, ingen ny tredjepart kobles inn. Funksjonen er valgfri og avslått som standard.

Bruksdata

Teknisk informasjon som samles inn automatisk, inkludert IP-adresse, nettlesertype og -versjon, tidspunkt for besøk, og sider besøkt i tjenesten.

Vi samler inn personopplysninger på følgende måter:

• Direkte fra deg: Kontoinformasjon som du oppgir ved registrering og innlogging.
• Fra opplastede dokumenter: Forsikringsdata som ekstraheres fra PDF-dokumenter du laster opp via AI-analyse.
• Fra Clerk: Autentiseringsdata som håndteres av vår identitetsleverandør Clerk for sikker innlogging og kontohåndtering.
• Automatisk innsamling: Bruksdata som samles inn via nettleseren din når du besøker og bruker tjenesten.

Vi behandler personopplysninger for følgende formål:

• Analysere forsikringsdokumenter med AI for å gi deg en strukturert og oversiktlig fremstilling av dine forsikringer.
• Gi deg en personlig forsikringsoversikt med innsikt og anbefalinger basert på dine opplastede dokumenter.
• Sammenligne forsikringer på tvers av selskaper og dekninger slik at du lettere kan ta informerte valg.
• Tilby AI-basert chat om dine forsikringer (Spør Oken), slik at du raskt kan finne svar i dine egne dokumenter.
• Administrere din brukerkonto, inkludert autentisering, innlogging og profilhåndtering.
• Forbedre og videreutvikle tjenesten basert på aggregert og anonymisert bruksdata.
• Utarbeide anonymisert markedsstatistikk og innsikt om forsikringsmarkedet. Slik data kan deles med tredjeparter (f.eks. forsikringsselskaper), men inneholder aldri identifiserbare personopplysninger.
• Oppfylle rettslige forpliktelser, herunder krav etter personvernlovgivningen og regnskapslovgivningen.

Behandlingen av personopplysninger er basert på følgende rettslige grunnlag etter personvernforordningen (GDPR):

Vår berettigede interesse i å forbedre tjenesten er vurdert opp mot dine personvernrettigheter. Vi bruker kun aggregerte og anonymiserte data til dette formålet, for eksempel generell prisutvikling, fordeling av dekningstyper og markedstrender. Ingen enkeltbrukere kan identifiseres fra slike data, og vi vurderer at dette ikke har vesentlig innvirkning på ditt personvern.

Bruk av AI i tjenesten

Oken bruker OpenAI (GPT-modeller) som underdatabehandler for å analysere forsikringsdokumenter du laster opp. Formålet er å ekstrahere strukturert informasjon fra dine forsikringsbrev og -vilkår, slik at du får en oversiktlig presentasjon av dine forsikringsdekninger.

Hva som sendes til OpenAI

Når du laster opp et forsikringsdokument, ekstraheres teksten fra PDF-filen. Denne teksten sendes til OpenAIs API for analyse. Merk at forsikringsdokumenter ofte inneholder personopplysninger som navn, adresse og eventuelt fødselsnummer — disse vil være del av teksten som sendes til OpenAI. Vi sender ikke kontoinformasjon (som brukernavn eller e-postadresse) separat til OpenAI utover det som måtte fremgå av selve dokumentteksten.

OpenAIs bruk av data

OpenAI bruker ikke data mottatt via API-kall til å trene sine modeller. Dette er i henhold til OpenAIs API Data Usage Policy, som fastslår at data sendt via API ikke benyttes til modellopplæring med mindre kunden eksplisitt samtykker til dette. Vi har ikke gitt slikt samtykke.

Nøyaktighet og verifikasjon

AI-genererte resultater kan inneholde feil, unøyaktigheter eller manglende informasjon. Resultatene er ment som et hjelpemiddel og skal ikke erstatte grundig gjennomgang av originaldokumentene. Du bør alltid verifisere AI-genererte resultater mot dine originale forsikringsdokumenter før du tar beslutninger basert på informasjonen.

Automatiserte beslutninger

Det tas ingen automatiserte beslutninger med rettsvirkning eller tilsvarende betydelig virkning for deg i henhold til GDPR artikkel 22. AI-analysen gir deg informasjon og innsikt, men ingen beslutninger fattes automatisk på dine vegne.

Du kan når som helst be om manuell gjennomgang av AI-genererte resultater ved å kontakte oss på kontakt@oken.no.

Vi deler personopplysninger med et begrenset antall underdatabehandlere som er nødvendige for å levere tjenesten. Det er inngått databehandleravtaler med alle underleverandører.

• OpenAI, LLC — AI-analyse av forsikringsdokumenter (USA, godkjent under EU-US Data Privacy Framework)
• Clerk, Inc. — Autentisering og håndtering av brukerkontoer (USA, godkjent under EU-US Data Privacy Framework)

Vi deler per i dag ikke dine personopplysninger med tredjeparter utover underdatabehandlerne nevnt ovenfor. I fremtiden kan Oken tilby tjenester der anonymiserte og aggregerte markedsdata deles med forsikringsselskaper, men kun til det beste for brukeren. Priser og andre sensitive detaljer fra dine forsikringer vil ikke bli delt med forsikringsselskaper. Deling av identifiserbare personopplysninger med tredjeparter vil aldri skje uten ditt eksplisitte samtykke, i henhold til GDPR Art. 6(1)(a).

Enkelte av våre underdatabehandlere er lokalisert i USA. Overføring av personopplysninger til USA skjer i samsvar med EU-US Data Privacy Framework (DPF), et rammeverk godkjent av EU-kommisjonen som sikrer at dine data får samme beskyttelsesnivå som innenfor EU/EØS. Der leverandører ikke er sertifisert under DPF, benyttes EUs standardkontraktsklausuler (SCCs) som overføringsgrunnlag.

Vi oppbevarer personopplysninger kun så lenge det er nødvendig for formålet de ble samlet inn for, eller så lenge vi er rettslig forpliktet til det.

• Kontodata (navn, e-post): Beholdes så lenge kontoen din er aktiv. Ved sletting av konto slettes kontodataene innen 30 dager.
• Forsikringsdokumenter og AI-analyser: Beholdes så lenge kontoen din er aktiv. Du kan når som helst slette individuelle dokumenter og tilhørende analyser. Ved sletting av konto slettes alle dokumenter og analyser.
• Bruksdata: Anonymiseres etter 12 måneder. Anonymiserte data kan brukes til statistiske formål på ubestemt tid.

Etter sletting fjernes dataene permanent fra våre systemer og kan ikke gjenopprettes.

Vi tar sikkerheten til dine personopplysninger på alvor og har iverksatt følgende tekniske og organisatoriske tiltak for å beskytte dine data:

• Kryptering av data under overføring ved bruk av TLS (Transport Layer Security) og kryptering av data ved lagring.
• Sensitive felter (fødselsnummer, ekstrahert dokumenttekst og indekserte tekstutdrag for AI-chat) krypteres på feltnivå i databasen med AES-256-GCM, slik at de er uleselige selv ved direkte tilgang til databasen.
• Tilgangskontroll og autentisering håndtert via Clerk, med støtte for sikre innloggingsmetoder.
• Databaser med begrenset tilgang, der kun autoriserte systemer og personell har tilgang til personopplysninger.
• Regelmessig gjennomgang og oppdatering av sikkerhetstiltak for å ivareta et høyt beskyttelsesnivå.

Etter personvernforordningen (GDPR) har du følgende rettigheter knyttet til behandlingen av dine personopplysninger:

• Rett til innsyn (Art. 15): Du har rett til å få bekreftet om vi behandler dine personopplysninger, og i så fall få tilgang til opplysningene og informasjon om behandlingen.
• Rett til retting (Art. 16): Du har rett til å få uriktige personopplysninger om deg rettet uten ugrunnet opphold.
• Rett til sletting (Art. 17): Du har rett til å få dine personopplysninger slettet under visse forutsetninger, for eksempel når opplysningene ikke lenger er nødvendige for formålet.
• Rett til begrensning av behandling (Art. 18): Du har rett til å kreve begrensning av behandlingen under visse omstendigheter, for eksempel dersom du bestrider riktigheten av opplysningene.
• Rett til dataportabilitet (Art. 20): Du har rett til å motta dine personopplysninger i et strukturert, alminnelig brukt og maskinlesbart format, og til å overføre opplysningene til en annen behandlingsansvarlig.
• Rett til å protestere (Art. 21): Du har rett til å protestere mot behandling basert på berettiget interesse, inkludert profilering.
• Rett til å trekke tilbake samtykke: Der behandlingen er basert på samtykke, kan du når som helst trekke dette tilbake via Datainnstillinger i profilen din, eller ved å kontakte oss. Tilbaketrekking påvirker ikke lovligheten av behandling som allerede har funnet sted.
• Rett til å klage til tilsynsmyndigheten: Du har rett til å klage til Datatilsynet (datatilsynet.no) dersom du mener at vår behandling av dine personopplysninger er i strid med personvernlovgivningen.

For å utøve dine rettigheter, send en e-post til kontakt@oken.no. Vi vil besvare henvendelsen din innen 30 dager. Det er gratis å utøve dine rettigheter, med mindre forespørselen er åpenbart grunnløs eller overdreven.

Oken bruker kun nødvendige informasjonskapsler (cookies) for å sikre at tjenesten fungerer korrekt.

• Autentiseringsinformasjonskapsler: Satt av Clerk for å holde deg innlogget og håndtere din sesjon sikkert. Disse er nødvendige for at tjenesten skal fungere.
• Vi bruker ingen analyse-, markedsførings- eller tredjepartsinformasjonskapsler.

Nødvendige informasjonskapsler krever ikke samtykke i henhold til ekomloven (lov om elektronisk kommunikasjon), da de er strengt nødvendige for å levere tjenesten du har bedt om.

Tjenesten er ikke rettet mot personer under 18 år som brukere, og personer under 18 kan ikke opprette egen konto. Foresatte kan registrere opplysninger om barn i sin profil, for eksempel som medforsikrede på familiens forsikringer. Disse opplysningene behandles på lik linje med øvrige personopplysninger og dekkes av denne personvernerklæringen.

Dersom en person under 18 år likevel har opprettet konto uten gyldig samtykke fra foresatte, vil kontoen og tilhørende data bli slettet uten ugrunnet opphold. Hvis du er foresatt og oppdager dette, ber vi deg kontakte oss på kontakt@oken.no.

Vi kan oppdatere denne personvernerklæringen fra tid til annen for å gjenspeile endringer i vår databehandlingspraksis, tjenestens funksjonalitet eller gjeldende lovgivning.

Ved vesentlige endringer vil vi varsle deg via e-post til adressen knyttet til din konto, eller gjennom en tydelig melding i tjenesten. Vi oppfordrer deg til å gjennomgå erklæringen jevnlig.

Fortsatt bruk av tjenesten etter at endringer er varslet, anses som aksept av den oppdaterte personvernerklæringen. Dersom du ikke godtar endringene, kan du slette kontoen din.

Dersom du har spørsmål om denne personvernerklæringen eller vår behandling av personopplysninger, kan du kontakte oss:

• E-post: kontakt@oken.no

Dersom du mener at vår behandling av personopplysninger er i strid med personvernlovgivningen, har du rett til å klage til Datatilsynet. Mer informasjon finner du på datatilsynet.no.