Personvernerklæring

Sist oppdatert: desember 2025

Denne personvernerklæringen forklarer hvordan Ampliro AB («Ampliro», «vi», «vår» eller «oss») samler inn, bruker, utleverer og beskytter personopplysninger i forbindelse med Diplino-plattformen og tjenestene som er tilgjengelige på diplino.com («Tjenesten»).

Ampliro AB er et selskap registrert i Sverige (reg. no. 559488-1517), med registrert adresse Warfvinges väg 31, 112 51 Stockholm, Sweden.

Denne personvernerklæringen gjelder for:

  • Personer som oppretter og bruker Diplino-kontoer (f.eks. administratorer, instruktører, utstedere),
  • Personer hvis opplysninger vises på sertifikater eller akkreditiver utstedt via Diplino (f.eks. kursdeltakere, ansatte),
  • Besøkende på vårt nettsted og tilknyttede webapplikasjoner.

For personer bosatt i California, se også vår separate Personvernerklæring for California.


1. Hvem er ansvarlig for opplysningene dine?

Rollen til Ampliro og organisasjonen din kan variere avhengig av hvordan du samhandler med Diplino:

  • Organisasjonskunder (f.eks. selskaper, opplæringstilbydere)
    Når organisasjonen din bruker Diplino til å utstede sertifikater, er organisasjonen din vanligvis behandlingsansvarlig for sertifikatrelaterte personopplysninger. Ampliro opptrer som databehandler på vegne av organisasjonen din, i samsvar med vår Databehandleravtale (DPA).

  • Plattformbrukere og nettstedbesøkende
    For visse typer opplysninger (f.eks. fakturering, kontoadministrasjon, sikkerhetslogger, våre egne tjenesteanalyser og kommunikasjon) opptrer Ampliro som selvstendig behandlingsansvarlig.

Hvis du har fått utstedt et sertifikat av en organisasjon som bruker Diplino (for eksempel arbeidsgiveren din eller en opplæringstilbyder), er denne organisasjonen vanligvis ditt primære kontaktpunkt for spørsmål om hvordan opplysningene dine brukes i forbindelse med dette sertifikatet.


2. Opplysninger vi samler inn

De nøyaktige personopplysningene vi samler inn, avhenger av hvordan du bruker Tjenesten, men kan omfatte følgende kategorier:

2.1 Kontoopplysninger (administratorer, instruktører, utstedere)

Når du eller organisasjonen din oppretter en konto for å bruke Diplino, kan vi samle inn:

  • Navn
  • E-postadresse
  • Passord (lagres kun i hashet form)
  • Organisasjonsnavn og rolle (f.eks. admin, instruktør)
  • Foretrukket språk og innstillinger
  • Kontoaktivitet og innloggingstidspunkter

2.2 Sertifikat- og akkreditivdata

Når sertifikater eller akkreditiver utstedes via Diplino, kan vi behandle:

  • Navn på sertifikatmottaker
  • Mottakerens e-postadresse (hvis oppgitt)
  • Selskaps-/organisasjonsnavn
  • Stillingsbetegnelse eller rolle (hvis inkludert på sertifikatet)
  • Informasjon om kurs, opplæring eller program
  • Utstedelses- og utløpsdatoer
  • Unike sertifikatidentifikatorer og verifikasjonsdata
  • Kryptografiske signaturer og hasher som brukes til å verifisere sertifikaters ekthet

Omfanget og typen opplysninger som inngår i et sertifikat, bestemmes av den utstedende organisasjonen (den Behandlingsansvarlige).

2.3 Bruks- og tekniske data

Når du besøker diplino.com eller bruker Tjenesten, samler vi automatisk inn visse opplysninger, slik som:

  • IP-adresse og omtrentlig plassering (basert på IP)
  • Nettlesertype og -versjon, enhetstype, operativsystem
  • Henvisende URL-er og viste sider
  • Dato og klokkeslett for tilgang
  • Loggfiler og hendelsesdata (f.eks. innloggingsforsøk, konfigurasjonsendringer)
  • Informasjon om hvordan du samhandler med Tjenesten (f.eks. funksjoner brukt, klikk, navigasjonsmønstre)

Disse opplysningene hjelper oss med å drifte, sikre og forbedre Tjenesten.

Vi bruker Plausible Analytics for å forstå hvordan besøkende bruker nettstedet vårt og for å forbedre innholdet, strukturen, ytelsen og brukeropplevelsen vår. Plausible Analytics gir personvernvennlig, aggregert nettstedsstatistikk, slik som sidevisninger, trafikkilder, populære sider, enhetstype, nettleser, land og generelle bruksmønstre.

Plausible Analytics bruker ikke cookies og sporer ikke besøkende på tvers av ulike nettsteder. Vi bruker denne informasjonen til å evaluere og forbedre nettstedet og tjenestene våre basert på vår berettigede interesse i å opprettholde og forbedre vår digitale tilstedeværelse.

2.4 Kommunikasjons- og supportdata

Hvis du kontakter oss (for eksempel via e-post eller supportkanaler), kan vi behandle:

  • Navn og kontaktopplysninger
  • Organisasjon og rolle
  • Innholdet i meldingen din og eventuell oppfølging
  • Metadata knyttet til supportsaker (f.eks. tidspunkter, status)

2.5 Betalings- og faktureringsopplysninger

Hvis du kjøper et betalt abonnement:

  • Vi kan samle inn faktureringskontaktopplysninger (navn, e-post, organisasjon, adresse).
  • Betalinger behandles av tredjeparts betalingsleverandører (f.eks. kortbehandlere). Vi lagrer ikke fullstendige betalingskortnumre i Diplino. Begrensede transaksjonsidentifikatorer og statusinformasjon kan lagres for fakturering og regnskap.

Vi samler ikke bevisst inn sensitive personopplysninger (f.eks. helseopplysninger, særlige kategorier av opplysninger) gjennom Diplino og ber kunder om ikke å laste opp slike opplysninger til Tjenesten.


3. Hvordan vi bruker opplysningene dine

Vi bruker personopplysninger til følgende formål og på de rettslige grunnlagene angitt i GDPR:

3.1 For å levere og drifte Tjenesten

(Rettslig grunnlag: Oppfyllelse av en avtale, artikkel 6 nr. 1 bokstav b; berettigede interesser, artikkel 6 nr. 1 bokstav f.)

  • Opprettelse og administrasjon av brukerkontoer og organisasjoner.
  • Utstedelse, lagring og administrasjon av sertifikater og akkreditiver.
  • Tilby funksjonalitet for sertifikatverifikasjon.
  • Muliggjøre rollebasert tilgang og administrasjon på organisasjonsnivå.

3.2 For å kommunisere med deg

(Rettslig grunnlag: Oppfyllelse av en avtale; berettigede interesser.)

  • Sende viktige tjenesterelaterte meldinger (f.eks. kontovarsler, sikkerhetsvarsler, driftsoppdateringer).
  • Svare på supportforespørsler, henvendelser og tilbakemeldinger.
  • Gi introduksjon og informasjon som er relevant for din bruk av Diplino.

Vi kan også sende valgfrie produktoppdateringer eller informative e-poster. Der loven krever det, vil vi be om ditt samtykke, og du kan når som helst melde deg av.

3.3 For å opprettholde sikkerhet og forhindre misbruk

(Rettslig grunnlag: Berettigede interesser; rettslige forpliktelser.)

  • Beskytte kontoer mot uautorisert tilgang og misbruk.
  • Implementere hastighetsbegrensning og beskyttelse mot brute-force-angrep.
  • Overvåke og logge tilgang for å oppdage mistenkelig aktivitet.
  • Respondere på og undersøke sikkerhetshendelser.

3.4 For å forbedre og utvikle Tjenesten

(Rettslig grunnlag: Berettigede interesser.)

  • Analysere bruksmønstre og ytelse for å forbedre stabilitet og brukervennlighet.
  • Utvikle nye funksjoner og forbedre eksisterende funksjonalitet.
  • Aggregere og anonymisere data for intern statistikk og produktutvikling.

3.5 For å overholde rettslige og regulatoriske forpliktelser

(Rettslig grunnlag: Rettslige forpliktelser, artikkel 6 nr. 1 bokstav c.)

  • Regnskap, skatt og selskapsmessig journalføring.
  • Svare på lovlige forespørsler fra offentlige myndigheter.
  • Håndheve våre Tjenestevilkår og andre juridiske rettigheter.

Der vi baserer oss på samtykke (f.eks. visse cookies eller markedsføringskommunikasjon, der det kreves), kan du når som helst trekke tilbake samtykket ditt ved å bruke mekanismene som er beskrevet i denne erklæringen eller i det relevante grensesnittet.


4. Cookies og lignende teknologier

Vi bruker cookies og lignende teknologier for å drifte og sikre Tjenesten, huske preferansene dine og forstå hvordan nettstedet vårt brukes. For detaljert informasjon om hvilke typer cookies vi bruker og valgene dine, se vår separate Cookieerklæring.


5. Hvordan vi deler opplysningene dine

Vi selger ikke personopplysningene dine.

Vi kan dele personopplysninger under følgende begrensede omstendigheter:

5.1 Tjenesteleverandører (underdatabehandlere)

Vi engasjerer nøye utvalgte tredjeparts tjenesteleverandører for å hjelpe oss med å drifte Diplino, slik som:

  • Leverandører av hosting og skyinfrastruktur
  • Leverandører av autentisering og databaser (f.eks. Supabase)
  • Leverandører av sikkerhet og CAPTCHA/anti-misbruk (f.eks. Cloudflare Turnstile)
  • Betalingsbehandlere og faktureringsplattformer
  • Verktøy for logging, overvåking og support

Disse leverandørene opptrer som databehandlere eller underdatabehandlere og kan kun behandle personopplysninger etter våre dokumenterte instrukser, for de formålene vi angir, og i henhold til kontraktsmessige forpliktelser som sikrer egnet personvern og sikkerhet.

En oppdatert liste over sentrale underdatabehandlere finnes i vår Liste over underdatabehandlere.

5.2 Organisasjonen din og andre brukere

Hvis du bruker Diplino som del av en organisasjon:

  • Andre autoriserte brukere i den organisasjonen (f.eks. administratorer, instruktører) kan se navnet ditt, e-postadressen din og rollen din i organisasjonens Diplino-miljø.
  • Når et sertifikat utstedes, kan visse opplysninger (f.eks. navnet ditt, sertifikatdetaljer) være synlige for:
    • Den utstedende organisasjonen,
    • Deg som mottaker, og
    • Tredjeparter som verifiserer sertifikatet, avhengig av organisasjonens konfigurasjon.

5.3 Profesjonelle rådgivere og myndigheter

Vi kan utlevere personopplysninger til:

  • Profesjonelle rådgivere (f.eks. advokater, regnskapsførere) der det er nødvendig for berettigede forretningsformål.
  • Politi, tilsynsmyndigheter eller domstoler der vi er rettslig forpliktet til å gjøre det, eller der utlevering er nødvendig for å beskytte våre rettigheter, vår eiendom eller vår sikkerhet, eller rettighetene, eiendommen eller sikkerheten til våre brukere eller tredjeparter.

5.4 Virksomhetsoverdragelser

Ved fusjon, oppkjøp, omstrukturering eller salg av hele eller deler av virksomheten vår kan personopplysninger overføres som del av denne transaksjonen. Vi vil sikre at enhver slik mottaker er bundet av egnede forpliktelser til konfidensialitet og personvern.


6. Internasjonale overføringer

Vi er basert i Sverige, og mange av systemene våre er hostet innenfor EU/EØS. Noen av tjenesteleverandørene våre kan behandle personopplysninger i land utenfor EU/EØS eller Storbritannia.

Når personopplysninger overføres til et land som ikke sikrer et tilstrekkelig beskyttelsesnivå for personopplysninger, implementerer vi egnede garantier, slik som:

  • EU-kommisjonens standard personvernbestemmelser (SCCs), og/eller
  • Tilsvarende overføringsmekanismer som er anerkjent etter gjeldende personvernlovgivning.

Du kan kontakte oss for ytterligere informasjon om de spesifikke overføringsmekanismene vi baserer oss på.


7. Datasikkerhet

Vi tar sikkerhet svært alvorlig og implementerer egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert tilgang, tap, misbruk eller endring. Disse tiltakene omfatter blant annet:

  • Kryptering

    • Kryptering av data under overføring (f.eks. TLS 1.3 eller tilsvarende).
    • Kryptering av data i ro i databaser og lagringssystemer.
    • Bruk av Ed25519 kryptografiske signaturer for sertifikatintegritet og verifikasjon.
  • Tilgangskontroll

    • Rollebasert tilgangskontroll (RBAC) og prinsipper om minste privilegium.
    • Sterk autentisering for administrativ tilgang.
    • Segregering mellom miljøer (f.eks. utvikling, staging, produksjon).
  • Overvåking og logging

    • Audit-logging av relevante konto- og sertifikatrelaterte handlinger.
    • Mekanismer for hastighetsbegrensning og beskyttelse mot brute-force-angrep.
    • Overvåkingssystemer for uvanlig eller mistenkelig aktivitet.
  • Organisatoriske tiltak

    • Konfidensialitetsforpliktelser for personale og kontraktører.
    • Sikkerhets- og personvernopplæring for relevant personell.
    • Interne retningslinjer for hendelseshåndtering, databehandling og lagring.

Selv om vi bestreber oss på å beskytte personopplysningene dine ved bruk av bransjestandard praksis, kan ingen systemer garanteres å være 100% sikre. Vi forbedrer kontinuerlig sikkerhetskontrollene våre i tråd med beste praksis og utviklende trusler.


8. Lagring av data

Vi lagrer personopplysninger bare så lenge det er nødvendig for formålene beskrevet i denne Erklæringen eller som kreves ved lov. Generelt:

  • Konto- og organisasjonsdata
    Lagres i kontoens levetid og i en rimelig periode deretter (f.eks. for backup, tvisteløsning og etterlevelsesformål).

  • Sertifikat- og akkreditivdata
    Lagres vanligvis i den perioden sertifikater kan måtte verifiseres, som er knyttet til levetiden for organisasjonens bruk av Diplino og eventuelle gjeldende rettslige eller kontraktsmessige krav. De nøyaktige lagringsperiodene bestemmes av den utstedende organisasjonen og våre avtaler med dem.

  • Audit-logger
    Lagres i omtrent 90 dager, med mindre en lengre periode kreves av hensyn til sikkerhet, hendelsesundersøkelse, juridiske forhold eller etterlevelse.

  • Hastighetsbegrensnings- og sikkerhetshendelsesdata
    Lagres i omtrent 7 dager, med mindre de trengs lenger for å undersøke eller avhjelpe mistenkelig aktivitet.

Vi kan lagre anonymiserte eller aggregerte data (som ikke kan brukes til å identifisere en person) i lengre perioder for statistiske og analytiske formål.


9. Dine rettigheter etter GDPR og andre lover

Hvis du befinner deg i EU/EØS, Storbritannia eller en tilsvarende jurisdiksjon, har du visse rettigheter i forbindelse med personopplysningene dine etter gjeldende personvernlovgivning, herunder:

  • Rett til innsyn
    Å få bekreftelse på om vi behandler personopplysningene dine, og i så fall få tilgang til disse opplysningene og visse opplysninger.

  • Rett til retting
    Å få uriktige eller ufullstendige personopplysninger rettet eller supplert.

  • Rett til sletting («retten til å bli glemt»)
    Å be om sletting av personopplysningene dine under visse omstendigheter, for eksempel der de ikke lenger er nødvendige for formålene de ble samlet inn for.

  • Rett til begrensning av behandling
    Å be om at vi begrenser behandlingen av personopplysningene dine i visse situasjoner.

  • Rett til dataportabilitet
    Å motta personopplysninger du har gitt oss i et strukturert, alminnelig anvendt og maskinlesbart format, og å overføre disse opplysningene til en annen behandlingsansvarlig der det er teknisk mulig.

  • Rett til å protestere
    Å protestere, av grunner knyttet til din særlige situasjon, mot behandling basert på våre berettigede interesser (herunder profilering). Du har også rett til når som helst å protestere mot behandling av personopplysningene dine for direkte markedsføring.

  • Rett til å trekke tilbake samtykke
    Der vi baserer oss på samtykke, kan du når som helst trekke tilbake dette samtykket. Dette vil ikke påvirke lovligheten av behandling basert på samtykke før det ble trukket tilbake.

Utøvelse av rettighetene dine

Hvis du er administrator eller bruker av Diplino, kan du ha mulighet til å få tilgang til og oppdatere noen av personopplysningene dine direkte i kontoinnstillingene dine.

Ellers, eller hvis du er sertifikatmottaker, kan du utøve rettighetene dine ved å kontakte:

  • Organisasjonen din (sertifikatets utsteder), der de opptrer som behandlingsansvarlig; og/eller
  • Ampliro, ved bruk av kontaktopplysningene i avsnitt 11.

Vi vil svare på forespørselen din i samsvar med gjeldende lover og, der det er nødvendig, i samarbeid med organisasjonen din.

Klager

Du har også rett til å klage til en personvernmyndighet. I Sverige er dette:

Integritetsskyddsmyndigheten (IMY)
www.imy.se

Du kan også kontakte tilsynsmyndigheten i landet der du bor eller arbeider.


10. Tredjepartstjenester

Vi baserer oss på tredjepartstjenester for å drifte Diplino, slik som:

  • Supabase – autentisering, database og backend-infrastruktur.
  • Cloudflare Turnstile – sikkerhets- og anti-misbruksfunksjonalitet (CAPTCHA-lignende).
  • Betalingsbehandlere – for å håndtere abonnementsbetalinger og fakturering.
  • Andre leverandører av hosting, logging og overvåking som angitt i vår Liste over underdatabehandlere.

Disse leverandørene behandler personopplysninger kun for formålene angitt av Ampliro og i henhold til kontrakt. Deres egne personvernerklæringer kan også gjelde når de opptrer som selvstendige behandlingsansvarlige for visse aktiviteter (for eksempel betalingsbehandling).

Vi oppfordrer deg til å lese personvernerklæringene til disse tredjepartene for mer informasjon om deres praksis for håndtering av data.


11. Barns personvern

Tjenesten er ikke rettet mot barn under 16 år, og vi samler ikke bevisst inn personopplysninger direkte fra barn under 16 uten egnet samtykke fra en forelder, verge eller ansvarlig organisasjon (slik som en skole eller opplæringstilbyder).

Hvis du mener at vi har samlet inn personopplysninger fra et barn på en måte som ikke er i samsvar med gjeldende lover, ber vi deg kontakte oss, og vi vil treffe egnede tiltak for å undersøke og, om nødvendig, slette opplysningene.


12. Endringer i denne personvernerklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen for å gjenspeile endringer i:

  • Tjenesten vår eller vår forretningspraksis,
  • Tredjepartstjenestene vi bruker, eller
  • Gjeldende rettslige eller regulatoriske krav.

Når vi gjør vesentlige endringer, vil vi oppdatere datoen «Sist oppdatert» øverst på denne siden og kan gi ytterligere varsel (for eksempel via Tjenesten eller via e-post, der det er hensiktsmessig).

Vi oppfordrer deg til å gjennomgå denne personvernerklæringen jevnlig for å holde deg informert om hvordan vi behandler personopplysninger.


13. Kontakt oss

Hvis du har spørsmål om denne personvernerklæringen, vår praksis for data eller rettighetene dine, kan du kontakte oss på:

  • E-post: privacy@diplino.com
  • Postadresse:
    Ampliro AB
    Attn: Privacy / Diplino
    Warfvinges väg 31
    112 51 Stockholm
    Sweden