Personvernerklæring

Sist oppdatert: 16. september 2025

Diri AS tar personvern på alvor. Denne personvernerklæringen beskriver hvordan vi behandler personopplysninger når vi leverer våre tjenester, drifter nettsiden vår og gjennomfører andre aktiviteter som innebærer behandling av personopplysninger.

Vi følger gjeldende personvernlovgivning, inkludert EUs personvernforordning (GDPR) og den norske personopplysningsloven.

1. Hvem vi er

Diri AS (org.nr. 925 336 556) har hovedkontor på Gjøvik, Norge.
Vi leverer en SaaS-plattform for risikostyring og compliance, samt tilhørende tjenester.

Kontaktinformasjon:

E-post: contact@diri.ai eller privacy@diri.no (i forbindelse med personvern)
Telefon: +47 400 00 343
Postadresse: Diri AS, Studievegen 16, 2815 Gjøvik

2. Når denne erklæringen gjelder

Denne erklæringen gjelder for:

Brukere av våre nettsider og applikasjoner (inkl. app.diri.ai)
Kontaktpersoner hos kunder, leverandører og samarbeidspartnere
Personer vi har kontakt med i salg- og markedsføringsprosesser
Jobbsøkere
Alle andre vi samhandler med når vi opptrer som behandlingsansvarlig.
‍

Når vi behandler personopplysninger på vegne av kunder i vår SaaS-plattform, opptrer vi som databehandler. Kunden er da behandlingsansvarlig, og forholdet reguleres av en egen databehandleravtale.

3. Hvordan vi behandler personopplysninger

a) Når vi er behandlingsansvarlig

Vi er behandlingsansvarlig for personopplysninger i følgende sammenhenger:

Bruk av nettsiden
Vi samler inn data om bruk av nettsiden (bl.a. via Google Analytics og Hubspot) for å forbedre brukeropplevelsen, svare på henvendelser og tilpasse innhold.
Opplysningene kan omfatte IP-adresse, enhetsinformasjon og bruksmønstre.
Salg og markedsføring
Vi behandler kontaktinformasjon (navn, e-post, telefon, selskap/organisasjon) for å drive kundedialog, sende relevant informasjon og oppfølging. Utsendelse av elektronisk markedsføring krever samtykke.
Rekruttering
Når du søker jobb hos oss, behandler vi opplysningene du gir i søknaden, inkludert CV, kontaktinformasjon, utdanning og erfaring. I enkelte tilfeller kan det være aktuelt å behandle særlige kategorier data (f.eks. helseinformasjon eller fagforeningsmedlemskap) dersom du selv oppgir dette.
Leverandør- og samarbeidsforhold
Vi behandler kontaktopplysninger til leverandører og samarbeidspartnere for å håndtere kontraktsforhold, fakturering og kommunikasjon.

b) Når vi er databehandler

Når du eller din virksomhet bruker vår plattform (app.diri.ai), behandler vi personopplysninger på vegne av kunden. Dette kan inkludere:

Opprettelse og administrasjon av brukere (navn, e-post, telefonnummer, brukernavn, IP-adresser).
Varslinger og kundeservice.
Lagring og drift av kundedata i tjenesten.
‍

Vi følger alltid kundens instruksjoner og den inngåtte databehandleravtalen.

4. Behandlingsgrunnlag

Vi behandler personopplysninger basert på:

Samtykke (GDPR art. 6.1.a), f.eks. for nyhetsbrev og enkelte rekrutteringsprosesser.
Avtale (GDPR art. 6.1.b), når behandlingen er nødvendig for å levere en tjeneste eller oppfylle en kontrakt.
Rettslig forpliktelse (GDPR art. 6.1.c), f.eks. ved regnskapsføring.
Berettiget interesse (GDPR art. 6.1.f), f.eks. for å forbedre våre tjenester eller kommunisere med eksisterende kunder.

5. Hvilke opplysninger vi behandler

Typiske opplysninger vi kan behandle er:

Kontaktopplysninger (navn, e-post, telefon, adresse)
Jobbinformasjon (arbeidsgiver, stilling)
Brukerdata (innloggingsinformasjon, IP-adresse, aktivitetslogger)
Betalings- og faktureringsinformasjon (f.eks. ved abonnement)
Opplysninger du selv deler med oss i kommunikasjon, søknader eller via plattformen.
‍

Vi behandler som hovedregel ikke sensitive personopplysninger, med unntak av opplysninger som frivillig gis i rekrutteringsprosesser.

6. Dine rettigheter

Du har rett til å:

Få innsyn i hvilke opplysninger vi behandler om deg
Kreve retting av feilaktige opplysninger
Kreve sletting (med mindre vi er rettslig forpliktet til å lagre dataene)
Be om begrensning av behandling
Protestere mot behandling basert på berettiget interesse
Trekke tilbake samtykke når behandlingen bygger på det
Be om dataportabilitet der det er relevant
‍

Du kan utøve dine rettigheter ved å kontakte oss på privacy@diri.no. Du har også rett til å klage til Datatilsynet dersom du mener vi behandler opplysninger i strid med regelverket.

7. Hvor lenge vi lagrer opplysningene

Vi lagrer personopplysninger så lenge det er nødvendig for formålet de ble samlet inn for, eller så lenge vi er rettslig forpliktet.

Brukerdata i plattformen slettes senest 30 dager etter opphør av kundeforhold, med mindre annet er avtalt.
Markedsføringsdata slettes når du trekker tilbake samtykke.
Jobbsøknader slettes normalt etter avsluttet rekrutteringsprosess, med mindre du samtykker til videre lagring.

8. Hvordan vi beskytter opplysningene

Vi benytter organisatoriske, tekniske og fysiske sikkerhetstiltak for å beskytte personopplysninger. Dette inkluderer tilgangsstyring, kryptering, sikkerhetskopiering, logging og kontinuerlige sikkerhetsrevisjoner.

9. Deling og overføring av personopplysninger

a) Underdatabehandlere

Vi bruker underleverandører (underdatabehandlere) for å levere våre tjenester. Alle er underlagt databehandleravtaler. Per dags dato benytter vi:

Microsoft – datasenter og hosting (Norge/EU)
ProISP – datasenter (Norge/Danmark)
Tripletex – fakturering og prosjektstyring (Norge)
Mailjet – e-postutsendelser (EU)
Sleekplan – tilbakemeldingstjeneste (EU)
Stripe Payments Europe – betalingsløsning (EU)
Hubspot – CRM og helpdesk (EU)
Offcenit AS – sikkerhet, drift og vedlikehold av driftsinfrastruktur (Norge)

En oppdatert liste finnes alltid i vår databehandleravtale.

b) Overføring utenfor EU/EØS

Som hovedregel behandles data innenfor EU/EØS. Enkelte tjenester (f.eks. LinkedIn i rekruttering) kan innebære overføring til USA. Slike overføringer skjer da med gyldige overføringsmekanismer (f.eks. EUs standardkontrakter, SCC).

10. Endringer i denne erklæringen

Vi kan oppdatere personvernerklæringen ved behov. Nyeste versjon publiseres alltid på våre nettsider, med dato for siste endring. Dersom det gjøres vesentlige endringer, vil vi varsle deg særskilt.

11. Kontakt oss

Har du spørsmål om personvern eller ønsker å utøve dine rettigheter?
Kontakt oss på privacy@diri.no eller pr. post til adressen angitt ovenfor.

‍

5. What data may we process

We may process the following types of personal data:

Contact details (name, email, phone, address)
Employment-related information (employer, position)
User data (login details, IP address, activity logs)
Payment and billing details (e.g. subscription invoices)
Information you share with us in communications, applications, or via the platform
‍

We generally do not process sensitive personal data, except where you voluntarily provide such information in recruitment processes.

6. Your rights

You have the right to:

Access your personal data and obtain a copy
Request correction of inaccurate data
Request deletion of data (subject to legal retention requirements)
Restrict processing in certain circumstances
Object to processing based on legitimate interests
Withdraw consent at any time
Request data portability, where applicable
‍

You may exercise these rights by contacting us at privacy@diri.no. You also have the right to lodge a complaint with the Norwegian Data Protection Authority (Datatilsynet).

7. Data retention

We retain personal data only as long as necessary for the purposes for which it was collected, or as long as we are legally required.

User data in the platform is deleted no later than 30 days after termination of the customer relationship, unless otherwise agreed.
Marketing data is deleted when you withdraw your consent.
Job applications are normally deleted after the recruitment process ends, unless you consent to further storage.

8. Data security

We use organizational, technical, and physical security measures to protect personal data, including access control, encryption, backup routines, logging, and regular security audits.

9. Sharing and transfer of personal data

a) Sub-processors

We rely on sub-processors to deliver our services. All are subject to Data Processing Agreements. As of today, these include:

Microsoft – data centers and hosting (Norway/EU)
ProISP – data centers (Norway/Denmark)
Tripletex – invoicing and project management (Norway)
Mailjet – email notifications (EU)
Sleekplan – feedback service (EU)
Stripe Payments Europe – subscription billing (EU)
Hubspot – CRM and helpdesk (EU)
Offcenit AS – infrastructure security, operations, and maintenance (Norway)

An up-to-date list is always available in our Data Processing Agreement.

b) Transfers outside the EU/EEA

As a rule, personal data is processed within the EU/EEA. Some services (e.g. LinkedIn for recruitment) may involve transfers to the United States. In such cases, we use valid transfer mechanisms, such as the EU Standard Contractual Clauses (SCCs).

10. Changes to this Privacy Policy

We may update this Privacy Policy from time to time. The latest version will always be published on our website, with the date of last update. If significant changes are made, we will provide additional notice.

11. Contact us

If you have questions about privacy or wish to exercise your rights, please contact us at:

Email: privacy@diri.no
Post: Diri AS, Studievegen 16, 2815 Gjøvik

‍