Kontakt oss
Juridisk · GDPR & EU AI Act

Personvernerklæring
for People's Group

Sist oppdatert: 22. april 2026

Denne erklæringen beskriver hvilke personopplysninger People's Doctor ApS behandler i forbindelse med People's Group, hvorfor vi behandler dem, hvordan vi beskytter dem, og hvilke rettigheter du har. Den dekker besøk på peoplesgroup.com og kunders bruk av Group-plattformen som suveren AI-infrastruktur.

1 Hvem vi er

People's Group er en infrastruktur-merkevare for regulerte bransjer, drevet av People's Doctor ApS, Teglværksvej 2, 5600 Faaborg, Danmark (CVR 40930809).

Du kan nå oss på:

2 Roller — behandlingsansvarlig og databehandler

People's Group opptrer i to roller, avhengig av hvilke data som behandles:

Som behandlingsansvarlig for data vi behandler fra besøkende på peoplesgroup.com: kontaktskjema, supportkorrespondanse, fakturering av Group-kunder og drifts-logger.

Som databehandler for Group-kunder — typisk banker, sykehus, forsvar og offentlig sektor — som driver egne systemer på Labs AI-infrastruktur. Kunden er behandlingsansvarlig for sluttbrukerdata, og People's Doctor ApS behandler data utelukkende etter kundens dokumenterte instruks under en databehandleravtale (GDPR Art. 28).

Denne erklæringen dekker rollen som behandlingsansvarlig. For kunders sluttbrukerdata vises det til inngått databehandleravtale.

3 Hvilke data vi behandler

Vi behandler følgende kategorier av data fra deg som besøkende eller kunde:

  • Kontaktskjema: navn, arbeidsmail, organisasjon, rolle, bransje og din melding til oss.
  • Tekniske metadata: referrer, språkpreferanse, tidsstempel, eventuelle UTM-parametere.
  • Sesjonsdata: anonymisert sesjons-ID og skjemaets flow-tid (elapsed_ms) for bot-beskyttelse.
  • Analytics (kun ved samtykke): anonymisert bruksdata via cookie-basert tracking.
  • Kundedata (for avtaler): kontaktperson, fakturaadresse, CVR og betalingshistorikk.

Vi behandler ikke særlige kategorier av personopplysninger (GDPR Art. 9) gjennom nettstedet. Hvis en Group-kunde håndterer slike data gjennom infrastrukturen, reguleres det i databehandleravtalen.

4 Formål og rettsgrunnlag

Hver kategori av opplysninger behandles for et bestemt formål på et bestemt rettsgrunnlag:

  • Kontaktskjema — formål: besvare henvendelsen og følge opp kommersielt. Rettsgrunnlag: samtykke (GDPR Art. 6 nr. 1 bokstav a).
  • Tekniske metadata og sesjonsdata — formål: driftssikkerhet, bot-beskyttelse og dokumentasjon av tilgang. Rettsgrunnlag: berettiget interesse (GDPR Art. 6 nr. 1 bokstav f). Interesseavveining: behovet for å beskytte infrastruktur og brukere mot misbruk veier tyngre enn den enkelte besøkendes interesse i fullstendig fraværende logging.
  • Analytics — formål: forbedre nettstedet og dets innhold. Rettsgrunnlag: samtykke (GDPR Art. 6 nr. 1 bokstav a).
  • Kundedata — formål: oppfylle avtaleforpliktelser og bokføringsplikt. Rettsgrunnlag: kontraktsoppfyllelse (GDPR Art. 6 nr. 1 bokstav b) og rettslig forpliktelse (bokstav c), sammenholdt med den danske Bokføringsloven (5 års oppbevaring).

5 AI, automatisering og menneskelig kontroll

People's Group leverer infrastruktur — ikke beslutninger. Når en Group-kunde bygger AI-systemer på vår infrastruktur, er kunden ansvarlig for klassifiseringen under EU AI Act (Forordning (EU) 2024/1689) og for de nødvendige kontrollene, inkludert menneskelig kontroll (Art. 14) og risiko-vurdering (Art. 9).

For besøkende på peoplesgroup.com forekommer ingen automatisert beslutningstaking etter GDPR Art. 22. Kontaktskjemaet besvares manuelt av vårt team.

6 Ingen trening på kundedata

Vår AI-infrastruktur drives i inference-only-modus for kunder. Kundedata sendes aldri til eksterne AI-APIer — verken til OpenAI, Anthropic, Google eller andre tredjepartsleverandører — og brukes ikke til trening, fine-tuning eller modell-optimering, heller ikke i identifiserbar, anonymisert eller aggregert form.

Modelloppdateringer kommer fra eksterne, dokumenterte kilder og gjennomgår intern validering før de settes i produksjon.

7 Oppbevaring og sletting

Vi oppbevarer opplysninger kun så lenge det er nødvendig for formålet de er samlet inn for:

DatakategoriOppbevaringsperiode
Kontaktskjema (uten avtale)24 måneder fra mottak
Kontaktskjema (med avtale)Avtalens varighet + 5 år (Bokføringsloven)
Drifts-logger185 dager
Analytics-dataSlettes ved samtykke-tilbakekalling eller senest etter 26 måneder
Faktureringsdata5 år (Bokføringsloven)
Krypterte backupsInngår i ovennevnte perioder; sletteanmodninger reapplikeres på gjenopprettede backups

Sletting er teknisk ugjenkallelig etter oppbevaringsperioden. Anmodning om tidligere sletting rettes til support@peoplesdoctor.com.

8 Underdatabehandlere

Vi benytter underdatabehandlere i følgende kategorier:

  • Sky-hosting av peoplesgroup.com i EU-region.
  • AI-compute for Group-plattformen på dansk infrastruktur.
  • Skjema-håndtering på EU-hostet infrastruktur.

Oppdatert liste over spesifikke underdatabehandlere rekvireres fra support@peoplesdoctor.com. Kunder med databehandleravtale varsles om endringer med minst 30 dagers varsel.

9 Dataplassering

Kjerneinfrastrukturen i Group-plattformen — compute, lagring og AI-inferens for kundedata — kjører utelukkende på dansk infrastruktur. Kundedata forlater ikke EU.

Dette nettstedet (peoplesgroup.com) hostes hos en leverandør i EU-region. Data fra kontaktskjema passerer EU-hostet infrastruktur.

10 Overføringer utenfor EU/EØS

For Group-plattformens kjerne: ingen overføringer utenfor EU/EØS. Kundedata, AI-inferens og backups forblir på dansk infrastruktur.

For hostingen av dette nettstedet benyttes en leverandør med hovedvirksomhet utenfor EU, i EU-region. Det kan teoretisk forekomme overføring av drifts-metadata (ikke skjemadata) til USA gjennom leverandørens globale infrastruktur. Slik overføring er dekket av EUs standard kontraktsklausuler (SCC). Data fra kontaktskjema — som inneholder personopplysninger — behandles kun på EU-hostet infrastruktur.

11 Tekniske og organisatoriske sikkerhetstiltak

Vi har truffet de tiltakene som etter GDPR Art. 32 er passende for risikoen, med særlig skjerpede krav for regulerte bransjer:

Kryptering:

  • I transitt: TLS 1.2 eller nyere på all nettverkstrafikk.
  • I hvile: fulldisk-kryptering på databaseservere.
  • Backups: AES-256-kryptering på separat EU-lagring.

Tilgangskontroll:

  • Rollebasert tilgangskontroll (RBAC) med prinsippet om minst nødvendige rettigheter.
  • MFA/TOTP påkrevd for all privilegert tilgang.
  • VPN påkrevd for administrativ tilgang til produksjon.
  • Fire-øyne-prinsipp ved produksjons-endringer.

Overvåking og integritet:

  • File integrity monitoring på produksjons-noder.
  • Sentralt innsamlede systemlogger.
  • SHA-256-hashing av kritiske transaksjonslogger (immutable audit trail).

Organisatorisk:

  • Personalet har som utgangspunkt ikke tilgang til kundedata (no-access support-modell). Tilgang i konkrete support-situasjoner krever kundens forhåndsgodkjenning og dokumenteres.
  • Taushetserklæringer for alt personale med tilgang til produksjonsmiljøet.
  • Regelmessig sikkerhetstrening.

12 Revisjon og sertifisering

Våre kontroller er revidert etter ISAE 3000 Type 1. Rapporten er tilgjengelig for kunder og potensielle kunder på forespørsel under konfidensialitetsavtale.

13 Dine rettigheter

Du har følgende rettigheter etter GDPR. Hvilken vei din anmodning skal gå avhenger av om vi behandler dine opplysninger som behandlingsansvarlig (nettsted-besøk, kundekonto, fakturering) eller som databehandler (kundedata på Group-plattformen):

  • Innsyn (Art. 15): bekreftelse på om vi behandler opplysninger om deg, samt kopi av opplysningene.
  • Retting (Art. 16): få rettet uriktige opplysninger.
  • Sletting (Art. 17): få slettet opplysninger uten ugrunnet opphold når betingelsene i Art. 17 nr. 1 er oppfylt.
  • Begrensning (Art. 18): begrense vår behandling i konkrete situasjoner.
  • Dataportabilitet (Art. 20): få opplysninger utlevert i strukturert, alminnelig anvendt og maskinlesbart format.
  • Innsigelse (Art. 21): gjøre innsigelse mot behandling basert på berettiget interesse.
  • Tilbakekalling av samtykke (Art. 7 nr. 3): der behandling skjer på grunnlag av samtykke, kan samtykket trekkes tilbake med virkning fremover.

Slik utøver du rettighetene:

  • For kundedata på Group-plattformen (vi er databehandler): kontakt kunde-organisasjonen som har inngått avtalen.
  • For nettsted-besøk, kundekonto og fakturering (vi er behandlingsansvarlig): kontakt support@peoplesdoctor.com.

Vi svarer innen 30 dager, jf. GDPR Art. 12 nr. 3. Komplekse anmodninger kan forlenges med opptil to måneder med begrunnet varsel innen samme frist. Vi krever ikke gebyr, med mindre anmodningen er åpenbart grunnløs eller overdreven (Art. 12 nr. 5).

14 Sikkerhetsbrudd

Hvis et brudd på personopplysningssikkerheten oppstår:

  • Datatilsynet varsles innen 72 timer etter konstatering, jf. GDPR Art. 33.
  • Berørte kunder (behandlingsansvarlige) varsles så raskt som mulig — internt mål 48 timer fra konstatering.
  • Berørte registrerte varsles av den behandlingsansvarlige etter Art. 34, hvis bruddet sannsynligvis medfører høy risiko for deres rettigheter og friheter.

Sikkerhetshendelser kan rapporteres til support@peoplesdoctor.com.

15 Cookies og nettsted-tracking

peoplesgroup.com bruker for øyeblikket utelukkende strengt nødvendige cookies (sesjons-ID og språkpreferanse). Vi bruker ikke marketing-trackere, fingerprinting eller cross-site-tracking.

Ved fremtidig tilføyelse av analytics- eller marketingcookies innhentes samtykke via cookie-banner før slike cookies settes. Samtykket kan til enhver tid trekkes tilbake via «Cookie-innstillinger» nederst på siden.

16 Klage til Datatilsynet

Du kan klage til Datatilsynet hvis du mener at vår behandling av dine opplysninger strider mot personvern-reglene:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby, Danmark
Telefon: +45 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk

Du trenger ikke henvende deg til oss først, men vi oppfordrer til å gi oss muligheten til å finne en løsning før du klager.

17 Endringer til denne erklæringen

Vesentlige endringer kommuniseres til registrerte kunder via e-post minst 30 dager før ikrafttredelse. Mindre endringer (presiseringer, oppdaterte kontaktopplysninger) kan publiseres uten særskilt varsel.

Tidligere versjoner kan rekvireres via support@peoplesdoctor.com.