ItaruTilbake til forsiden
GDPR

GDPR og databehandling

Sist oppdatert: 11. februar 2026

Itaru er forpliktet til å beskytte dine personopplysninger i samsvar med EUs personvernforordning (GDPR) og norsk personopplysningslov. Denne siden gir en oversikt over hvordan vi etterlever regelverket.

Behandlingsansvarlig

Inspirable AS

Org.nr. 819 439 532

Jotunveien 4B, 1185 Oslo

E-post: hei@itaru.no

Prinsipper for databehandling

All behandling av personopplysninger i Itaru følger GDPRs grunnprinsipper:

  • Lovlighet, rettferdighet og åpenhet: Vi behandler data med gyldig rettslig grunnlag og informerer deg tydelig.
  • Formålsbegrensning: Data samles kun inn for spesifiserte og legitime formål.
  • Dataminimering: Vi samler kun inn data som er nødvendig for å levere tjenesten.
  • Riktighet: Vi sørger for at data holdes oppdatert og korrekt.
  • Lagringsbegrensning: Data slettes når det ikke lenger er behov for dem.
  • Integritet og konfidensialitet: Vi beskytter data med passende tekniske og organisatoriske tiltak.

Behandling av offentlige anskaffelsesdata

Itaru henter og analyserer offentlig tilgjengelige data fra Doffin (Norges nasjonale kunngjøringsdatabase for offentlige anskaffelser), TED (Tenders Electronic Daily) og andre åpne kilder. Denne behandlingen er en sentral del av tjenesten vår, og vi ønsker å være åpne om hvordan dette fungerer.

Hvilke data behandler vi?

Vi behandler opplysninger fra offentlige kunngjøringer, inkludert:

  • Kunngjøringsinformasjon: tittel, beskrivelse, frister, CPV-koder og kontraktsverdi.
  • Oppdragsgiverinformasjon: navn på offentlige organer og etater.
  • Kontaktopplysninger: navn, e-postadresser og telefonnumre til kontaktpersoner oppgitt i kunngjøringene.
  • Tildelingsinformasjon: hvilke leverandører som har blitt tildelt kontrakter.
  • Historiske data: tidligere kunngjøringer og tildelinger for analyse og trendvurdering.

Rettslig grunnlag

Behandlingen av offentlige anskaffelsesdata skjer på følgende rettslige grunnlag:

  • Berettiget interesse (GDPR art. 6(1)(f)): Itaru har en berettiget interesse i å gjøre offentlig tilgjengelige anskaffelsesdata mer tilgjengelig for å effektivisere offentlige innkjøpsprosesser og hjelpe underleverandører med å finne relevante prosjekter. Vi har gjennomført en interesseavveining (Legitimate Interest Assessment) som dokumenterer at denne interessen ikke overstyrer de registrertes grunnleggende rettigheter.
  • Åpne data-rammeverket: Dataene hentes via Doffins offisielle API, i tråd med offentleglova, PSI-direktivet (Directive 2019/1024) og Norsk lisens for offentlige data (NLOD), som tillater gjenbruk av offentlige data – inkludert til kommersielle formål.

Kontaktopplysninger fra kunngjøringer

Offentlige kunngjøringer inneholder navn og kontaktinformasjon til personer involvert i anskaffelsesprosessen. Itaru behandler denne informasjonen for å gi brukerne innsikt i hvem som er involvert i relevante prosjekter. Vi gjør følgende for å ivareta personvernet:

  • Dataminimering: Vi viser kun kontaktinformasjon som allerede er offentliggjort i kunngjøringene, og samler ikke inn ytterligere personopplysninger.
  • Ingen utvidede personprofiler: Itaru sammenstiller anskaffelsesdata fra offentlige kilder for å gi innsikt i prosjekter og kontraktkjeder – dette er en kjernefunksjon i tjenesten. Vi bygger derimot ikke utvidede personprofiler utover det som fremgår av kunngjøringsinformasjonen. Vi beriker ikke personopplysninger med data fra sosiale medier, kontaktdatabaser eller andre tredjepartskilder.
  • Formålsbegrensning: Kontaktopplysningene brukes utelukkende til å gi innsikt i anskaffelsesprosesser – ikke til markedsføring, profilering eller videresalg.
  • Tilgangskontroll: Detaljert kontaktinformasjon er kun tilgjengelig for innloggede brukere med aktivt abonnement.
  • Rett til protest: Personer som er oppført i kunngjøringer kan når som helst be om at deres kontaktopplysninger fjernes fra Itarus tjeneste ved å kontakte hei@itaru.no. Vi behandler slike henvendelser innen 14 dager.

Avgrensning mot dataaggregeringstjenester

Itaru sammenstiller offentlige anskaffelsesdata fra flere kilder for å gi brukerne innsikt i prosjekter, kontraktkjeder og markedstrender. Denne sammenstillingen av prosjektdata er kjernen i tjenesten. Vi skiller imidlertid tydelig mellom sammenstilling av prosjektinformasjon og oppbygging av personprofiler. Itaru oppretter ikke søkbare personregistre og beriker ikke personopplysninger med data fra kilder utenfor kunngjøringene (jf. EU-domstolens avgjørelse i C-446/21 Schrems v. Meta om aggregering av personopplysninger fra flere kilder). Kontaktinformasjon behandles utelukkende i tilknytning til den anskaffelsesprosessen den er publisert i, og brukes ikke til å bygge profiler av enkeltpersoner på tvers av kunngjøringer.

Informasjonsplikt (GDPR art. 14)

Ettersom vi henter personopplysninger fra offentlige kilder og ikke direkte fra de registrerte, oppfyller vi informasjonsplikten etter GDPR artikkel 14 gjennom denne personvernerklæringen. Opplysningene hentes fra Doffin (doffin.no), som er driftet av Direktoratet for forvaltning og økonomistyring (DFØ), samt fra TED (ted.europa.eu) og andre offentlige registre. Kategoriene av personopplysninger som behandles er begrenset til kontaktinformasjon oppgitt i offentlige kunngjøringer (navn, stilling, e-post og telefon).

Databehandlere

Følgende tredjeparter behandler data på vegne av Itaru:

Supabase Inc.

Database, autentisering og lagring av brukerdata. Databehandleravtale (DPA) inngått.

Vercel Inc.

Hosting av applikasjonen og kjøring av serverside-funksjoner. Databehandleravtale (DPA) inngått.

Anthropic PBC

AI-analyse og scoring av anbudsdata. Brukerdata sendes ikke til modelltrening. Databehandleravtale (DPA) inngått.

Resend Inc.

Utsendelse av transaksjons-e-post og daglige varsler. Databehandleravtale (DPA) inngått.

Stripe Inc.

Betalingsbehandling og abonnementshåndtering. Stripe er selvstendig behandlingsansvarlig for betalingsdata. Databehandleravtale (DPA) inngått.

Overføring til tredjeland

Flere av våre databehandlere er etablert i USA. Overføring av personopplysninger til USA skjer med grunnlag i EU-US Data Privacy Framework. Alle databehandlere har bekreftet sertifisering under rammeverket, noe som sikrer et tilstrekkelig beskyttelsesnivå i henhold til GDPR artikkel 45.

Tekniske og organisatoriske tiltak

  • All dataoverføring skjer over krypterte forbindelser (TLS/HTTPS).
  • Tilgangskontroll med rollebasert sikkerhet (Row-Level Security) i databasen.
  • API-nøkler og hemmeligheter lagres sikkert i miljøvariabler, aldri i kildekode.
  • Regelmessig gjennomgang av tilganger og sikkerhetsrutiner.
  • Anonymisert webanalyse uten bruk av informasjonskapsler (Umami Analytics).

Dine rettigheter

Som registrert har du rett til:

Innsyn

Be om full oversikt over personopplysninger vi behandler om deg.

Retting

Kreve at uriktige eller ufullstendige opplysninger rettes.

Sletting

Be om at personopplysninger slettes når det ikke lenger er grunnlag for behandling.

Dataportabilitet

Motta dine data i et strukturert, maskinlesbart format.

Begrensning

Be om at behandlingen av dine opplysninger begrenses.

Innsigelse

Protestere mot behandling basert på berettiget interesse.

Henvendelser rettes til hei@itaru.no. Vi besvarer alle henvendelser innen 30 dager.

Klage til tilsynsmyndighet

Dersom du mener at vi behandler personopplysninger i strid med regelverket, har du rett til å klage til Datatilsynet:

Datatilsynet

Postboks 458 Sentrum, 0105 Oslo

Telefon: 22 39 69 00

Nettside: datatilsynet.no