ladr.no

Personvernerklæring

Sist oppdatert: 31. mars 2026

1. Behandlingsansvarlig

ladr.no er en tjeneste levert av Ladr AS (org.nr. under registrering), med forretningsadresse i Norge. Ladr AS er behandlingsansvarlig for personopplysninger som beskrevet i denne personvernerklæringen. Tjenesten er underlagt norsk personopplysningslov og EUs personvernforordning (GDPR).

Kontakt: personvern@ladr.no

2. Hvilke opplysninger vi samler inn

Når du bruker tjenesten uten innlogging

Vi samler ikke inn personopplysninger fra deg når du bruker kalkulatorer, prissammenligninger eller kart uten å logge inn. Valg som bilmodell, prissone og favoritter lagres kun lokalt i nettleseren din (localStorage) og sendes ikke til våre servere.

Når du oppretter en konto

Vi samler inn følgende opplysninger:

  • E-postadresse (for innlogging og varsler)
  • Navn og profilbilde (fra Google-konto, hvis du velger Google-innlogging)
  • Innstillinger du lagrer (bilmodell, prissone, preferanser)
  • Ladelogger du registrerer (operatør, kWh, kostnad, dato)
  • Varsler du konfigurerer (prisgrenser, soner)

For bedriftskontoer

I tillegg til ovennevnte:

  • Organisasjonsnavn og organisasjonsnummer
  • Kjøretøyinformasjon (reg.nr, merke, modell)
  • Ladelogger per kjøretøy og sjåfør

Registreringsnummeroppslag

Når du taster inn et registreringsnummer, sender vi dette til Statens vegvesen (offentlig API) for å slå opp kjøretøydata. Registreringsnummeret lagres i en midlertidig hurtigbuffer (in-memory cache) i opptil 24 timer og slettes deretter automatisk. Det lagres ikke permanent i noen database. Formålet er utelukkende å identifisere riktig bilmodell for å beregne ladekostnader.

3. Rettslig grunnlag

  • Avtale (GDPR art. 6(1)(b)): Behandling av kontodata er nødvendig for å levere tjenesten du har registrert deg for.
  • Samtykke (GDPR art. 6(1)(a)): Analyse-informasjonskapsler og push-varsler brukes kun med ditt samtykke.
  • Berettiget interesse (GDPR art. 6(1)(f)): Vi bruker nødvendige informasjonskapsler for innlogging, grunnleggende funksjonalitet, og behandler anonymiserte prisdata for å forbedre tjenesten.

4. Informasjonskapsler (cookies)

Nødvendige informasjonskapsler

Disse krever ikke samtykke og er nødvendige for at tjenesten skal fungere:

  • authjs.session-token — Innloggingsøkt. Utløper når nettleseren lukkes eller etter 30 dager.
  • ladr-cookie-consent — Lagrer ditt samtykkevalg. Utløper etter 12 måneder.

Analyse-informasjonskapsler (valgfrie)

Brukes kun hvis du samtykker:

  • Vercel Web Analytics — Anonym besøksstatistikk (sidevisninger, referanser). Ingen personidentifiserende informasjon. Ingen tredjeparts-sporing.

Du kan når som helst endre ditt samtykke via «Endre samtykke»-knappen nederst på siden (i footeren).

5. Lokal lagring (localStorage)

Vi bruker nettleserens localStorage for å lagre dine valg lokalt (tema, bilmodell, favoritter). Disse dataene sendes ikke til våre servere og kan slettes ved å tømme nettleserdata.

6. Deling av opplysninger og databehandlere

Vi selger aldri dine personopplysninger. Vi deler data med følgende tredjeparter for å levere tjenesten:

  • Google (OAuth) — Hvis du velger Google-innlogging, deles innloggingsinformasjon via Googles OAuth 2.0-protokoll.
  • Statens vegvesen — Registreringsnummeroppslag (offentlig API, ingen persondata utover reg.nr sendes).
  • E-postleverandør (SMTP) — For innloggingslenker og prisvarsler (kun e-postadresse). Databehandleravtale er inngått med vår e-postleverandør.
  • Vercel — Hosting og infrastruktur. Vercel behandler forespørselsdata (IP-adresser, HTTP-headere) som en del av hosting. Databehandleravtale er inngått via Vercels DPA. Data kan behandles i EU-regionen og USA (Vercel er Privacy Shield-sertifisert og bruker EU-standardklausuler).

Viktig presisering: Mens vår database og primære infrastruktur er i Norge/EU, kan enkelte underleverandører (Vercel, Google) behandle begrensede deler av data i land utenfor EØS. I slike tilfeller er overføring sikret gjennom EU-standardklausuler (SCC) eller tilsvarende godkjente overføringsmekanismer i henhold til GDPR kapittel V.

7. Automatiserte avgjørelser

Vi bruker automatisert behandling i følgende tilfeller. Ingen av disse har rettsvirkning eller tilsvarende betydelig virkning for deg:

  • Ladescore: Beregner automatisk en poengsum (0–100) basert på dine registrerte ladeøkter. Poengsummen brukes kun for informasjonsformål og påvirker ikke tilgang til tjenester.
  • Prisanbefalinger: Rangerer operatører etter pris basert på din bilmodell og innstillinger. Rangeringen er fullstendig transparent (basert på offentlige priser).

8. Dine rettigheter

Etter GDPR har du rett til:

  • Innsyn (art. 15): Be om kopi av dine personopplysninger.
  • Retting (art. 16): Oppdatere feil i dine data via innstillinger.
  • Sletting (art. 17): Slette kontoen din og alle tilhørende data via Min side → Innstillinger → Slett konto. All data slettes permanent innen 30 dager.
  • Begrensning (art. 18): Be om at vi begrenser behandlingen av dine opplysninger, for eksempel mens en klage behandles.
  • Dataportabilitet (art. 20): Eksportere dine ladelogger som CSV via Statistikk-siden.
  • Innsigelse (art. 21): Protestere mot behandling basert på berettiget interesse. Kontakt oss på personvern@ladr.no.
  • Trekke samtykke (art. 7): Endre cookie-innstillinger via «Endre samtykke»-knappen i footeren, eller deaktivere push-varsler når som helst.
  • Klage (art. 77): Du kan klage til Datatilsynet (datatilsynet.no).

For å utøve dine rettigheter, send e-post til personvern@ladr.no. Vi svarer innen 30 dager.

9. Oppbevaring og sletting

Vi oppbevarer personopplysninger kun så lenge det er nødvendig:

  • Kontoinformasjon (e-post, navn, innstillinger): Lagres så lenge du har en aktiv konto. Slettes permanent innen 30 dager etter kontosletting.
  • Ladelogger: Lagres så lenge kontoen er aktiv. Slettes ved kontosletting.
  • Push-abonnementer: Slettes automatisk 90 dager etter siste aktivitet, eller umiddelbart ved avmelding.
  • Utløpte sesjoner (innloggingstokens): Slettes automatisk daglig etter utløp.
  • Registreringsnummer-cache: Slettes automatisk etter 24 timer (in-memory, ikke persistent).
  • Verifiseringstokens (innloggingslenker): Slettes automatisk etter utløp (typisk 24 timer).
  • Anonymiserte aggregerte data (gjennomsnittlige ladepriser, statistikk): Kan beholdes på ubestemt tid da de ikke er personopplysninger.

10. Internasjonale overføringer av personopplysninger

Vi bestreber oss på å behandle alle personopplysninger innenfor EU/EØS-området. I noen tilfeller overføres begrensede data til land utenfor EØS:

  • Google (Gemini API, OAuth): Data kan behandles i USA og andre Google-datasentre. Google er underlagt EU-US Data Privacy Framework og bruker EU-standardklausuler (SCC) som overføringsmekanisme, jf. GDPR artikkel 46(2)(c).
  • Vercel (hosting): Primært EU-region, men CDN-noder kan behandle forespørselsdata globalt. Vercel bruker EU-standardklausuler og er sertifisert under EU-US Data Privacy Framework.

For alle overføringer til tredjeland har vi gjennomført nødvendige vurderinger (Transfer Impact Assessment, TIA) i henhold til Schrems II-dommen (C-311/18) og Personvernrådets (EDPB) retningslinjer 01/2020. Du kan be om kopi av overføringsmekanismene ved å kontakte oss.

11. Sikkerhet

Vi har implementert tekniske og organisatoriske tiltak for å beskytte dine personopplysninger mot uautorisert tilgang, tap, ødeleggelse eller endring, i henhold til GDPR artikkel 32:

  • Kryptering i transit: All kommunikasjon med Tjenesten er kryptert med TLS 1.3 (HTTPS). Automatiske sertifikater via Let’s Encrypt.
  • Kryptering i ro: Databasen bruker kryptert lagring.
  • Autentiseringssikkerhet: Passordfri innlogging (magic link), OAuth 2.0, kryptografisk sikre sesjonstokens, CSRF-beskyttelse på alle tilstandsendrende operasjoner.
  • Timing-sikker sammenligning: API-nøkler og tokens sammenlignes med konstant-tid-algoritmer for å forhindre timing-angrep.
  • Minste-privilegiums-prinsippet: Databasetilgang bruker en dedikert bruker med begrenset tilgang. Kun nødvendig personell har tilgang til produksjonsdata.
  • Frekvensbegrensning: API-endepunkter er beskyttet med hastighetsbegrensning for å forhindre misbruk.
  • Inndata-validering: All brukerinput valideres og saniteres for å forhindre injeksjonsangrep (XSS, SQL-injeksjon).
  • Sikkerhetsgjennomganger: Vi gjennomfører jevnlige sikkerhetsgjennomganger og oppdaterer avhengigheter for å tette kjente sårbarheter.

12. Barns personvern

Tjenesten er ikke rettet mot barn under 16 år, og vi samler ikke bevisst inn personopplysninger fra barn under 16 år, i henhold til GDPR artikkel 8 og norsk personopplysningslov § 5. Dersom vi oppdager at vi har samlet inn data fra et barn under 16 år uten gyldig samtykke fra foresatt, vil vi slette opplysningene umiddelbart. Foreldre eller foresatte som mener at deres barn har oppgitt personopplysninger til oss, bes kontakte personvern@ladr.no.

13. Datainnbrudd (sikkerhetsbrudd)

I henhold til GDPR artikkel 33 og 34 har vi rutiner for håndtering av brudd på personopplysningssikkerheten:

  • Melding til Datatilsynet: Ved et sikkerhetsbrudd som sannsynligvis medfører risiko for dine rettigheter og friheter, vil vi melde fra til Datatilsynet innen 72 timer etter at vi ble klar over bruddet.
  • Varsling av deg: Dersom bruddet sannsynligvis medfører høy risiko for dine rettigheter og friheter, vil vi varsle deg direkte via e-post uten ugrunnet opphold, med informasjon om bruddet, mulige konsekvenser og tiltak vi har iverksatt.
  • Dokumentasjon: Alle sikkerhetsbrudd dokumenteres internt med beskrivelse, omfang, konsekvenser og korrigerende tiltak.

14. Profilering og automatiserte avgjørelser

I tillegg til de automatiserte behandlingene beskrevet i punkt 7, presiserer vi følgende i henhold til GDPR artikkel 22:

  • Vi foretar ikke automatiserte individuelle avgjørelser som har rettsvirkning eller tilsvarende betydelig virkning for deg.
  • Ladescore, prisanbefalinger og Flash Deals er informasjonstjenester som ikke påvirker din tilgang til tjenester, priser eller rettigheter.
  • Du har alltid rett til å be om menneskelig inngripen, uttrykke ditt synspunkt og bestride en avgjørelse ved å kontakte oss.

15. Personvernombud

Vi har per i dag ikke utpekt et eget personvernombud (DPO), da vi ikke oppfyller kravene i GDPR artikkel 37 (vi utfører ikke behandling som krever regelmessig og systematisk monitorering i stor skala, og vi behandler ikke spesielle kategorier av personopplysninger i stor skala). Dersom dette endres, vil vi oppdatere denne erklæringen med kontaktinformasjon for personvernombudet.

For alle henvendelser knyttet til personvern, kontakt oss på personvern@ladr.no.

16. Endringer i denne erklæringen

Vi kan oppdatere denne personvernerklæringen ved behov for å gjenspeile endringer i vår praksis, nye funksjoner i Tjenesten, eller endringer i gjeldende lovgivning. Vesentlige endringer varsles via e-post til registrerte brukere minst 30 dager før de trer i kraft. Vi oppfordrer deg til å lese gjennom personvernerklæringen jevnlig. Dato for siste oppdatering vises øverst.

17. Dine rettigheter — oppsummering

RettighetBeskrivelse
Innsyn (art. 15)Få kopi av dine personopplysninger
Retting (art. 16)Korrigere feil i dine data
Sletting (art. 17)Slette kontoen din og alle tilhørende data
Begrensning (art. 18)Begrense behandling mens klage behandles
Dataportabilitet (art. 20)Eksportere dine data (CSV-eksport tilgjengelig)
Innsigelse (art. 21)Protestere mot behandling basert på berettiget interesse
Trekke samtykke (art. 7)Endre cookie-innstillinger når som helst
Klage (art. 77)Klage til Datatilsynet (datatilsynet.no)

For å utøve dine rettigheter, send e-post til personvern@ladr.no. Vi svarer innen 30 dager. Dersom henvendelsen er kompleks eller vi mottar mange forespørsler, kan fristen forlenges med ytterligere 60 dager, men vi vil informere deg om dette innen den opprinnelige 30-dagersfristen.

18. Kontakt og tilsynsmyndighet

Behandlingsansvarlig:
Ladr AS
Org.nr. under registrering
Norge

E-post: personvern@ladr.no

Tilsynsmyndighet:
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
datatilsynet.no