Tilbake

Personvern

Personvernerklæring

Sist oppdatert: 25. mars 2026

Innholdsfortegnelse

  1. 1. Hvem vi er
  2. 2. Hvilke data vi behandler
  3. 3. Behandlingsgrunnlag
  4. 4. Bankdata via Neonomics AS (AISP)
  5. 5. Underleverandører og databehandlere
  6. 6. Dine rettigheter
  7. 7. Lagring og sletting
  8. 8. Kunstig intelligens og dine data
  9. 9. Anonym budsjettsammenligning
  10. 10. Sikkerhet
  11. 11. Informasjonskapsler (cookies)
  12. 12. Endringer i personvernerklæringen
  13. 13. Kontakt

1. Hvem vi er

BALDR er en norsk privatøkonomi-app som gir deg oversikt over bankkontoer, gjeld, investeringer og budsjett — alt på ett sted.

Organisasjonsnummer: [kommer ved registrering]

Kontakt for personvernspørsmål: personvern@baldr.no

2. Hvilke data vi behandler

Vi behandler følgende kategorier av personopplysninger:

  • Personopplysninger fra BankID — navn og fødselsdato, brukes utelukkende for autentisering. Personnummer lagres aldri.
  • Bankkontodata via Neonomics — kontoinformasjon, saldoer og transaksjoner. Vi har kun lesetilgang (AISP) og kan aldri initiere betalinger. Se punkt 4 for detaljer.
  • Gjeldsinformasjon — oversikt over usikret gjeld registrert på deg.
  • Investeringsdata fra Nordnet/Saxo — porteføljeoversikt og beholdninger, kun med ditt eksplisitte samtykke.
  • Brukspreferanser — tema, kommunikasjonsstil og andre innstillinger du velger selv.

3. Behandlingsgrunnlag

Vi behandler dine personopplysninger basert på:

  • Samtykke (GDPR artikkel 6(1)(a)) — du gir aktivt samtykke til å koble bankkontoer og dele data med BALDR.
  • Avtale (GDPR artikkel 6(1)(b)) — behandlingen er nødvendig for å oppfylle tjenesteavtalen mellom deg og BALDR.
  • PSD2 artikkel 67(2)(f) — for tilgang til betalingskontodata via kontoinformasjonstjeneste (AISP).

4. Bankdata via Neonomics AS (AISP)

BALDR bruker Neonomics AS (org.nr. 919 041 021, Ruseløkkveien 26, 0251 Oslo) som kontoinformasjonstjenesteleverandør (AISP). Neonomics er lisensiert av Finanstilsynet og har konsesjon til å hente kontoinformasjon fra norske banker på vegne av brukeren.

Behandlingsansvar: BALDR og Neonomics AS er selvstendige behandlingsansvarlige for sine respektive deler av behandlingen (jf. Data Transfer Agreement §1.2). BALDR er behandlingsansvarlig for data som lagres i BALDR, mens Neonomics er behandlingsansvarlig for dataoverføringen fra banken til BALDR.

Rettslig grunnlag: GDPR artikkel 6(1)(a) (samtykke) og PSD2 artikkel 67(2)(f) (rett til kontoinformasjon via AISP).

Tilgangstype: BALDR har utelukkende AISP-tilgang (Account Information Service Provider). Dette er skrivebeskyttet tilgang — vi kan aldri initiere betalinger, overføringer eller gjøre endringer i dine bankkontoer.

Samtykkevarighet: Samtykket til banktilkobling er gyldig i 180 dager fra godkjenningstidspunktet. Etter utløp vil du bli bedt om å fornye samtykket.

Tilbakekall av samtykke: Du kan når som helst trekke tilbake samtykket til bankdatatilgang på følgende måter:

Neonomics BruksvilkårNeonomics Personvernerklæring

5. Underleverandører og databehandlere

Vi benytter følgende underleverandører for å levere tjenesten. Alle databehandlere er underlagt databehandleravtaler i henhold til GDPR artikkel 28.

LeverandørRolleRegion
Supabase Inc.Database og autentiseringEU (Frankfurt)
Neonomics AS *Kontoinformasjonstjeneste (AISP)Norge
Criipto / IduraBankID-autentiseringEU
Vercel Inc.Webhosting og serverlessEU
Resend Inc.E-postutsending (ukentlig digest)EU
Anthropic, PBCAI-behandling via API (kun ved aktiv bruk av AskBaldr). Se punkt 8 for detaljer. Databehandleravtale (DPA) foreligger.USA

* Neonomics AS er selvstendig behandlingsansvarlig for sin del av databehandlingen, ikke databehandler. Se punkt 4 for detaljer.

Automatisert behandling (GDPR artikkel 22)

BALDR bruker kunstig intelligens (Claude fra Anthropic) til å analysere dine finansielle data og gi personlige innsikter. Denne behandlingen skjer automatisk, men alle innsikter er veiledende — ikke bindende rådgivning.

AI-analysen brukes til kategorisering av transaksjoner, sammendrag av forbruksmønstre og besvarelse av spørsmål om din økonomi. Kun nødvendige data sendes (beløp, kategorier, datoer) — aldri kontonumre, IBAN, personnummer eller bruker-ID.

Du kan når som helst be om manuell gjennomgang av AI-generert innsikt ved å kontakte oss på hei@getbaldr.app.

6. Dine rettigheter

Du har følgende rettigheter etter GDPR:

  • Innsyn — rett til å se hvilke data vi har lagret om deg.
  • Retting — rett til å korrigere uriktige opplysninger.
  • Sletting — rett til å få slettet dine data (30-dagers angrefrist, se punkt 7).
  • Dataportabilitet — rett til å motta dine data i et maskinlesbart format.
  • Tilbaketrekking av samtykke — du kan når som helst trekke tilbake samtykket ditt under Innstillinger.

For å benytte deg av dine rettigheter, kontakt oss på personvern@baldr.no eller bruk GDPR-innstillingene i appen.

7. Lagring og sletting

Dine data lagres så lenge kontoen din er aktiv. Følgende lagringstider gjelder:

DatatypeLagringstid
TransaksjonsdataSlettes automatisk etter brukerens valgte lagringsperiode (3, 6, 12 eller 24 måneder). Standard: 12 måneder.
Anonymiserte aggregaterBeholdes permanent. Inneholder kun kategori, beløpskategori, uke/år og antall — aldri butikknavn, nøyaktig beløp eller dato.
BanksesjonerSlettes 180 dager etter siste samtykke
BrukerkontoSlettes 30 dager etter brukerens forespørsel
Slettingslogg12 måneder (GDPR-dokumentasjon, kun hash)

Ved forespørsel om sletting gjelder følgende prosess:

  • 30-dagers angrefrist der du kan gjenopprette kontoen.
  • Etter 30 dager slettes alle personopplysninger permanent fra våre systemer.
  • En anonymisert slettingslogg beholdes i 12 måneder (lovpålagt dokumentasjon).

Anonymisert aggregering

Før transaksjoner slettes, trekker vi ut anonymiserte aggregater: kun utgiftskategori (f.eks. "Mat og dagligvarer"), beløpskategori (f.eks. "liten" eller "stor"), ukenummer og antall transaksjoner. Aggregatene inneholder aldri butikknavn, nøyaktig beløp, eksakt dato eller kontonummer. I tillegg beskyttes aggregerte innsikter med differential privacy — en matematisk teknikk som legger til kalibrert støy slik at det er umulig å gjenkjenne enkeltpersoners data, selv i aggregert form. Disse aggregatene brukes for å gi deg historiske trender og sammenligninger selv etter at rådataene er slettet.

8. Kunstig intelligens og dine data

BALDR bruker AI-teknologi levert av Anthropic for å gi deg personlige innsikter via AskBaldr.

  • Bankdata og transaksjoner sendes aldri til AI uten at du aktivt stiller et spørsmål via AskBaldr.
  • Når du bruker AskBaldr, sendes et begrenset utdrag av dine data (siste 90 dagers transaksjoner uten kontonummer) for å besvare spørsmålet ditt. Alle motpartsnavn og kontonavn pseudonymiseres med en enveis hash-funksjon (SHA-256 med server-side salt) før de sendes til AI — det betyr at Anthropic aldri ser de faktiske navnene.
  • Anthropic bruker ikke API-data til å trene sine AI-modeller — dette er kontraktsfestet.
  • Din data er aldri synlig for andre BALDR-brukere.
  • Du kan når som helst slutte å bruke AskBaldr uten at øvrig funksjonalitet påvirkes.

9. Anonym budsjettsammenligning

BALDR tilbyr en funksjon der du kan sammenligne din økonomi mot anonymiserte grupper av brukere i samme inntektsgruppe. Denne sammenligningen er designet med zero-knowledge-prinsippet — BALDR vet aldri hvem som ber om en sammenligning.

Slik fungerer det:

  • Dine eksakte verdier (inntekt, forbruk, formue) forlater aldri nettleseren din. Kun en avrundet kategori (f.eks. "20 000–25 000") sendes til serveren.
  • I stedet for bruker-ID brukes et engangstoken som utløper etter 60 sekunder. Tokenet inneholder ingen brukerinformasjon.
  • Serveren returnerer kun en persentilrangering (f.eks. "du sparer mer enn 65 % i din gruppe") — aldri andres rådata.
  • Grupper med færre enn 20 brukere vises ikke, for å forhindre re-identifisering.
  • Antall brukere i gruppen beskyttes med differential privacy (Laplace-støy).

Sammenligningen logges aldri med din bruker-ID. Selv BALDR kan ikke koble en sammenligning tilbake til en bestemt bruker.

10. Sikkerhet

Vi tar sikkerheten til dine data på alvor og har implementert følgende tiltak:

  • Kryptert forbindelse (HTTPS/TLS) for all kommunikasjon.
  • BankID-autentisering for sikker innlogging.
  • Krypterte tokens for sesjons- og API-håndtering.
  • Alle API-nøkler er kun tilgjengelige server-side — aldri eksponert i nettleseren.
  • Row Level Security (RLS) på alle databasetabeller, slik at brukere kun har tilgang til egne data.

11. Informasjonskapsler (cookies)

BALDR bruker kun nødvendige informasjonskapsler for at tjenesten skal fungere:

  • Sesjons-cookie — httpOnly, secure. Nødvendig for å holde deg innlogget.

Vi bruker ingen sporings-cookies, analyseverktøy eller tredjeparts-cookies uten ditt eksplisitte samtykke.

12. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen ved behov. Ved vesentlige endringer vil vi varsle deg via e-post eller en melding i appen.

Den nyeste versjonen er alltid tilgjengelig på denne siden.

13. Kontakt

Har du spørsmål om hvordan vi behandler dine personopplysninger? Ta kontakt med oss:

personvern@baldr.no

Du har også rett til å klage til Datatilsynet dersom du mener vi ikke behandler dine personopplysninger i samsvar med regelverket.