MedEksamen

Personvernerklæring

Sist oppdatert: 16. mai 2026

MedEksamen, ved Mohammed Almashhadani (org.nr. 937 588 879), er behandlingsansvarlig for personopplysninger som samles inn via medeksamen.no. Vi tar personvernet ditt på alvor og behandler personopplysninger i samsvar med personopplysningsloven og EUs personvernforordning (GDPR).

1. Hvilke opplysninger samler vi inn?

Når du oppretter konto og bruker MedEksamen, samler vi inn følgende kategorier av personopplysninger:

• Identifikasjon: Fornavn og etternavn.
• Kontaktopplysninger: E-postadresse og telefonnummer.
• Pålogging: Passordet ditt lagres aldri i klartekst. Vi lagrer kun en kryptografisk hash (bcrypt eller tilsvarende moderne algoritme) som ikke lar seg reversere.
• Studieopplysninger: Universitet (UiO, UiB, NTNU, UiT, utlandet eller annet) og hvilket eksamenstidspunkt du sikter mot (f.eks. Vår 2026, Høst 2026).
• Samtykker: Tidspunkt, IP-adresse og nettleseragent ved aksept av vilkår og personvernerklæring, samt eventuelt markedsføringssamtykke. Dette er lovpålagt bevis under GDPR art. 7 nr. 1.
• Betalingsinformasjon: Betalingstransaksjoner behandles av Stripe. Vi lagrer ikke kortnummer eller bankdetaljer; dette håndteres direkte av Stripe i henhold til PCI DSS-standarden. Vi mottar fra Stripe en kunde-ID, abonnementsstatus, fornyelsesdato og oppsigelsesinformasjon.
• Bruksdata: Hvilke MCQ-spørsmål du har besvart, hvilke svaralternativer du valgte, om svaret var riktig, din egenrapporterte sikkerhetsgrad, og hvor lang tid du brukte. Disse lagres i din brukerkonto i vår database og brukes til fremgangsvisning og feilbank.
• Sikkerhetsspor (audit log): Innlogginger, mislykkede innloggingsforsøk, passordendringer, profilendringer og abonnementsendringer logges med tidspunkt, IP-adresse og nettleseragent. Brukes til kontosikkerhet og tilsynsformål.
• Tekniske data: IP-adresse, nettlesertype og enhetsinformasjon for å sikre at tjenesten fungerer korrekt og for å motvirke misbruk.

2. Hvorfor behandler vi opplysningene?

• Levere tjenesten: Gi deg tilgang til MCQ-treneren, lagre fremgangen din, og personalisere dashboardet (f.eks. nedtelling til din eksamen).
• Kontoadministrasjon: Bekrefte e-postadressen din, sende deg innloggings- og passordlenker, og gjøre det mulig å gjenopprette tilgangen.
• Betaling: Gjennomføre og administrere abonnementet ditt via Stripe.
• Sikkerhet: Beskytte kontoen din mot uautorisert tilgang og misbruk.
• Kommunikasjon: Sende deg kvittering, viktig informasjon om tjenesten, og eventuell kundeservice. Markedsføring sendes kun hvis du har gitt eget samtykke.
• Forbedring: Analysere anonymisert eller aggregert bruksdata for å forbedre spørsmålskvalitet og brukeropplevelse.

Behandlingsgrunnlaget er avtale (GDPR art. 6 nr. 1 bokstav b) for levering av tjenesten og betaling, berettiget interesse (art. 6 nr. 1 bokstav f) for sikkerhet og forbedring, og samtykke (art. 6 nr. 1 bokstav a) for markedsføring.

3. Deling med tredjeparter

Vi deler ikke personopplysningene dine med tredjeparter for markedsføring. Vi bruker følgende databehandlere som behandler data på våre vegne under databehandleravtale:

• Supabase: Databasebehandling og brukerautentisering. Hosting i EU (Frankfurt-region).
• Stripe: Betalingsbehandling. Stripe er sertifisert under EU-US Data Privacy Framework.
• Cloudflare: Hosting, innholdsleveranse og bot-beskyttelse (global, med EU-routing der mulig).
• Resend (eller tilsvarende e-postleverandør): Utsendelse av transaksjonelle e-poster (bekreftelse, passord-tilbakestilling, kvittering). Hosting i EU.

4. Lagring og sletting

Vi lagrer personopplysninger så lenge du har en aktiv konto eller abonnement.

• Du kan be om full sletting av kontoen når som helst ved å kontakte oss på hei@medeksamen.no. Konto og tilhørende data slettes innen 30 dager.
• Etter sletting kan vi være lovpålagt å oppbevare visse data (f.eks. fakturadata i 5 år, jf. bokføringsloven § 13). Slike data er da kun tilgjengelig for regnskaps- og tilsynsformål.
• Sikkerhetsspor (audit log) oppbevares i inntil 12 måneder etter siste aktivitet, deretter slettes de eller anonymiseres.
• Vi bruker kryptert kommunikasjon (HTTPS/TLS 1.2+) og følger bransjestandard sikkerhetspraksis, inkludert hashing av passord, MFA-mulighet, og logging av tilgang til administrasjonsverktøy.

5. Dine rettigheter

Etter GDPR har du rett til å:

• Be om innsyn i hvilke personopplysninger vi har om deg
• Be om retting av feilaktige opplysninger
• Be om sletting av dine opplysninger
• Be om begrensning av behandlingen
• Protestere mot behandling basert på berettiget interesse
• Be om dataportabilitet (eksport av dine data i et maskinlesbart format)
• Trekke tilbake samtykke (f.eks. markedsføring) når som helst, uten at det påvirker tidligere behandling

For å utøve rettighetene dine, kontakt oss på hei@medeksamen.no. Vi besvarer henvendelsen innen 30 dager.

6. Informasjonskapsler og lokal lagring

MedEksamen bruker:

• Sesjons-cookie (teknisk nødvendig) for å holde deg innlogget. Slettes når du logger ut eller etter inaktivitet.
• "Husk meg"-cookie (frivillig, settes kun hvis du krysser av "Husk meg på denne enheten") for å holde deg innlogget over lengre tid. Gyldig i inntil 30 dager.
• Vi bruker ikke tredjeparts sporings- eller analysecookies. Vi setter ikke Google Analytics, Facebook Pixel eller tilsvarende.

7. Markedsføring

Hvis du har krysset av for markedsføringssamtykke ved registrering, kan vi sende deg eksamensforberedelses-tips og oppdateringer om tjenesten på e-post. Du kan når som helst trekke tilbake samtykket ved å klikke "avmeld" i en e-post fra oss, eller ved å kontakte oss. Avmelding påvirker ikke transaksjonelle e-poster (kvittering, varsler om abonnementet).

8. Endringer

Vi kan oppdatere denne personvernerklæringen ved behov. Vesentlige endringer varsles via e-post eller på nettsiden. Siste oppdateringsdato vises øverst. Hvis endringene krever fornyet samtykke, ber vi om det aktivt før de trer i kraft.

9. Kontakt

Mohammed Almashhadani
Org.nr. 937 588 879
E-post: hei@medeksamen.no
Telefon: +47 98 15 91 26

Du har også rett til å klage til Datatilsynet dersom du mener vi ikke behandler personopplysningene dine i samsvar med regelverket.