Søk nå
GDPR-samsvar

Personvernerklæring

Slik behandler vi dine personopplysninger — åpent, trygt og i tråd med norsk lov.

Sist oppdatert: 14. juni 2026

DFH AS

Org.nr 936 286 690 — behandlingsansvarlig for Bedriftskapital.no

GDPR-samsvar

All behandling skjer i henhold til EUs personvernforordning og norsk lov

Kryptert og sikkert

TLS-kryptering, AES-256 på fødselsnummer, tilgangskontroll og logging av sensitive oppslag

1

Behandlingsansvarlig

Bedriftskapital.no er en uavhengig formidlingstjeneste for bedriftslån i Norge. Nettsiden eies og drives av:

DFH AS
Organisasjonsnummer: 936 286 690
E-post: [email protected]

DFH AS er behandlingsansvarlig for personopplysninger som samles inn gjennom Bedriftskapital.no. Vi er forpliktet til å beskytte ditt personvern i henhold til EUs personvernforordning (GDPR) og den norske personopplysningsloven.

Bedriftskapital.no er en formidlingstjeneste — vi yter ikke selv kreditt. Vi formidler søknader om bedriftslån mellom deg som søker og vår samarbeidspartner (et regulert finansforetak i EØS), som tar de faktiske kredittbeslutningene og inngår låneavtalen direkte med deg. Vi mottar honorar fra samarbeidspartneren når en formidlet søknad fører til en låneavtale.

2

Hvilke opplysninger samler vi inn?

Vi samler inn ulike typer personopplysninger avhengig av hvordan du bruker tjenesten. Bedriftskapital er en finanstjeneste, og vi behandler derfor mer sensitive data enn mange andre nettjenester.

Opplysninger du oppgir selv

  • Fornavn og etternavn
  • Fødselsnummer (kreves for kredittvurdering hos samarbeidspartneren)
  • E-postadresse og mobilnummer
  • Rolle i bedriften (daglig leder, styremedlem, m.m.)
  • Selskapsinformasjon: organisasjonsnummer, omsetning, kontaktinfo
  • Lånebeløp, formål, og ønsket nedbetalingstid
  • Eventuelle dokumenter du laster opp (regnskap, kontrakter, fakturaer)
  • Innhold i kontaktskjema og andre henvendelser

Automatisk innsamlet

  • IP-adresse, nettleser (user agent) og samtykke-metadata — lagres sammen med innsendinger (søknad/kontaktskjema)
  • Enhetstype, nettleser og operativsystem
  • Geografisk plassering (på land- og regionsnivå)
  • Sidevisninger, klikk og atferdsmønstre
  • Henvisende nettsted (referrer)
  • Informasjonskapsler — se seksjon 8

IP-adresse, user agent og samtykke-metadata som lagres med en innsending fjernes når kontaktopplysningene avidentifiseres (se seksjon 9). I analyseverktøy behandles IP-adresse separat og anonymisert.

Fra tredjeparter

  • Brønnøysundregistrene (firmadata når du oppgir org.nr)
  • Fra långiver mottar vi opplysninger om søknadens status og utfall — herunder långivers begrunnelse ved avslag, som kan gjenspeile økonomiske forhold (for eksempel betalingsanmerkninger eller gjeldssituasjon), og eventuelle tilbudsbetingelser. Hva som mottas varierer mellom långivere. Vi mottar ikke ditt fødselsnummer, kredittscore eller fullstendig kredittgrunnlag tilbake.
  • Statistikk fra analyseverktøy
  • Konverteringsdata fra annonseplattformer (kun ved samtykke)

Fødselsnummer behandles med ekstra forsiktighet. Det krypteres med AES-256 ved lagring, brukes kun til kredittvurdering hos samarbeidspartneren, og anonymiseres automatisk 90 dager etter innsending. Det vises ikke i e-post, logger eller andre steder enn der det er strengt nødvendig, og oppslag av fødselsnummer logges.

3

Formål med behandlingen

Vi behandler personopplysninger for følgende formål:

Formål Behandling Rettslig grunnlag
Lånesøknadsformidling Sende søknaden videre til samarbeidspartner for kredittvurdering Avtale (art. 6.1b)
Kommunikasjon E-post og oppfølging om søknadsstatus Avtale (art. 6.1b)
Markedsføring Nyhetsbrev, kampanjer fra DFH AS Samtykke (art. 6.1a)
Analyse og forbedring Forstå brukermønstre, forbedre tjenesten Berettiget interesse (art. 6.1f)
Svindelforebygging Oppdage og forhindre bedrageri og misbruk Berettiget interesse (art. 6.1f)
Regnskap og rapportering Oppfylle krav i regnskapsloven og bokføringsloven Rettslig forpliktelse (art. 6.1c)
4

Rettslig grunnlag

Behandlingen av dine personopplysninger er basert på følgende rettslige grunnlag i henhold til GDPR:

Avtale (art. 6.1b)

Behandling som er nødvendig for å oppfylle din søknad om bedriftslån — inkludert formidling til samarbeidspartneren og kommunikasjon underveis i prosessen.

Samtykke (art. 6.1a)

Vi innhenter ditt samtykke for markedsføringsformål, kryssdeling mellom DFH AS sine nettsider, og bruk av valgfrie informasjonskapsler. Du kan når som helst trekke tilbake samtykket.

Berettiget interesse (art. 6.1f)

Vi behandler visse opplysninger for å forbedre tjenesten, analysere brukermønstre og forebygge svindel. Vi har gjennomført interesseavveininger og funnet at dette ikke krenker dine rettigheter.

Rettslig forpliktelse (art. 6.1c)

Vi behandler personopplysninger der det er nødvendig for å overholde lovpålagte krav — i hovedsak bokføringsloven (oppbevaring av regnskaps- og transaksjonsdata).

5

Deling av opplysninger

Vi deler dine personopplysninger med nøye utvalgte tredjeparter for å kunne levere tjenesten. Deling skjer kun når det er nødvendig og i tråd med gjeldende personvernlovgivning.

Samarbeidspartner (långiver)

Når du sender inn en lånesøknad, deler vi opplysningene dine med vår samarbeidspartner — et regulert finansforetak i EØS — for kredittvurdering og lånetilbud. Partneren er selvstendig behandlingsansvarlig for sin egen videre behandling av dine opplysninger. Du kan få oppgitt hvilken konkret långiver søknaden din ble videresendt til ved å be om innsyn (se seksjon 10).

Databehandlere

Vi bruker følgende databehandlere som behandler personopplysninger på våre vegne, underlagt databehandleravtaler:

  • Cloudflare (EU/USA) — hosting, infrastruktur, lagring og edge-beskyttelse
  • Brevo (Frankrike) — e-postutsendelse og kundekommunikasjon
  • Resend (USA) — utsendelse av innloggingskoder til vårt administrasjonspanel
  • Microsoft Clarity (USA) — analyse/sesjonsinnsikt, kun ved samtykke
  • Plausible (EU/Tyskland) — cookieløs, anonym besøksstatistikk
  • Brønnøysundregistrene (Norge) — oppslag av offentlig firmainformasjon

Offentlige myndigheter

Vi kan dele opplysninger med offentlige myndigheter når dette er pålagt ved lov — for eksempel ved skattekontroll eller andre rettslige forhold.

Vi selger aldri personopplysninger som kan identifisere deg. Deling skjer kun for de formålene som er beskrevet i denne erklæringen, på det rettslige grunnlaget som er angitt for hvert formål.

6

Våre nettsider — deling mellom DFH AS-tjenester

Bedriftskapital.no eies og drives av DFH AS, som også driver andre tjenester innen bedriftsfinansiering og bedriftsdrift. DFH AS er behandlingsansvarlig for disse tjenestene.

Der det foreligger et gyldig behandlingsgrunnlag, kan DFH AS dele personopplysninger mellom egne tjenester innen bedriftsfinansiering og bedriftsdrift. Grunnlaget avhenger av formålet:

Samtykke — kryssmarkedsføring

Hvis du har samtykket til markedsføring fra DFH AS, kan vi informere deg om relevante tjenester fra våre andre nettsider via e-post. Du kan når som helst trekke tilbake samtykket ved å klikke på avmeldingslenken i e-posten, eller ved å kontakte oss på [email protected].

Berettiget interesse — anonymisert analyse og felles infrastruktur

Vi kan bruke anonymisert og aggregert data på tvers av DFH AS sine tjenester for analyse, statistikk og forbedring, og dele teknisk infrastruktur (drift og sikkerhet). Slik data kan ikke knyttes til deg som enkeltperson.

Dersom vi ønsker å dele personopplysninger til et nytt formål, eller med en tjeneste rettet mot andre formål enn bedriftsfinansiering, vil vi informere deg og innhente nytt samtykke før delingen starter. Vi forhåndskobler ikke dine opplysninger til forbruker-/personøkonomitjenester.

7

Markedsføring og nyhetsbrev

Med ditt samtykke kan vi sende deg markedsføring og nyhetsbrev via e-post. Dette kan inkludere:

  • Tips og råd om bedriftsfinansiering
  • Informasjon om nye produkter, kalkulatorer og verktøy
  • Tilbud fra andre tjenester under DFH AS
  • Oppdateringer om rente-, regelverks- og bransjeendringer

Vi bruker Brevo (tidligere Sendinblue) som vår e-postplattform. Brevo behandler dine opplysninger som databehandler på vegne av DFH AS, og er underlagt en databehandleravtale som sikrer at dine opplysninger behandles i tråd med GDPR.

Du kan når som helst melde deg av nyhetsbrev og markedsføring ved å klikke på avmeldingslenken nederst i e-posten, eller ved å kontakte oss direkte.

Markedsføring i sosiale medier

Dersom vi tar i bruk annonsering i sosiale medier, vil vi — med ditt samtykke — kunne dele opplysninger med plattformer som Meta (Facebook/Instagram), Google, Microsoft og LinkedIn for å vise deg relevante annonser. Disse selskapene er da selvstendige behandlingsansvarlige for sin bruk av dataene, og du kan administrere annonsepreferansene dine direkte hos hver plattform. Vi har ingen aktiv annonsering i sosiale medier i dag.

8

Informasjonskapsler (cookies)

Informasjonskapsler er små tekstfiler som lagres på din enhet når du besøker nettsiden vår. Bruken er regulert av ekomloven § 2-7, som krever at vi informerer deg om hvilke cookies vi bruker og innhenter samtykke for alt som ikke er strengt nødvendig.

Kategorier

Nødvendige

Påkrevd

Sikrer grunnleggende funksjonalitet som navigasjon, skjemainnsending og lagring av cookie-preferanser. Nettsiden kan ikke fungere uten disse, og de krever ikke samtykke.

Analytiske

Valgfri

Hjelper oss å forstå hvordan besøkende bruker nettsiden. Vi bruker primært Plausible som er cookieløst og ikke krever samtykke. Google Analytics 4 og Microsoft Clarity aktiveres kun etter ditt samtykke.

Markedsføring

Valgfri

Brukes til å vise relevante annonser på andre nettsteder og sosiale medier. Vi har ingen aktive markedsførings-cookies i dag, men kategorien er klargjort for fremtidige verktøy.

Detaljert oversikt

Nødvendige cookies

Navn Leverandør Formål Varighet
bk_consent Bedriftskapital.no Lagrer dine cookie-valg slik at banneret ikke vises på nytt 12 måneder

Google Tag Manager

Google Tag Manager er en container som laster inn andre verktøy (Google Analytics, Microsoft Clarity m.fl.). GTM-skriptet i seg selv setter ingen sporings-cookies, men det styrer når de andre verktøyene aktiveres basert på ditt samtykke (Google Consent Mode v2). Cookies fra verktøy som lastes via GTM er listet under.

Google Analytics 4

Aktiveres kun ved samtykke til kategorien "Analytiske". Brukes til å forstå sidetrafikk, kanaler og brukermønstre. IP-adresse anonymiseres.

Navn Leverandør Formål Varighet
_ga Google LLC Skiller unike brukere ved å tildele en tilfeldig generert ID 2 år
_ga_NELL1NER0T Google LLC Holder økt-tilstand for målestrømmen (GA4-spesifikk) 2 år

Microsoft Clarity

Aktiveres kun ved samtykke til kategorien "Analytiske". Brukes til heatmaps og sesjonsopptak for å forbedre brukeropplevelsen. Sensitive felter som fødselsnummer maskeres automatisk.

Navn Leverandør Formål Varighet
_clck Microsoft Corporation Lagrer en unik Clarity-bruker-ID 1 år
_clsk Microsoft Corporation Knytter sammen flere sidevisninger fra samme bruker til én sesjon 1 dag
MUID Microsoft Corporation Identifiserer unike nettlesere på tvers av Microsoft-tjenester 1 år
MR Microsoft Corporation Indikerer om MUID skal oppdateres 7 dager
ANONCHK Microsoft Corporation Indikerer om MUID skal overføres til ANID for annonsemåling 10 minutter
SM Microsoft Corporation Synkroniserer MUID på tvers av Microsoft-domener Økt

Plausible Analytics

Plausible setter ingen informasjonskapsler og lagrer ingen personidentifiserende data. Tjenesten er designet for å være GDPR-, CCPA- og PECR-kompatibel uten samtykke, og kjører derfor uavhengig av valgene dine i banneret. Plausible er hostet i EU (Tyskland).

Slik administrerer du valgene dine

Du kan når som helst endre eller trekke tilbake samtykket ditt via knappen under. Du kan også slette informasjonskapsler direkte i nettleserens innstillinger. Merk at blokkering av nødvendige cookies kan påvirke nettsidens funksjonalitet.

Endre dine cookie-preferanser når som helst:

9

Oppbevaring og sletting

Vi oppbevarer dine personopplysninger kun så lenge det er nødvendig for å oppfylle formålet med behandlingen, eller så lenge vi er lovpålagt å lagre dem.

Type opplysninger Lagringstid Slettes når
Fødselsnummer, bank-svar og opplastede vedlegg 90 dager Anonymiseres automatisk 90 dager etter innsending
Lead-/kontaktopplysninger (navn, e-post, telefon) 36 måneder Avidentifiseres etter siste aktivitet
Regnskaps- og provisjonsdata (uten persondata) 5 år Fra regnskapsårets slutt (bokføringsloven)
Misbruksforebygging Kortvarig Slettes kort tid etter innsending
Kontaktskjema 6 måneder Avidentifiseres etter at henvendelsen er besvart
Nyhetsbrev-abonnement Til avmelding Slettes innen 30 dager
Analytiske data (GA4) 14 måneder Slettes/anonymiseres automatisk hos leverandøren
Tekniske plattformlogger Kortvarig Efemere driftslogger; styres av plattformleverandøren

Etter utløpt lagringstid slettes opplysningene automatisk eller anonymiseres slik at de ikke lenger kan knyttes til deg.

10

Dine rettigheter

I henhold til GDPR har du følgende rettigheter knyttet til behandlingen av dine personopplysninger:

Rett til innsyn

Du kan be om en kopi av personopplysningene vi har om deg, og informasjon om hvordan de behandles.

Rett til retting

Du kan be om at uriktige eller ufullstendige opplysninger rettes.

Rett til sletting

Du kan be om at opplysningene dine slettes når de ikke lenger er nødvendige. Regnskaps- og transaksjonsdata beholder vi inntil bokføringslovens frist (5 år fra regnskapsårets slutt), men da uten dine kontaktopplysninger.

Rett til begrensning

Du kan be om at behandlingen begrenses i visse situasjoner, for eksempel mens vi vurderer en innsigelse fra deg.

Rett til dataportabilitet

Du kan be om å motta opplysningene dine i et strukturert, maskinlesbart format og få dem overført til en annen behandlingsansvarlig.

Rett til å protestere

Du kan protestere mot behandling basert på berettiget interesse, og mot direkte markedsføring når som helst.

Rett til å trekke samtykke

Hvor behandlingen er basert på samtykke, kan du trekke det tilbake når som helst — uten at det påvirker tidligere behandling.

Rett til å klage

Du kan klage til Datatilsynet hvis du mener at vår behandling er i strid med personvernregelverket.

Slik utøver du rettighetene

Send en e-post til [email protected], eller bruk kontaktskjemaet. Fordi vi behandler fødselsnummer, må vi bekrefte at det er deg før vi utleverer eller sletter opplysninger. Vi gjør dette ved å sende en engangskode til e-postadressen vi har registrert på deg (kontroll av at du har tilgang til den registrerte kanalen). Kan vi ikke fastslå identiteten din med rimelig sikkerhet, kan vi be om ytterligere opplysninger, eller avslå med begrunnelse og opplysning om klageretten.

Vi besvarer henvendelsen innen én måned. Ved særlig komplekse eller mange henvendelser kan fristen forlenges med inntil to måneder — da varsler vi deg innen den første måneden. Innsyn og sletting er gratis.

11

Overføring utenfor EU/EØS

Vi tilstreber å behandle alle personopplysninger innenfor EU/EØS. Enkelte databehandlere har serverkapasitet i USA (Cloudflare, Resend og Microsoft Clarity). For disse overføringene sikrer vi gyldig grunnlag etter GDPR kapittel 5:

  • EU–US Data Privacy Framework (DPF) — de aktuelle amerikanske leverandørene er DPF-sertifisert, slik at overføringen skjer til et anerkjent beskyttelsesnivå for sertifiserte virksomheter.
  • EUs standard kontraktsklausuler (SCC) med supplerende tiltak som reservegrunnlag dersom DPF ikke skulle gjelde.

Det finnes ingen generell adekvansbeslutning for USA; grunnlaget vurderes per leverandør.

12

Sikkerhet

Vi tar sikkerheten til dine personopplysninger på alvor og har implementert tekniske og organisatoriske tiltak:

Kryptering

All dataoverføring er kryptert med TLS 1.3. Sensitive data, inkludert fødselsnummer, krypteres med AES-256 ved lagring.

Tilgangskontroll

Kun autorisert personell har tilgang til personopplysninger, basert på arbeidsoppgaver og prinsippet om minste nødvendige tilgang.

Edge- og misbruksbeskyttelse

Trafikken går gjennom Cloudflares edge-beskyttelse (DDoS/WAF). Skjemaer er beskyttet med rate-limiting, honeypot og bot-vern.

Logging av sensitive oppslag

Oppslag av fødselsnummer logges, slik at tilgang til sensitive data kan spores. Innlogging til administrasjonspanelet skjer med engangskode.

Databehandleravtaler

Alle leverandører som behandler personopplysninger på våre vegne, er underlagt databehandleravtaler i tråd med GDPR.

13

Relevante lover og forskrifter

Vår virksomhet og behandling av personopplysninger er regulert av blant annet:

Tilsynsmyndighet

Datatilsynet er ansvarlig for å overvåke overholdelse av personvernlovgivningen i Norge. Dersom du mener at behandlingen av dine personopplysninger er i strid med gjeldende regelverk, har du rett til å klage til Datatilsynet.

Datatilsynet, Postboks 458 Sentrum, 0105 Oslo. Telefon 22 39 69 00. datatilsynet.no

Vi setter pris på om du tar kontakt med oss først, så vi får mulighet til å rette opp i eventuelle feil eller misforståelser.

For vilkårene som gjelder bruk av tjenesten, se våre vilkår og betingelser.

14

Kontakt oss

Har du spørsmål om personvern?

Hvis du har spørsmål om vår behandling av personopplysninger, ønsker å utøve dine rettigheter, eller har andre henvendelser knyttet til personvern, kan du kontakte oss på følgende måter:

Vi vil besvare henvendelsen din innen 30 dager.

Endringer i personvernerklæringen

Vi kan gjøre endringer i denne personvernerklæringen ved behov — for eksempel ved nye tjenester, endrede behandlingsformål eller endringer i lovverket. Ved vesentlige endringer som påvirker dine rettigheter, vil vi varsle deg på e-post eller gjennom nettstedet før endringen trer i kraft.

Den til enhver tid gjeldende versjonen er tilgjengelig på denne siden.