Bestill et møte
Juridisk · GDPR & EU AI Act

Personvernerklæring
for People's Research

Sist oppdatert: 24. mai 2026

Denne erklæringen beskriver hvilke personopplysninger People's Group behandler i forbindelse med People's Research, hvorfor vi behandler dem, hvordan vi beskytter dem, og hvilke rettigheter du har. Erklæringen dekker besøk på peoplesresearch.ai samt henvendelser fra forskere, sykehus, universiteter og medtek-selskaper via kontaktskjemaet.

1 Hvem vi er

People's Research er et samtykke-basert forskningsmiljø for kliniske studier, levert av People's Group, Teglværksvej 2, 5600 Faaborg, Danmark (CVR 40930809).

Henvendelser kan rettes til:

2 Roller og dataansvar

People's Group er behandlingsansvarlig for personopplysningene som behandles via denne nettsiden og i den innledende dialogen med forskere, kliniske avdelinger, universiteter og medtek-selskaper. Det dekker kontaktskjema-data, support-korrespondanse og besøks-analyse.

I selve forskningsstudiene - der innbygger-samtykke gater tilgang til klinisk data - er forskningsinstitusjonen som kjører studien behandlingsansvarlig for studiens datasett. People's Group stiller forskningsmiljøet til rådighet og ivaretar rollen som databehandler under databehandleravtale (GDPR Art. 28). Innbyggeren styrer det granulære samtykket per studie via People's Wallet.

Denne erklæringen dekker behandlingsansvarlig-rollen for besøkende på nettsiden og for innkomne henvendelser. For studie-datasett henvises det til den inngåtte databehandleravtalen med den enkelte forskningsinstitusjon.

3 Hvilke data vi behandler

Vi behandler følgende kategorier av data fra deg som besøkende eller henvendende part:

  • Kontaktskjema: navn, jobb-e-post, organisasjon, rolle, sektor og din melding til oss.
  • Tekniske metadata: referrer, språkpreferanse, tidsstempel, eventuelle UTM-parametre.
  • Sesjonsdata: anonymisert sesjon-id og skjemaets flyt-tid (elapsed_ms) til bot-beskyttelse.
  • Analyse (kun ved samtykke): anonymisert bruksdata via cookie-basert sporing.

Vi behandler ikke særlige kategorier av personopplysninger (GDPR Art. 9) gjennom nettsiden. Kliniske data fra innbyggere inngår i forskningsstudier under innbyggerens eksplisitte samtykke (GDPR Art. 9 nr. 2 bokstav a) og reguleres av studiens databehandleravtale - ikke av denne erklæringen.

4 Formål og rettsgrunnlag

Hver kategori av opplysninger behandles til et bestemt formål med et bestemt rettsgrunnlag:

  • Kontaktskjema, formål: besvare henvendelse og innlede dialog om en mulig studie eller samarbeid. Rettsgrunnlag: samtykke (GDPR Art. 6 nr. 1 bokstav a).
  • Tekniske metadata og sesjonsdata, formål: driftssikkerhet, bot-beskyttelse og dokumentasjon av tilgang. Rettsgrunnlag: berettiget interesse (GDPR Art. 6 nr. 1 bokstav f). Interesseavveining: behovet for å beskytte forskningsmiljøet og besøkende mot misbruk veier tyngre enn den enkelte besøkendes interesse i fullstendig fravær av logging.
  • Analyse, formål: forbedre nettsiden og dens innhold. Rettsgrunnlag: samtykke (GDPR Art. 6 nr. 1 bokstav a).

5 AI, automatisering og menneskelig tilsyn

Forskningsmiljøet rommer AI-assistanse til hypotese-, litteratur- og trend-arbeid. AI-en tar ingen kliniske beslutninger og diagnostiserer ikke deltakere. Forskeren ser kilden, godkjenner forslaget og signerer det endelige resultatet. Hver gang.

For besøkende på peoplesresearch.ai foregår ingen automatisert beslutningstaking etter GDPR Art. 22. Kontaktskjemaet besvares manuelt av forskningsteamet.

People's Research designes med EU AI Act high-risk-forpliktelser for øye - audit-spor, transparens og menneskelig tilsyn fra start. Vi sier "aligned" og ikke "compliant" der regimet ennå ikke er fullt i kraft (high-risk-forpliktelser fra 2027).

6 Ingen trening på klinisk data

Klinisk data fra innbyggere - journalnotater, prøvesvar, wearable-avlesninger, innbygger-rapporterte svar - brukes utelukkende til studien innbyggeren har gitt samtykke til. Data sendes aldri til eksterne AI-API-er, heller ikke til OpenAI, Anthropic, Google eller andre tredjepartsleverandører, og brukes ikke til trening, finetuning eller modelloptimalisering, verken i identifiserbar, anonymisert eller aggregert form.

Modelloppdateringer kommer fra eksterne, dokumenterte kilder og gjennomgår intern validering før de settes i produksjon.

7 Oppbevaring og sletting

Vi oppbevarer kun opplysninger så lenge det er nødvendig for formålet de er samlet inn til:

DatakategoriOppbevaringsperiode
Kontaktskjema (uten etterfølgende samarbeid)24 måneder fra mottak
Kontaktskjema (samarbeid inngått)Samarbeidets varighet + 5 år (Bokføringsloven)
Tekniske driftslogger185 dager
Analyse-dataSlettes ved tilbaketrekking av samtykke eller senest etter 26 måneder
Krypterte backup-erInngår i ovennevnte perioder; sletteforespørsler reapplikeres på gjenopprettede backup-er

Innbygger-samtykke til studie-deltakelse styres separat via People's Wallet - studiens egne oppbevaringsregler gjelder, og innbyggeren kan til enhver tid trekke samtykket tilbake med ett trykk. Forespørsler om tidligere sletting av kontaktskjema-data rettes til support@peoplesresearch.ai.

8 Underdatabehandlere

Vi benytter underdatabehandlere i følgende kategorier:

  • Cloud-hosting av peoplesresearch.ai i EU-region.
  • AI-compute for forskningsmiljøet på EU-basert infrastruktur via People's Lab.
  • Skjema-håndtering på EU-hostet infrastruktur.

Oppdatert liste over spesifikke underdatabehandlere kan rekvireres fra support@peoplesresearch.ai. Forskningsinstitusjoner som har inngått databehandleravtale, mottar beskjed ved endringer med minst 30 dagers varsel, jf. databehandleravtalen.

9 Dataplassering

Forskningsmiljøets kjerne - compute, lagring og AI-inferens for studie-datasett - kjører på EU-basert infrastruktur i Frankfurt-regionen via People's Lab. Studie-datasett forlater ikke EU.

Denne nettsiden (peoplesresearch.ai) hostes hos en leverandør i EU-region. Kontaktskjema-data passerer gjennom EU-hostet infrastruktur.

10 Overføringer utenfor EU/EØS

For forskningsmiljøets kjerne: ingen overføringer utenfor EU/EØS. Studie-datasett, AI-inferens og backup-er forblir på EU-basert infrastruktur.

For nettsidens hosting benyttes en leverandør med primær forretningsaktivitet utenfor EU, i EU-region. Det kan teoretisk forekomme overføring av drifts-metadata (ikke skjemadata) til USA gjennom leverandørens globale infrastruktur. Slik overføring er dekket av EU Standard Contractual Clauses (SCC). Kontaktskjema-data som inneholder personopplysninger, behandles utelukkende i EU-hostet infrastruktur.

11 Tekniske og organisatoriske sikkerhetstiltak

Vi har truffet de tiltakene som etter GDPR Art. 32 er passende i forhold til risikoen, herunder særlig skjerpede krav for klinisk forskningsdata:

Kryptering:

  • I transitt: TLS 1.2 eller nyere på all nettverkstrafikk.
  • At rest: full disk-kryptering på databaseservere.
  • Backup-er: AES-256-kryptering på separat EU-lagring.

Tilgangskontroll:

  • Rollebasert tilgangskontroll (RBAC) med prinsipp om minste nødvendige rettigheter.
  • Tilgang til studie-data er gated bak en data-tilgangskomité.
  • MFA/TOTP påkrevd for all privilegert tilgang.
  • VPN påkrevd for administrativ tilgang til produksjon.
  • 4-øyne-prinsipp ved produksjonsendringer.

Overvåking og integritet:

  • File integrity monitoring på produksjonsnoder.
  • Sentralt innsamlede systemlogger.
  • SHA-256-hashing av kritiske transaksjonslogger (immutable audit trail).
  • Spor over hvem som har sett hvilke studie-datasett - synlig for innbyggeren via Wallet.

Organisatorisk:

  • Personalet har som utgangspunkt ikke tilgang til studie-data (no-access support-modell). Tilgang i konkrete støttesituasjoner krever forskningsinstitusjonens forhåndsgodkjenning og dokumenteres.
  • Taushetserklæringer for alt personale med tilgang til produksjonsmiljøet.
  • Jevnlig sikkerhetstrening.

12 Forsknings-uavhengighet

Pharma-sponsede studier på forskningsmiljøet kan ikke undertrykke ugunstige funn. Studie-protokoller registreres før data-tilgang, og resultater rapporteres uansett sponsor-utfall. Universitets-samarbeid beholder full publikasjons-frihet. Policy-dokument tilgjengelig på forespørsel.

13 Dine rettigheter

Du har følgende rettigheter under GDPR. Hvilken vei forespørselen din skal gå avhenger av om vi behandler opplysningene dine som behandlingsansvarlig (besøk på nettsiden, kontaktskjema, samarbeidsdialog) eller som databehandler (studie-datasett i forskningsmiljøet):

  • Innsyn (Art. 15): få bekreftelse på om vi behandler opplysninger om deg, samt kopi av opplysningene.
  • Retting (Art. 16): få rettet uriktige opplysninger.
  • Sletting (Art. 17): få slettet opplysninger uten unødig forsinkelse når betingelsene i Art. 17 nr. 1 er oppfylt.
  • Begrensning (Art. 18): begrense vår behandling i konkrete situasjoner.
  • Dataportabilitet (Art. 20): få opplysninger utlevert i et strukturert, alminnelig brukt og maskinlesbart format.
  • Innsigelse (Art. 21): gjøre innsigelse mot behandling basert på berettiget interesse.
  • Tilbaketrekking av samtykke (Art. 7 nr. 3): der behandling skjer på grunnlag av samtykke, kan samtykket trekkes tilbake med virkning fremover. For studie-deltakelse trekkes samtykket tilbake direkte i People's Wallet.

Slik utøver du rettighetene:

  • For studie-data i forskningsmiljøet (vi er databehandler): kontakt forskningsinstitusjonen som står bak studien. Innbyggeren kan trekke samtykket tilbake direkte i People's Wallet.
  • For besøk på nettsiden, kontaktskjema og samarbeidsdialog (vi er behandlingsansvarlig): kontakt support@peoplesresearch.ai.

Vi svarer innen 30 dager, jf. GDPR Art. 12 nr. 3. Komplekse forespørsler kan forlenges med inntil to måneder med begrunnet varsel innen samme frist. Vi krever ikke gebyr, med mindre forespørselen er åpenbart grunnløs eller overdreven (Art. 12 nr. 5).

14 Sikkerhetsbrudd

Hvis et brudd på personopplysnings-sikkerheten oppstår:

  • Det danske Datatilsynet underrettes innen 72 timer etter konstatering, jf. GDPR Art. 33.
  • Berørte forskningsinstitusjoner (behandlingsansvarlige for studie-datasett) underrettes så raskt som mulig, internt mål 48 timer fra brudd-konstatering.
  • Berørte registrerte - herunder innbyggere hvis studie-data er involvert - underrettes av behandlingsansvarlig etter Art. 34, dersom bruddet sannsynligvis medfører høy risiko for deres rettigheter og friheter.

Sikkerhetshendelser kan rapporteres til support@peoplesresearch.ai.

15 Cookies og nettside-sporing

peoplesresearch.ai bruker for tiden utelukkende strengt nødvendige cookies (sesjons-id og språkpreferanse). Vi benytter ikke marketing-trackere, fingerprinting eller cross-site-sporing.

Analyse-cookies settes kun ved aktivt samtykke via cookie-banneret. Samtykket kan til enhver tid tilbakekalles via "Cookie-innstillinger" nederst på siden.

16 Klage til datatilsynet

Du kan klage til det danske Datatilsynet hvis du mener at vår behandling av opplysningene dine er i strid med personvernregelverket:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby, Danmark
Telefon: +45 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk

Du trenger ikke ha henvendt deg til oss først, men vi oppfordrer til å gi oss mulighet til å finne en løsning før du klager.

17 Endringer i denne erklæringen

Vesentlige endringer kommuniseres til registrerte samarbeidspartnere via e-post minst 30 dager før ikrafttredelse. Mindre endringer (presiseringer, oppdaterte kontaktopplysninger) kan publiseres uten særskilt varsel.

Tidligere versjoner kan rekvireres via support@peoplesresearch.ai.