Back to login

BADSTUEGRUPPEN AS

Privacy Policy

Sist oppdatert: 16. mai 2026 · Trer i kraft: 1. juni 2026

This document is currently only available in Norwegian. An English translation will be provided soon.

Denne personvernpolicyen forklarer hvordan Nexus Connect AS («Nexus», «vi», «oss») samler inn, bruker og beskytter personopplysninger når du bruker investorportalen. Vi er forpliktet til å beskytte ditt personvern i samsvar med GDPR, den norske personopplysningsloven og annen gjeldende personvernlovgivning.

1. Hvem vi er

Nexus Connect AS er behandlingsansvarlig for personopplysninger som behandles via Portalen i forbindelse med kontoadministrasjon og kommunikasjon. Der Nexus behandler personopplysninger (f.eks. aksjonærregistre) på vegne av Selskapet, opptrer Nexus som databehandler og Selskapet er behandlingsansvarlig. Slik behandling er regulert av en separat databehandleravtale (DBA).

Nexus Connect AS

Oslo, Norge

E-post: privacy@nexus.no

2. Hvilke opplysninger vi samler inn

2.1 Opplysninger du oppgir

  • Identitetsopplysninger: navn, fødselsnummer og kontaktinformasjon verifisert via Vipps MobilePay (norsk BankID) ved autentisering
  • Kontaktopplysninger: e-postadresse og mobilnummer returnert fra Vipps etter vellykket innlogging
  • Kommunikasjon: innholdet i henvendelser til vår support

2.2 Opplysninger vi samler inn automatisk

  • Bruksdata: sider besøkt, funksjoner brukt, tid brukt og handlinger utført i Portalen
  • Enhets- og loggdata: IP-adresse, nettlesertype og -versjon, operativsystem og tilgangstidspunkter
  • Informasjonskapsler: øktinformasjonskapsler og analyseinformasjonskapsler (se avsnitt 9)

2.3 Opplysninger fra tredjeparter

  • Vipps MobilePay: autentiseringstokener og grunnleggende profilinformasjon (navn, telefonnummer) returnert etter vellykket innlogging
  • Selskapet: aksjonærdata, transaksjonshistorikk og porteføljedata som Selskapet har lagt inn i plattformen

3. Hvordan vi bruker opplysningene

FormålKategorier av data som brukes
Levere og drifte PortalenIdentitetsopplysninger, porteføljedata, bruksdata
Autentisering og sikkerhetIdentitetsopplysninger (Vipps), enhets- og loggdata
KundestøtteKontaktopplysninger, kommunikasjon, bruksdata
Produktforbedring og analyseAnonymiserte eller aggregerte bruksdata
Overholdelse av lov og forebygging av svindelIdentitetsopplysninger, enhets- og loggdata

4. Rettslig grunnlag for behandling (GDPR artikkel 6)

  • Oppfyllelse av avtale (art. 6(1)(b)): behandling som er nødvendig for å levere Portalen i henhold til våre Vilkår for bruk
  • Berettiget interesse (art. 6(1)(f)): sikkerhetsovervåking, svindelforebygging og produktanalyse
  • Rettslig forpliktelse (art. 6(1)(c)): behandling som kreves av norsk eller EU-lov (f.eks. bokføringsloven, hvitvaskingsloven)
  • Samtykke (art. 6(1)(a)): markedskommunikasjon — du kan trekke tilbake samtykket når som helst

5. Deling av opplysninger

Vi selger ikke dine personopplysninger. Vi deler data kun i følgende tilfeller:

5.1 Tjenesteleverandører (underdatabehandlere)

Vi benytter nøye utvalgte tredjepartsleverandører for å levere Portalen:

  • Supabase — databaseverdskap og autentisering (EU-region)
  • Resend — transaksjonell e-postlevering
  • Vipps MobilePay — brukerautentisering
  • Vercel — skyinfrastruktur (EU-region der tilgjengelig)

Hver underdatabehandler er bundet av en databehandleravtale og kan kun behandle data etter våre instruksjoner.

5.2 Selskapet

Selskapet som du er aksjonær i, har tilgang til din porteføljedata i den grad det er nødvendig for å administrere aksjeregisteret. Vi deler ikke dine opplysninger med Selskapet utover det som fremgår av databehandleravtalen.

5.3 Rettslig utlevering

Vi kan utlevere personopplysninger dersom det kreves ved lov, kjennelse eller for å beskytte Nexus', våre kunders eller andres rettigheter, eiendom eller sikkerhet.

6. Internasjonale dataoverføringer

Vi tilstreber å behandle personopplysninger innenfor Det europeiske økonomiske samarbeidsområdet (EØS). Der data overføres utenfor EØS (f.eks. til amerikanske underdatabehandlere), sikrer vi at egnede garantier er på plass, slik som standard kontraktsklausuler (SCC) vedtatt av EU-kommisjonen eller basert på en adekvansavgjørelse.

7. Lagringstid

Vi oppbevarer personopplysninger kun så lenge som nødvendig for å oppfylle formålene beskrevet i denne policyen, eller som kreves ved lov:

  • Kontaktopplysninger og identitetsdata: så lenge du er aktiv bruker av Portalen pluss 3 år etter deaktivering
  • Porteføljedata: styrt av Selskapet som behandlingsansvarlig
  • Logg- og bruksdata: 12 måneder rullerende
  • Samtykkejournaler: til samtykket trekkes tilbake pluss 2 år

8. Sikkerhet

Nexus implementerer egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger, inkludert:

  • TLS 1.2+ kryptering for alle data under overføring
  • AES-256 kryptering for data i hvile
  • Rollebasert tilgangskontroll og prinsippet om minste privilegium
  • Multifaktorautentisering for interne systemer
  • Regelmessige penetrasjonstester og sikkerhetsgjennomganger
  • Hendelsesrespons og varsling til tilsynsmyndighet innen 72 timer ved brudd (GDPR art. 33)

9. Informasjonskapsler og sporingsteknologier

9.1 Nødvendige informasjonskapsler

Strengt nødvendige for at Portalen skal fungere (f.eks. øktautentiseringstokener). Disse kan ikke deaktiveres.

9.2 Analyseinformasjonskapsler

Vi bruker personvernvennlig analyse for å forstå hvordan Portalen brukes. Analysedata er aggregert og identifiserer ikke enkeltbrukere. Du kan reservere deg via nettleserinnstillingene dine.

9.3 Administrasjon av informasjonskapsler

Du kan kontrollere informasjonskapsler via nettleserinnstillingene dine. Deaktivering av nødvendige informasjonskapsler kan forhindre at Portalen fungerer korrekt.

10. Dine rettigheter under GDPR

  • Rett til innsyn (art. 15): be om en kopi av personopplysningene vi har om deg
  • Rett til retting (art. 16): be om korrigering av unøyaktige eller ufullstendige opplysninger
  • Rett til sletting (art. 17): be om sletting av dine opplysninger der det ikke foreligger et overordnet rettslig grunnlag
  • Rett til begrensning (art. 18): be om at vi begrenser behandlingen i visse tilfeller
  • Rett til dataportabilitet (art. 20): motta dine data i et strukturert, maskinlesbart format
  • Rett til å protestere (art. 21): protestere mot behandling basert på berettiget interesse, inkludert direktemarkedsføring
  • Rett til å trekke tilbake samtykke: trekke tilbake samtykket når som helst der behandlingen er samtykkebasert

For å utøve noen av disse rettighetene, kontakt oss på privacy@nexus.no. Vi vil svare innen 30 dager. Du har også rett til å klage til Datatilsynet.

11. Barns personvern

Portalen er ikke rettet mot personer under 18 år. Vi samler ikke bevisst inn personopplysninger fra barn. Dersom vi blir kjent med at et barn under 18 år har gitt oss personopplysninger, vil vi treffe tiltak for å slette disse omgående.

12. Endringer i denne policyen

Vi kan oppdatere denne personvernpolicyen fra tid til annen. Vi vil varsle deg om vesentlige endringer per e-post eller ved å vise et fremtredende varsel i Portalen minst 14 dager før endringene trer i kraft. Datoen øverst i denne policyen angir når den sist ble revidert.

13. Kontakt og databehandleravtale

For personvernrelaterte spørsmål, henvendelser eller for å innhente en kopi av vår DBA, kontakt vårt personvernteam:

Nexus Connect AS — Personvern

Oslo, Norge

E-post: privacy@nexus.no

Se også våre Vilkår for bruk som regulerer din bruk av Portalen.