Versjon 2.1 · Gyldig fra 1. januar 2026 · House of Health AS

1. Hvem vi er

House of Health AS («HoH», «vi», «oss») er behandlingsansvarlig for personopplysninger som behandles i tilknytning til vår virksomhet. Vi er et kombinert helsesenter og treningssenter. Alle autoriserte helsepersonell hos HoH er registrert hos Helsedirektoratet og følger helsepersonelloven.

Foretaksnavn	House of Health AS
Organisasjonsnummer	826 302 542
Adresse	Apotekergata 10b, 0180 Oslo
E-post	contact@houseofhealth.no
Personvernkontakt	personvern@houseofhealth.no
Nettside	www.houseofhealth.no

2. Om denne erklæringen

Denne personvernerklæringen gjelder for alle som bruker våre tjenester eller besøker nettstedet vårt: pasienter, treningsmedlemmer, kursdeltagere, jobbsøkere og bedriftskunder. Vi behandler personopplysninger i samsvar med GDPR (EU) 2016/679, personopplysningsloven 2018, helsepersonelloven og pasientjournalloven.

3. Hvilke opplysninger vi behandler og hvorfor

Vi skiller mellom kliniske helsedata i journalsystemet Aspit (tilknyttet Norsk Helsenett, kun lagret i Norge) og administrative data i øvrige systemer.

Formål	Opplysningskategorier	Rettslig grunnlag	Lagringstid
Legetjenester og pasientjournal	Navn, fødselsnummer, adresse, helseopplysninger, diagnoser, behandlingsnotater, medisinbruk, henvisninger	Art. 6(1)(c) lovpålagt + Art. 9(2)(h) GDPR + helsepersonelloven § 25	Minimum 10 år (lovpålagt — kan ikke slettes på forespørsel)
Fysioterapi og manuellterapi	Navn, fødselsdato, kontaktinfo, sykehistorie, testresultater, journalnotater	Art. 6(1)(c) + Art. 9(2)(h) for journal. Art. 9(2)(a) samtykke for øvrige helsedata.	10 år for journal. 24 mnd. for øvrige notater.
Ernæringsrådgivning	Navn, kontaktinfo, kostholdsdata, helseopplysninger (f.eks. BMI, allergier)	Art. 6(1)(b) avtale + Art. 9(2)(a) samtykke for helseopplysninger	24 mnd. etter siste time
Personlig trening (PT)	Navn, kontaktinfo, treningsmål, treningshistorikk, evt. helseinformasjon oppgitt frivillig	Art. 6(1)(b) avtale. Helseopplysninger: Art. 9(2)(a) samtykke.	12 mnd. etter avsluttet PT-avtale
Treningsmedlemskap, klasser og kurs	Navn, kontaktinfo, betalingsinfo, påmeldingshistorikk, besøkslogg	Art. 6(1)(b) oppfyllelse av kontrakt	6 mnd. etter avsluttet medlemskap. Betalingsdata: 5 år (bokføringsloven).
Timebestilling (Acuity Scheduling)	Navn, kontaktinfo, valg av behandler/trener, tidspunkt, bekreftelser	Art. 6(1)(b) avtale. Helserelatert booking: Art. 9(2)(h).	6 mnd. etter at tjenesten er avsluttet
E-postmarkedsføring	E-postadresse, navn, preferanser	Art. 6(1)(a) samtykke + markedsføringsloven § 15	Til du melder deg av. Slettes innen 30 dager.
Henvendelser per e-post og kontaktskjema	Navn, e-postadresse, telefon (valgfritt), meldingsinnhold	Art. 6(1)(f) berettiget interesse. Art. 6(1)(b) ved tjenesteforespørsler.	Inntil saken er avsluttet, normalt inntil 12 mnd.
Bedriftskunder	Kontaktpersonens navn, stilling, e-post og telefon	Art. 6(1)(b) avtale eller Art. 6(1)(f) berettiget interesse	Varighet av kundeforholdet + 3 år
Nettside og informasjonskapsler	IP-adresse, nettlesertype, adferd på siden	Art. 6(1)(a) samtykke for ikke-nødvendige cookies. Art. 6(1)(f) for nødvendige.	Se informasjonskapsel-policy
Rekruttering	CV, søknadsbrev, referanser	Art. 6(1)(b) tiltak før avtaleinngåelse	6 mnd. etter avsluttet ansettelsesprosess

4. Hvem vi deler opplysninger med

Vi deler opplysninger kun der det er nødvendig for å levere tjenestene. Alle leverandører er bundet av databehandleravtale i samsvar med GDPR Art. 28.

Leverandør	Formål	Lokasjon
Aspit AS	Pasientjournal og timebestilling for helsepersonell	Norge — alle data lagret i Norge
Wondr AS	Treningsmedlemskap og PT-booking for Bjørvika-lokasjonen	Norge (EØS)
Squarespace, Inc. inkl. Acuity Scheduling	Nettside, nettbutikk, timebestilling og e-postmarkedsføring. Acuity Scheduling er en del av Squarespace.	USA — EU-US Data Privacy Framework
Stripe Payment Europe, Ltd.	Kortbetalingsbehandling	Irland (EØS)
Google Ireland Ltd.	E-post og dokumenthåndtering (Google Workspace)	Irland (EØS)
Tally BV	Digitale skjemaer for kurs og prosjekter	Belgia (EU)
Tripletex AS	Fakturering og regnskapsføring	Norge
Easy Accounting AS	Årsregnskap, lønn og skatteinnrapportering	Norge

Vi kan også dele opplysninger med offentlige myndigheter (NAV, HELFO, Helsetilsynet, Skatteetaten) der loven krever det, og med annet autorisert helsepersonell ved nødvendig faglig samarbeid.

Vi selger aldri personopplysningene dine.

5. Helseopplysninger

HoH behandler helseopplysninger som «særlige kategorier» etter GDPR Art. 9. Vi skiller strengt mellom journalpliktige kliniske data (Aspit, kun i Norge) og samtykkebaserte velværedata.

Journalplikt: Autorisert helsepersonell har lovpålagt journalplikt etter helsepersonelloven § 39. Journalen er taushetsbelagt og tilgjengelig kun for behandlende helsepersonell med tjenstlig behov.
Dine pasientrettigheter: Du har rett til innsyn i journalen din (§ 41), rett til retting av feil (§ 42), og rett til å vite hvem som har hatt tilgang.
10-årsregel: Journalopplysninger kan ikke slettes på anmodning innen 10 år etter siste kontakt (helsepersonelloven § 43).
Samtykkebaserte helsedata: For helsedata utenfor journalplikten (f.eks. ernæringsprogram, PT-opplegg) behandles opplysningene kun med ditt uttrykkelige samtykke etter Art. 9(2)(a). Du kan trekke samtykket tilbake når som helst.
Be om innsyn i journal: Send forespørsel til personvern@houseofhealth.no. Vi svarer uten ugrunnet opphold, normalt innen 30 dager.

6. Dine rettigheter

Kontakt oss på personvern@houseofhealth.no. Vi svarer innen én måned.

Innsyn (Art. 15)

Be om kopi av opplysningene vi har om deg.

Retting (Art. 16)

Be om at uriktige opplysninger korrigeres.

Sletting (Art. 17)

Be om sletting der det er rettslig adgang til det. Journalopplysninger kan ikke slettes innen 10 år.

Begrensning (Art. 18)

Be om midlertidig stans i behandlingen mens en tvist pågår.

Portabilitet (Art. 20)

Motta opplysningene dine i et maskinlesbart format.

Protestere (Art. 21)

Protestere mot behandling basert på berettiget interesse, inkl. markedsføring.

Trekke samtykke

Samtykke kan trekkes tilbake når som helst uten negative konsekvenser.

Automatiserte avgjørelser

Vi foretar ikke automatiserte individuelle avgjørelser om deg (GDPR Art. 22).

Klage (Art. 77)

Du kan klage til Datatilsynet: postkasse@datatilsynet.no · datatilsynet.no

7. Informasjonskapsler

Vi bruker informasjonskapsler. Ikke-nødvendige cookies aktiveres kun etter ditt samtykke via cookie-banneret. Full oversikt: www.houseofhealth.no/informasjonskapsler

8. Endringer

Vi kan oppdatere denne erklæringen ved behov. Eksisterende medlemmer og abonnenter varsles per e-post med minimum 30 dagers varsel ved vesentlige endringer. Gjeldende versjon er alltid tilgjengelig på www.houseofhealth.no/personvernerklring.

Sist oppdatert: 1. januar 2026 · Versjon 2.1

Spørsmål om personvern? House of Health AS · Apotekergata 10b, 0180 Oslo · Org.nr 826 302 542
E-post: personvern@houseofhealth.no

Version 2.1 · Effective 1 January 2026 · House of Health AS · English Translation

1. Who We Are

House of Health AS ("HoH", "we", "us") is the data controller for personal data processed in connection with our business. We operate as a combined health clinic and training centre. All authorised health professionals at HoH are registered with Helsedirektoratet and comply with the Norwegian Health Personnel Act.

Company Name	House of Health AS
Organisation Number	826 302 542
Address	Apotekergata 10b, 0180 Oslo, Norway
Email	contact@houseofhealth.no
Privacy Contact	personvern@houseofhealth.no
Website	www.houseofhealth.no

2. About this Policy

This privacy policy applies to anyone who uses our services or visits our website: patients, training members, course participants, job applicants, and business clients. We process personal data in accordance with GDPR (EU) 2016/679, the Norwegian Personal Data Act 2018, the Health Personnel Act, and the Patient Records Act.

3. What Data We Process and Why

We separate clinical health data in the Aspit journal system (connected to the National Health Network, NHN — stored in Norway only) from administrative data in our other systems.

Purpose	Data Categories	Legal Basis	Retention
Medical services & patient records	Name, national ID, address, health data, diagnoses, treatment notes, medication, referrals	Art. 6(1)(c) legal obligation + Art. 9(2)(h) GDPR + Health Personnel Act § 25	Minimum 10 years (statutory — cannot be deleted on request)
Physiotherapy & manual therapy	Name, DOB, contact info, medical history, test results, journal notes	Art. 6(1)(c) + Art. 9(2)(h) for records. Art. 9(2)(a) consent for other health data.	10 years for records. 24 months for other notes.
Nutrition counselling	Name, contact info, dietary data, health info (e.g. BMI, allergies)	Art. 6(1)(b) contract + Art. 9(2)(a) consent for health data	24 months after last session
Personal training (PT)	Name, contact info, fitness goals, training history, voluntary health data	Art. 6(1)(b) contract. Health data: Art. 9(2)(a) consent.	12 months after end of PT agreement
Training membership, classes & courses	Name, contact info, payment info, booking history, attendance log	Art. 6(1)(b) performance of contract	6 months post-cancellation. Payment data: 5 years (Accounting Act).
Appointment booking (Acuity Scheduling)	Name, contact info, practitioner/trainer selection, appointment details	Art. 6(1)(b) contract. Health-related: Art. 9(2)(h).	6 months after service ends
Email marketing	Email address, name, preferences	Art. 6(1)(a) consent + Norwegian Marketing Act § 15	Until unsubscribed. Deleted within 30 days.
Email & contact form enquiries	Name, email, phone (optional), message content	Art. 6(1)(f) legitimate interest. Art. 6(1)(b) for service requests.	Until the matter is resolved, normally up to 12 months.
Business clients	Contact person's name, title, email and phone	Art. 6(1)(b) contract or Art. 6(1)(f) legitimate interest	Duration of the client relationship + 3 years
Website & cookies	IP address, browser type, site behaviour	Art. 6(1)(a) consent for non-essential cookies. Art. 6(1)(f) for necessary.	See Cookie Policy
Recruitment	CV, cover letter, references	Art. 6(1)(b) pre-contractual steps	6 months after recruitment process ends

4. Who We Share Data With

We share data only where necessary to deliver our services. All providers are bound by a data processing agreement in accordance with GDPR Art. 28.

Provider	Purpose	Location
Aspit AS	Patient journal and appointment booking for healthcare practitioners	Norway — all data stored in Norway
Wondr AS	Training membership and PT booking for the Bjørvika location	Norway (EEA)
Squarespace, Inc. incl. Acuity Scheduling	Website, webshop, appointment booking and email marketing. Acuity Scheduling is part of Squarespace.	USA — EU-US Data Privacy Framework
Stripe Payment Europe, Ltd.	Card payment processing	Ireland (EEA)
Google Ireland Ltd.	Email and document management (Google Workspace)	Ireland (EEA)
Tally BV	Digital forms for courses and projects	Belgium (EU)
Tripletex AS	Invoicing and bookkeeping	Norway
Easy Accounting AS	Annual accounts, payroll and tax reporting	Norway

We may also share data with public authorities (NAV, HELFO, Helsetilsynet, Skatteetaten) where required by law, and with other authorised health professionals where necessary for clinical collaboration.

We never sell your personal data.

5. Health Data

HoH processes health data as "special category" data under GDPR Art. 9. We strictly separate statutory journal data (Aspit, Norway only) from consent-based wellness data.

Statutory record-keeping: Authorised health professionals are required by law to keep patient records (Health Personnel Act § 39). Records are confidential and accessible only to the treating practitioner with a professional need.
Your patient rights: You have the right to access your records (§ 41), request corrections (§ 42), and be informed of who has accessed them.
10-year rule: Health records cannot be deleted on request within 10 years of the last contact (§ 43). This is a statutory obligation.
Consent-based health data: For health data outside the statutory journal (e.g. nutrition programmes, PT programmes), data is only processed with your explicit consent under Art. 9(2)(a). You may withdraw consent at any time.
Request access to your records: Email personvern@houseofhealth.no. We respond without undue delay, normally within 30 days.

6. Your Rights

Access (Art. 15)

Request a copy of the data we hold about you.

Rectification (Art. 16)

Request that inaccurate data be corrected.

Erasure (Art. 17)

Request deletion where legally permitted. Health records cannot be deleted within 10 years.

Restriction (Art. 18)

Request a temporary pause on processing while a dispute is pending.

Portability (Art. 20)

Receive your data in a machine-readable format.

Object (Art. 21)

Object to processing based on legitimate interest, including marketing.

Withdraw Consent

Consent may be withdrawn at any time without negative consequences.

Automated Decisions

We do not make solely automated decisions about you (GDPR Art. 22).

Complaint (Art. 77)

You may complain to Datatilsynet: postkasse@datatilsynet.no · datatilsynet.no

7. Cookies

We use cookies on our website. Non-essential cookies are only activated after your consent via the cookie banner. Full details: www.houseofhealth.no/informasjonskapsler

8. Changes

We may update this policy as needed. Existing members and subscribers will be notified by email with at least 30 days notice for significant changes. The current version is always at www.houseofhealth.no/personvernerklring.

Last updated: 1 January 2026 · Version 2.1

Questions about privacy? House of Health AS · Apotekergata 10b, 0180 Oslo, Norway · Org.nr 826 302 542
Email: personvern@houseofhealth.no

Personvernerklæring

Personvernerklæring | Prosjekt: En måned uten ultraprosessert mat

Behandlingsansvarlig: House of Health AS (org.nr. 826 302 542)
Kontaktperson: Inge Lindseth – inge@houseofhealth.no

1. Formål med behandlingen

Dette prosjektet undersøker helseeffektene av å unngå ultraprosessert mat og følge et tidsbegrenset spisevindu i én måned. Målet er å dokumentere om enkle og kostnadseffektive tiltak kan føre til forbedringer i vekt og metabolske helsemarkører, og samtidig demonstrere metodeverdi for enkeltpersoner og samfunnshelse.

Resultatene vil brukes anonymt i rapporter, formidling til helsemyndigheter, presse og fagmiljøer.

2. Hvilke personopplysninger behandles

Følgende opplysninger samles inn via et digitalt spørreskjema:

```
Navn
```
```
E-postadresse
```
```
Telefonnummer
```
```
Kroppsvekt og/eller BMI
```

Opplysninger om prediabetes eller diabetes type 2

```
Kostholdsvaner
```

Motivasjon og evne til å følge spesifikke kostholdsrutiner

Tilstedeværelse på målinger, foredrag og helsesjekk

3. Behandlingsgrunnlag

Behandlingen av opplysningene er basert på deltakernes uttrykkelige samtykke, jf. personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a og artikkel 9 nr. 2 bokstav a. Deltakelse i prosjektet er frivillig, og samtykke kan når som helst trekkes tilbake uten negative konsekvenser.

For tilbaketrekking eller spørsmål knyttet til personvern, kontakt:

```
inge@houseofhealth.no
```
```
contact@houseofhealth.no 
```

4. Lagring og sikkerhet

4.1 Lagringsplattformer

Tally.so benyttes til å bygge og distribuere spørreskjema. Tally lagrer data innenfor EU og benytter kryptering under overføring og lagring. Tally fungerer som databehandler og er GDPR-kompatibel.

Google Sheets (via Google Drive) benyttes til organisering og analyse av innsamlede data. Google tilbyr kryptering (AES-256) og omfattende sikkerhetstiltak.

```
Googles personvernerklæring
```

4.2 Tilgang og sikring

Kun prosjektleder og daglig leder har tilgang til dataene. Tilgang er beskyttet med passord og tofaktorautentisering.

4.3 Lagringsperioder

Data fra søkere som ikke kvalifiserer: slettes etter 3 måneder

Data fra kvalifiserte søkere som ikke får plass: slettes etter 6 måneder

Data fra deltakere i prosjektet: slettes etter 12 måneder

Etter disse periodene slettes all informasjon permanent.

5. Deltakerens rettigheter

Deltakere har rett til:

Innsyn i hvilke personopplysninger som er registrert

```
Retting av feilaktige opplysninger
```
```
Sletting av opplysninger
```
```
Begrensning av behandlingen
```
```
Tilbakekalling av samtykke
```

Klage til Datatilsynet via www.datatilsynet.no