Personvernerklæring

Sist oppdatert: 2. mai 2026 · GDPR-kompatibel

Kort versjon: På treningsverk.no samler vi kun e-postadressen din når du melder deg på varslingslista. I app.treningsverk.no (closed beta) henter vi treningsdata fra Strava og/eller Garmin etter at du har koblet til, lagrer dem privat per bruker i EU (Stockholm), og sender aggregerte tall (ikke GPS, ikke navn på aktiviteter) til Anthropic Claude for AI-analyse. Du kan koble fra og slette dataene dine når som helst. Ingen videresalg.

01Hvem er behandlingsansvarlig?

Marcus Nordahl, Trondheim, driver Treningsverk (treningsverk.no) som et privat prosjekt. Behandlingsansvarlig for personopplysninger som samles inn via denne nettsiden er undertegnede.

Henvendelser om personvern: hei@treningsverk.no

02Hvilke opplysninger samler vi inn?

Når du melder deg på varslingslista lagrer vi:

E-postadresse — som du selv skriver inn i påmeldings-skjemaet
Tidspunkt for innsending (automatisk)

I tillegg samler infrastrukturen automatisk inn:

IP-adresse — kortvarig, av Cloudflare for å beskytte mot misbruk og DDoS. I påmeldings-skjemaet lagres kun en SHA-256-hash av IP-en (ikke selve IP-en) sammen med e-postposten din, til revisjons-spor.
User-agent (nettleser-info) — kortvarig hos Cloudflare. En forkortet versjon (≤200 tegn) lagres med påmeldingen.
Cloudflare Turnstile — vår CAPTCHA-erstatning som kjører i bakgrunnen for å verifisere at du er menneske. Bruker ingen sporings-cookies.

Vi setter ingen sporings-cookies eller analytiske cookies. Cloudflare setter én sikkerhets-cookie (__cf_bm) for bot-beskyttelse — denne er klassifisert som «strengt nødvendig» under ePrivacy/GDPR og kan ikke deaktiveres uten å kompromittere sikkerheten. Vi bruker localStorage for å huske valgt tema (lys/halvmørk/mørk) — denne verdien forblir på din maskin og sendes ikke til oss.

03Hvorfor samler vi inn opplysningene?

E-postadressen brukes utelukkende til å sende deg én e-post når closed beta åpner (planlagt sommer 2026). Vi sender ikke nyhetsbrev, tilbud eller annen markedsføring uten ditt aktive samtykke.

Rettslig grunnlag: samtykke, jf. GDPR art. 6 nr. 1 bokstav a. Du gir samtykket aktivt ved å klikke «Meld meg på».

04Hvor lagres opplysningene? (landingssiden)

Tjeneste	Hva	Lokasjon
Cloudflare	Hosting av siden, DDoS- og bot-beskyttelse (Turnstile), Email Routing for hei@treningsverk.no, og lagring av påmeldte e-poster i Workers KV (key-value store).	Globalt CDN. EU-besøkende treffer Cloudflares EU-datasentre, og writes til Workers KV starter på edge-noden nærmest brukeren. KV replikeres deretter til Cloudflares globale infrastruktur for å kunne svare raskt ved oppslag. Alle dataflyter (inkludert eventuelle overføringer ut av EU/EØS) er dekket av Standard Contractual Clauses (SCCs) i Cloudflares standard-avtale, som også inneholder GDPR-art.-28-databehandleravtalen (DPA).

Cloudflare er eneste databehandler for landingssiden. De fungerer som hosting, proxy/sikkerhetslag, e-post-router og database (KV) for påmeldte. Ingen tredjeparter er involvert i påmeldings-flyten.

05App-en (app.treningsverk.no, closed beta)

Når du har fått tilgang til closed beta og logger inn på app.treningsverk.no gjelder følgende i tillegg til seksjonene over. Garmin Connect er hovedkilden — du kobler den til først. Strava er valgfritt og krever at du registrerer din egen Strava API-app (vi har ikke en delt Treningsverk-Strava-app).

5.1 Garmin Connect (hovedkilde) — hvilke data leser vi?

Du kobler til Garmin Connect ved å oppgi e-post + passord én gang. Passordet brukes kun til å hente et OAuth-token hos Garmin og lagres ikke — kun selve tokenet (signert av Garmin) blir liggende. Med tokenet henter vi:

Aktiviteter: dato, type, varighet, distanse, gjennomsnitts- og maks-puls, fart, GPS, høydemeter
Etappeinndeling (laps) og FIT-filer for detaljerte puls-strømmer og lap-presisjon
Wellness-data: hvilepuls, søvn-score, stress-score, vekt, HRV, body battery, training readiness — for treningsbelastnings-analyse

5.2 Strava (valgfri enrichment) — hvilke data leser vi?

Strava er valgfritt i Treningsverk. Du trenger det kun hvis du vil at egne aktivitets-navn og beskrivelser fra Strava (f.eks. «Rekordmila», «10×400m») skal forbedre auto-klassifiseringen. Garmin alene gir alle treningsdataene dine.

Per-user-app: Vi har bevisst ikke en delt Treningsverk-Strava-app. Hvis du vil koble til Strava, registrerer du din egen API-app gratis på strava.com/settings/api (single-athlete tier, 1 000 calls/dag). Det betyr:

OAuth-tokenet ditt kobler bare din Strava-konto til din Treningsverk-konto — ingen andre brukere deler kvote eller tilgang med deg.
Vi (Treningsverk) trenger ikke gå gjennom Strava sin API-godkjennings-prosess for delt-app-tier — du autoriserer din egen app direkte.

Når du har lagt inn API-nøklene og klikker «Connect with Strava» blir du sendt til Strava sin autorisasjons-side, der du eksplisitt godkjenner at din egen Treningsverk-Strava-app får lese treningsdataene dine. Vi ber om OAuth-scopene read og activity:read_all — som lar oss hente:

Profil-info: navn, profilbilde-URL, atlet-id (Strava-bruker-ID), kjønn, vekt om angitt
Per aktivitet: id, navn, type (Run/Ride/etc.), workout_type, dato, varighet, distanse, høydemeter, gjennomsnitts- og maks-puls, gjennomsnitts-fart
Etappeinndeling (laps): per-etappe distanse, tid, puls, fart
For løp markert som race: andre-for-andre-strømmer (puls, fart, distanse, GPS) for detaljanalyse
GPS-koordinater for kart-visning av aktiviteten (når aktiviteten har kartdata)

Vi henter aldri data om personer du følger, kommentarer, kudos, segmenter du ikke selv har laget, eller private aktiviteter du har skjult. Vi skriver heller aldri tilbake til Strava — appen er strikt lese-tilgang.

5.3 Hvorfor henter vi disse dataene?

Treningsverk er et personlig analyse-verktøy. Dataene brukes til:

Å vise dine egne aktiviteter, etappetider, pulssoner og PB-er i et dashbord
Auto-klassifisering: identifisere intervall-økter, tempoløp, langturer, race
80/20-analyse (lavintensitet vs. terskel/over) etter Bakken-skolen / polarisert modell
Å bygge sammendrag som sendes til Anthropic Claude (se 5.5) for AI-anbefalinger

Rettslig grunnlag: samtykke (GDPR art. 6 nr. 1 bokstav a) — du må aktivt klikke for å koble til hver datakilde. Du kan trekke samtykket når som helst, se 5.6.

5.4 Hvor lagres app-data?

Tjeneste	Hva	Lokasjon
Fly.io	App-server + persistent volum med dine Garmin OAuth-tokens (alltid), Strava OAuth-tokens og dine Strava API-app-nøkler (kun hvis du har koblet til Strava), råe aktivitets-JSON-filer, prosesserte aktiviteter, profil-konfig (pulssoner, vekt). Data lagres per bruker — andre brukere kan ikke se dine data.	Stockholm (arn) — EU. Vi har valgt EU-region eksplisitt. Fly.io er amerikansk-eid; SCCer + DPA dekker eventuell support-tilgang.
Cloudflare Access	Innloggings-portal foran appen. Sender bekreftet e-post-adresse (zero-trust JWT) til app-serveren ved hver request.	EU-datasentre for EU-trafikk; SCC + DPA.
Anthropic Claude	Får tilsendt prompt-tekst når du ber om AI-analyse — se 5.5 for hva som faktisk sendes.	USA. SCC + DPA, ifølge Anthropics avtale trenes ikke modellene på input-data fra API-en.
Strava (valgfri)	Selve kilden hvis du har koblet til. Vi henter, lagrer ikke noe nytt der. OAuth-tokenet kobler kun din Strava-konto til din Treningsverk-konto via din egen Strava API-app.	USA. Strava er din egen konto-tilbyder; deres egen personvernerklæring gjelder for lagring hos dem.
Garmin	Selve kilden. Vi henter, lagrer ikke noe nytt der.	USA. Garmins egen erklæring gjelder.

5.5 Hva sendes til Anthropic Claude?

Når du klikker «Generer AI-analyse» (eller tilsvarende) bygger appen en kort tekst-prompt og sender den til Anthropic sitt API. Prompten inneholder:

Aggregerte tall: ukentlig volum (km, timer), TSS/CTL/ATL/TSB, fordeling i pulssoner, antall økter per kategori
Race-resultater du selv har markert (tid, distanse, dato)
Profilinfo du har skrevet inn: alder, vekt, mål, kommende konkurranser
Aktivitetsnavn for de siste få øktene (slik at Claude kan referere til dem) — du kan slå dette av i innstillinger

Vi sender ikke rå GPS-koordinater, andrefor-andre-strømmer, Strava-aktivitets-IDer, e-postadresse, eller noe som identifiserer deg overfor Anthropic ut over det du selv har skrevet i profilen din. Anthropic logger input/output i opptil 30 dager for misbruksovervåking, og trener ikke modeller på det. Bytt anbefaling hvis du vil ha 100% lokal analyse — appen lar deg slå AI-funksjonen helt av.

5.6 Koble fra og slette data

Du kan når som helst:

Koble fra Strava i appen → vi kaller Stravas /oauth/deauthorize-endepunkt slik at tokenet ditt blir ugyldig hos Strava, og fjerner det hos oss.
«Koble fra og slett alle Strava-data» → samme som over, pluss at vi sletter alle nedlastede aktiviteter fra ditt private datalager. Aktivitetene på Strava røres ikke.
Slette hele kontoen ved å sende mail til hei@treningsverk.no — vi sletter da hele datamappa di på fly-volumet (Strava + Garmin + profil + AI-loggen) innen 7 dager. Du får bekreftelse på e-post.

I tillegg har vi en re-deauthorize-rutine: hvis du tilbakekaller tilgangen direkte via strava.com/settings/apps, stopper neste sync-forsøk hos oss og varsler deg om å re-koble — vi prøver ikke å gjenopprette tilgangen i bakgrunnen.

06Hvor lenge lagrer vi data?

E-postadresse på varslingslista — til closed beta lanseres + 30 dager etter første lanserings-mail, deretter slettes alle som ikke har konvertert til kontoer
IP / user-agent (Cloudflare) — typisk 30 dager, deretter aggregert eller slettet
Strava- og Garmin-aktiviteter (i app-en) — så lenge du er aktiv bruker. Slettes innen 7 dager etter at du ber om kontosletting, eller umiddelbart hvis du klikker «Koble fra og slett alle data»
OAuth-tokens (Strava/Garmin) — fram til du kobler fra eller sletter kontoen. Refresh-token roteres automatisk i bakgrunnen
Server-logger på app-en (fly.io) — request-statistikk og feilmeldinger holdes i 7 dager. Inneholder ikke aktivitets-data, kun teknisk info (tidspunkt, statuskode, response-tid, e-post-hash for å identifisere bruker ved feilsøking)
Tema-preferanse (localStorage) — på din maskin til du selv sletter

Du kan be om sletting før den tid — se neste seksjon.

07Dine rettigheter

Under GDPR har du rett til å:

Innsyn — be om kopi av all data vi har om deg
Retting — be om korrigering av feilaktige opplysninger
Sletting («retten til å bli glemt») — be om at vi sletter alt
Overføring — få en maskinlesbar kopi du kan ta med deg
Tilbaketrekking av samtykke — du kan trekke samtykket når som helst
Klage til Datatilsynet — datatilsynet.no

Send en e-post til hei@treningsverk.no med ønsket. Vi svarer innen 30 dager (vanligvis innen samme uke).

08Sikkerhet

Sida bruker HTTPS for all trafikk. Cloudflare leverer DDoS-beskyttelse og WAF (web application firewall). Påmeldings-skjemaet sendes til vår egen Cloudflare Worker over HTTPS — ingen tredjeparts mottaker.

Vi har Cloudflare Workers Observability aktivert på Worker-en, som logger request-statistikk (antall forespørsler, feilrate, response-tid) for drift og feilsøking. Innholdet i forespørslene (e-postadresser, request-body) logges ikke. Logger lagres typisk 7 dager hos Cloudflare og slettes deretter automatisk.

09Endringer

Hvis vi gjør vesentlige endringer i denne erklæringen, varsler vi påmeldte via e-post før endringen trer i kraft. Mindre presiseringer blir oppdatert med ny dato øverst på siden.