Terrain er en salgs- og markedsintelligens-plattform for nordisk B2B, levert av Seven Peaks Norway AS. Her samler vi bruksvilkår, personvernerklæring, vårt GDPR-rammeverk og hvordan vi sikrer data.
Disse vilkårene regulerer bruken av Terrain ("plattformen", "tjenesten"). Ved å opprette konto eller bruke tjenesten aksepterer du vilkårene.
Terrain leveres av Seven Peaks Norway AS (org.nr 914 085 837), heretter "Seven Peaks". Terrain er en B2B-plattform for salgs- og kundeoppfølging som hjelper bedrifter å administrere leads, kontakter og salgsmuligheter, sende outreach fra egen e-postkonto, og berike og prioritere kontakter ved hjelp av AI-assistert beslutningsstøtte.
Plattformen skal brukes i tråd med gjeldende lovverk, herunder personvern- og markedsføringsregler. Det er ikke tillatt å:
Når en kunde (tenant) legger inn data om sine egne leads og kontakter, er kunden behandlingsansvarlig for disse dataene, og Seven Peaks er databehandler. Forholdet reguleres av en databehandleravtale (DPA) som inngås ved oppstart. Se GDPR-seksjonen for detaljer.
Seven Peaks beholder alle rettigheter til plattformen, programvaren og merkevaren Terrain. Kunden beholder alle rettigheter til egne data.
Terrain leverer beslutningsstøtte; alle salgs- og kundebeslutninger treffes av mennesket. Tjenesten leveres "som den er" innenfor rammene av abonnementsavtalen. Nærmere bestemmelser om oppetid, ansvar og erstatning følger av den kommersielle avtalen mellom partene.
Vesentlige endringer i vilkårene varsles tenants på e-post i god tid før de trer i kraft. Abonnement og oppsigelse følger den kommersielle avtalen.
Vilkårene er underlagt norsk rett. Tvister søkes løst i minnelighet; verneting er Seven Peaks Norway AS' forretningssted.
Hvordan Terrain samler inn, bruker, oppbevarer og beskytter personopplysninger — og hvilke rettigheter du har.
| Rolle | Hvem | Når |
|---|---|---|
| Behandlingsansvarlig | Seven Peaks Norway AS | For data om egne ansatte, søkere, partnere og tenant-administratorer som logger på Terrain |
| Databehandler | Seven Peaks Norway AS | For data tenant lagrer om sine egne leads, kontakter og kunder (B2B-data) |
| Behandlingsansvarlig | Hver kunde (tenant) | For leads, kontakter og kundedata kunden selv legger inn i sin tenant |
| Kategori | Typiske felter |
|---|---|
| Tenant-brukere (admin) | E-post, navn, rolle, SSO-claim, sist innlogget |
| Kontaktinformasjon | Navn, stilling, arbeids-e-post, telefon, LinkedIn-URL |
| Kontakt-aktivitet | Status, sist kontaktet, samtaler, notater, oppgaver, lead-stage |
| E-post-utveksling | Innhold og metadata fra utgående/innkomne meldinger (Gmail-/Outlook-sync) |
| AI-anriking | Embeddings, AI-genererte oppsummeringer og scoring-resultater |
| Firmadata (B2B-fakta) | Org.nr, navn, adresse, NACE, omsetning fra Brønnøysund/proff.no |
| Audit-spor | Tidspunkt, bruker-ID, handling og metadata (uten rå PII) |
Terrain behandler ikke særlige kategorier av personopplysninger (helsedata, politisk oppfatning, biometri m.m.) som del av formålet, og retter seg ikke mot barn under 16 år.
| Behandling | Rettsgrunnlag |
|---|---|
| Innlogging og levering av plattformen | Art. 6(1)(b) — avtale |
| Lagring av tenants kontakter, leads og e-post | Art. 6(1)(b) — avtale med tenant (Seven Peaks som databehandler) |
| Outreach til B2B-kontakter | Art. 6(1)(f) — berettiget interesse (balansert mot mottakers rett til å reservere seg) |
| AI-scoring og AI-oppsummering | Art. 6(1)(f) — berettiget interesse (ingen automatisert beslutning med rettsvirkning) |
| Firmadata fra Brønnøysundregistrene | Art. 6(1)(c) / offentlig register |
| Audit-logg | Art. 6(1)(c) + (f) — rettslig forpliktelse og berettiget interesse |
Nyhetsbrev og produktoppdateringer fra Seven Peaks krever separat, aktivt samtykke (opt-in).
| Datakategori | Oppbevaringstid |
|---|---|
| Tenant-bruker | Så lenge kontoen er aktiv; slettet 90 dager etter terminering |
| Kontaktdata | Tenant-styrt; slettes ved DSAR-forespørsel (PII anonymiseres) |
| E-post / kampanjer | 3 år som standard, konfigurerbart per tenant |
| Audit-spor | 7 år (bokførings- og lovkrav) |
| Telemetri (drift) | 90 dager |
| Database-backup | 30 dager (rullerende) |
Du har rett til innsyn (Art. 15), retting (Art. 16), sletting (Art. 17), begrensning (Art. 18), dataportabilitet (Art. 20) og å protestere mot behandling (Art. 21). Du kan også når som helst reservere deg mot markedsføring via avmeldingslenken i hver e-post.
Forespørsler besvares innen 30 dager (kan forlenges til 90 dager ved kompleksitet — du varsles i så fall innen 30 dager). Kontakt privacy@sevenpeaks.no.
Terrain er bygget for GDPR-etterlevelse fra grunnen av. Her er hvordan vi behandler data på tvers av leverandører, land og dokumentasjon.
Vi bruker følgende underleverandører for å levere tjenesten. Ny underleverandør varsles til alle tenants 30 dager før aktivering, og tenants kan motsette seg den.
| Underleverandør | Formål | Lokasjon | Grunnlag |
|---|---|---|---|
| Microsoft Azure | Hosting, database og lagring | EU (North/West Europe) | Microsoft Online DPA |
| Azure OpenAI Service | LLM-inferens og embeddings | EU (Sweden Central / West Europe) | Microsoft Online DPA |
| Microsoft (Entra ID, Graph) | SSO og Outlook-synkronisering | EU | Microsoft Online DPA |
| Google (Gmail/Calendar API) | E-post-sync på tenants vegne | Brukers Workspace-region | Google Workspace DPA |
| Tavily | Web-søk for research | USA (med SCC) | Tavily DPA + SCC |
| LinkedIn (via Scout-extension) | Profilberikelse fra brukers egen LinkedIn-økt | Brukers maskin (lokal) | Bruker er selv "subject" |
| proff.no | Norsk firmadata | EU/Norge | Standard API-vilkår |
| Brønnøysundregistrene | Offentlige firmadata | Norge | Offentlig data |
| Stripe | Fakturering og abonnement | EU + USA (med SCC) | Stripe DPA + SCC |
| SendGrid | Transaksjonelle system-e-poster | EU (SCC for USA-fallback) | Twilio SendGrid DPA |
| Application Insights | Telemetri og feillogging | EU (West Europe) | Microsoft Online DPA |
I tillegg hentes offentlig tilgjengelig data uten personopplysninger fra blant annet Doffin, Lovdata, Stortinget og Yahoo Finance.
| Mottakerland | Mekanisme |
|---|---|
| EU/EØS | All hoveddrift skjer i Microsoft Azure i EU. Ingen særskilte tiltak nødvendig. |
| USA | Standard Contractual Clauses (SCC) + Transfer Impact Assessment (TIA), brukt for Tavily, Stripe og SendGrid-fallback. |
| Norge | Adekvansvurdert (Art. 45) — Brønnøysundregistrene, proff.no. |
Azure OpenAI er bundet til EU-regioner; prompt-data forlater ikke EU.
Terrain treffer ingen automatiserte avgjørelser med rettsvirkning. AI-scoring og -forslag er beslutningsstøtte — et menneske beslutter alltid handlingen.
Vi har gjennomført DPIA for behandlingsaktiviteter som vurderes som høyere risiko:
En databehandleravtale signeres ved oppstart for hver kunde, og inkluderer EU Standard Contractual Clauses der det er relevant. Ferdig utfylt DPA er tilgjengelig for tenants via GDPR-senteret i plattformen.
Ved et personvernbrudd eskalerer vi internt innen 1 time, varsler berørte tenants innen 24 timer, og varsler Datatilsynet innen 72 timer dersom bruddet sannsynligvis utgjør en risiko. Registrerte varsles uten ugrunnet opphold ved høy risiko. Kontakt security@sevenpeaks.no.
Tekniske og organisatoriske tiltak for å beskytte data (GDPR Art. 32).
| Tiltak | Beskrivelse |
|---|---|
| Multi-tenant-isolasjon | PostgreSQL Row-Level Security (RLS) på alle tabeller med tenant-data, med ekstra forsvar i tjenestelaget. Hver tenant ser kun sin egen data. |
| Kryptering i transit | TLS 1.2+ på alle endepunkter, HSTS preload og CORS-allowlist per origin. |
| Kryptering i hvile | AES-256 for database og lagring, hemmeligheter i Azure Key Vault. |
| Autentisering | Google/Microsoft SSO — ingen passord lagres. Sesjons-cookies er HttpOnly, Secure og SameSite=Lax. |
| Autorisasjon | Capability-basert tilgangsstyring per rolle, med felt-redaksjon som sikker standard for eksterne roller. |
| Avmeldingslenker | 256-bit HMAC-signerte tokens med konstant-tid-sammenligning; manipulasjon lekker ingen informasjon. |
| Rate-limiting | Per-IP grenser på offentlige endepunkter og eget token-budsjett per tenant for AI. |
| Sårbarhetshåndtering | Årlig ekstern penetrasjonstest, Dependabot og GitHub security advisories. |
| Uforanderlig audit-logg | Hver endring på kontakter og GDPR-flyter skrives som append-only rad uten rå PII. |