From ec7f87a574101d1b550e4ad3daf189885b636f5c Mon Sep 17 00:00:00 2001
From: Ruben <post@rubensolvang.no>
Date: Fri, 16 Jan 2026 00:37:32 +0100
Subject: [PATCH] Add English and Norwegian privacy policy documents

Add metadata for privacy policy page

Add privacy policy page with GDPR compliance details
---
 content/personvern/index.en.md  | 135 ++++++++++++++++++++++++++++++++
 content/personvern/index.md     | 135 ++++++++++++++++++++++++++++++++
 content/personvern/metadata.ini |   5 ++
 3 files changed, 275 insertions(+)
 create mode 100644 content/personvern/index.en.md
 create mode 100644 content/personvern/index.md
 create mode 100644 content/personvern/metadata.ini

diff --git a/content/personvern/index.en.md b/content/personvern/index.en.md
new file mode 100644
index 0000000..d65180c
--- /dev/null
+++ b/content/personvern/index.en.md
@@ -0,0 +1,135 @@
+# Privacy Policy for Petition Campaigns
+
+*Last updated: January 15, 2026*
+
+## Who We Are
+
+**Data Controller:** Stopp Lidelsen  
+**Organization Number:** 835314162
+
+You can contact us through our [contact form](/en/contact).
+
+<a class="button" href="/om-oss">Learn more about us</a>
+
+## When Does This Privacy Policy Apply?
+
+This policy applies when you sign a petition campaign on stopplidelsen.no.
+
+## What Personal Information We Collect
+
+When you sign a petition campaign, we collect the following information:
+
+- **First and last name** - used to register and display your signature, but you choose whether your signature will be displayed publicly.
+- **Email address** - used only to confirm your signature and contact you if needed
+- **County** - displayed with your name to show geographic support
+- **Time of signature** - when you signed the campaign
+- **IP address (hashed)** - used only for security and to prevent misuse, deleted after 30 days
+
+## Why We Collect Your Data (Purposes)
+
+We process your personal information for the following purposes:
+
+1. **Register your support** - to document that you support the campaign
+2. **Public display** - to show your signature on the website (based on your display preference)
+3. **Delivery to recipient** - when the campaign ends, the signature list is delivered to the relevant recipient (e.g., the Norwegian Parliament, government ministries, or other authorities)
+4. **Confirmation** - to send you an email confirming your signature and give you the option to withdraw it.
+
+## Legal Basis (GDPR Art. 6)
+
+The processing of your personal data is based on **your explicit consent** (GDPR Art. 6(1)(a)).
+
+By checking the consent box and submitting the form, you agree that we may process your information as described in this policy.
+
+## Who Has Access to Your Data
+
+### Visibility
+Based on your display preference, the following information may be shown publicly on the website:
+
+- **Anonymous:** Only county is displayed
+- **Semi-anonymous (default):** First name and county are displayed
+- **Full name:** First name, last name, and county are displayed
+
+**Your email address is NEVER displayed publicly.**
+
+### Data Controller and Processors
+- **Stopp Lidelsen:** Has access to all information for campaign administration
+- **Web server:** Data is stored on web servers hosted by Domeneshop
+
+### Campaign Recipients
+Our petition campaigns are informal initiatives, not formal legislative proposals. When a campaign ends, we submit it to the relevant recipient (such as the Norwegian Parliament, government ministries, or other authorities) as specified in the campaign details.
+
+**Important information about name sharing:**
+- The recipient may request verification that signatures are genuine
+- Your name will **only be shared according to your chosen display preference**
+- If you select "Anonymous," you will remain anonymous to the recipient as well
+- To change your display preference, you can delete your signature and sign again with a different choice
+
+If verification is needed, we can provide the recipient with confidential access to the data or use an independent third party (such as a lawyer or auditor) to confirm the number of signatures without disclosing names.
+
+## How Long We Store Your Data
+
+We retain your personal information:
+
+- **While the campaign is active**
+- **For up to 2 years after the campaign ends** - for documentation and potential follow-up
+- **IP addresses (hashed):** Automatically deleted after 30 days
+
+You can withdraw your consent and have your information deleted by using the deletion link sent to your email when you sign (see Your Rights below).
+
+## How We Protect Your Data
+
+We take data security seriously and have implemented the following measures:
+
+- **Encryption:** HTTPS/TLS encryption for all communications
+- **Access control:** Only authorized administrators have access to raw data
+- **Hashed IP address:** IP addresses are stored only as hashes for security
+
+## Your Rights (GDPR Art. 15-21)
+
+Under GDPR, you have the following rights:
+
+### 1. Right of Access (Art. 15)
+You can request a copy of the personal information we have stored about you at any time.
+
+### 2. Right to Rectification (Art. 16)
+If any of your information is incorrect or inaccurate, you can ask us to correct it.
+
+### 3. Right to Erasure / "Right to be Forgotten" (Art. 17)
+You can withdraw your consent and have your signature deleted at any time. You will receive a deletion link in your confirmation email, or you can contact us directly.
+
+**Note:** If the campaign has already been delivered to the recipient (e.g., the Norwegian Parliament), we cannot delete data that has already been shared.
+
+### 4. Right to Data Portability (Art. 20)
+You can request to receive your personal information in a machine-readable format.
+
+### 5. Right to Lodge a Complaint (Art. 77)
+If you believe we have processed your personal data in violation of GDPR, you have the right to lodge a complaint with the [Norwegian Data Protection Authority](https://www.datatilsynet.no/en/).
+
+## How to Exercise Your Rights
+
+To exercise any of your rights, please [contact us](/contact) through our contact form.
+
+Include the following information in your request:
+- Full name
+- Email address you used to sign
+- Which right you wish to exercise
+- Which campaign it concerns (if you remember)
+
+We will respond to your request within 30 days.
+
+## Withdrawing Your Consent
+
+You can withdraw your consent at any time by:
+
+1. **Using the deletion link** you received in your confirmation email, or
+2. **Contacting us directly** through our contact form.
+
+Withdrawing your consent does not affect the lawfulness of processing that occurred before the withdrawal.
+
+## Changes to This Policy
+
+We may update this privacy policy from time to time. Any changes will be published on this page with an updated date.
+
+If significant changes are made that affect your rights, we will notify you by email if we have your email address.
+
+*This privacy policy is prepared in accordance with the EU General Data Protection Regulation (GDPR) and the Norwegian Personal Data Act.*
diff --git a/content/personvern/index.md b/content/personvern/index.md
new file mode 100644
index 0000000..00f7b7d
--- /dev/null
+++ b/content/personvern/index.md
@@ -0,0 +1,135 @@
+# Personvernerklæring for underskriftskampanjer
+
+*Sist oppdatert: 15. januar 2026*
+
+## Hvem vi er
+
+**Behandlingsansvarlig:** Stopp Lidelsen  
+**Organisasjonsnummer:** 835314162
+
+Man kan kontakte oss via vårt [kontakskjema](/kontakt).
+
+<a class="button" href="/om-oss">Les mer om oss</a>
+
+## Når gjelder personvernavtalen?
+
+Denne erklæringen gjelder når du signerer en underskriftskampanje på stopplidelsen.no.
+
+## Hvilke personopplysninger vi samler inn
+
+Når du signerer en underskriftskampanje, samler vi inn følgende opplysninger:
+
+- **Fornavn og etternavn** - brukes for å registrere og vise din underskrift, men du velger selv om signaturen din vil vises offentlig eller ikke.
+- **E-postadresse** - brukes kun for bekreftelse av signatur og kontakt ved behov
+- **Fylke** - vises sammen med navnet ditt for å vise geografisk støtte
+- **Tidspunkt for signatur** - når du signerte kampanjen
+- **IP-adresse (hashet)** - brukes kun for sikkerhet og forebygging av misbruk, slettes etter 30 dager
+
+## Hvorfor vi samler inn dataene (formål)
+
+Vi behandler dine personopplysninger for følgende formål:
+
+1. **Registrere din støtte** - for å dokumentere at du støtter kampanjen
+2. **Offentlig visning** - vise din underskrift på nettsiden (basert på ditt valg av visningspreferanse)
+3. **Verifisering** - når kampanjen avsluttes og overleveres til mottaker (f.eks. Stortinget), kan mottaker be om å verifisere at signaturene er reelle. Ditt navn deles kun i henhold til ditt valg av visningspreferanse.
+4. **Bekreftelse** - sende deg e-post for å bekrefte at det er du som har signert, og gi muligheten til å trekke signaturen.
+
+## Rettslig grunnlag (GDPR Art. 6)
+
+Behandlingen av dine personopplysninger er basert på **ditt uttrykkelige samtykke** (GDPR Art. 6(1)(a)).
+
+Ved å krysse av for samtykkeboksen og sende inn skjemaet, samtykker du til at vi behandler dine opplysninger som beskrevet i denne erklæringen.
+
+## Hvem som får tilgang til dataene dine
+
+### Synlighet
+Basert på ditt valg av visningspreferanse, kan følgende informasjon vises offentlig på nettsiden:
+
+- **Anonym:** Kun fylke vises
+- **Semi-anonym (standard):** Fornavn og fylke vises
+- **Fullt navn:** Fornavn, etternavn og fylke vises
+
+**E-postadressen din vises ALDRI offentlig.**
+
+### Behandlingsansvarlig og databehandlere
+- **Stopp Lidelsen:** Har tilgang til alle opplysninger for administrasjon av kampanjen
+- **Webserver:** Dataene lagres på webservere hos Domeneshop
+
+### Mottakere av kampanjen
+Våre underskriftskampanjer er uformelle initiativ, ikke formelle lovfestede innbyggerforslag. Når kampanjen avsluttes, overleveres den til relevant mottaker (f.eks. Stortinget, departement eller annen myndighet) som spesifisert i kampanjeteksten.
+
+**Viktig om deling av navn:**
+- Mottaker kan be om å verifisere at signaturene er reelle
+- Ditt navn deles **kun i henhold til ditt valg** av visningspreferanse
+- Velger du «Anonym», forblir du anonym også overfor mottaker
+- Ønsker du å endre visningspreferanse, kan du slette signaturen din og signere på nytt med et annet valg
+
+Ved behov for verifisering kan vi tilby mottaker innsyn under konfidensialitet, eller bruke en uavhengig tredjepart (f.eks. advokat eller revisor) som bekrefter antallet signaturer uten å utlevere navn.
+
+## Hvor lenge vi oppbevarer dataene
+
+Vi oppbevarer dine personopplysninger:
+
+- **Mens kampanjen er aktiv**
+- **I inntil 2 år etter at kampanjen er avsluttet** - for dokumentasjon og eventuell oppfølging
+- **IP-adresser (hashet):** Slettes automatisk etter 30 dager
+
+Du kan trekke tilbake ditt samtykke og få slettet dine opplysninger ved å bruke en slette-lenke som du mottar på epost når du signerer (se dine rettigheter nedenfor).
+
+## Hvordan vi sikrer dataene dine
+
+Vi tar datasikkerhet på alvor og har iverksatt følgende tiltak:
+
+- **Kryptering:** HTTPS/TLS-kryptering for all kommunikasjon
+- **Tilgangskontroll:** Kun autoriserte administratorer har tilgang til rådata
+- **Hashet IP-adresse:** IP-adresser lagres kun som hash for sikkerhet
+
+## Dine rettigheter (GDPR Art. 15-21)
+
+Du har følgende rettigheter i henhold til GDPR:
+
+### 1. Rett til innsyn (Art. 15)
+Du kan når som helst be om en kopi av dine personopplysninger vi har lagret.
+
+### 2. Rett til retting (Art. 16)
+Hvis noen av opplysningene er feil eller unøyaktige, kan du be oss rette dem.
+
+### 3. Rett til sletting / «retten til å bli glemt» (Art. 17)
+Du kan når som helst trekke tilbake ditt samtykke og få slettet din underskrift. Du mottar en slette-lenke i bekreftelsesmeldingen, eller kan kontakte oss direkte.
+
+**Merk:** Hvis kampanjen allerede er overlevert til mottaker (f.eks. Stortinget), kan vi ikke slette data som allerede er delt.
+
+### 4. Rett til dataportabilitet (Art. 20)
+Du kan be om å motta dine personopplysninger i et maskinlesbart format.
+
+### 5. Rett til å klage til tilsynsmyndighet (Art. 77)
+Hvis du mener vi har behandlet dine personopplysninger i strid med GDPR, har du rett til å klage til [Datatilsynet](https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/klage-til-datatilsynet/).
+
+## Hvordan du utøver dine rettigheter
+
+For å utøve noen av dine rettigheter, [kontakt oss](/kontakt) via vårt kontaktskjema.
+
+Inkluder følgende informasjon i henvendelsen:
+- Fullt navn
+- E-postadresse du brukte for å signere
+- Hvilken rettighet du ønsker å utøve
+- Hvilken kampanje det gjelder (hvis du husker det)
+
+Vi vil svare på din henvendelse innen 30 dager.
+
+## Trekking av samtykke
+
+Du kan når som helst trekke tilbake ditt samtykke. Dette gjør du ved å:
+
+1. **Bruke slette-lenken** som du mottok i bekreftelsesmeldingen, eller
+2. **Kontakte oss direkte** via kontaktskjemaet vårt.
+
+Trekking av samtykke påvirker ikke lovligheten av behandlingen som skjedde før samtykket ble trukket tilbake.
+
+## Endringer i denne erklæringen
+
+Vi kan oppdatere denne personvernerklæringen fra tid til annen. Eventuelle endringer vil bli publisert på denne siden med oppdatert dato.
+
+Hvis det gjøres vesentlige endringer som påvirker dine rettigheter, vil vi informere deg via e-post hvis vi har din e-postadresse.
+
+*Denne personvernerklæringen er utarbeidet i samsvar med EUs personvernforordning (GDPR) og norsk personopplysningslov.*
diff --git a/content/personvern/metadata.ini b/content/personvern/metadata.ini
new file mode 100644
index 0000000..063ad51
--- /dev/null
+++ b/content/personvern/metadata.ini
@@ -0,0 +1,5 @@
+date = "2026-01-15"
+hide_list = true
+
+[en]
+title = "Privacy Policy"