Personvernerklæring for Berg-Hansen Reisebureau AS

Sist oppdatert: [24.09.2025]

Gjeldende fra: [24.09.2025]

1. Introduksjon

Ditt personvern er viktig for oss i Berg-Hansen. Vi er opptatt av å behandle dine personopplysninger på en lovlig, trygg og transparent måte.

Når du bestiller reiser eller deltar på arrangementer – privat eller via din arbeidsgiver – behandler Berg-Hansen personopplysninger om deg. Vi samler inn opplysninger når du bestiller reiser, arrangementer, bruker tjenestene våre, besøker nettstedet eller mobilapplikasjonene våre, eller på annen måte samhandler med oss.

I denne personvernerklæringen forklarer vi:

hvilke opplysninger vi behandler om deg,
hvorfor vi innhenter dem,
hvordan vi bruker, deler og sikrer opplysningene, og
hvilke rettigheter du har.

Denne erklæringen gjelder for alle våre tjenester – inkludert nettsider, apper, bookingløsninger, kundeservice og samarbeidspartnere.

2. Behandlingsansvarlig

Berg-Hansen Reisebureau AS er behandlingsansvarlig for de opplysningene vi behandler om deg.

Berg-Hansen samarbeider med leverandører, forretningspartnere og offentlige myndigheter. I den forbindelse kan personopplysninger deles når:

vi har et lovlig grunnlag,
vi er pålagt det ved lov, eller
du har samtykket.

Når du bestiller reise gjennom din arbeidsgiver eller en annen organisasjon som har avtale med oss, kan vi opptre som behandlingsansvarlig alene eller som felles behandlingsansvarlig sammen med din arbeidsgiver, avhengig av hvordan reisen bestilles:

Privatkunder
Når du bestiller reiser som privatkunde, er Berg-Hansen alene behandlingsansvarlig for behandlingen av dine personopplysninger.
Bedriftskunder med egne leverandøravtaler
Når vi bestiller reiser på grunnlag av din virksomhets egne avtaler med leverandører (f.eks. et flyselskap eller en hotellkjede), deler vi ansvaret for behandlingen. Din virksomhet er behandlingsansvarlig fordi dere har avtalen og formålet, mens Berg-Hansen er behandlingsansvarlig fordi vi bestemmer hvordan reisen gjennomføres i praksis. I disse tilfellene er vi derfor felles behandlingsansvarlige (joint controllers) sammen med din virksomhet. Vi har en skriftlig avtale som regulerer fordelingen av ansvar i tråd med GDPR artikkel 26.
Bedriftskunder uten egne leverandøravtaler
Når vi presenterer og koordinerer reisealternativer uten at din virksomhet har avtaler med aktuelle leverandører, opptrer Berg-Hansen som behandlingsansvarlig alene. Da er det Berg-Hansen som tilrettelegger og presenterer tilgjengelige alternativer og gjennomfører bookingen i våre systemer, mens kunden selv velger konkret leverandør og avreisetid.
Meetings & Events
Når vi arrangerer møter, konferanser eller andre events på vegne av en kunde, opptrer Berg-Hansen som behandlingsansvarlig for den behandlingen som kreves for å planlegge og gjennomføre arrangementet. Kunden definerer rammene og formålet med arrangementet, mens Berg-Hansen velger og koordinerer leverandører som hotell, transport, mat og aktiviteter, og behandler de nødvendige opplysningene for å kunne levere en helhetlig tjeneste.
Leverandører (f.eks. flyselskap og hotell)
Flyselskaper, hoteller og andre reiseleverandører er alltid selvstendige behandlingsansvarlige for de opplysningene de behandler for å levere sine tjenester.
Underleverandører (GDS – Amadeus, Sabre m.fl.)
Berg-Hansen benytterb.la globale distribusjonssystemer (GDS) for å gjennomføre bestillinger. Disse fungerer som databehandlere på våre vegne, og vi har databehandleravtaler i tråd med GDPR artikkel 28.

Dersom du logger inn eller oppretter profil hos oss gjennom tredjepartsløsninger, for eksempel BankID eller arbeidsgivers innloggingsløsning, deles nødvendige opplysninger med disse aktørene. Behandlingen skjer i henhold til deres personvernerklæringer.

Kategorier av registrerte personer:
Denne personvernerklæringen gjelder for følgende grupper:

Privatkunder som bestiller reiser for egen regning
Forretningsreisende som reiser på arbeidsgivers regning
Arrangementsdeltakere på møter, konferanser og events
Nettsidebesøkende som bruker våre digitale tjenester
Kontaktpersoner hos bedriftskunder og leverandører
Pårørende registrert som nødkontakter
Potensielle kunder som mottar markedsføring

Ulike kategorier kan ha forskjellige rettigheter og behandlingsgrunnlag avhengig av forholdet til Berg-Hansen.

Franchise
Berg-Hansen består både av egne kontorer og franchise-kontorer som drives av selvstendige selskaper under Berg-Hansen-merkevaren. Når du bestiller gjennom et franchise-kontor, er dette kontoret behandlingsansvarlig for sine behandlinger, mens Berg-Hansen sentralt er behandlingsansvarlig for de behandlinger vi utfører i våre systemer.

Kontakt med franchise-kontorer
Dersom du har bestilt gjennom et franchise-kontor og har spørsmål om behandling av personopplysninger, kan du kontakte det aktuelle kontoret direkte. For spørsmål om behandlinger i Berg-Hansens sentrale systemer, kontakt vårt hovedkontor.

Internasjonale kontorer
Berg-Hansen har virksomhet i Norge og Sverige, og kan etablere kontorer i andre land. Personopplysninger kan derfor behandles og deles internt mellom Berg-Hansen-enheter på tvers av landegrenser, alltid i tråd med gjeldende personvernlovgivning.

Kontaktinformasjon
Har du spørsmål om hvordan vi behandler opplysningene dine, kan du kontakte vårt personvernombud:

personvernombud@berg-hansen.no

Berg-Hansen Reisebureau, Postboks 465 Sentrum, 0105 Oslo
Merk konvolutten «Berg-Hansens personvernombud»

Personvernombudet har taushetsplikt.

Tilsynsmyndighet for vår behandling er Datatilsynet i Norge.

3. Hvilke opplysninger vi behandler og hvor lenge vi lagrer dem

Vi behandler kun personopplysninger som er nødvendige for å levere våre tjenester, og lagrer dem så lenge det er nødvendig for formålet, eller så lenge lovgivningen krever det.

Opplysningstype	Beskrivelse og formål	Lagringstid
Identitets- og kontaktinformasjon (navn, adresse, telefonnummer, e-postadresse, kjønn, fødselsdato, nasjonalitet)	Vi mottar opplysninger enten direkte fra deg (for eksempel når du bestiller reise, registrerer deg for nyhetsbrev eller kontakter kundesenteret), eller fra din arbeidsgiver/organisasjon dersom de bestiller på dine vegne eller oppretter en reiseprofil for deg. I forbindelse med arrangementer kan vi også motta opplysninger om reise- og aktivitetsvalg, samt kontaktopplysninger til deltakere og samarbeidspartnere. Ved møter, konferanser og arrangementer kan vi behandle opplysninger om allergier og matpreferanser (kan være helseopplysninger), reise- og aktivitetsvalg samt kontaktopplysninger til deltakere, talere og samarbeidspartnere.	Lagres fra bestillingstidspunktet og i inntil 5 år etter reisen er gjennomført, eller til du trekker tilbake samtykke. Dersom du har en konto i Berg-Hansen-portalen, lagres informasjonen så lenge kontoen er aktiv. Opplysningene ifm Meetings & Events samles kun inn når det er nødvendig, og slettes når arrangementet er gjennomført, med mindre annet er avtalt eller lov krever lengre oppbevaring.
Pass- og visuminformasjon	Nødvendige opplysninger om gyldige reisedokumenter og visum der dette kreves, mottatt fra deg eller din arbeidsgiver/organisasjon. Brukes for å oppfylle lovkrav.	Lagres fra bestillingstidspunktet og så lenge du har en aktiv reiseprofil i våre systemer. Kan oppbevares lenger dersom lov krever det.
Pårørendeinformasjon	Kontaktopplysninger til pårørende dersom dette er avtalt med deg eller din arbeidsgiver, for å ivareta sikkerheten til reisende.	Lagres så lenge opplysningene er nødvendige for sikkerhetsformålet.
Betalings- og transaksjonsinformasjon	Opplysninger som brukes for å gjennomføre betalinger, fakturering og regnskapsføring.	Kortdata lagres i inntil 5 år. Transaksjons- og regnskapsdata lagres i 5 år i henhold til bokføringsreglene.
Bestillings- og aktivitetsinformasjon (flyreservasjoner, hotellbestillinger, reiserute, reiseselskaper, reisefølge m.m.)	Når du eller din arbeidsgiver/organisasjon foretar en bestilling eller et kjøp, samler vi inn nødvendige opplysninger om reisen din.	Opplysninger som destinasjon og reisedato lagres normalt i inntil 5 år, men kan oppbevares lenger dersom lov krever det.
Kommunikasjon med oss	All kontakt mellom deg og Berg-Hansen, inkludert opptak av samtaler til kundesenter, e-post, chat, samt kommentarer og vurderinger du gir i undersøkelser eller sosiale medier. Dersom du benytter chat-tjenester, kan samtalen starte med en chatbot og deretter overføres til en kundebehandler. Informasjon fra chat og henvendelser kan knyttes til din kundeprofil dersom du har en aktiv konto, for å sikre god oppfølging.	Kommunikasjon lagres normalt i opptil 5 år, eller lenger dersom lov krever det. Lydopptak lagres normalt i inntil 1 år, med mindre lengre lagring er nødvendig for å oppfylle rettslige forpliktelser eller ivareta rettskrav.
Digital informasjon	Vi samler inn digital informasjon som IP-adresse, nettleserdata, trafikkdata, bestillingshistorikk, brukermønster og aktivitet på nettsider/apper. Når du bruker våre mobilapplikasjoner for Android eller iOS, kan vi i tillegg behandle opplysninger om enhetstype, operativsystem, bruksmønster, lokasjon (hvis du har samtykket) og preferanser for push-varsler. Du kan administrere slike innstillinger i appen eller i enhetens systeminnstillinger. Opplysninger som samles inn av Google eller Apple gjennom nedlasting eller bruk av appene reguleres av deres egne personvernerklæringer.	Dataene lagres så lenge det er nødvendig for analyse og tjenestetilpasning. Opplysninger som brukes til analyse anonymiseres eller aggregeres når formålet kan oppnås uten å identifisere deg.
Nyhetsbrev og markedsføring	Hvis du abonnerer på nyhetsbrev, registrerer vi hvilke utsendelser du åpner, hvor du befinner deg når du åpner dem, og om du klikker på lenker i innholdet.	Lagres så lenge du har samtykket, eller til du trekker samtykket tilbake.
Helse- og tilretteleggingsinformasjon	Dersom du selv, eller din arbeidsgiver/organisasjon på dine vegne, oppgir informasjon som allergier, matpreferanser, behov for annen tilrettelegging, registrerer vi dette kun for å kunne gjennomføre reisen eller arrangementet på en trygg og hensiktsmessig måte. Opplysningene deles kun med relevante leverandører når det er nødvendig.	Lagres kun i perioden som er nødvendig for å levere tjenesten, eller lenger dersom lov krever det.

4. Hvorfor vi samler inn opplysninger

Vi behandler personopplysninger for å kunne levere reiser, arrangementer og tilpassede tjenester. Dette omfatter blant annet å:

håndtere forespørsler, bestillinger og betalinger,
oppfylle lovkrav, for eksempel innreiseregler og bokføringslovgivning,
organisere og gjennomføre reiser og arrangementer,
tilby kundeservice og support,
formidle nødvendig reise- eller arrangementsinformasjon,
tilpasse tjenester etter dine behov og preferanser,
sende deg markedsføring basert på ditt samtykke. For eksisterende kunder kan vi også sende markedsføring for lignende tjenester basert på berettiget interesse, med mindre du har reservert deg mot dette,
opplysninger om helse, som allergier eller andre spesielle behov, behandles kun dersom du selv velger å oppgi dem.
dersom vi benytter profilering eller segmentering for å kunne gi deg mer relevant informasjon eller markedsføring, skjer dette kun basert på ditt samtykke. Profilering innebærer automatisk behandling av personopplysninger for å vurdere personlige forhold som interesser eller preferanser. Du har rett til å motsette deg profilering og kan når som helst trekke tilbake samtykke.

Vi kan kontakte deg med nødvendige reisevarsler, sikkerhetsmeldinger eller endringer som er kritiske for gjennomføringen av reisen. Slik kommunikasjon skjer med grunnlag i vår berettigede interesse eller rettslige forpliktelser, og krever ikke særskilt samtykke.

Vi benytter også personopplysninger til rapportering og analyser. Dette kan skje på to måter:

Rapportering som en tjeneste til kunden: når vi leverer rapporter og statistikk direkte til din arbeidsgiver eller organisasjon, for eksempel reisestatistikk, klimaregnskap eller økonomirapporter, behandles personopplysningene i ikke-anonymisert form. Dette skjer som en del av avtalen vi har med kunden, og opplysningene brukes bare til det formålet rapporten er laget for.

Anonymiserte og aggregerte analyser: vi kan også benytte opplysninger i anonymisert eller aggregert form til intern rapportering, statistikk, analyser og utvikling av våre tjenester. Dette kan omfatte bruk av analyseverktøy eller metoder som maskinlæring. Slike analyser utføres uten at enkeltpersoner kan identifiseres, og vi benytter prinsippet om dataminimering.

Vi benytter ikke automatiserte beslutninger som har rettsvirkning eller i betydelig grad påvirker deg, med mindre dette er nødvendig for å levere tjenesten og du har samtykket til det.

Dersom vi i fremtiden benytter kunstig intelligens (KI) eller maskinlæring til å behandle personopplysninger, vil dette skje på en ansvarlig måte og i tråd med gjeldende personvernlovgivning. Vi vil aldri bruke AI til automatiserte beslutninger som har rettsvirkning eller på annen måte vesentlig påvirker deg uten at det foreligger et lovlig grunnlag og du er tydelig informert.

4.1 Rettslig grunnlag for behandling

All behandling av personopplysninger må ha et lovlig grunnlag. Vi behandler dine personopplysninger basert på følgende rettslige grunnlag:

Avtaleoppfyllelse (GDPR art. 6.1.b): for å gjennomføre reisebestillinger, arrangementer og levere tjenester du eller din arbeidsgiver har bestilt
Rettslig forpliktelse (GDPR art. 6.1.c): for å oppfylle lovkrav som bokføringslovgivning, skatteregler, innreiseregler og rapportering til myndigheter
Berettiget interesse (GDPR art. 6.1.f): for kundeservice, kvalitetsforbedring, sikkerhet, risikovurderinger og intern administrasjon. Vi har vurdert at våre berettigede interesser ikke går på bekostning av dine grunnleggende rettigheter
Samtykke (GDPR art. 6.1.a): for markedsføring, nyhetsbrev, ikke-nødvendige informasjonskapsler og profilering/segmentering

Behandling av særlige kategorier personopplysninger (som helseopplysninger ved allergier eller spesielle behov) skjer kun basert på:

Eksplisitt samtykke (GDPR art. 9.2.a): når du frivillig oppgir slike opplysninger
Vitale interesser (GDPR art. 9.2.c): i nødstilfeller der det er nødvendig for å beskytte liv eller helse

4.2 Samtykke og tilbaketrekking

Når vi behandler personopplysninger basert på samtykke, kan du når som helst trekke tilbake samtykket uten at det påvirker lovligheten av behandlingen som skjedde før tilbaketrekkingen.

Du kan trekke tilbake samtykke ved å:

endre innstillinger i din brukerprofil
bruke avmeldings-lenken i markedsførings-e-post
justere cookie-innstillinger via ikonet nederst på nettsiden
kontakte vårt personvernombud på personvernombud@berg-hansen.no

4.3 Omsorgsplikter og reisesikkerhet

For bedriftskunder har arbeidsgivere omsorgsplikter (duty of care) overfor sine reisende ansatte. Vi bistår med å oppfylle disse pliktene ved å:

Reisesporing og beredskap:

Registrere reiseruter og oppholdssted
Dele nødvendig informasjon med arbeidsgiver ved kriser eller nødsituasjoner
Koordinere med beredskapspartnere ved behov
Kontakte pårørende dersom situasjonen krever det

Sikkerhetsmeldinger:

Sende reisevarsler om sikkerhetssituasjoner
Informere om endringer som påvirker reisesikkerheten
Koordinere evakuering eller omlokalisering ved behov

Helsemessig beredskap:

Dele helseopplysninger med relevante leverandører kun når nødvendig for sikkerhet
Koordinere medisinsk assistanse ved behov
Informere om helsekrav og restriksjoner for reisedestinasjon

Dette skjer med grunnlag i berettigede interesser for å ivareta reisesikkerheten, eller ved rettslig forpliktelse når arbeidsgiver har omsorgsplikter.

4.4 Automatiserte systemer og profilering

Vi benytter automatiserte systemer for:

Prissetting og tilgjengelighet av reiser (basert på markedsdata)
Forslag til reisealternativer basert på preferanser
Oppdagelse av uvanlig bruksmønster for sikkerhet
Kvalitetskontroll av bookinger og betalinger

Disse systemene tar ikke automatiserte beslutninger som har betydelig innvirkning på dine rettigheter uten menneskelig involvering. Du kan når som helst be om gjennomgang av automatiserte vurderinger som påvirker deg.

5. Deling av personopplysninger

For å levere våre tjenester deler vi nødvendige personopplysninger med følgende kategorier mottakere:

Reisearrangører og leverandører:

Flyselskaper for billettutstedelse og innsjekking
Hoteller og overnattingssteder for reservasjoner
Bilutleieselskaper og transportleverandører
Cruise- og reiseoperatører
Forsikringsselskaper ved skadetilfeller
Visumleverandører og konsulater

Tekniske tjenesteleverandører (databehandlere):

Globale distribusjonssystemer (GDS) som Amadeus, Sabre
Betalingsbehandlere for transaksjoner
IT-driftsleverandører og skyløsninger
Kundesupportplattformer og CRM-systemer

Bedriftsrelaterte partnere:

Din arbeidsgiver eller organisasjon (ved forretningsreiser)
Arbeidsgivers leverandører og samarbeidspartnere når dette er avtalt
Rapporteringspartnere for reiseanalyser og statistikk
Regnskaps- og faktureringssystemer

Beredskap og sikkerhet:

Krise- og beredskapspartnere ved nødsituasjoner
Sikkerhetsleverandører og overvåkingspartnere
Offentlige myndigheter ved lovpålagte krav

Konsernselskaper:

Andre Berg-Hansen-enheter i Norge, Sverige og øvrige land
Franchise-partnere for lokale tjenester

Vi inngår databehandleravtaler og gjennomfører risikovurderinger med alle databehandlere. Vi deler aldri mer informasjon enn nødvendig for det spesifikke formålet.

6. Overføring av data til andre land

Når reiser eller arrangementer finner sted utenfor EU/EØS, kan det være nødvendig å overføre personopplysninger til leverandører og samarbeidspartnere i tredjeland. Dette gjelder særlig flyselskaper, hoteller, cruiseoperatører og andre reisearrangører som er selvstendige behandlingsansvarlige. Disse mottakerne behandler opplysningene i tråd med sine egne personvernerklæringer og regelverk i landet de opererer.

Når vi deler personopplysninger med våre egne leverandører utenfor EU/EØS, sørger vi for at overføringen skjer på en lovlig måte, for eksempel ved bruk av EU-kommisjonens standard kontraktsklausuler (SCC), adequacy decisions der de finnes, eller andre gyldige overføringsmekanismer som anerkjent av EU-kommisjonen. Du kan be om kopi av sikringstiltakene vi har iverksatt.Vi kan også dele opplysninger mellom Berg-Hansen-enheter i Norge, Sverige eller andre land der vi etablerer virksomhet.

Som reisebyrå kan vi være rettslig forpliktet til å dele nødvendige opplysninger med lokale myndigheter i innreiseland, for eksempel ved immigrasjonskontroll eller smittesporing.

Før vi overfører personopplysninger til et tredjeland vurderer vi om landet har et tilstrekkelig beskyttelsesnivå for personvern, og vi iverksetter nødvendige tilleggstiltak der det er påkrevd for å sikre opplysningene dine.

Hvor opplysningene lagres:
Dine personopplysninger lagres primært i:

Norge og EU/EØS-land hos våre hovedleverandører
Tredjeland kun når nødvendig for tjenesteutførelse eller ved eksplisitt samtykke
Sikrede datasentre hos godkjente skyleverandører

Vi sørger alltid for at datalagring skjer i land med tilstrekkelig beskyttelsesnivå eller med supplerende sikringstiltak.

7. Hvordan vi sikrer opplysningene dine

Vi beskytter dine personopplysninger gjennom tekniske og organisatoriske sikkerhetstiltak, herunder tilgangsstyring, kryptering og løpende risikovurderinger.

7.1 Håndtering av databrudd

Ved alvorlige databrudd som kan medføre høy risiko for dine rettigheter og friheter, vil vi informere deg uten unødig opphold og senest innen 72 timer etter at vi ble klar over bruddet.

Informasjonen vil inneholde:

Beskrivelse av databruddet og sannsynlige konsekvenser
Tiltak vi har iverksatt for å håndtere bruddet
Anbefalinger for hvordan du kan beskytte deg
Kontaktinformasjon for videre oppfølging

8. Dine rettigheter

Som registrert har du følgende rettigheter:

Innsyn og dataportabilitet: Du har rett til innsyn i personopplysningene vi behandler om deg, inkludert informasjon om behandlingsformål, kategorier av opplysninger og mottakere. Du kan også be om å motta de opplysningene du selv har gitt oss i et strukturert og maskinlesbart format (dataportabilitet).

Retting og sletting: Du har rett til å be oss rette uriktige eller ufullstendige opplysninger om deg, samt be om sletting av personopplysninger. Vær oppmerksom på at vi i noen tilfeller er pålagt å oppbevare informasjon for å oppfylle våre avtaler med deg, eller for å etterleve gjeldende lover og myndighetskrav.

Begrensing og protest: Du kan be oss begrense behandlingen av opplysningene dine i visse tilfeller, for eksempel dersom du bestrider at opplysningene er riktige. Du har også rett til å protestere mot behandling som skjer med grunnlag i berettiget interesse.

Tilbaketrekking av samtykke: Når behandlingen er basert på samtykke, kan du når som helst trekke dette tilbake uten at det påvirker lovligheten av behandlingen som skjedde før tilbaketrekkingen.

Slik utøver du rettighetene dine:

Send e-post til personvernombud@berg-hansen.no
Ring vårt kundesenter
Send brev til Berg-Hansen Reisebureau, Postboks 465 Sentrum, 0105 Oslo (merk «Personvernombud»)

Vi svarer normalt innen 30 dager. Ved komplekse forespørsler kan fristen forlenges med ytterligere 60 dager.

Klage til Datatilsynet: Dersom du mener vi behandler personopplysningene dine på en urettmessig måte, kan du klage til Datatilsynet (www.datatilsynet.no). Vi oppfordrer deg likevel til å kontakte oss først.

9. Informasjonskapsler (cookies)

Vi bruker informasjonskapsler for å sikre at nettsidene våre fungerer som de skal, forbedre brukeropplevelsen og levere relevante tjenester.

Typer informasjonskapsler:

Nødvendige cookies (kan ikke avvises):

Sesjonscookies som slettes når du lukker nettleseren
Sikkerhetscookies for å beskytte mot angrep
Innstillingscookies for språk og preferanser
Varighet: Sesjon til 12 måneder

Analytiske cookies (kan avvises):

Matomo for besøksstatistikk og brukeratferd
Ytelsesmåling av nettsiden
Varighet: 13 måneder
Data anonymiseres etter 26 måneder

Markedsføringscookies (krever samtykke):

Sporing av markedsføringskampanjer
Tilpasset innhold basert på interesser
Varighet: 6-24 måneder avhengig av leverandør

Tredjepartscookies: Vi benytter også cookies fra våre partnere som betalingsleverandører og reiseportaler. Disse reguleres av deres egne personvernerklæringer.

Administrering: Du kan når som helst endre dine cookie-innstillinger via ikonet nederst på nettsiden eller i nettleserinnstillingene dine. Vær oppmerksom på at avvisning av cookies kan begrense funksjonaliteten.

10. Endringer i personvernerklæringen

Vi kan oppdatere denne erklæringen når våre tjenester eller regelverket endres. Oppdatert versjon publiseres på våre nettsider, og vesentlige endringer vil varsles særskilt.

Privacy Policy for Berg-Hansen Reisebureau AS

Last updated: [24.09.2025]

Effective from: [24.09.2025]

1. Introduction

Your privacy is important to us at Berg-Hansen. We are committed to processing your personal data in a lawful, secure, and transparent manner.

When you book travel or participate in events – privately or through your employer – Berg-Hansen processes personal data about you. We collect information when you book travel, events, use our services, visit our website or mobile applications, or otherwise interact with us.

In this privacy policy, we explain:

what information we process about you,
why we collect it,
how we use, share, and secure the information, and
what rights you have.

This policy applies to all our services – including websites, apps, booking solutions, customer service, and business partners.

2. Controller

Berg-Hansen Reisebureau AS is the controller for the personal data we process about you.

Berg-Hansen cooperates with suppliers, business partners, and public authorities. In this context, personal data may be shared when:

we have a lawful basis,

we are required to do so by law, or

you have given your consent.

When you book travel through your employer or another organization that has an agreement with us, we may act as controller alone or as joint controller together with your employer, depending on how the travel is booked:

Private customers
When you book travel as a private customer, Berg-Hansen is solely the controller for the processing of your personal data.
Corporate customers with their own supplier agreements
When we book travel based on your company’s own agreements with suppliers (e.g., an airline or a hotel chain), we share responsibility for the processing. Your company is the controller because they hold the agreement and define the purpose, while Berg-Hansen is the controller because we determine how the travel is carried out in practice. In these cases, we are therefore joint controllers together with your company. We have a written agreement regulating the allocation of responsibilities in accordance with GDPR Article 26.
Corporate customers without their own supplier agreements
When we present and coordinate travel options without your company having agreements with the relevant suppliers, Berg-Hansen acts as the sole controller. In that case, Berg-Hansen facilitates and presents the available options and performs the booking in our systems, while the customer selects the specific supplier and departure time.
Meetings & Events
When we organize meetings, conferences, or other events on behalf of a customer, Berg-Hansen is the controller for the processing required to plan and deliver the event. The customer defines the scope and purpose of the event, while Berg-Hansen selects and coordinates suppliers such as hotels, transportation, catering, and activities, and processes the necessary data in order to provide a complete service.
Suppliers (e.g., airlines and hotels)
Airlines, hotels, and other travel suppliers are always independent controllers for the data they process in order to provide their services.
Sub-processors (GDS – Amadeus, Sabre, etc.)
Berg-Hansen uses, among others, global distribution systems (GDS) to carry out bookings. These act as processors on our behalf, and we have data processing agreements in accordance with GDPR Article 28.

If you log in or create a profile with us through third-party solutions, such as BankID or your employer’s login solution, necessary information is shared with these parties. Processing is carried out in accordance with their privacy policies.

Categories of data subjects
This privacy policy applies to the following groups:

Private customers booking travel at their own expense
Business travelers travelling at their employer’s expense
Event participants at meetings, conferences, and events
Website visitors using our digital services
Contact persons at corporate customers and suppliers
Next of kin registered as emergency contacts
Prospective customers receiving marketing communications

Different categories may have different rights and legal bases depending on their relationship with Berg-Hansen.

Franchise
Berg-Hansen consists of both its own offices and franchise offices operated by independent companies under the Berg-Hansen brand. When you book through a franchise office, that office is the controller for its processing, while Berg-Hansen centrally is the controller for the processing carried out in our systems.

Contact with franchise offices
If you booked through a franchise office and have questions about the processing of personal data, you may contact the relevant office directly. For questions about processing in Berg-Hansen’s central systems, please contact our head office.

International offices
Berg-Hansen operates in Norway and Sweden, and may establish offices in other countries. Personal data may therefore be processed and shared internally between Berg-Hansen entities across borders, always in accordance with applicable privacy legislation.

Contact information
If you have questions about how we process your personal data, you can contact our Data Protection Officer:

personvernombud@berg-hansen.no

Berg-Hansen Reisebureau, Postboks 465 Sentrum, 0105 Oslo
Mark the envelope “Berg-Hansen’s Data Protection Officer”

The Data Protection Officer is bound by confidentiality.

The supervisory authority for our processing is the Norwegian Data Protection Authority (Datatilsynet).

3. What data we process and how long we store it

We only process personal data necessary to deliver our services and store it for as long as needed for the purpose, or as required by law.

Type of data	Description and purpose	Retention period
Identity and contact information (name, address, phone number, email address, gender, date of birth, nationality)	We receive information either directly from you (for example, when you book travel, subscribe to newsletters, or contact customer service), or from your employer/organization if they book on your behalf or create a travel profile for you. In connection with events, we may also receive information about travel and activity choices, as well as contact details for participants and partners. For meetings, conferences, and events we may process information about allergies and dietary preferences (which may be health data), travel and activity choices, and contact details of participants, speakers, and partners.	Stored from the time of booking and for up to 5 years after the travel has been completed, or until you withdraw your consent. If you have an account in the Berg-Hansen portal, the information is stored as long as the account is active. Information related to Meetings & Events is collected only when necessary and deleted once the event has been completed, unless otherwise agreed or required by law to retain longer.
Passport and visa information	Necessary information about valid travel documents and visas where required, received from you or your employer/organization. Used to comply with legal requirements.	Stored from the time of booking and as long as you have an active travel profile in our systems. May be retained longer if required by law.
Next of kin information	Contact details of next of kin if agreed with you or your employer, to safeguard the safety of travelers.	Stored as long as necessary for the safety purpose.
Payment and transaction information	Information used to process payments, invoicing, and accounting.	Card data is stored for up to 5 years. Transaction and accounting data is stored for 5 years in accordance with bookkeeping regulations.
Booking and activity information (flight reservations, hotel bookings, itineraries, travel companions, etc.)	When you or your employer/organization make a booking or purchase, we collect necessary information about your trip.	Information such as destination and travel date is normally stored for up to 5 years, but may be retained longer if required by law.
Communication with us	All contact between you and Berg-Hansen, including recordings of calls to customer service, emails, chat, and comments or feedback you provide in surveys or social media. If you use chat services, the conversation may start with a chatbot and then be transferred to a customer service agent. Information from chats and inquiries may be linked to your customer profile if you have an active account, to ensure proper follow-up.	Communication is normally stored for up to 5 years, or longer if required by law. Audio recordings are normally stored for up to 1 year, unless longer storage is necessary to meet legal obligations or safeguard legal claims.
Digital information	We collect digital information such as IP address, browser data, traffic data, booking history, usage patterns, and activity on websites/apps. When you use our mobile applications for Android or iOS, we may also process information about device type, operating system, usage patterns, location (if you have consented), and preferences for push notifications. You can manage such settings in the app or in your device’s system settings. Information collected by Google or Apple through downloading or using the apps is governed by their own privacy policies.	Data is stored as long as necessary for analysis and service customization. Information used for analysis is anonymized or aggregated when the purpose can be achieved without identifying you.
Newsletters and marketing	If you subscribe to newsletters, we record which emails you open, where you are when you open them, and whether you click on links in the content.	Stored as long as you have consented, or until you withdraw your consent.
Health and accommodation information	If you, or your employer/organization on your behalf, provide information such as allergies, dietary preferences, or other accommodation needs, we record this only to ensure that the trip or event can be carried out safely and appropriately. The information is only shared with relevant suppliers when necessary.	Stored only for the period necessary to deliver the service, or longer if required by law.

4. Why we collect data

We process personal data in order to deliver travel, events, and customized services. This includes, among other things, to:

handle inquiries, bookings, and payments,
comply with legal requirements, such as entry regulations and accounting laws,
organize and carry out travel and events,
provide customer service and support,
convey necessary travel or event information,
tailor services to your needs and preferences,
send you marketing based on your consent. For existing customers, we may also send marketing about similar services based on legitimate interest, unless you have opted out,
process health information, such as allergies or other special needs, only if you choose to provide it.
if we use profiling or segmentation to provide you with more relevant information or marketing, this will only take place based on your consent. Profiling means automated processing of personal data to assess personal aspects such as interests or preferences. You have the right to object to profiling and may withdraw your consent at any time.

We may contact you with necessary travel alerts, safety messages, or changes critical to carrying out your journey. Such communication is based on our legitimate interest or legal obligations and does not require separate consent.

We also use personal data for reporting and analysis. This can happen in two ways:

Reporting as a service to the customer: When we provide reports and statistics directly to your employer or organization, such as travel statistics, climate accounts, or financial reports, the personal data is processed in non-anonymized form. This is part of the agreement we have with the customer, and the data is used only for the purpose the report was created for.

Anonymized and aggregated analyses: We may also use data in anonymized or aggregated form for internal reporting, statistics, analysis, and development of our services. This may include the use of analytical tools or methods such as machine learning. Such analyses are carried out without individuals being identifiable, and we apply the principle of data minimization.

We do not use automated decision-making that has legal effect or significantly affects you, unless it is necessary to deliver the service and you have given your consent.

If, in the future, we use artificial intelligence (AI) or machine learning to process personal data, this will be done responsibly and in line with applicable privacy legislation. We will never use AI for automated decisions that have legal effect or otherwise significantly affect you unless there is a lawful basis and you have been clearly informed.

4.1 Legal basis for processing

All processing of personal data must have a lawful basis. We process your personal data based on the following legal grounds:

Performance of a contract (GDPR Art. 6.1.b): to carry out travel bookings, events, and deliver services ordered by you or your employer.
Legal obligation (GDPR Art. 6.1.c): to comply with legal requirements such as accounting legislation, tax rules, entry regulations, and reporting to authorities.
Legitimate interest (GDPR Art. 6.1.f): for customer service, quality improvement, security, risk assessments, and internal administration. We have assessed that our legitimate interests do not override your fundamental rights.
Consent (GDPR Art. 6.1.a): for marketing, newsletters, non-essential cookies, and profiling/segmentation.

Processing of special categories of personal data (such as health information related to allergies or special needs) is only carried out on the basis of:

Explicit consent (GDPR Art. 9.2.a): when you voluntarily provide such information.
Vital interests (GDPR Art. 9.2.c): in emergencies where it is necessary to protect life or health.

When we process personal data based on consent, you may withdraw your consent at any time without affecting the lawfulness of the processing carried out before the withdrawal.

You can withdraw consent by:

changing settings in your user profile
using the unsubscribe link in marketing emails
adjusting cookie settings via the icon at the bottom of the website
contacting our Data Protection Officer at personvernombud@berg-hansen.no

4.3 Duty of care and travel security

For corporate customers, employers have duty of care obligations toward their traveling employees. We assist in fulfilling these obligations by providing:

Travel tracking and emergency preparedness:

Registering itineraries and locations
Sharing necessary information with the employer in crises or emergencies
Coordinating with emergency partners when needed
Contacting next of kin if the situation requires it

Safety messages:

Sending travel alerts about safety situations
Informing about changes affecting travel security
Coordinating evacuation or relocation if necessary

Health preparedness:

Sharing health information with relevant suppliers only when necessary for safety
Coordinating medical assistance when required
Informing about health requirements and restrictions for the travel destination

This is carried out on the basis of legitimate interests to ensure travel security, or as a legal obligation when the employer has duty of care responsibilities.

4.4 Automated systems and profiling

We use automated systems for:

Pricing and availability of travel (based on market data)
Suggestions for travel options based on preferences
Detection of unusual usage patterns for security purposes
Quality control of bookings and payments

These systems do not make automated decisions that have a significant impact on your rights without human involvement. You may at any time request a review of automated assessments that affect you.

In order to deliver our services, we share necessary personal data with the following categories of recipients:

Travel organizers and suppliers:

Airlines for ticket issuance and check-in
Hotels and accommodation providers for reservations
Car rental companies and transport providers
Cruise and travel operators
Insurance companies in case of claims
Visa providers and consulates

Technical service providers (processors):

Global distribution systems (GDS) such as Amadeus, Sabre
Payment processors for transactions
IT operations providers and cloud solutions
Customer support platforms and CRM systems

Corporate-related partners:

Your employer or organization (for business travel)
Your employer’s suppliers and partners where agreed
Reporting partners for travel analysis and statistics
Accounting and invoicing systems

Emergency and security:

Crisis and emergency partners in emergencies
Security providers and monitoring partners
Public authorities where required by law

Group companies:

Other Berg-Hansen entities in Norway, Sweden, and other countries
Franchise partners for local services

We enter into data processing agreements and conduct risk assessments with all processors. We never share more information than necessary for the specific purpose.

6. Transfer of data to other countries

When travel or events take place outside the EU/EEA, it may be necessary to transfer personal data to suppliers and partners in third countries. This applies in particular to airlines, hotels, cruise operators, and other travel providers who act as independent controllers. These recipients process the data in accordance with their own privacy policies and the legislation of the country in which they operate.

When we share personal data with our own suppliers outside the EU/EEA, we ensure that the transfer is lawful, for example by using the EU Commission’s Standard Contractual Clauses (SCC), adequacy decisions where available, or other valid transfer mechanisms recognized by the EU Commission. You may request a copy of the safeguards we have implemented. We may also share data between Berg-Hansen entities in Norway, Sweden, or other countries where we establish operations.

As a travel agency, we may be legally required to share necessary data with local authorities in the country of entry, for example at immigration control or for contact tracing.

Before transferring personal data to a third country, we assess whether the country provides an adequate level of protection for privacy, and we implement additional measures where required to safeguard your data.

Where the data is stored:

Your personal data is primarily stored in:

Norway and EU/EEA countries with our main suppliers
Third countries only when necessary for service delivery or with explicit consent
Secured data centers with approved cloud providers

We always ensure that data storage takes place in countries with adequate protection levels or with supplementary safeguards.

7. How we secure your data

We protect your personal data through technical and organizational security measures, including access control, encryption, and ongoing risk assessments.

7.1 Handling of data breaches

In the event of serious data breaches that may entail a high risk to your rights and freedoms, we will notify you without undue delay and no later than 72 hours after we became aware of the breach.

The notification will include:

A description of the data breach and the likely consequences
Measures we have implemented to handle the breach
Recommendations on how you can protect yourself
Contact information for further follow-up

8. Your rights

As a data subject, you have the following rights:

Access and data portability: You have the right to access the personal data we process about you, including information on the purposes of processing, categories of data, and recipients. You may also request to receive the data you have provided to us in a structured, commonly used, and machine-readable format (data portability).

Rectification and erasure: You have the right to request correction of inaccurate or incomplete information about you, as well as request deletion of personal data. Please note that in some cases we are required to retain information in order to fulfill our agreements with you, or to comply with applicable laws and regulatory requirements.

Restriction and objection: You may request that we restrict the processing of your data in certain situations, for example if you contest the accuracy of the data. You also have the right to object to processing based on legitimate interest.

Withdrawal of consent: When processing is based on consent, you may withdraw this at any time without affecting the lawfulness of processing that took place before the withdrawal.

How to exercise your rights:

Send an email to personvernombud@berg-hansen.no
Call our customer service center
Send a letter to Berg-Hansen Reisebureau, P.O. Box 465 Sentrum, 0105 Oslo (mark with “Data Protection Officer”)

We normally respond within 30 days. For complex requests, the deadline may be extended by an additional 60 days.

Complaint to the Data Protection Authority: If you believe we are processing your personal data unlawfully, you may file a complaint with the Norwegian Data Protection Authority (Datatilsynet, www.datatilsynet.no). However, we encourage you to contact us first.

9. Cookies

We use cookies to ensure our websites function properly, improve the user experience, and deliver relevant services.

Types of cookies:

Necessary cookies (cannot be refused):

Session cookies that are deleted when you close your browser
Security cookies to protect against attacks
Preference cookies for language and settings
Duration: Session to 12 months

Analytical cookies (can be refused):

Matomo for visitor statistics and user behavior
Performance measurement of the website
Duration: 13 months
Data retention: Data is anonymized after 26 months

Marketing cookies (require consent):

Tracking of marketing campaigns
Tailored content based on interests
Duration: 6–24 months depending on the provider

Third-party cookies: We also use cookies from our partners such as payment providers and travel portals. These are governed by their own privacy policies.

Management: You can change your cookie settings at any time via the icon at the bottom of the website or in your browser settings. Please note that refusing cookies may limit functionality.

10. Changes to the privacy policy

We may update this policy when our services or regulations change. The updated version will be published on our website, and significant changes will be specifically notified.

Aktuelt

Bærekraft

Om oss