Logg inn

Personvernerklæring - Databehandlerversjon

Sist oppdatert: 31.03.2025.

Skolebot er en KI-basert tjeneste levert av Midgard AI AS. Denne personvernerklæringen gjelder i tilfeller hvor sluttbrukeren ikke har inngått et direkte kundeforhold med oss, men hvor vi opptrer som databehandler på vegne av en behandlingsansvarlig tredjepart – for eksempel en kommune, skole eller organisasjon (heretter “Kunde”). Erklæringen forklarer hvordan Midgard AI AS (heretter “vi”, “oss” eller “Midgard AI”) behandler personopplysninger i tjenesten Skolebot (heretter “Tjenesten”), og hvordan ansvarsfordelingen er mellom oss og Kunden.

For informasjon om hvordan vi behandler personopplysninger hvis du har registrert deg og bruker Tjenesten som privatperson uten at en skole, kommune eller annen organisasjon står som kunde se Personvernerklæring – Når Midgard AI er behandlingsansvarlig.

1. Nærmere om behandlingsansvar, behandlingsansvarlig og databehandler

1.1 Kunden

Kunden er behandlingsansvarlig for personopplysninger som behandles i Tjenesten knyttet til sine brukere (for eksempel elever, lærere, ansatte). Dette innebærer at Kunden bestemmer formålet med bruken av Tjenesten (f.eks. opplæringsformål), og hvordan personopplysninger om brukerne skal behandles.

1.2 Midgard AI AS

Midgard AI AS er databehandler for Kunden når vi behandler personopplysninger på Kundens vegne, i henhold til databehandleravtale. Vi viser for øvrig til den databehandleravtalen som er inngått mellom Midgard AI AS og Kunden, der de konkrete instruksene, sikkerhetskravene og ansvarsfordelingen er nærmere regulert.

Dette omfatter blant annet:

  1. Behandling av tekst, lyd, bilder og annen brukerinnhold (for eksempel KI-genererte bilder, samtaleroboter) som brukerne legger inn i Tjenesten.
  2. Administrasjon av brukertilgang for elever/lærere (for eksempel Feide-opplysninger, klassetilhørighet).
  3. Lagring av bruksdata relatert til Kundens behov for brukerstøtte, sikkerhet, tilgjengelighet og eventuelt statistikk om egen virksomhet.

Midgard AI AS er samtidig behandlingsansvarlig for:

  1. Kontaktopplysninger for kundens kontaktpersoner (f.eks. for salg, fakturering og kontraktsadministrasjon).
  2. Tekniske logger eller andre data vi er lov- eller avtalemessig forpliktet til å beholde for å ivareta vårt eget ansvar som leverandør (f.eks. økonomi- og regnskapskrav).

2. Definisjoner

  • Personopplysninger: Enhver opplysning som direkte eller indirekte kan knyttes til en enkeltperson.
  • Behandling av personopplysninger: Enhver bruk av personopplysninger, herunder innsamling, registrering, lagring, sammenstilling, utlevering eller sletting.
  • Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
  • Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige.
  • Kunde: Kommune/skole/organisasjon som har inngått avtale med Midgard AI AS for å benytte Tjenesten. Kunden er behandlingsansvarlig for elev-/ansattdata som behandles i Tjenesten.
  • Bruker: Du som benytter Tjenesten (for eksempel elev, lærer, ansatt).

3. Når Midgard AI er databehandler på vegne av Kunden

Når brukere (for eksempel elever eller lærere) logger inn i Tjenesten eller oppretter, laster opp eller skriver inn informasjon i Tjenesten, skjer følgende behandlinger der Kunden er behandlingsansvarlig, og vi (Midgard AI) er databehandler.

3.1 Pålogging og identitetsdata (Feide, Google, Microsoft mv.)

  • Hva behandles: Navn, brukernavn, e-postadresse, organisasjonstilhørighet, klasser/grupper.
  • Formål: Sikker pålogging, riktig tilgang og differensiering av funksjonalitet (f.eks. elev eller lærer).
  • Rettslig grunnlag: Kunden må selv vurdere dette, men typisk GDPR art. 6 (1) (e) eller (f), basert på undervisningsformål eller berettiget interesse.

3.2 Vanlig samtaleinnhold (tekst, lyd, filer)

  • Hva behandles: Tekstmeldinger, opplastede filer eller talefunksjon. Vi lagrer ikke dette innholdet varig på våre servere.
  • Microsoft-lagring: Microsoft (Azure) som underleverandør kan mellomlagre innholdet i inntil 30 dager for å avdekke misbruk (for eksempel i loggsystemer). Vi har ikke tilgang til disse dataene etter at samtalen er avsluttet, og verken vi eller Microsoft bruker dem til andre formål.
  • Formål: Levere kjernefunksjonaliteten i Tjenesten, opprettholde sikkerhet og forhindre misbruk.
  • Rettslig grunnlag: Kunden må selv vurdere dette, men typisk GDPR art. 6 (1) (e) eller (f), basert på undervisningsformål eller berettiget interesse.

3.3 Varig brukergenerert innhold (samtaleroboter, KI-genererte bilder m.m.)

  • Hva behandles: Dersom brukere oppretter egne samtaleroboter (“chatbots”), laster opp filer eller genererer KI-baserte bilder, blir dette innholdet lagret hos oss og knyttet til den aktuelle brukeren.
  • Lagringstid: Oppbevares helt til brukeren selv sletter det, eller inntil 1 år etter siste aktivitet. Etter dette slettes det fra våre systemer (men kan finnes i sikkerhetskopier i inntil 30 dager). Kunden kan be om kortere lagringstid på enkelte typer data etter avtale, dersom dette er forenelig med tjenestens tekniske og lovmessige krav.
  • Formål: Gi brukeren mulighet til å ta vare på og administrere selvopprettet innhold (f.eks. KI-genererte bilder, egendefinerte samtaleroboter).
  • Rettslig grunnlag: Kunden må selv vurdere dette, men typisk GDPR art. 6 (1) (e) eller (f), basert på undervisningsformål eller berettiget interesse.

3.4 Administrasjon av tilgangskontroll

  • Hva behandles: Opplysninger om hvilke klasser/grupper brukerne tilhører, hvilke rettigheter/tilganger de har, og hvem som har administrert disse rettighetene.
  • Formål: Gi lærere eller andre med administrative rettigheter mulighet til å styre hvilke funksjoner som er tilgjengelige for en gruppe elever.
  • Rettslig grunnlag: Kunden må selv vurdere dette, men typisk GDPR art. 6 (1) (e) eller (f), basert på undervisningsformål eller berettiget interesse.

3.5 Brukslogger, systemlogger og metadata (på vegne av Kunden)

Vi vil ha behov for å føre enkelte tekniske logger over trafikk og hendelser i Tjenesten som er nødvendige forhindre og avdekke misbruk og for å sikre Tjenestens pålitelighet, ytelse og sikkerhet på vegne Kunden.

  • Hva behandles: Tidspunkt og type funksjon brukt, IP-adresse, brukeridentifikatorer, brukerrolle (elev/lærer), systemhendelser og systeminformasjon som er nødvendige for formålet.
  • Formål: Drift og feilsøkning, sikkerhet (avdekke uvanlig aktivitet), tilgjengelighet (oppdage driftsproblemer og belastningstopper).
  • Rettslig grunnlag: Bestemmes av Kunden (typisk GDPR art. 6 (1) (f) for berettiget interesse, eller art. 6 (1) (e) i offentlige skoler).

Viktig: Vi bruker ikke personopplysninger (f.eks. elevdata, tekst eller filer) til å trene KI-modeller eller til annen videreutvikling av Tjenesten i strid med Kunnskapsdepartementets føringer.

Der det er mulig, anonymiserer eller aggregerer vi dataene. Der anonymisering eller aggregering ikke er teknisk eller praktisk gjennomførbart, begrenses alltid behandling av personopplysninger til det formål dataene ble innhentet for og opplysningene slettes når formålet er oppnådd, med mindre annet er lovpålagt.

4. Når Midgard AI er behandlingsansvarlig

4.1 Kontaktinformasjon om kundens representanter

Når vi inngår avtale med en kommune eller annen organisasjon, behandler vi personopplysninger om de aktuelle kontaktpersonene. Dette omfatter vanligvis:

  • Hva behandles: Navn, stilling, e-postadresse, telefonnummer, fakturaadresse, eventuelt personnummer (ved e-signatur).
  • Formål: Administrasjon av kundeforhold, oppfølging, fakturering, signering av avtaler og drift.
  • Rettslig grunnlag: GDPR art. 6 (1) (b) (nødvendig for å oppfylle avtale) og/eller art. 6 (1) (f) (berettiget interesse).

4.2 Oppfyllelse av lovkrav

  • Hva behandles: Vi oppbevarer kontrakter, fakturagrunnlag og lignende i henhold til bokførings- og arkivregler.
  • Formål: Oppfylle lov- og arkivkrav, for eksempel bokføringsregler knyttet til fakturering og regnskapsføring, samt eventuelle arkivlovkrav som gjelder vår virksomhet.
  • Rettslig grunnlag: GDPR art. 6 (1) (c) (rettslig forpliktelse).

5. Oversikt over våre underdatabehandlere

For å levere Tjenesten benytter vi anerkjente underleverandører (databehandlere) hvor data lagres innenfor EU/EØS, i tråd med lovkrav og databehandleravtaler:

NavnBeskrivelseRegion
Hetzner Online GmbHTeknisk infrastruktur.EU
Scaleway SASTeknisk infrastruktur.EU
MicrosoftTeknisk infrastruktur og Underliggende kunstig intelligens tjeneste (Azure OpenAI).EU
PosthogSystem- og brukslogger.EU
HubspotKontrakt og kundehåndtering. Support.EU

6. Lagring og sletting

6.1 Brukergenerert innhold (når vi er databehandler)

Vi lagrer innhold kun på vegne av Kunden og i henhold til deres instruks. Brukere kan selv slette KI-genererte bilder eller samtaleroboter, sletting av innhold gjenspeiles i våre systemer fortløpende, men kan ligge i backup inntil 30 dager.

6.2 Kontaktpersonopplysninger (når vi er behandlingsansvarlig)

Oppbevares så lenge kundeforholdet varer, og i tråd med bokførings- og arkivlovgivning.

6.3 Tekniske logger

Dersom logger føres for Kundens formål, beholdes de i henhold til Kundens instruks i databehandleravtalen, med mindre det oppstår behov for å lagre dem lenger, som i tilfeller der det er et lovkrav eller i en pågående sak.

6.4 Anonymisert data

Data som er reelt anonymisert (uten mulighet for gjenidentifisering) faller i utgangspunktet utenfor GDPR, men vi begrenser likevel lagringstiden i tråd med interne rutiner.

7. Informasjonskapsler (cookies)

Skolebot benytter følgende informasjonskapsler (“cookies”) i nettleseren:

7.1 Brukerens sesjons-ID

  • Formål: Gjør det mulig for Tjenesten å gjenkjenne brukeren slik at pålogging og samtaleforløp kan opprettholdes.
  • Hvorfor nødvendig: Uten denne ville Tjenesten ikke huske brukerens tilstand mellom sidevisninger (f.eks. om brukeren er pålogget).

7.2 Informasjonskapsler knyttet til brukervalg

  • Formål: Brukes til formål som om brukeren har lukket meldingen om sikker bruk av tjenesten, slik at meldingen ikke vises igjen i samme økt eller ved senere besøk.
  • Hvorfor nødvendig: Gir en bedre brukeropplevelse ved å huske aktive valg tatt av brukeren.

7.3 Informasjonskapsler knyttet til Posthog

Posthog er en analyseplattform som lar oss samle inn bruksdata (for eksempel tekniske feil som er oppstått og ytelsen knyttet til sidene eller funksjonene som benyttes) på en pseudonymisert, anonym eller aggregert måte.

  • Formål: Som beskrevet i punkt 3.5.
  • Hvorfor nødvendig: Som beskrevet i punkt 3.5.

8. Sikkerhetstiltak

Vi benytter anerkjente sikkerhetsløsninger for å beskytte data mot uautorisert tilgang, endring eller sletting. Tiltak inkluderer:

  • Kryptert overføring (HTTPS/TLS)
  • Streng tilgangsstyring (kun autorisert personell)
  • Brannmurer, inntrengningsdeteksjon
  • Regelmessige sikkerhetsrevisjoner og rutinetester

9. Dine rettigheter

9.1 Når Kunden er behandlingsansvarlig

Dersom du er elev, lærer eller ansatt som bruker Tjenesten på vegne av en skole eller annen organisasjon, er det Kunden som har hovedansvaret for personopplysningene dine. Dersom du ønsker å utøve rettigheter (innsyn, retting, sletting mv.), ta kontakt med Kunden. Vi bistår Kunden etter behov i henhold til databehandleravtalen.

9.2 Når Midgard AI er behandlingsansvarlig

Hvis vi behandler dine opplysninger til våre egne formål (f.eks. du er kontaktperson for Kunden eller har henvendt deg direkte til oss), har du følgende rettigheter i henhold til GDPR:

  • Rett til å trekke tilbake samtykket ditt i henhold til Art. 7 para. 3 GDPR
  • Rett til innsyn i dine data i henhold til Art. 15 GDPR
  • Rett til å korrigere dine data i henhold til Art. 16 GDPR
  • Rett til å få dine data slettet i henhold til Art. 17 GDPR
  • Rett til å begrense innsamlingen av data i henhold til Art. 18 GDPR
  • Rett til dataoverførbarhet i henhold til Art. 20 GDPR
  • Rett til å protestere mot hvordan dine data håndteres i henhold til Art. 21 GDPR
  • Rett til å sende klager til tilsynsmyndigheten i henhold til Art. 77 para. 1 f GDPR

Henvendelser kan rettes til kontakt@skolebot.no.

10. Kontaktinformasjon

Midgard AI AS

Org.nr: 932739798

E-post: kontakt@skolebot.no

Har du spørsmål til denne personvernerklæringen eller vår behandling av personopplysninger, er du velkommen til å ta kontakt.

11. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen ved behov, for eksempel ved endringer i lovverket eller Tjenesten. Den nyeste versjonen vil alltid være tilgjengelig på våre nettsider.