Databehandleravtale
Versjon 1.0 — Mai 2026
1. Parter
Denne databehandleravtalen («Avtalen») er inngått mellom:
Behandlingsansvarlig: Skolen/læreren som benytter Lærerro og registrerer personopplysninger om elever (heretter «Behandlingsansvarlig»).
Databehandler: Bringebærstedet AS, org.nr. 932000075, ved Thomas Borthne-Skattum, kontakt@laererro.no (heretter «Databehandler»), som driver tjenesten Lærerro (laererro.no).
Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av tjenesten Lærerro (laererro.no).
2. Formål og omfang
Databehandler skal behandle personopplysninger utelukkende for å levere tjenesten Lærerro til Behandlingsansvarlig, som omfatter:
- Lagring av elevdata (navn, klassetilhørighet)
- Lagring og behandling av elevbesvarelser for AI-støttet vurdering
- Lagring av karakterer, vurderingsnotater og tilbakemeldinger
- Generering av undervisningsmateriell (uten bruk av elevdata)
Databehandler skal ikke behandle personopplysninger til andre formål enn det som er beskrevet i denne avtalen, med mindre Behandlingsansvarlig gir skriftlig instruks om annet.
3. Kategorier av personopplysninger
| Kategori | Opplysninger | Formål |
|---|---|---|
| Elevidentitet | Fornavn, etternavn | Identifisere elev i klasse |
| Klassetilhørighet | Klasse, fag, trinn | Organisere elever |
| Besvarelser | Tekst lastet opp av elev/lærer | AI-støttet vurdering |
| Karakterer | Karakter, poeng, tilbakemelding | Lagre vurderinger |
| Vurderingsnotater | Lærerens notater om elev | Pedagogisk oppfølging |
4. Registrerte (de personopplysningene gjelder)
Avtalen gjelder behandling av personopplysninger om:
- Elever ved Behandlingsansvarligs skole
- Lærere som bruker tjenesten (kontoinformasjon)
5. Behandling av personopplysninger ved AI-vurdering
Når AI-vurdering benyttes, sendes følgende til vår AI-underleverandør (Anthropic):
- Sendes: Besvarelsesteksten, oppgavebeskrivelse, fag, trinn, vurderingskriterier
- Sendes ALDRI: Elevnavn, e-post, fødselsdato, karakter, eller annen identifiserende informasjon
Anthropic bruker ikke data sendt via API til trening av sine modeller. Data slettes etter behandling og lagres ikke permanent hos Anthropic.
6. Underdatabehandlere
Databehandler benytter følgende underdatabehandlere:
| Leverandør | Formål | Lokasjon |
|---|---|---|
| Anthropic (Claude AI) | AI-vurdering av besvarelser, generering av innhold | USA (EU-data via API) |
| Neon | Database (PostgreSQL) | EU (Frankfurt, Tyskland) |
| Vercel | Hosting av nettside | EU / Global CDN |
| Stripe | Betalingsbehandling | EU / USA |
| Gamma | Generering av presentasjoner | USA |
Databehandler har inngått databehandleravtaler med alle underdatabehandlere. Behandlingsansvarlig varsles ved endringer i underdatabehandlere.
7. Sikkerhetstiltak
Databehandler har implementert følgende tekniske og organisatoriske tiltak:
- Kryptering i transit (TLS 1.3) for all kommunikasjon
- Passord lagres med bcrypt-hashing (salt factor 12)
- Hastighetsbegrensning på innlogging (maks 5 forsøk per 15 minutter)
- Tilgangskontroll: lærere ser kun egne elever og klasser
- Database i EU (Frankfurt, Tyskland)
- Automatisk sesjonshåndtering med sikre cookies
- Ingen personidentifiserende elevdata sendes til AI-tjenester
8. Rettigheter for registrerte
Databehandler bistår Behandlingsansvarlig med å oppfylle registrertes rettigheter etter GDPR, herunder:
- Innsyn (art. 15): Lærere kan se all lagret elevdata i tjenesten
- Retting (art. 16): Elevdata kan redigeres direkte i tjenesten
- Sletting (art. 17): Elever, besvarelser og vurderinger kan slettes av læreren. Kontosletning fjerner alle data innen 30 dager
- Dataportabilitet (art. 20): Elevdata kan eksporteres som CSV via innstillinger
- Begrensning (art. 18): Behandlingsansvarlig kan be om begrensning via kontakt@laererro.no
9. Sletting og tilbakelevering
Ved opphør av avtalen eller på forespørsel fra Behandlingsansvarlig skal Databehandler:
- Slette alle personopplysninger innen 30 dager
- Tilby eksport av data før sletting (CSV-format)
- Bekrefte sletting skriftlig på forespørsel
Sikkerhetskopier slettes innen 90 dager etter forespørsel.
10. Varsling ved sikkerhetsbrudd
Dersom Databehandler oppdager brudd på personopplysningssikkerheten, skal Behandlingsansvarlig varsles uten ugrunnet opphold og senest innen 48 timer.
Varselet skal inneholde:
- Beskrivelse av bruddet og berørte data
- Antall berørte registrerte
- Tiltak iverksatt for å begrense skaden
- Kontaktpunkt for videre oppfølging
11. Revisjon og kontroll
Behandlingsansvarlig har rett til å gjennomføre revisjon av Databehandlers behandling av personopplysninger, enten selv eller ved hjelp av tredjepart. Databehandler skal gi nødvendig bistand og tilgang til relevant dokumentasjon.
12. Varighet og oppsigelse
Denne avtalen gjelder så lenge Behandlingsansvarlig har en aktiv konto hos Lærerro. Ved oppsigelse av tjenesten gjelder bestemmelsene i punkt 9 om sletting og tilbakelevering.
13. Lovvalg og tvister
Avtalen er underlagt norsk lov. Tvister som ikke løses i minnelighet, avgjøres av norske domstoler med Oslo tingrett som verneting.
14. Signatur
Behandlingsansvarlig:
Databehandler:
15. Kontakt
For spørsmål om denne avtalen eller personvern, kontakt:
Bringebærstedet AS (Lærerro)
E-post: kontakt@laererro.no
Nettside: laererro.no
Skriv ut denne siden som PDF via nettleseren (Ctrl+P / Cmd+P) for signering.