Personvernerklæring
Sist oppdatert: 12. mai 2026
1. Hvem er behandlingsansvarlig?
Lærerro er en tjeneste levert av Bringebærstedet AS (org.nr. 932000075). Bringebærstedet AS er behandlingsansvarlig for personopplysninger som samles inn gjennom tjenesten Lærerro (laererro.no). Vi er forpliktet til å beskytte personvernet ditt i henhold til personopplysningsloven og EUs personvernforordning (GDPR).
Kontakt: kontakt@laererro.no
2. Hvilke personopplysninger samler vi inn?
Vi samler inn følgende opplysninger:
2.1 Kontoinformasjon
- Navn
- E-postadresse
- Passord (lagres kryptert med bcrypt, aldri i klartekst)
2.2 Bruksdata
- Antall AI-genereringer per dag
- Antall presentasjoner per måned
- Antall lagrede ressurser
- Tidspunkt for innlogging
2.3 Innhold du oppretter
- Undervisningsopplegg, quizer, prøver, differensieringsplaner og tverrfaglige opplegg
- Presentasjoner generert via tjenesten
- Kommentarer og vurderinger i fellesskapet
2.4 Elevinformasjon (valgfritt)
- Elevnavn
- Karakterer og faglig progresjon
- Vurderingsnotater
2.5 Betalingsinformasjon
- Stripe kunde-ID (betalingsinformasjon håndteres direkte av Stripe og lagres aldri hos oss)
- Abonnementsstatus
3. Formål med behandlingen
Vi behandler personopplysninger for følgende formål:
- Levering av tjenesten: Opprette og administrere brukerkonto, generere pedagogisk innhold, lagre og hente ressurser.
- Abonnementshåndtering: Administrere betalinger, oppgradere/nedgradere kontoer, håndtere kanselleringer.
- Bruksbegrensninger: Holde oversikt over daglige og månedlige kvoter for gratisbrukere.
- Forbedring av tjenesten: Anonymisert statistikk for å forstå hvordan tjenesten brukes og forbedre funksjonaliteten.
- Sikkerhet: Forebygge misbruk, håndtere innloggingsforsøk og beskytte kontoen din.
4. Rettslig grunnlag
Vi behandler personopplysninger basert på:
- Avtale (GDPR art. 6(1)(b)): Nødvendig for å levere tjenesten du har registrert deg for.
- Berettiget interesse (GDPR art. 6(1)(f)): Sikkerhetstiltak, misbruksforebygging og tjenestforbedring.
- Samtykke (GDPR art. 6(1)(a)): Der vi ber om eksplisitt samtykke, for eksempel for markedsføring.
5. AI-behandling og elevdata
5.1 Generering av innhold
Når du bruker AI-funksjonene i Lærerro (generering av opplegg, quizer, presentasjoner, flashcards etc.), sendes følgende til AI-modellen:
- Fag og trinn
- Tema og emne
- Kompetansemål fra LK20
- Dine instruksjoner og valg
5.2 AI-vurdering av elevbesvarelser
Når du bruker AI-vurdering, sendes følgende til AI-modellen:
- Elevens besvarelsestekst (innholdet i oppgaven)
- Oppgavebeskrivelse og vurderingskriterier
- Fag, trinn og klassenavn
Følgende sendes ALDRI til AI-modellen:
- Elevnavn eller andre personidentifiserende opplysninger
- Fødselsdato
- Karakterer eller tidligere vurderingsdata
- Kontaktinformasjon til elever eller foresatte
AI-behandling leveres av Anthropic (Claude API). Data som sendes via API-et brukes ikke til å trene modellen og lagres ikke permanent av Anthropic. Anthropic sin databehandleravtale (DPA) med Standard Contractual Clauses er automatisk inkludert i deres API-vilkår.
6. Lagring og sikkerhet
- Lagring: All data lagres i EU (Frankfurt, Tyskland) hos Neon (PostgreSQL).
- Kryptering: Data krypteres i transit (TLS 1.3) og passord krypteres med bcrypt (salt factor 12).
- Tilgangskontroll: Innlogging med sikker sesjonsforvaltning via NextAuth.js. Ratebegrensning på innloggingsforsøk (5 forsøk per 15 minutter).
- CSRF-beskyttelse: Origin-sjekk på alle muterende forespørsler.
- Betalingssikkerhet: All betalingsbehandling håndteres av Stripe (PCI DSS Level 1-sertifisert). Vi lagrer aldri kortnumre.
7. Underdatabehandlere og tredjeparter
Vi benytter følgende underdatabehandlere. Databehandleravtale (DPA) er inngått med alle:
| Leverandør | Formål | Data som deles | Lokasjon | DPA |
|---|---|---|---|---|
| Anthropic | AI-generering og vurdering | Faglig innhold, besvarelsestekst (aldri elevnavn) | USA | Automatisk via API-vilkår |
| Neon | Database (PostgreSQL) | All lagret data | EU (Frankfurt) | Automatisk via vilkår |
| Vercel | Hosting av nettside | Forespørselsdata, IP-adresser | EU / Global CDN | Automatisk via Pro-plan |
| Stripe | Betalingsbehandling | Kunde-ID, abonnementsstatus | EU / USA | Automatisk via vilkår |
| Gamma | Presentasjonsgenerering | Presentasjonsinnhold (tema, tekst) | USA | gamma.app/dpa |
Vi selger aldri personopplysninger til tredjeparter. Endringer i underdatabehandlere varsles via oppdatering av denne erklæringen.
8. Dine rettigheter
Du har følgende rettigheter i henhold til GDPR:
- Innsyn (art. 15): Du kan se all lagret data i tjenesten. Lærere kan se all elevdata direkte i Lærerro.
- Retting (art. 16): Du kan rette opplysninger direkte i tjenesten, eller kontakte oss.
- Sletting (art. 17): Du kan slette enkeltelever, elevdata eller hele kontoen via Innstillinger. Kontosletting fjerner alle data innen 30 dager.
- Dataportabilitet (art. 20): Du kan eksportere alle elevdata som CSV-fil via Innstillinger → «Eksporter elevdata».
- Begrensning (art. 18): Du kan be om at behandlingen begrenses ved å kontakte oss.
- Innsigelse (art. 21): Du kan protestere mot behandling basert på berettiget interesse.
De fleste rettigheter kan utøves direkte i tjenesten via Innstillinger → Datasikkerhet og GDPR. For øvrige henvendelser, kontakt oss på kontakt@laererro.no. Vi svarer innen 30 dager.
9. Innhold i fellesskapet
Når du publiserer innhold til fellesskapet (deler opplegg, quizer, etc.), blir følgende synlig for andre registrerte brukere:
- Ditt navn (som registrert på kontoen)
- Innholdet du har delt
- Tidspunkt for publisering
- Kommentarer du skriver
Du kan når som helst trekke tilbake innhold fra fellesskapet.
10. Informasjonskapsler (cookies)
Vi bruker kun nødvendige informasjonskapsler for:
- Sesjonsforvaltning: For å holde deg innlogget (next-auth.session-token).
- CSRF-beskyttelse: For å beskytte mot ondsinnede forespørsler (next-auth.csrf-token).
Vi bruker ikke tredjepartscookies for sporing, analyse eller markedsføring.
11. Oppbevaring og sletting
| Datatype | Oppbevaringstid |
|---|---|
| Kontoinformasjon | Så lenge kontoen er aktiv |
| Elevdata (navn, karakterer, besvarelser) | Så lenge læreren har aktiv konto, eller til læreren sletter det |
| Innhold (opplegg, quizer, flashcards) | Så lenge kontoen er aktiv |
| Delt innhold i fellesskapet | Inntil brukeren trekker det tilbake |
| Sikkerhetslogger | 90 dager |
| Slettede kontoer | Alle data fjernes innen 30 dager |
| Sikkerhetskopier | Slettes innen 90 dager etter kontosletting |
12. Barn og mindreårige
Lærerro er en tjeneste for lærere, ikke for elever. Vi samler ikke bevisst inn personopplysninger fra personer under 16 år.
Når lærere registrerer elevinformasjon (navn, besvarelser, karakterer) i tjenesten, anbefaler vi at skolen har en databehandleravtale med Lærerro. Læreren/skolen er behandlingsansvarlig for elevdata og har ansvar for å informere elever og foresatte i henhold til gjeldende regler.
For elever under 16 år krever GDPR at foresatte er informert om behandlingen. Vi anbefaler at skolen håndterer dette som del av sine ordinære rutiner for informasjon til foresatte.
13. Endringer i personvernerklæringen
Vi kan oppdatere denne personvernerklæringen ved behov. Ved vesentlige endringer vil vi varsle registrerte brukere via e-post. Den gjeldende versjonen er alltid tilgjengelig på denne siden.
14. Klagerett
Dersom du mener at behandlingen av dine personopplysninger ikke er i samsvar med regelverket, kan du klage til Datatilsynet:
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
postkasse@datatilsynet.no
www.datatilsynet.no
15. Databehandleravtale
Skoler og lærere som registrerer elevdata i Lærerro bør ha en databehandleravtale (DPA) med oss. Vår standard DPA er tilgjengelig på /databehandleravtale og kan skrives ut for signering.
16. Kontakt
Har du spørsmål om personvern? Kontakt oss:
E-post: kontakt@laererro.no