Personvernkonsekvensvurdering (DPIA)
Underlag fra Graidable til institusjonens egen DPIA (GDPR art. 35). Institusjonen (behandlingsansvarlig) er ansvarlig for endelig, godkjent vurdering. Ikke juridisk rådgivning.
1. Sammendrag
Graidable behandler studentbesvarelser for å generere utkast til vurdering og tilbakemelding. Behandlingen innebærer KI-basert vurdering av enkeltpersoner og potensielt store datamengder, og en DPIA er derfor påkrevd/anbefalt. Med tiltakene under (EU-residency, pseudonymisering, Zero Data Retention, menneskelig kontroll, ingen modelltrening) vurderes restrisikoen som lav til moderat og akseptabel for en avgrenset pilot.
2. Beskrivelse og dataflyt
Opplasting → lagring (S3) → OCR (Textract / LandingAI) → LLM-vurdering (valgt leverandør) → utkast tilbake til lærer → menneskelig godkjenning. Endelig karakter settes av mennesket; KI-output er kun et utkast.
3. Formål og behandlingsgrunnlag
Formål: mer effektiv og konsistent vurdering og tilbakemelding. Behandlingsgrunnlaget settes av institusjonen (typisk GDPR art. 6(1)(e) offentlig oppgave, eller (f) berettiget interesse, eller (a) samtykke). Behandling hos Graidable skjer på institusjonens vegne etter databehandleravtale (art. 28). Fritekstbesvarelser kan utilsiktet inneholde særlige kategorier (art. 9) — se risikotabell.
4. Datakategorier og registrerte
Identifikatorer (navn, student-ID, e-post), besvarelsesinnhold, vurderingsdata (poeng, karakterutkast, tilbakemelding) om studenter; konto-/rolle-/loggdata om lærere og undervisningsassistenter. Ved bruk i ungdomsskole/videregående behandles barns data, noe som utløser skjerpede krav.
5. Underdatabehandlere og overføring
| Underdatabehandler | Funksjon | Lokasjon (konfigurert) | Mekanisme |
|---|---|---|---|
| Railway | App-hosting, database (Postgres), kø (Redis/RabbitMQ) | EU – EU West (Amsterdam) | DPA + SCC (Railway er US-selskap; data lagres i EU) |
| AWS S3 | Lagring | EU – eu-west-1 (Irland) | DPA, EU-region, kryptering |
| AWS Textract | OCR | EU – eu-west-1 (Irland) | DPA, EU-region |
| LandingAI (ADE) | OCR / visuell analyse | EU (eu-west-1) eller US – etter behov | Zero Data Retention tilgjengelig i begge regioner; lokalt/on-prem hostet for full dataeierskap (enterprise); SOC 2 Type II |
| LLM via OpenRouter | KI-vurdering | Valgbar: EU / lokalt / Norge-hostet | Null-lagring, ingen trening; SCC ved USA |
| AWS SES | E-post | EU – eu-west-1 (Irland) | DPA; ikke besvarelsesinnhold |
| Stripe | Fakturering | EU (Irland) | Ingen studentdata |
LLM-leddet er det eneste fritt valgbare; leverandøren kan tilby EU-hostet, lokalt hostet eller Norge-hostet modell for maksimal data-residency. S3, Textract og LandingAI kjøres alle i eu-west-1 for en samlet EU-resident kjede.
6. Nødvendighet og proporsjonalitet
Dataminimering: besvarelser bør avidentifiseres før de sendes til LLM (kun intern ID). Arkitekturen skiller identitet fra besvarelse, noe som muliggjør dette. Lagringstid: data beholdes mens kontoen/klassen er aktiv og slettes ved sletting av innlevering/oppgave/klasse/konto (inkl. S3-objekter ved kontosletting); pilotdata slettes etter pilotslutt.
7. Risikovurdering
| # | Risiko for den registrerte | Sannsynl. | Konsekvens | Tiltak |
|---|---|---|---|---|
| R1 | Uautorisert tilgang | Lav | Høy | Kryptering, tilgangsstyring, EU-hosting, logging |
| R2 | Overføring til tredjeland (USA) | Middels | Middels | OCR/lagring i EU; LLM satt til EU/lokal; SCC |
| R3 | Bruk av data til modelltrening | Lav | Høy | Kontraktsfestet ingen trening; ZDR; null-lagring |
| R4 | Re-identifisering | Lav | Middels | Pseudonymisering; skille identitet/besvarelse |
| R5 | Uriktig/skjev vurdering | Middels | Høy | Obligatorisk menneskelig gjennomgang; ingen automatisk karakter |
| R6 | Helautomatisk avgjørelse (art. 22) | Lav | Høy | Output er utkast; lærer bestemmer |
| R7 | Sensitive data i fritekst (art. 9) | Middels | Middels | Dataminimering; tilgangsbegrensning |
| R8 | Mangelfull åpenhet | Middels | Middels | Institusjonen informerer studenter |
8. KI-forordningen
KI som vurderer læringsutbytte er høyrisiko (Annex III). Menneskelig tilsyn er sikret (utkast-output, mennesket bestemmer); studenter informeres; denne DPIA-en, databehandleravtalen og underdatabehandlerlisten utgjør dokumentasjonen; systemet utfører ingen følelsesgjenkjenning eller biometrisk kategorisering. Institusjonen er «deployer».
9. Konklusjon
Med disse tiltakene er restrisikoen lav til moderat og forholdsmessig for en avgrenset pilot, forutsatt EU-residency, pseudonymisering og menneskelig kontroll. Endelig godkjenning gjøres av institusjonens personvernombud.