Personvernerklæring
Sist oppdatert 20.06.2026. Denne siden er informasjon, ikke juridisk rådgivning.
1. Hvem vi er
Graidable drives av Lukas Thrane (enkeltpersonforetak), org.nr 936 043 925, Vegamot 1N, 7049 Trondheim («vi»). Spørsmål om personvern: [email protected]. Vi har ikke utpekt personvernombud (ikke påkrevd for virksomheten).
2. Vår rolle
Når en utdanningsinstitusjon bruker Graidable, er institusjonen behandlingsansvarlig og Graidable databehandler, som handler på institusjonens dokumenterte instrukser etter en databehandleravtale (GDPR art. 28). For besøkende på nettsiden og kontoinnehavere er vi behandlingsansvarlig for grunnleggende konto- og bruksdata.
3. Hva vi behandler
- Kontodata: navn, e-post, rolle, institusjon.
- Besvarelsesinnhold: essays, kode og håndskrevne svar lastet opp for vurdering, som kan inneholde personopplysninger.
- Vurderingsdata: poeng, karakterutkast og tilbakemelding.
- Tekniske data: logger, enhets-/bruksdata for sikkerhet og drift.
4. Formål og behandlingsgrunnlag
Vi behandler data for å levere Tjenesten (vurderingsutkast, OCR, tilbakemelding), for å sikre og drifte plattformen og for å kommunisere med brukere. For behandling på vegne av en institusjon settes behandlingsgrunnlaget av institusjonen (typisk GDPR art. 6(1)(e) eller (f), eller (a)). For våre egne konto-/bruksdata er grunnlaget avtaleoppfyllelse og berettiget interesse i å drifte Tjenesten.
5. KI-behandling og ingen trening
Besvarelsesinnhold behandles av KI for å generere utkast til vurdering. Et menneske gjennomgår og bestemmer. Vi bruker ikke kunde- eller studentinnhold til å trene KI-modeller, og krever kontraktsmessig det samme av våre underdatabehandlere.
6. Underdatabehandlere
| Underdatabehandler | Funksjon | Lokasjon (konfigurert) | Tiltak |
|---|---|---|---|
| Railway | App-hosting, database (Postgres), kø (Redis/RabbitMQ) | EU – EU West (Amsterdam) | DPA + SCC (Railway er US-selskap; data lagres i EU) |
| Amazon Web Services (S3) | Fillagring | EU – eu-west-1 (Irland) | DPA, EU-region, kryptering |
| Amazon Textract | OCR | EU – eu-west-1 (Irland) | DPA, EU-region |
| LandingAI (ADE) | OCR / dokumentanalyse | EU (eu-west-1) eller US – etter behov | Zero Data Retention tilgjengelig i begge regioner; lokalt/on-prem hostet for full dataeierskap (enterprise); SOC 2 Type II |
| LLM-leverandør (via OpenRouter) | KI-vurdering | Valgbar: EU / lokalt / Norge-hostet | Null-lagring, ingen trening; SCC ved USA-overføring |
| Amazon SES | Transaksjons-e-post | EU – eu-west-1 (Irland) | DPA |
| Stripe | Fakturering | EU (Irland) | Mottar ikke studentinnhold |
Vi holder en oppdatert oversikt og varsler behandlingsansvarlig ved vesentlige endringer.
7. Overføring til tredjeland
Der det er avtalt, kjøres lagrings- og OCR-kjeden fullt ut innenfor EU/EØS. For overføringer utenfor EØS (f.eks. enkelte LLM-leverandører) bruker vi EUs standardvilkår (SCC) eller annet gyldig overføringsgrunnlag.
8. Lagringstid og sletting
Vi beholder data så lenge kontoen og tilhørende klasser er aktive — det er nødvendig for formålet (vurdering gjennom kurset). Data slettes når du sletter en innlevering, oppgave, klasse eller hele kontoen din; ved kontosletting fjernes også de underliggende filene fra lagring (S3). For piloter slettes pilotdata etter at piloten er avsluttet. Du eller behandlingsansvarlig kan be om sletting når som helst.
9. Sikkerhet
Vi bruker kryptering i transitt og at rest, tilgangsstyring, logging og EU-basert hosting. Vi varsler behandlingsansvarlig uten ugrunnet opphold ved kjennskap til brudd på personopplysningssikkerheten.
10. Dine rettigheter
Registrerte har rett til innsyn, retting, sletting, begrensning, innsigelse og dataportabilitet etter GDPR. Der institusjonen er behandlingsansvarlig, rettes henvendelser dit; vi bistår behandlingsansvarlig med å oppfylle dem. Du kan også klage til Datatilsynet.
Informasjonskapsler (cookies) og analyse
Nettsiden bruker kun nødvendige informasjonskapsler for innlogging, økt og språkvalg. Vi bruker for tiden ingen markedsførings- eller sporingsverktøy (som Meta Pixel). Dersom vi senere tar i bruk slik analyse, vil sporingskapsler kun settes etter ditt samtykke, og du kan når som helst trekke det tilbake. Vi bruker ingen sporing inne i selve vurderingsverktøyet eller på studentbesvarelser.
11. Endringer og kontakt
Vi kan oppdatere denne erklæringen; vesentlige endringer varsles. Kontakt: Lukas Thrane (Graidable), [email protected].