Privatlivspolitik - Databehandlerudgave

Sidst opdateret: 31.03.2025.

Skolebot er en AI-baseret tjeneste leveret af Midgard AI AS. Denne privatlivspolitik gælder i tilfælde, hvor slutbrugeren ikke har indgået en direkte kundeforhold med os, men hvor vi fungerer som databehandler på vegne af en dataansvarlig tredjepart – for eksempel en kommune, skole eller organisation (herefter “Kunden”). Erklæringen forklarer, hvordan Midgard AI AS (herefter “vi”, “os” eller “Midgard AI”) behandler personoplysninger i tjenesten Skolebot (herefter “Tjenesten”), og hvordan ansvarsfordelingen er mellem os og Kunden.

For information om, hvordan vi behandler personoplysninger, hvis du har registreret dig og bruger Tjenesten som privatperson uden at en skole, kommune eller anden organisation står som kunde, se Privatlivspolitik – Når Midgard AI er dataansvarlig.

1. Nærmere om behandlingsansvar, behandlingsansvarlig og databehandler

1.1 Kunden

Kunden er dataansvarlig for persondata, der behandles i Tjenesten i forbindelse med sine brugere (for eksempel elever, lærere, ansatte). Dette betyder, at Kunden bestemmer formålet med brugen af Tjenesten (f.eks. undervisningsformål) og hvordan persondata om brugerne skal behandles.

1.2 Midgard AI AS

Midgard AI AS er databehandler for kunden, når vi behandler personoplysninger på kundens vegne, i henhold til databehandleraftalen. Vi henviser desuden til den databehandleraftale, der er indgået mellem Midgard AI AS og kunden, hvor de specifikke instrukser, sikkerhedskrav og ansvarsfordeling er nærmere reguleret.

Dette omfatter blandt andet:

  1. Behandling af tekst, lyd, billeder og andet brugerindhold (for eksempel AI-genererede billeder, chatbots) som brugerne uploader til Tjenesten.
  2. Administration af brugertilgange for elever/lærere (for eksempel Unilogin-oplysninger, klassemedlemskab).
  3. Lagring af brugsdata relateret til Kundens behov for brugerstøtte, sikkerhed, tilgængelighed og eventuel statistik om egen virksomhed.

Midgard AI AS er samtidig dataansvarlig for:

  1. Kontaktoplysninger for kundens kontaktpersoner (f.eks. for salg, fakturering og kontraktadministration).
  2. Tekniske logfiler eller andre data, som vi er juridisk eller kontraktligt forpligtet til at opbevare for at varetage vores eget ansvar som leverandør (f.eks. økonomiske og regnskabsmæssige krav).

2. Definitioner

  • Personoplysninger: Enhver oplysning, der direkte eller indirekte kan knyttes til en enkeltperson.
  • Behandling af personoplysninger: Enhver brug af personoplysninger, herunder indsamling, registrering, opbevaring, sammenstilling, udlevering eller sletning.
  • Dataansvarlig: Den, der bestemmer formålene med behandlingen af personoplysninger og hvilke midler der skal anvendes.
  • Databehandler: Den, der behandler personoplysninger på vegne af den dataansvarlige.
  • Kunde: Kommune/skole/organisation der har indgået en aftale med Midgard AI AS om at bruge Tjenesten. Kunden er dataansvarlig for elev-/ansatdata, der behandles i Tjenesten.
  • Bruger: Du, der anvender Tjenesten (for eksempel elev, lærer, ansat).

3. Når Midgard AI behandler data på vegne af kunden

Når brugere (for eksempel elever eller lærere) logger ind i Tjenesten eller opretter, uploader eller indtaster information i Tjenesten, sker følgende behandlinger, hvor Kunden er dataansvarlig, og vi (Midgard AI) er databehandler.

3.1 Log på og identitetsdata (Unilogin, Google, Microsoft mv.)

  • Hvad behandles: Navn, brugernavn, e-mailadresse, organisationsaffiliation, klasser/grupper.
  • Formål: Sikker logon, korrekt adgang og differentiering af funktionalitet (f.eks. elev eller lærer).
  • Retligt grundlag: Kunden skal selv vurdere dette, men typisk GDPR art. 6 (1) (e) eller (f), baseret på undervisningsformål eller berettiget interesse.

3.2 Almindeligt samtaleindhold (tekst, lyd, filer)

  • Hvad behandles: Tekstbeskeder, uploadede filer eller talefunktion. Vi gemmer ikke dette indhold permanent på vores servere.
  • Microsoft-lagring: Microsoft (Azure) som underleverandør kan midlertidigt gemme indholdet i op til 30 dage for at opdage misbrug (for eksempel i logsystemer). Vi har ikke adgang til disse data, når samtalen er afsluttet, og hverken vi eller Microsoft bruger dem til andre formål.
  • Formål: At levere kernefunktionaliteten i Tjenesten, opretholde sikkerhed og forhindre misbrug.
  • Retligt grundlag: Kunden skal selv vurdere dette, men typisk GDPR art. 6 (1) (e) eller (f), baseret på undervisningsformål eller berettiget interesse.

3.3 Vedvarende brugergenereret indhold (chatbots, AI-genererede billeder osv.)

  • Hvad behandles: Hvis brugere opretter deres egne samtalerobotter (“chatbots”), uploader filer eller genererer AI-baserede billeder, bliver dette indhold gemt hos os og knyttet til den pågældende bruger.
  • Opbevaringstid: Gemmes indtil brugeren selv sletter det, eller indtil 1 år efter sidste aktivitet. Herefter slettes det fra vores systemer (men kan findes i sikkerhedskopier i op til 30 dage). Kunden kan anmode om kortere opbevaringstid for visse typer data efter aftale, hvis dette er foreneligt med tjenestens tekniske og lovmæssige krav.
  • Formål: At give brugeren mulighed for at tage vare på og administrere selvoprettet indhold (f.eks. AI-genererede billeder, brugerdefinerede chatbots).
  • Retligt grundlag: Kunden skal selv vurdere dette, men typisk GDPR art. 6 (1) (e) eller (f), baseret på undervisningsformål eller berettiget interesse.

3.4 Administration af adgangskontrol

  • Hvad behandles: Oplysninger om hvilke klasser/grupper brugerne tilhører, hvilke rettigheder/adgange de har, og hvem der har administreret disse rettigheder.
  • Formål: At give lærere eller andre med administrative rettigheder mulighed for at styre, hvilke funktioner der er tilgængelige for en gruppe elever.
  • Retligt grundlag: Kunden skal selv vurdere dette, men typisk GDPR art. 6 (1) (e) eller (f), baseret på undervisningsformål eller berettiget interesse.

3.5 Brugslogfiler, systemlogfiler og metadata (på vegne af kunden)

Vi vil have behov for at føre visse tekniske logfiler over trafik og hændelser i Tjenesten, som er nødvendige for at forebygge og afsløre misbrug og for at sikre Tjenestens pålidelighed, ydeevne og sikkerhed på vegne af kunden.

  • Hvad behandles: Tidspunkt og type funktion brugt, IP-adresse, brugeridentifikatorer, brugerrolle (elev/lærer), systemhændelser og systeminformation som er nødvendige for formålet.
  • Formål: Drift og fejlfinding, sikkerhed (afsløre usædvanlig aktivitet), tilgængelighed (opdage driftsproblemer og belastningsspidser).
  • Retligt grundlag: Fastlægges af kunden (typisk GDPR art. 6 (1) (f) for berettiget interesse, eller art. 6 (1) (e) for offentlige skoler).

Vigtigt: Vi bruger ikke personoplysninger (f.eks. elevdata, tekst eller filer) til at træne AI-modeller eller til anden videreudvikling af Tjenesten i strid med retningslinjerne fra Undervisningsministeriet.

Hvor det er muligt, anonymiserer eller aggregerer vi dataene. Hvis anonymisering eller aggregering ikke er teknisk eller praktisk gennemførligt, begrænses behandlingen af personoplysninger altid til det formål, dataene blev indsamlet for, og oplysningerne slettes, når formålet er nået, medmindre andet er påkrævet ved lov.

4. Når Midgard AI er dataansvarlig

4.1 Kontaktinformation om kundens repræsentanter

Når vi indgår en aftale med en kommune eller en anden organisation, behandler vi personoplysninger om de relevante kontaktpersoner. Dette omfatter sædvanligvis:

  • Hvad behandles: Navn, stilling, e-mailadresse, telefonnummer, fakturaadresse, eventuelt personnummer (ved e-signatur).
  • Formål: Administration af kundeforhold, opfølgning, fakturering, underskrivelse af aftaler og drift.
  • Retligt grundlag: GDPR art. 6 (1) (b) (nødvendig for at opfylde en aftale) og/eller art. 6 (1) (f) (berettiget interesse).

4.2 Overholdelse af lovgivningskrav

  • Hvad behandles: Vi opbevarer kontrakter, fakturagrundlag og lignende i overensstemmelse med bogførings- og arkivregler.
  • Formål: Opfylde lov- og arkivkrav, for eksempel bogføringsregler knyttet til fakturering og regnskabsføring, samt eventuelle arkivlovgivningskrav som gælder vores virksomhed.
  • Retligt grundlag: GDPR art. 6 (1) (c) (retlig forpligtelse).

5. Oversigt over vores underdatabehandlere

For at levere Tjenesten anvender vi anerkendte underleverandører (databehandlere), hvor data opbevares inden for EU/EØS i overensstemmelse med lovgivningskrav og databehandleraftaler:

NavnBeskrivelseRegion
Hetzner Online GmbHTeknisk infrastruktur.EU
Scaleway SASTeknisk infrastruktur.EU
MicrosoftTeknisk infrastruktur og Underliggende kunstig intelligens-tjeneste (Azure OpenAI).EU
PosthogSystem- og brugslogfiler.EU
HubspotKontrakt og kundehåndtering. Support.EU

6. Lagring og sletning

6.1 Brugergenereret indhold (når vi er databehandler)

Vi opbevarer indhold udelukkende på vegne af kunden og i overensstemmelse med deres instrukser. Brugere kan selv slette AI-genererede billeder eller samtalerobotter, og sletning af indhold afspejles øjeblikkeligt i vores systemer, men kan forblive i backup i op til 30 dage.

6.2 Kontaktpersonoplysninger (når vi er dataansvarlige)

Opbevares så længe kundeforholdet varer, og i overensstemmelse med bogførings- og arkivlovgivningen.

6.3 Tekniske logfiler

Hvis logfiler føres til Kundens formål, opbevares de i henhold til Kundens instrukser i databehandleraftalen, medmindre der opstår behov for at opbevare dem længere, som i tilfælde hvor der er et lovkrav eller i en igangværende sag.

6.4 Anonymiserede data

Data, der er reel anonymiseret (uden mulighed for genidentifikation), falder i udgangspunktet uden for GDPR, men vi begrænser alligevel opbevaringstiden i overensstemmelse med interne procedurer.

7. Informationskapsler (cookies)

Skolebot benytter følgende informationskapsler (“cookies”) i browseren:

7.1 Brugerens sessions-ID

  • Formål: Gør det muligt for Tjenesten at genkende brugeren, således at login og samtaleforløb kan opretholdes.
  • Hvorfor nødvendig: Uden denne ville Tjenesten ikke huske brugerens tilstand mellem sidevisninger (f.eks. om brugeren er logget ind).

7.2 Cookies relateret til brugervalg

  • Formål: Bruges til at huske, om brugeren har lukket beskeden om sikker brug af tjenesten, så beskeden ikke vises igen i samme session eller ved senere besøg.
  • Hvorfor nødvendigt: Giver en bedre brugeroplevelse ved at huske aktive valg foretaget af brugeren.

7.3 Informationskapsler relateret til Posthog

Posthog er en analyseplatform, der gør det muligt for os at indsamle brugsdata (for eksempel tekniske fejl, der er opstået, og ydeevnen relateret til siderne eller funktionerne, der anvendes) på en pseudonymiseret, anonym eller aggregeret måde.

  • Formål: Som beskrevet i afsnit 3.5.
  • Hvorfor nødvendig: Som beskrevet i afsnit 3.5.

8. Sikkerhedsforanstaltninger

Vi benytter anerkendte sikkerhedsløsninger for at beskytte data mod uautoriseret adgang, ændring eller sletning. Foranstaltninger inkluderer:

  • Krypteret overførsel (HTTPS/TLS)
  • Streng adgangskontrol (kun autoriseret personale)
  • Brandmure, indtrængningsdetektion
  • Regelmæssige sikkerhedsrevisioner og rutinetests

9. Dine rettigheder

9.1 Når Kunden er dataansvarlig

Hvis du er elev, lærer eller ansat, der bruger Tjenesten på vegne af en skole eller en anden organisation, er det Kunden, der har hovedansvaret for dine personoplysninger. Hvis du ønsker at udøve rettigheder (indsigt, rettelse, sletning osv.), skal du kontakte Kunden. Vi assisterer Kunden efter behov i henhold til databehandleraftalen.

9.2 Når Midgard AI er dataansvarlig

Hvis vi behandler dine oplysninger til vores egne formål (f.eks. du er kontaktperson for kunden eller har henvendt dig direkte til os), har du følgende rettigheder i henhold til GDPR:

  • Ret til at trække dit samtykke tilbage i henhold til artikel 7, stk. 3 i GDPR
  • Ret til indsigt i dine data i henhold til artikel 15 i GDPR
  • Ret til at rette dine data i henhold til Art. 16 GDPR
  • Ret til at få dine data slettet i henhold til artikel 17 i GDPR
  • Ret til at begrænse indsamlingen af data i henhold til Art. 18 GDPR
  • Ret til dataportabilitet i henhold til artikel 20 i GDPR
  • Ret til at gøre indsigelse mod hvordan dine data håndteres i henhold til Art. 21 GDPR
  • Ret til at indgive klager til tilsynsmyndigheden i henhold til Art. 77 stk. 1 f GDPR

Henvendelser kan rettes til kontakt@skolebot.dk.

10. Kontaktinformation

Midgard AI AS

Org.nr.: 932739798

E-mail: kontakt@skolebot.dk

Hvis du har spørgsmål til denne privatlivspolitik eller vores behandling af personoplysninger, er du velkommen til at kontakte os.

11. Ændringer i privatlivspolitikken

Vi kan opdatere denne privatlivspolitik efter behov, for eksempel ved ændringer i lovgivningen eller Tjenesten. Den nyeste version vil altid være tilgængelig på vores hjemmeside.