Personvernerklæring

Sist oppdatert: April 2026 · Versjon 1.0

⚠️ Viktig for skoler og lærere

SkapLab behandler personopplysninger om elever, inkludert elever under 15 år. For at bruk av SkapLab skal være i samsvar med GDPR og personopplysningsloven, må skolen inngå en databehandleravtale med SkapLab. Ta kontakt via e-post for å få tilsendt databehandleravtale.

1. Behandlingsansvarlig og databehandler

SkapLab er databehandler. Den skolen som bruker plattformen er behandlingsansvarlig og har ansvar for at behandlingen av elevenes personopplysninger skjer i samsvar med gjeldende rett, inkludert innhenting av nødvendig samtykke fra elever og/eller foresatte.

For elever under 15 år krever norsk lov (personopplysningsloven § 5 jf. GDPR artikkel 8) at det foreligger samtykke fra foreldre eller foresatte. Skolene er ansvarlige for å ha dette på plass.

2. Hvilke personopplysninger behandles

Kategori	Data som lagres	Formål
Elev	Elev-ID (intern), fornavn, klasse-tilknytning	Identifikasjon, personalisering
Aktivitet	Ressurs besøkt, tidspunkt, score (%), antall oppgaver	Progresjonssporing, lærerfeedback
Egenvurdering	Elevens vurdering av egne ferdigheter	Læringsrefleksjon
Ferdighetskart	Lærerens vurdering av elevferdigheter	Vurdering for læring
Lærer	Navn, e-post, tilknyttede klasser	Autentisering, administrasjon

Vi samler ikke inn: fullt navn på elever, fødselsnummer, adresse, telefonnummer, bilder eller sensitive personopplysninger som definert i GDPR artikkel 9.

3. Rettslig grunnlag for behandling

Berettiget interesse (GDPR art. 6f): Tilby en pedagogisk tjeneste som læringsplattform for skolen.
Avtale (GDPR art. 6b): Databehandleravtalen mellom SkapLab og skolen.
Samtykke (GDPR art. 6a / art. 8): For elever under 15 år er samtykke fra foresatte påkrevd. Skolen er ansvarlig for å innhente dette.

4. Lagring og underleverandører

Supabase – databaseplattform

Personopplysninger lagres i Supabase, en PostgreSQL-basert skyplattform. SkapLab bruker Supabase-regionen eu-central-1 (Frankfurt, Tyskland) for å sikre at data lagres innen EU/EØS.

Supabase er vår underdatabehandler. En Data Processing Addendum (DPA) med Supabase er signert i henhold til GDPR artikkel 28. Standard Contractual Clauses (SCC) er inkludert i DPA-en for eventuelle overføringer utenfor EU/EØS.

Se Supabase sin personvernerklæring: supabase.com/privacy

5. Lagringstid

Elevdata slettes automatisk ett år etter at eleven sist var aktiv, eller umiddelbart ved sletting fra læreren.
Aktivitetslogger lagres i maksimalt 2 år.
Lærere kan be om sletting av alle tilknyttede elevdata via e-post.

6. Dine rettigheter

I samsvar med GDPR kapittel III har de registrerte (elever, foresatte, lærere) følgende rettigheter:

Innsyn (art. 15): Du kan be om å få se alle personopplysninger vi lagrer om deg.
Retting (art. 16): Du kan be om at uriktige opplysninger rettes.
Sletting (art. 17): Du kan be om at dine opplysninger slettes («retten til å bli glemt»).
Dataportabilitet (art. 20): Du kan be om å få dine data i et maskinlesbart format.
Innsigelse (art. 21): Du kan protestere mot behandling basert på berettiget interesse.

For å utøve disse rettighetene, ta kontakt via e-postadressen nedenfor. Vi svarer innen 30 dager.

7. Informasjonssikkerhet

All kommunikasjon mellom nettleser og server er kryptert med TLS 1.2+.
Databasetilgang er begrenset via Row Level Security (RLS) i Supabase – en elev kan kun lese egne data.
API-nøkler som brukes i klienten er «publishable keys» med kun lesetilgang til tillatte tabeller.
Passord lagres som bcrypt-hasher. Vi lagrer aldri klartekst-passord.
Vi gjennomfører jevnlig sikkerhetsgjennomgang av tilgangskontroller.

8. Informasjonskapsler (cookies)

SkapLab bruker ikke tredjeparts informasjonskapsler eller reklamesporing. Vi bruker kun:

localStorage: For å lagre innloggingssesjon lokalt i nettleseren. Inneholder kun elev-ID og tilgangstoken. Slettes ved utlogging.
Ingen analyseverktøy som Google Analytics, Hotjar eller lignende er i bruk.

9. Kontakt og klager

For spørsmål om personvern, rettigheter eller databehandleravtaler:

E-post

kildenundervisning@gmail.com

Nettsted

skaplab.no

Tilsynsmyndighet

Datatilsynet (datatilsynet.no)

Hvis du mener vi behandler dine opplysninger i strid med GDPR, har du rett til å klage til Datatilsynet: datatilsynet.no/om-datatilsynet/kontakt-oss/

10. Databehandleravtale for skoler

📋 Skoler må inngå databehandleravtale

For at din skole skal kunne bruke SkapLab i tråd med GDPR, må det inngås en databehandleravtale mellom skolen (behandlingsansvarlig) og SkapLab (databehandler). Avtalen er utarbeidet med utgangspunkt i Datatilsynets standardmal.

Ta kontakt på kildenundervisning@gmail.com for å motta utkast til datab