Spraki.no
Personvern for organisasjoner

← Tilbake til personvernerklæringen

Denne siden er beregnet for kommuner, skoler, voksenopplæringssentre og andre organisasjoner som vurderer eller bruker Språki. Her finner du informasjon om personvern, sikkerhet og databehandling som er relevant for anskaffelse og risikovurdering.

Databehandleravtale (DBA)

Språki har en ferdig databehandleravtale basert på GDPR artikkel 28 og i tråd med DFO/SSA-malen. Avtalen dekker:

  • Alle påkrevde bestemmelser etter GDPR artikkel 28(3)(a)-(h)
  • Detaljert beskrivelse av behandlingen og kategorier av personopplysninger
  • Vilkår for bruk av underdatabehandlere
  • Sikkerhetstiltak (tekniske og organisatoriske)
  • Avvikshåndtering med varslingsfrist
  • Sletting/tilbakelevering av data ved opphør
  • Revisjonsrett

Vi er også forberedt på å signere på deres organisasjons egen DBA-mal.

Kontakt oss på [email protected] for å motta databehandleravtalen.

Rollefordeling

Når Språki leveres gjennom en avtale med en organisasjon:

  • Organisasjonen (kommune, skole, voksenopplæringssenter) er behandlingsansvarlig
  • Språki er databehandler

Behandlingen reguleres av en databehandleravtale mellom partene.

Underdatabehandlere

Språki bruker følgende underdatabehandlere. Vi har databehandleravtaler (DPA) med alle.

Leverandør Land Formål Overføringsgrunnlag
Google LLC USA KI-språkmodell (Gemini), bildegenerering, oversettelse EU-US DPF SCCs
OpenAI Inc. USA Tekst-til-tale, tale-til-tekst, språkmodell EU-US DPF SCCs
Anthropic PBC USA Språkmodell (Claude) EU-US DPF SCCs
ElevenLabs Inc. USA Tekst-til-tale EU-US DPF SCCs
Fireworks AI Inc. USA Bildegenerering (FLUX) SCCs
Cloudflare Inc. USA Fillagring (lyd, bilder, presentasjoner) EU-US DPF SCCs
netcup GmbH Tyskland Serverhosting og database EØS

Endringer i listen varsles skriftlig til behandlingsansvarlig minimum 30 dager i forkant, i henhold til databehandleravtalen. Sist oppdatert: mars 2026.

Kunstig intelligens og personvern

Språki bruker KI for å gi tilpasset læringsopplevelse. Slik håndterer vi personvern i forbindelse med KI:

  • Alle KI-tjenester brukes via betalte API-er der leverandørene ikke bruker data til modelltrening.
  • Vi tilstreber dataminimering: brukerens navn, e-post og organisasjonstilknytning sendes ikke til KI-tjenestene.
  • Data lagres midlertidig hos KI-leverandørene (typisk opptil 30 dager) for tjenesteleveranse og sikkerhetsformål.
  • Samtaleinnhold lagres ikke permanent på våre servere (kun i brukerens nettleser).

Sikkerhetstiltak

Kryptering

TLS 1.2+ for all kommunikasjon. Passord lagres med enveis-kryptering.

Tilgangskontroll

Rollebasert tilgang (elev, lærer, admin). Servertilgang begrenset til autorisert personell.

Datalagring i EU

Servere og database hos netcup GmbH i Tyskland. Sikkerhetskopier lagres i EU.

Sikkerhetskopiering

Regelmessig automatisk backup av database.

Logging

Sikkerhetsrelevante hendelser logges. Serverne overvåkes for tilgjengelighet.

Avvikshåndtering

Varsling av behandlingsansvarlig innen 24 timer ved sikkerhetsavvik.

Detaljert sikkerhetsdokumentasjon er tilgjengelig som vedlegg til databehandleravtalen.

Overføring til tredjeland

Flere av våre KI-leverandører er lokalisert i USA. Overføring skjer med godkjent grunnlag:

  • EU-US Data Privacy Framework (DPF) for sertifiserte leverandører (Google, ElevenLabs, Cloudflare)
  • EUs standardkontraktsklausuler (SCCs) for øvrige leverandører og som tilleggsgaranti

Primær datalagring (server og database) er i EU (Tyskland). Data sendes til amerikanske KI-tjenester kun for prosessering og lagres ikke permanent der.

Støtte for DPIA og risikovurdering

Vi har utarbeidet et DPIA-støttedokument som kan brukes som input til deres personvernkonsekvensvurdering (GDPR artikkel 35). Dokumentet inneholder:

  • Beskrivelse av tjenesten og dataflyt
  • Kategorier av personopplysninger som behandles
  • Risikovurdering med identifiserte risikoer og tiltak
  • Spesielle hensyn for KI-behandling

Kontakt oss på [email protected] for å motta DPIA-støttedokumentet.

Sletting ved opphør

Ved opphør av avtale med en organisasjon:

  • Alle personopplysninger slettes eller returneres etter behandlingsansvarliges valg
  • Sletting gjennomføres normalt innen 90 dager etter opphør
  • Skriftlig bekreftelse på sletting leveres

Kontakt oss

For spørsmål om personvern, databehandleravtale eller sikkerhetsdokumentasjon:

[email protected]

Språki, ved Gaute Thøgersen
Org.nr.: 998639255 MVA

Sist oppdatert: mars 2026