Personvernerklæring | Hulltetteren

1. Hvem er vi?

Hulltetteren er et digitalt læringsverktøy i matematikk, utviklet og drevet av Oversikt AS (org.nr. 930 687 758). Daglig leder er Ole Henrik Vik.

Kontakt for personvernspørsmål: hei@hulltetteren.no

2. Hvordan Hulltetteren brukes

Hulltetteren brukes på to måter:

Gjennom skolen (B2B): Skolen bestemmer at elevene skal bruke Hulltetteren. Elevene logger inn med Feide. Kommunen er behandlingsansvarlig, og Oversikt AS er databehandler. Vi har en egen databehandleravtale med kommunen.

Gjennom foreldre (B2C): En forelder oppretter konto og legger til barnet sitt. Forelder logger inn med Google. Oversikt AS er behandlingsansvarlig.

3. Hvilke data samles inn

Kontoinformasjon

Navn og e-postadresse (fra Feide eller Google-innlogging)
Feide-ID og skoletilknytning (kun skolebrukere)
Klassetrinn

Læringsdata

Resultater fra Hullsjekken (hvilke ferdigheter eleven kan og ikke kan)
Mestringsgrad per ferdighet
Øvingshistorikk (hvilke oppgaver, når, og om de ble riktige)
Fremgang over tid
XP og badges

Tekniske data

Sikkerhetslogger (hashede bruker-IDer, IP-adresse, tidspunkt)
Sesjonsdata (for å holde deg innlogget)

Betalingsdata (kun foreldre, B2C)

Stripe håndterer all betaling. Vi lagrer aldri kortnummer. Vi lagrer kun Stripe kunde-ID og abonnementsstatus.

4. Hva bruker vi dataene til?

Identifisere kunnskapshull i matte (Hullsjekk-resultater)
Gi tilpassede øvelser (mestringsgrad, øvingshistorikk)
Vise fremgang til forelder eller lærer
Motivere eleven (XP, badges)
Holde tjenesten sikker (sikkerhetslogger)
Håndtere betaling (kun B2C)

Vi bruker ikke dataene til markedsføring, salg av data, eller andre formål.

5. Rettslig grunnlag

Skolebruk (B2B)

Når skolen har bestemt at elevene skal bruke Hulltetteren, er det rettslige grunnlaget GDPR artikkel 6(1)(e): behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse (tilpasset opplæring etter opplæringsloven). Det er ikke basert på samtykke. Skolen har hjemmel til å bruke digitale verktøy i undervisningen.

Foreldrebruk (B2C)

Det rettslige grunnlaget er GDPR artikkel 6(1)(b): behandlingen er nødvendig for å oppfylle avtalen mellom forelderen og Oversikt AS. For valgfrie funksjoner brukes samtykke (GDPR artikkel 6(1)(a)).

Sikkerhetslogging

Grunnlaget er GDPR artikkel 6(1)(f): berettiget interesse i å beskytte tjenesten mot misbruk.

6. Barn og mindreårige

Hulltetteren er laget for elever i alderen 12-16 år. Vi tar personvernet til barn på alvor.

Skolebruk (B2B): Eleven logger inn med Feide via skolen. Det er skolen og kommunen som er ansvarlig for at bruken har riktig hjemmel. Vi behandler ikke mer data enn det som trengs for å levere tjenesten.

Foreldrebruk (B2C): Forelderen er kontoinnehaver. Barnet legges til som en elevprofil under forelderens konto. Forelderen har full innsikt i barnets data og kan slette elevprofilen når som helst.

For barn under 13 år kreves foreldresamtykke etter personopplysningsloven paragraf 5. I Hulltetteren er dette ivaretatt ved at forelderen alltid er kontoinnehaver (B2C) eller skolen har hjemmel (B2B).

Læringsdata brukes ikke til å evaluere eleven. Dataene brukes kun til å tilpasse øvelsene og vise fremgang.

7. Hvem deler vi data med?

Vi deler data med følgende underleverandører, som alle har databehandleravtaler med oss:

Leverandør	Tjeneste	Lokasjon
Supabase	Database	EU (Dublin)
Vercel	Hosting	EU (Dublin)
Sikt/Feide	Innlogging for skoler	Norge
Stripe	Betaling (kun B2C)	EU og USA
Google	Innlogging for foreldre (kun B2C)	USA
Upstash	Hastighetsbegrensning	EU (Dublin)
Sentry	Feilovervåking	EU

Overføring utenfor EU

Stripe og Google overfører data til USA. Dette er basert på EU-US Data Privacy Framework og Standard Contractual Clauses (SCCs). Databasen med all bruker- og læringsdata ligger i EU (Dublin). Applikasjonen kjører i EU (Dublin).

I skolesammenheng (B2B) brukes ikke Google eller Stripe. Eleven logger inn med Feide (Norge), og all data lagres i EU.

8. Hvor lenge lagrer vi data?

Brukerkonto og elevprofiler: Til kontoen slettes, eller til databehandleravtalen opphører (B2B)
Læringsdata: Til elevprofilen slettes
Sikkerhetslogger: 12 måneder
Sesjonsdata: Slettes ved utlogging eller utløp
Betalingsdata: Slettes ved kontoopphør, med unntak av det som kreves av regnskapsloven (5 år)

Når en konto eller elevprofil slettes, slettes all tilknyttet data automatisk.

9. Informasjonskapsler (cookies)

Vi bruker kun funksjonelle informasjonskapsler som er nødvendige for innlogging, sikkerhet og stabil drift. Vi bruker ikke cookies til annonsering eller sporing på tvers av nettsteder.

Cookie	Formål	Lagringstid
next-auth.session-token / __Secure-next-auth.session-token	Holder deg innlogget mellom sidevisninger	Aktiv sesjon
next-auth.csrf-token	Beskytter innlogging og skjema mot CSRF-angrep	Opptil 24 timer
next-auth.callback-url	Sender deg tilbake til riktig side etter innlogging	Inntil nettleseren lukkes

Siden disse er strengt nødvendige for å levere tjenesten, bruker vi et informasjonsbanner og ikke en samtykkebasert consent-gate.

10. Hvordan algoritmen fungerer

Hulltetteren bruker en algoritme for å tilpasse øvelsene til eleven:

Hullsjekken stiller spørsmål for å finne ut hva eleven kan og hva som mangler
Den adaptive motoren velger neste oppgave basert på hva eleven trenger å øve mest på
Vanskelighetsgraden justeres automatisk basert på hvordan eleven gjør det

Algoritmen bestemmer kun rekkefølgen og vanskelighetsgraden på oppgavene. Den påvirker ikke elevens karakterer, skoletilgang eller andre rettigheter. Forelder og lærer kan se all data om elevens fremgang.

11. Dine rettigheter

Du har følgende rettigheter etter GDPR:

Innsyn (art. 15): Se hvilke data vi har om deg/barnet ditt
Retting (art. 16): Rette feil i opplysningene
Sletting (art. 17): Få data slettet
Dataportabilitet (art. 20): Få data i maskinlesbart format (JSON)
Innsigelse (art. 21): Protestere mot behandlingen
Begrensning (art. 18): Begrense behandlingen midlertidig

Du kan utøve rettighetene dine via dashboardet eller ved å sende e-post til hei@hulltetteren.no. Vi svarer innen 30 dager.

Skolebruk (B2B): Forespørsler om elevens rettigheter rettes til kommunen, som er behandlingsansvarlig. Kommunen videreformidler til oss ved behov.

12. Sikkerhet

All kommunikasjon er kryptert (HTTPS/TLS 1.2+)
Data i databasen er kryptert (AES-256)
Elever ser kun egne data (Row Level Security)
Bruker-IDer i sikkerhetslogger er hashet
Feide-innlogging for skoler (ingen ekstra passord)
Daglige automatiske backups i EU

13. Klagerett

Hvis du mener vi behandler personopplysninger i strid med regelverket, kan du klage til Datatilsynet.

14. Endringer

Denne erklæringen kan oppdateres. Ved vesentlige endringer varsler vi brukerne.

Personvern for elever

Denne delen er skrevet for deg som er elev og bruker Hulltetteren.

Hva vet Hulltetteren om meg?

Hulltetteren vet:

Navnet ditt og hvilken skole du går på (fra Feide)
Hva du kan og ikke kan i matte (fra Hullsjekken og øvelsene)
Hvor mye du har øvd og hvordan det går

Hva brukes det til?

Informasjonen brukes til å gi deg oppgaver som passer for deg. Hulltetteren husker hva du har øvd på, slik at du får oppgaver du trenger å jobbe med.

Læreren din eller foreldrene dine kan se hvordan det går med deg i Hulltetteren. Ingen andre elever kan se dataene dine.

Hva brukes det IKKE til?

Det påvirker ikke karakterene dine
Ingen kan se dataene dine bortsett fra deg, læreren din og foreldrene dine
Vi selger ikke dataene dine til noen
Vi bruker ikke dataene til reklame

Kan jeg se hva dere har lagret?

Ja. Du kan be foreldrene dine eller læreren din om å få se dataene dine. De kan også be om at dataene slettes.

Hva skjer hvis jeg slutter å bruke Hulltetteren?

Hvis skolen slutter å bruke Hulltetteren, slettes dataene dine. Hvis foreldrene dine sletter kontoen, slettes alt.

Har du spørsmål?

Snakk med læreren din eller foreldrene dine. De kan kontakte oss på hei@hulltetteren.no.