Personvernerklæring

Når en virksomhet (f.eks. en kommune, skole eller statlig etat) bruker Utfordre til å gjennomføre en undersøkelse, er virksomheten behandlingsansvarlig for personopplysningene som samles inn. Utfordre opptrer som databehandler på oppdrag fra virksomheten, regulert av en databehandleravtale (DPA).

For tjenesten i seg selv (kontoer, fakturering, drift) er Utfordre behandlingsansvarlig.

Kontakt for personvernspørsmål: personvern@utfordre.no

Vi behandler personopplysninger på følgende grunnlag (GDPR art. 6):

• Avtale (art. 6.1.b): For å levere tjenesten til registrerte brukere.
• Berettiget interesse (art. 6.1.f): For sikkerhet, misbruksvern og produktforbedring.
• Samtykke (art. 6.1.a): For respondenter ved fritekstsvar, for nyhetsbrev, og der lov krever det.
• Rettslig forpliktelse (art. 6.1.c): Regnskap, sikkerhetslogg.
• For offentlig sektor: utøvelse av offentlig myndighet (art. 6.1.e) eller oppgave i allmennhetens interesse er ofte virksomhetens grunnlag — dette avklares i databehandleravtalen.

Vi samler kun inn det som er nødvendig (dataminimering, GDPR art. 5.1.c):

• Kontodata: e-post, navn (valgfritt), passordhash, organisasjonstilhørighet.
• Innholdsdata: undersøkelser, spørsmål, rapporter du oppretter.
• Respondentdata: avhenger av personvernmodus (se neste seksjon).
• Tekniske data: IP-adresse (trunkert etter 30 dager), nettleserversjon, sesjons-ID.
• Sikkerhetslogg (audit logs): handlinger som pålogging, eksport, endring av rettigheter. Lagres separat fra svar.

Vi behandler ikke særlige kategorier av personopplysninger (helse, religion, etnisitet o.l.) med mindre virksomheten eksplisitt aktiverer dette og har gyldig grunnlag etter GDPR art. 9.

Hver undersøkelse har én av tre personvernmoduser, valgt av den som oppretter:

• Anonym: Ingen identifikator lagres sammen med svaret. Svar kan ikke kobles til person, heller ikke av oss. Anbefalt for mindreårige og for sensitive temaer.
• Pseudonym: Svar kobles til en tilfeldig token, ikke til e-post eller navn. Eier kan se at samme person har svart, men ikke hvem.
• E-post påkrevd: Respondent identifiseres med e-post. Brukes når man må sende oppfølging eller knytte svar til en konkret person. Krever eksplisitt informasjon til respondent.

Fritekstsamtykke: Når en undersøkelse inneholder fritekstspørsmål, vises et samtykkeskjema før første fritekstsvar. Respondenten kan velge å hoppe over fritekst og likevel fullføre resten av undersøkelsen.

Personopplysningsloven § 5 setter aldersgrensen for digitalt samtykke til 13 år, men for skoleundersøkelser og kommunale tjenester anbefaler Datatilsynet og Utdanningsdirektoratet høyere terskel. Utfordre bruker 16 år som intern terskel for «barn»-modus.

Når en undersøkelse er merket med målgruppe under 16 år, aktiveres barnesikker modus automatisk:

• Fritekstspørsmål frarådes sterkt og merkes med rød advarsel i editoren.
• Personvernmodus anbefales satt til anonym.
• Live-konkurranser kan brukes (flervalg og quiz — ingen fri tekst).
• KI-genererte spørsmål for målgruppen utelater fritekst-forslag og tilpasser språk og kompleksitet.

Den som oppretter undersøkelsen kan overstyre anbefalingene, men må da oppgi en begrunnelse (minimum 10 tegn) som lagres i sikkerhetsloggen. Overstyring vises tydelig med rød tekst i grensesnittet, og virksomheten bærer det fulle ansvaret for vurderingen — inkludert behov for foresattes samtykke, eventuell DPIA og informasjon til respondentene tilpasset alderen.

For barn under 13 år skal foresattes samtykke alltid innhentes utenfor plattformen før undersøkelsen distribueres. Utfordre tilbyr ikke automatisert innhenting av foreldresamtykke i dag.

Utfordre bruker KI til to formål: (1) generere utkast til spørsmål fra dokumenter, lenker eller fri tekst som administrator laster inn, og (2) lage aggregerte oppsummeringer av svar fra en avsluttet sesjon. KI-forespørsler sendes direkte til Mistral AI (Mistral SAS, Frankrike), en europeisk leverandør med all databehandling innenfor EU/EØS. Vi benytter ikke modeller fra Google eller OpenAI, og bruker ikke en tredjeparts AI-gateway for ruting.

Risikoklassifisering under AI Act

Tjenesten faller inn under begrenset risiko i forordning (EU) 2024/1689 (AI Act). Begrunnelse: KI brukes kun til tekstgenerering og aggregert analyse, ikke til profilering, beslutningsstøtte om enkeltpersoner, eller noen av de høyrisiko-områdene som er listet i Vedlegg III. Hovedforpliktelsen er derfor transparens etter art. 50, ikke konformitetsvurdering eller registrering i EU-database.

Hva vi ikke gjør

• Ingen emosjonsgjenkjenning eller stemmeanalyse (AI Act art. 5(1)(f)).
• Ingen biometrisk kategorisering (AI Act art. 5(1)(g)).
• Ingen automatiserte avgjørelser om enkeltpersoner (GDPR art. 22).
• Ingen KI-basert scoring av elever, ansatte eller innbyggere.
• Ingen bruk av KI til adferdsmanipulering eller utnyttelse av sårbarhet (AI Act art. 5(1)(a)–(b)).
• Ingen «social scoring», prediktive risikovurderinger eller ansiktsgjenkjenning.

Transparens (art. 50)

• KI-genererte spørsmålsutkast merkes med «✨ KI-utkast» i editoren og må godkjennes av en person før publisering.
• KI-oppsummeringer starter alltid med synlig merking «[KI-generert oppsummering — modell, tidspunkt]» og lagres med maskinlesbar metadata (modell, leverandør, klassifisering).
• Når en undersøkelse har KI-oppsummering aktivert, vises en informasjonsblokk til respondenten enten i samtykkesiden eller øverst i undersøkelsen.
• Administrator må eksplisitt slå på KI-oppsummering per undersøkelse (opt-in, default av).

Menneskelig kontroll og ansvar (art. 14)

Alle KI-utkast må gjennomgås og godkjennes av en person før de tas i bruk. Verken spørsmålsforslag eller oppsummeringer publiseres automatisk. Administrator i virksomheten bærer det redaksjonelle ansvaret for endelig innhold.

Behandlingsgrunnlag og dataminimering

• Dokumenter du laster opp brukes kun til generering og slettes etter 30 dager.
• Frie tekstsvar fra mindreårige sendes ikke til KI med mindre barnesikker-modus eksplisitt overstyres med skriftlig begrunnelse.
• Respondent kan be om at egne svar utelates fra KI-oppsummering ved å kontakte arrangøren — vi har funksjon for å slette PII og ekskludere svar fra aggregering.
• Innhold sendes ikke til trening av Mistrals modeller.

AI-kompetanse (art. 4)

Administratorer som tar i bruk KI-funksjonene får et synlig påminnelses-banner om at de er ansvarlige for å vurdere innholdet før publisering. DPA-malen og DPIA-malen som tilbys virksomheter under /dpa og /dpia inneholder også en kort sjekkliste for KI-bruk i offentlig sektor.

Konformitetsvurdering eller en fullstendig AI-konsekvensvurdering (Fundamental Rights Impact Assessment, AI Act art. 27) er ikke påkrevd for begrenset risiko. Virksomheter i offentlig sektor kan likevel be om en kort KI-vurdering tilpasset egen DPIA — kontakt offentlig@utfordre.no.

Vi lagrer ikke personopplysninger lenger enn nødvendig (GDPR art. 5.1.e):

• Inaktive kontoer: Brukere som ikke har logget inn på 180 dager får varsel etter 150 dager. Konto med innhold slettes 180 dager etter siste pålogging, med mindre brukeren forlenger ved å logge inn.
• Respondentdata (e-post, navn): Slettes når undersøkelsen lukkes, eller etter 12 måneder, det som inntreffer først. Konfigurerbart per undersøkelse.
• Svar: Følger undersøkelsens egen retensjonsregel (standard 365 dager). Eier kan slette eller eksportere når som helst.
• Opplastede dokumenter (KI-kilder): Slettes 30 dager etter analyse.
• Sikkerhetslogg: 365 dager. IP-adresser trunkeres etter 30 dager.
• Fakturadata: 5 år (bokføringsloven).

Du kan når som helst be om sletting eller eksport av egne data fra kontoinnstillingene eller ved å kontakte oss.

Når personvernmodus er anonym, kobles svar ikke til respondent på databasenivå — vi lagrer kun undersøkelses-ID og selve svaret.

Rapporter og eksport bruker k-anonymitet med minimum gruppestørrelse på 5 (konfigurerbart oppover). Grupper mindre enn terskelen skjules eller maskeres for å hindre re-identifisering. Eksport av små grupper krever administrator-overstyring som logges.

All data lagres i EU (Frankfurt, Tyskland) hos vår infrastrukturleverandør. Vi bruker ikke serverløsninger utenfor EU/EØS for lagring av kundedata.

KI-behandling skjer hos Mistral AI i Frankrike (EU). Vi overfører ikke personopplysninger til tredjeland for KI-formål. Skulle en underleverandør i fremtiden måtte behandle data utenfor EU/EØS, baseres dette på EU-Kommisjonens standardkontrakter (SCC) og en oppdatert overføringsvurdering (TIA) i lys av Schrems II, og varsles på forhånd.

Vi bruker følgende underleverandører:

• Supabase / AWS (Frankfurt): Database, autentisering, fillagring.
• Mistral AI (Frankrike): KI-generering og -analyse.
• Resend: Utsending av e-post (invitasjoner, varsler).
• Cloudflare: CDN, DDoS-beskyttelse, edge-funksjoner.

Oppdatert underleverandørliste er en del av databehandleravtalen. Endringer varsles minst 30 dager i forveien, og virksomheten har innsigelsesrett.

• All trafikk krypteres med TLS 1.2+. Data lagres kryptert (AES-256).
• Row-level security (RLS) sikrer at brukere bare ser egne / sin organisasjons data.
• To-faktor pålogging tilbys og kan kreves for administratorer i en organisasjon.
• Sikkerhetslogg over pålogginger, eksport og rettighetsendringer.
• Regelmessig sårbarhetsskanning og avhengighetsovervåkning.
• Krypterte sikkerhetskopier med point-in-time recovery (7 dager).

Etter GDPR art. 15–22 har du rett til å:

• Få innsyn i hvilke opplysninger vi behandler om deg.
• Få rettet uriktige opplysninger.
• Få slettet opplysninger («rett til å bli glemt»).
• Begrense behandlingen.
• Få utlevert dine data i et maskinlesbart format (dataportabilitet).
• Protestere mot behandling basert på berettiget interesse.
• Trekke tilbake samtykke når som helst, uten at det påvirker tidligere behandling.

Henvendelser sendes til personvern@utfordre.no. Vi svarer normalt innen 30 dager. Du kan også klage til Datatilsynet.

Utfordre er utformet for å oppfylle krav som gjelder norsk offentlig sektor:

• Databehandleravtale (DPA) tilbys digitalt før første publisering, med standardvilkår basert på EU-Kommisjonens mal.
• DPIA-mal kan brukes som utgangspunkt for vurdering av personvernkonsekvenser (anbefalt for undersøkelser rettet mot elever, ansatte, innbyggere).
• ROS-vurdering: Vår sikkerhetsdokumentasjon (basert på ISO 27001-prinsipper) kan utleveres på forespørsel.
• Universell utforming: Respondent- og presentasjonsflater følger WCAG 2.1 AA. Vi publiserer tilgjengelighetserklæring i tråd med forskrift om universell utforming av IKT-løsninger.
• Arkivlov: Eksportformater (CSV, PDF, JSON) støtter overføring til kommunens/etatens arkivsystem.
• Åpenhetsloven: Vi rapporterer årlig på leverandørkjedeansvar.

Be om DPA, sikkerhetspakke eller DPIA-mal på offentlig@utfordre.no.

Vi bruker kun nødvendige informasjonskapsler for innlogging og sikkerhet. Vi bruker ikke sporings- eller markedsføringscookies, og krever derfor ikke cookie-banner etter ekomloven § 2-7b.

Ved brudd på personopplysningssikkerheten varsles behandlingsansvarlig uten ugrunnet opphold og senest innen 24 timer etter at vi blir kjent med bruddet, jf. GDPR art. 33. Vi har etablerte rutiner for håndtering, inneslutning og dokumentasjon av avvik.

Vesentlige endringer varsles på e-post til registrerte brukere minst 30 dager før ikrafttredelse. Tidligere versjoner er tilgjengelige på forespørsel.