Databehandleravtale
Denne databehandleravtalen («DBA») regulerer Suksess AS sin behandling av personopplysninger på vegne av skolen/fylkeskommunen («Behandlingsansvarlig») i forbindelse med bruk av Suksess AI-karriereveiledningsplattform.
Inngås i henhold til GDPR art. 28 og personopplysningsloven §15. Versjon 2026-03-01.
1. Parter og roller
| Behandlingsansvarlig | Den enkelte skole eller fylkeskommune som inngår avtale om bruk av Suksess-plattformen |
| Databehandler | Suksess AS, org.nr. [FYLLES INN], [adresse] |
2. Formål og behandlingsgrunnlag
Databehandler behandler personopplysninger utelukkende for å levere tjenesten Suksess AI-karriereveiledning til Behandlingsansvarlig. Behandlingsgrunnlag er GDPR art. 6(1)(e) (offentlig interesse/ myndighetsutøvelse) for videregående opplæring, supplert av art. 9(2)(g) for særlige kategorier data.
3. Hvilke personopplysninger behandles
- Navn, e-post og Feide-ID (identifikasjon)
- Personnummer-basert aldersverifisering (kun for samtykkeformål)
- Personlighetsprofil (Big Five-skårer)
- Interesseprofil (RIASEC-koder)
- Frafallsrisiko-score (aggregert, ikke diagnose)
- Chat-samtalehistorikk med AI-veileder
- Valg av studieprogram og fagkombinasjon
- Innloggingstidspunkt og aktivitetslogg
4. Lagringssted og underleverandører
All data lagres i Google Cloud Firestore i regionen europe-west1 (Belgia) innenfor EØS. AI-behandling skjer via Google Cloud Vertex AI i samme region. Data forlater ikke EØS.
Underleverandører (underdatabehandlere)
| Leverandør | Tjeneste | Lagringssted |
|---|---|---|
| Google Cloud (Firebase/Vertex AI) | Database, autentisering, AI-inferens | europe-west1 (Belgia) |
| Weaviate Cloud | Vektordatabase for RAG | EU (GCP) |
| Feide (Sikt) | Identitetsfederasjon | Norge |
Behandlingsansvarlig godkjenner bruk av ovennevnte underdatabehandlere ved aksept av denne avtalen. Suksess AS varsler om endringer med minst 30 dagers forvarsel.
5. Databehandlers plikter
- Behandle personopplysninger kun etter dokumenterte instrukser fra Behandlingsansvarlig
- Sikre at autorisert personell er underlagt konfidensialitetsplikt
- Iverksette tekniske og organisatoriske sikkerhetstiltak (GDPR art. 32)
- Varsle Behandlingsansvarlig om avvik/brudd uten ugrunnet opphold, senest innen 36 timer
- Bistå med oppfyllelse av de registrertes rettigheter (innsyn, retting, sletting, portabilitet)
- Slette eller tilbakelevere alle personopplysninger ved opphør av avtaleforholdet
- Stille nødvendig informasjon til rådighet for etterlevelseskontroll og revisjon
6. Sikkerhetstiltak (art. 32)
- Kryptering: Data kryptert i hvile (AES-256) og under overføring (TLS 1.3)
- Tilgangskontroll: Firebase Security Rules, multi-tenant isolasjon (tenantId)
- Autentisering: Feide OIDC + Firebase App Check med reCAPTCHA Enterprise
- Logging: Audit trail for alle admin-handlinger
- Penetrasjonstesting: Gjennomføres minst én gang per år
- Sårbarhetshåndtering: Kritiske oppdateringer innen 72 timer
7. De registrertes rettigheter
Behandlingsansvarlig er ansvarlig for å motta og videresende forespørsler til Databehandler. Databehandler bistår innen 5 virkedager med teknisk gjennomføring av:
- Innsyn i egne data (GDPR art. 15)
- Retting av uriktige data (art. 16)
- Sletting («rett til å bli glemt», art. 17)
- Begrensning av behandling (art. 18)
- Dataportabilitet — eksport i JSON-format (art. 20)
- Protest mot behandling (art. 21)
8. Mindreårige og foreldresamtykke
For elever under 16 år kreves samtykke fra foresatte for behandling av personlighetsprofil og AI-samtalehistorikk, jf. GDPR art. 8. Suksess-plattformen implementerer aldersverifisering ved onboarding og lagrer dokumentasjon på samtykke (se Issue #38).
9. Varighet og opphør
Avtalen løper parallelt med abonnementsavtalen. Ved opphør sletter Databehandler alle personopplysninger tilhørende Behandlingsansvarligs tenant innen 30 dager, med mindre lovpålagt lengre oppbevaringstid gjelder. Sikkerhetskopidata slettes innen 90 dager.
10. Ansvar og erstatning
Partene er ansvarlige overfor de registrerte i henhold til GDPR art. 82. Databehandlers ansvar er begrenset til dokumenterte tap som direkte følge av brudd på denne avtalen eller GDPR, begrenset oppad til det beløpet Behandlingsansvarlig har betalt i abonnementsavgift de siste 12 månedene.
11. Kontaktpunkt for personvern
- Databehandler DPO: personvern@suksess.no
- Avviksvarsling: avvik@suksess.no (24/7)
- Datatilsynet: datatilsynet.no
Versjon: 2026-03-01. Denne avtalen er en del av den samlede avtalen mellom skolen og Suksess AS. Ved motstrid går DBA foran generelle vilkår for det som gjelder personvernspørsmål.