Personvernkonsekvensvurdering (DPIA)
Suksess-plattformen er underlagt krav om DPIA etter GDPR art. 35 og Datatilsynets obligatoriske DPIA-liste (behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler).
1. Behandlingens art og formål
Suksess AI-karriereveiledning behandler personopplysninger om norske videregående skoleelever (typisk 16–19 år) for å:
- Kartlegge personlighetstrekk (Big Five) og interesseprofil (RIASEC)
- Gi personaliserte anbefalinger om studievalg og karriereveier
- Identifisere elever med forhøyet frafallsrisiko
- Gi AI-drevet veiledning via chat
2. Nødvendighet og proporsjonalitet
Behandlingen er nødvendig for å oppfylle formålet. Personlighetstesting er kjernen i veiledningen — uten denne kan ikke plattformen gi meningsfull individualisert støtte. Innsamlet data minimeres i henhold til GDPR art. 5(1)(c).
3. Risikoer identifisert
| Risiko | Sannsynlighet | Alvorlighet | Tiltak |
|---|---|---|---|
| Uautorisert tilgang til elevers personlighetsprofil | Lav | Høy | Firebase Security Rules, App Check, tenantId-isolasjon |
| AI-generert innhold som skader elevens selvbilde | Lav–moderat | Moderat | Veilederprinsipper, menneskelig overstyring, klagekanal |
| Profildata brukt til formål utenfor veiledning | Lav | Høy | DPA med skoler, forbud mot sekundærbruk, audit trail |
| Dataoverføring utenfor EØS (AI-kall) | Eliminert | Høy | VertexAI Backend europe-west1 (se #50) |
| Manglende samtykke for mindreårige under 16 | Lav | Høy | Aldersverifisering ved onboarding, foresatt-samtykke (se #38) |
4. Tiltak og restrisiko
- Alle data lagres i Firestore i europe-west1 (Belgia)
- AI-kall via VertexAI Backend — data forlater ikke EØS
- Firebase App Check — kun autentiserte klienter kan nå API
- Multi-tenant isolasjon — skoler kan ikke se hverandres data
- GDPR-rettigheter implementert: innsyn, retting, sletting, portabilitet
- Risikovurderingen gjennomgås årlig eller ved vesentlige endringer
5. Konsultasjon
Dersom restrisiko fortsatt vurderes som høy etter implementerte tiltak, skal Datatilsynet konsulteres i forkant av behandlingsstart (GDPR art. 36). Plattformleverandøren anbefaler forhåndskonsultasjon med Datatilsynet gitt at behandlingen involverer mindreåriges sensitive profildata.
6. Behandlingsansvarlig og databehandler
- Behandlingsansvarlig: Den enkelte skole/fylkeskommune
- Databehandler: Suksess AS (plattformleverandør)
- Databehandleravtale: Inngås mellom skole og Suksess AS
Versjon: 2026-03-01. Oppdateres ved endringer i behandling eller regelverk.