Kort sammanfattning
Praxis är utvecklat för kursstyrt lärande och är inte avsett för känsliga personuppgifter. Systemet minimerar data före extern AI-användning och stoppar meddelanden som kan innehålla personnummer eller inloggningsuppgifter innan de lagras eller behandlas vidare.
- Dataminimering & sanering innan AI-behandling.
- Hard-block + no-store för personnummer och credentials.
- GDPR-flöden per kund (information/samtycke kan konfigureras per subscriber).
- Svensk AI-leverantör – all behandling sker i Sverige via Berget AI. Ingen persondata lämnar Sverige.
- DPA & SCC – personuppgiftsbiträdesavtal och standardavtalsklausuler med alla underleverantörer.
Designprincip
Privacy by design och dataminimering i varje steg.
Kontakt
Roller och ansvar (GDPR)
Personuppgiftsansvarig
Utbildningsanordnaren (t.ex. lärosäte) för studentdata i utbildningskontext.
Personuppgiftsbiträde
Praxis (Virtualis) behandlar data på uppdrag av utbildningsanordnaren enligt avtal och instruktioner.
Underbiträde
AI-behandling sker via Berget AI, en svensk leverantör med datacenter i Sverige. Ingen persondata lämnar Sverige.
Praxis kan konfigureras per subscriber, inklusive om informations- eller samtyckesflöden ska användas.
Vilken data behandlas?
Identifierare
E-postadress (för att kunna ta emot och besvara meddelanden).
Utbildningsrelaterat innehåll
Meddelanderubrik och meddelandetext kopplat till kursens läraktiviteter.
Teknisk metadata
Tidsstämplar, leveransstatus, samt begränsade loggar för drift och säkerhet.
Samtycke/information (valfritt)
Spårning av om informationsmeddelande skickats och/eller samtycke finns, beroende på kundinställning.
Praxis är inte avsett för känsliga personuppgifter. Systemet innehåller tekniska kontroller för att stoppa vissa typer av särskilt skyddsvärd information.
Tekniska skyddsåtgärder
Hard-block
Blockering av meddelanden som kan innehålla personnummer eller credentials.
No-store
Vid blockering lagras inte meddelandeinnehåll och ingen AI-behandling sker.
Sanering
Dataminimering och sanering innan extern AI används (när aktiverat).
Begränsad loggning
Ingen råtext i loggar; endast metadata och säkra indikatorer vid behov.
Delning och internationella överföringar
E-post
E-postdata behandlas och lagras inom Sverige/EU enligt leverantörens besked. Personuppgiftsbiträdesavtal finns tillgängligt.
AI-behandling (Sverige)
All AI-behandling som involverar personuppgifter sker hos Berget AI i Sverige. Ingen studentdata överförs utanför Sverige.
Praxis använder en svensk AI-leverantör (Berget AI) för all behandling som involverar personuppgifter. Data lagras och behandlas uteslutande inom Sverige. Inga tredjelandsöverföringar sker för persondata.
Ytterligare skyddsåtgärder: Utöver svensk datalagring tillämpar vi strikt dataminimering före AI-behandling, har personuppgiftsbiträdesavtal (DPA) med alla underleverantörer, samt standardavtalsklausuler (SCC) som extra säkerhet även när överföring inte sker.
Dataflöde (översikt)
Diagrammet visar kontrollpunkter där behandling stoppas, samt när extern AI kan användas.
flowchart TD
A[Student skickar meddelande] --> B[Praxis tar emot meddelandet]
B --> C{Känslig information funnen}
C -->|Ja| D[Autosvar med instruktion]
D --> X[Stop ingen lagring]
C -->|Nej| E[GDPR kontroll]
E --> F{Samtycke krävs}
F -->|Ja| G[Skicka samtyckesmeddelande]
G --> X
F -->|Nej| H{Informationsmeddelande behövs}
H -->|Ja| I[Skicka informationsmeddelande]
H -->|Nej| J{Sanering aktiverad}
I --> J
J -->|Ja| K[Dataminimering]
K --> L[AI bearbetning Berget AI Sverige]
J -->|Nej| L
L --> M[Köa svar]
M --> N[Skicka svar via e post]
“Stop ingen lagring” betyder att meddelandeinnehåll inte lagras och inte behandlas vidare.