Status: UTKAST — venter på juridisk gjennomgang og verifisering mot databehandleravtalens Bilag B (den autoritative versjonen ligger i OneDrive-malen for databehandleravtalen, Bilag B – Betingelser for bruk av Underdatabehandl... .html).
Sist oppdatert: 20. mai 2026
Denne siden lister tredjepartsleverandørene ("underdatabehandlere") som Lectora bruker for å drifte tjenesten. Hver av dem er bundet av en skriftlig databehandleravtale med tilstrekkelige sikkerhetsgarantier.
Institusjoner på virksomhetsavtale: den bindende underdatabehandleroversikten er databehandleravtalens Bilag B. Denne siden er et offentlig sammendrag som holdes i samsvar med dette vedlegget.
Vi varsler institusjonelle kunder minst [VURDER — typisk 14–30] dager på forhånd ved enhver endring i denne listen (tillegg eller bytte av en underdatabehandler). Individuelle brukere (PAT-modus) varsles via banner i appen og oppdatert dato på denne siden.
Infrastruktur
| Leverandør | Rolle | Region | Avtale / personvernkobling |
|---|---|---|---|
| Vercel, Inc. | Applikasjonsdrift (Next.js, serverless-funksjoner, edge-mellomvare) | EU — Frankfurt (eu-central-1) | vercel.com/legal/dpa · security.vercel.com |
| Vercel Blob (Vercel, Inc.) | Objektlagring for opplastede filer (kursfiler, studentinnleveringer, kontekstfiler for KI) | EU — Stockholm (eu-north-1 / ARN1) | Samme som Vercel ovenfor |
| Supabase Inc. | Primær PostgreSQL-database (administrert) | EU — Frankfurt (AWS eu-central-1) | supabase.com/legal/dpa · supabase.com/legal/subprocessors |
KI-inferens
| Leverandør | Rolle | Region | Avtale / personvernkobling |
|---|---|---|---|
| OpenAI Ireland Ltd. | Primær KI-inferens for vurdering, tilbakemeldingsutkast og lærerassistent. Null datalagring; ingen trening på kundedata. | EU (Europa-region) | openai.com/policies/data-processing-addendum · EU-dataresidens |
| Google Cloud EMEA Ltd. (Vertex AI / Gemini) | Alternativ KI-inferens for utvalgte arbeidsflyter. Ingen trening på kundedata; null datalagring. | EU — europe-west4 (Nederland) | cloud.google.com/terms/data-processing-addendum |
Viktig: Lectora sender ikke direkte personidentifikatorer (studentnavn, e-post, student-ID) til KI-leverandører. KI-forespørsler bruker kun interne pseudonyme identifikatorer; resultatene knyttes tilbake til studenter innenfor Lectoras egne systemer. Fritekstinnhold i innleveringer som sendes til KI-leverandører kan tilfeldigvis inneholde slike opplysninger; leverandørenes kontraktsfestede forpliktelser om null lagring og ingen trening gjelder.
Driftsrelaterte tjenester
| Leverandør | Rolle | Region | Avtale / personvernkobling |
|---|---|---|---|
| Inngest, Inc. | Orkestrering av bakgrunnsjobber (varig utførelse for batchvurdering). Mottar kun interne jobbidentifikatorer — ikke innleveringsinnhold eller direkte personopplysninger. | USA — dekket av EU SCC | inngest.com/security |
| Plus Five Five, Inc. (Resend) | Levering av transaksjonelle e-poster (konto-, sikkerhets- og fakturavarsler) | USA — dekket av EU SCC (avgjørelse 2021/914) i henhold til Resends databehandleravtale | resend.com/legal/dpa · resend.com/legal/subprocessors |
| Statsig, Inc. | Funksjonsflagg, pseudonym bruksanalyse, feil- og ytelsesovervåking (via Vercel Log Drain + Trace Drain) | USA — dekket av EU SCC i henhold til Statsigs databehandleravtale | statsig.com/legal/online-dpa · statsig.com/legal/subprocessors |
Fakturering (kun institusjonelle kunder)
| Leverandør | Rolle | Region | Avtale / personvernkobling |
|---|---|---|---|
| Stripe Payments Europe Ltd. / Stripe, Inc. | Abonnementsfakturering, fakturahåndtering, betalingsbehandling. PCI DSS Level 1-sertifisert; Lectora lagrer ikke kortdata. | EU/globalt — dekket av Stripes databehandleravtale + EU SCC | stripe.com/legal/dpa · stripe.com/legal/service-providers |
Internasjonale overføringer
Lectoras behandling av kundeinnhold holdes innenfor EU/EØS der det er mulig:
- Applikasjonsdrift, database, fillagring, KI-inferens — alle EU-regioner
- E-post (Resend), analyse (Statsig), orkestrering av bakgrunnsjobber (Inngest) — USA med EUs standardiserte avtaleklausuler (EU SCC) i henhold til kommisjonsavgjørelse 2021/914
For hver USA-basert underdatabehandler har vi:
- En signert databehandleravtale som inkluderer EU SCC
- En overføringskonsekvensvurdering (Transfer Impact Assessment) på fil
- Supplerende tekniske tiltak: kryptering i transitt (TLS 1.2+), kryptering ved lagring (AES-256) og kontraktsfestede begrensninger på bruk av data
Inngest mottar spesielt ikke noe innleveringsinnhold — kun interne jobbidentifikatorer — noe som vesentlig reduserer overføringsrisikoen.
Hva som IKKE står på denne listen
Pakker eller biblioteker som ikke behandler personopplysninger på vegne av Lectora — for eksempel åpen kildekode-avhengigheter — er ikke underdatabehandlere og er ikke ført opp her. Komponenter som finnes i Lectoras kodebase, men som ikke er aktive i produksjon (f.eks. ubrukte KI-leverandør-SDK-er), er heller ikke underdatabehandlere.
Varsling om endringer
Endringer i underdatabehandlerlisten styres av:
- Institusjonelle kunder: varslingsklausulen i din databehandleravtale (
[VURDER — bekreft mot klausul i Bilag B]) - Individuelle brukere (PAT): banner i appen + oppdatert dato på denne siden
Hvis du har innsigelser mot en ny underdatabehandler og vi ikke kan imøtekomme innsigelsen gjennom alternative ordninger, kan den berørte kunden si opp det aktuelle abonnementet i henhold til oppsigelsesklausulene i databehandleravtalen eller brukervilkårene.
Kontakt
For spørsmål om underdatabehandlere eller internasjonale overføringer: lectora@fjordbyte.no