Senast uppdaterad: 2026-04-12
Personuppgiftsansvarig
Personuppgiftsansvarig: Markus Reimer. Kontakt: info@skolkoll.se
Vilka uppgifter samlar vi in?
Användarkonton
Om du skapar ett konto på Skolkoll lagrar vi följande i vår databas (Firebase/Firestore, EU-region europe-west1):
- E-postadress och visningsnamn — för inloggning och identifiering i portalen.
- Inloggningsmetod — vilken social inloggning (Google, Microsoft, etc.) eller e-post/lösenord du använder.
- Organisationstillhörighet — om du tillhör en organisation, lagras vilken organisation och din roll (administratör/användare).
- Tidsstämplar — när kontot skapades.
Laglig grund: Avtal (GDPR art. 6(1)(b)) — uppgifterna behövs för att tillhandahålla tjänsten.
Lagring: Uppgifterna lagras så länge kontot finns. Vid kontoradering raderas dina personuppgifter från vår databas.
Organisationsuppgifter
Om du skapar eller ansluter dig till en organisation kan följande lagras:
- Organisationsnamn och organisationsnummer — offentliga uppgifter för identifiering.
- Faktureringsuppgifter — kontaktperson, telefon, adress, e-post och referens/PO-nummer för fakturering.
- Kundnummer (SK-NNNNN) — systemgenererat för fakturahantering.
Laglig grund: Avtal (GDPR art. 6(1)(b)) och berättigat intresse (art. 6(1)(f)) — nödvändigt för avtalshantering och fakturering.
Betalningar
Betalningar hanteras av Stripe. Vi lagrar inte kortuppgifter — dessa hanteras helt av Stripe i enlighet med PCI DSS. Vi lagrar transaktions-ID och betalningsstatus för att koppla betalningar till rätt organisation.
Lagring: Betalningshistorik lagras i 7 år enligt bokföringslagen (BFL).
Felövervakning
Vi använder Sentry för att upptäcka och åtgärda tekniska fel. Sentry kan samla in:
- Felmeddelanden och stacktrace (ingen persondata)
- Webbläsare, operativsystem och IP-adress (anonymiserad)
Laglig grund: Berättigat intresse (GDPR art. 6(1)(f)) — nödvändigt för att upprätthålla tjänstens funktionalitet.
Cookies och besöksstatistik
Om du godkänner det via vår samtyckesbanner använder vi Google Analytics 4 för anonym besöksstatistik. GA4 samlar in:
- Vilka sidor som besöks och hur länge
- Enhetstyp, webbläsare och skärmstorlek
- Ungefärlig geografisk plats (baserat på anonymiserad IP-adress)
Vi har aktiverat IP-anonymisering (anonymize_ip) så att din fullständiga IP-adress aldrig lagras av Google. Ingen data säljs eller delas med tredje part utöver Google i egenskap av databehandlare.
Lagringstid: GA4-data lagras i 14 månader och raderas därefter automatiskt av Google.
Om du väljer "Bara nödvändiga" i samtyckesbannern laddas Google Analytics inte alls.
Tredjelandsöverföring
Google Analytics kan innebära att data överförs till och behandlas i USA. Google tillämpar EU:s standardavtalsklausuler (Standard Contractual Clauses, SCC) som rättslig grund för sådan överföring. Mer information finns i Googles integritetspolicy.
Resend (e-postleverantör för skolbevakning) är ett amerikanskt företag och kan behandla e-postadresser i USA. Resend tillämpar EU:s standardavtalsklausuler (SCC).
Stripe (betalningsleverantör för Pro-tjänster) är ett amerikanskt företag. Betalkortsuppgifter hanteras helt av Stripe enligt PCI DSS. Stripe tillämpar EU:s standardavtalsklausuler (SCC). Mer information i Stripes integritetspolicy.
Sentry (felövervakning) är ett amerikanskt företag som kan ta emot teknisk felinformation (anonymiserad IP, webbläsarinfo). Sentry tillämpar EU:s standardavtalsklausuler (SCC).
Anthropic (AI-assistent) är ett amerikanskt företag. Chatmeddelanden som skickas via Kollen behandlas av Anthropic för att generera svar. Anthropic tillämpar EU:s standardavtalsklausuler (SCC). Behandlingen regleras av Anthropics databehandlingsavtal (DPA) som ingår i deras API-tjänstevillkor. Anthropic kan behålla meddelandeinnehåll i upp till 30 dagar för säkerhetsändamål, i enlighet med deras API-villkor. Meddelanden lagras inte permanent av Skolkoll. Mer information i Anthropics integritetspolicy.
Övriga tredjepartstjänster (Nominatim, ResRobot, Skolverkets API) behandlar data inom EU/EES. D3.js och Leaflet laddas från CDN-servrar (unpkg.com) som kan ha servrar utanför EU.
E-post för skolbevakning
Om du väljer att bevaka en skola anger du din e-postadress. Då lagras följande i vår databas (Firestore):
- E-postadress — för att kunna skicka notifieringar. Raderas om du avslutar bevakningen.
- SHA-256-hash av e-postadressen — används för att slå upp dina befintliga bevakningar utan att exponera din e-post i sökfrågor.
- Skolenhetskod och skolnamn — vilken skola du bevakar.
- Tidsstämplar — när bevakningen skapades, bekräftades och senast notifierades.
Laglig grund: Samtycke (GDPR art. 6(1)(a)) via dubbel bekräftelse (double opt-in). Du bekräftar din bevakning genom en länk som skickas till din e-post.
Lagring: Dina uppgifter lagras så länge bevakningen är aktiv. Om du avslutar bevakningen via avregistreringslänken i e-postmeddelandet markeras bevakningen som inaktiv och e-postadressen raderas.
Vad triggar notifieringar: Du får e-post när meritvärdet ändras mer än 5 poäng, gymnasiebehörigheten ändras mer än 5 procentenheter, elevantalet ändras mer än 20 %, eller Skolinspektionen fattar nytt beslut om skolan.
Så avslutar du: Varje notifiering innehåller en avregistreringslänk. Du kan också kontakta oss på info@skolkoll.se.
Lokal lagring (localStorage)
Följande data lagras lokalt i din webbläsare och skickas aldrig till någon server:
- Samtycke (
skolkoll_consent) — ditt val i samtyckesbannern (accepterat/nekat) - Hemadress (
skolnav_home_location) — om du använder pendlingsfunktionen lagras koordinater för din hemadress lokalt för att beräkna restid. Du kan radera detta genom att tömma fältet i inställningarna eller rensa webbläsarens lokala lagring.
AI-chatten lagrar dessutom konversation och samtycke i sessionStorage (raderas automatiskt när webbläsarfliken stängs): skolkoll_ai_consent, skolkoll_ai_chat, skolkoll_ai_context.
AI-assistent (Kollen)
Kollen riktar sig inte specifikt till barn under 13 år.
Skolkoll erbjuder en AI-baserad chatt ("Kollen") som besvarar frågor om skolstatistik. Om du väljer att använda Kollen gäller följande:
- Samtycke — första gången du öppnar chatten visas en samtyckesfråga. Samtycket lagras i
sessionStorageoch gäller för den aktuella webbläsarsessionen. - Meddelandebehandling — dina chatmeddelanden skickas till Anthropic (USA) via deras Claude-API för att generera svar. Meddelanden lagras inte permanent av Skolkoll — de skickas vidare i realtid och sparas bara tillfälligt under din session i webbläsarens
sessionStorage. - Screening — varje fråga skickas först till Anthropics Claude Haiku-modell för relevansklassificering (on-topic/off-topic). Irrelevanta frågor filtreras bort utan att besvara dem.
- Granskningslogg — för varje AI-anrop loggas: SHA-256-hash av din IP-adress (16 tecken), frågans och svarets längd (inte innehåll), skolkontextkod, status och tidsstämpel. Loggen lagras i 90 dagar och raderas sedan automatiskt. Granskningslogg-poster är pseudonymiserade och raderas automatiskt efter 90 dagar. Du kan begära omedelbar radering via info@skolkoll.se.
- Hastighetsbegränsning — en hash av din IP-adress lagras i 48 timmar för dagsgränsen (ett begränsat antal frågor per dag), samt i upp till 2 timmar för korttidsbegränsning (max antal förfrågningar per timme).
Laglig grund: Samtycke (GDPR art. 6(1)(a)) — du accepterar villkoren innan du använder chatten. Samtyckesfrågan informerar om rätten att återkalla.
Databehandlare: Anthropic PBC (San Francisco, USA) — AI-modellen som genererar svar. Anthropic behandlar meddelanden som underbiträde. Överföring till USA sker med stöd av EU:s standardavtalsklausuler (SCC).
Återkalla samtycke: Stäng webbläsarfliken för att radera sessionssamtycket. Du kan också klicka "Återkalla AI-samtycke" i chatten för att omedelbart återkalla samtycket.
Tredjepartstjänster
Följande tjänster kontaktas från din webbläsare i specifika situationer:
| Tjänst | När | Vilken data |
|---|---|---|
| Google Analytics 4 | Sidvisning (kräver samtycke) | Anonymiserad IP, sidvisningar, enhetsinfo |
| Nominatim (OpenStreetMap) | "Nära mig" eller hemadress | Din adressfråga för geokodning |
| ResRobot (Trafiklab) | Pendlingsfliken i skolvy | Koordinater för start/mål (via vår server) |
| JobEd Connect (JobTech) | Karriärfliken i skolvy | Utbildningstext för yrkesmatchning |
| Skolverkets API | Skolvy (enkäter, dokument) | Skolenhetskod (ingen persondata) |
| D3.js / Leaflet (CDN) | Karta- och statistiksidor | IP-adress vid nedladdning av skript |
| Resend | Skolbevakning (bekräftelse- och notifieringsmail) | E-postadress (via vår server) |
| Firebase / Google Cloud | Användarkonton och databas | Kontouppgifter, organisationsdata (EU-region) |
| Stripe | Betalning av Pro-tjänster | E-post, organisationsnamn, kortuppgifter (hanteras av Stripe) |
| Sentry | Automatiskt vid tekniska fel | Felmeddelanden, webbläsarinfo, anonymiserad IP |
| Anthropic (Claude API) | AI-chatten (Kollen) — kräver samtycke | Chatmeddelanden, skolkontext (via vår server) |
Nominatim, ResRobot och JobEd Connect kontaktas enbart när du aktivt använder en funktion som kräver det — de laddas aldrig automatiskt.
Typsnitt
Vi använder typsnitten Literata och Sora som är lokalt installerade på vår server. Inga förfrågningar skickas till Google Fonts eller andra typsnittsleverantörer.
Skoldata och offentliga uppgifter
All skoldata som visas på Skolkoll är offentlig information från Skolverket, SCB, Bolagsverket och Skolinspektionen.
Personuppgifter om skolpersonal
I skolans detaljvy kan följande personuppgifter visas:
- Rektors namn — hämtas från Skolverkets öppna skolenhetsregister
- Skolans kontaktuppgifter (e-post och telefonnummer) — hämtas i realtid från Skolverkets API och lagras inte av Skolkoll
Rektors namn är en offentlig uppgift som publiceras av Skolverket i deras skolenhetsregister. Vår lagliga grund för att visa denna uppgift är berättigat intresse (GDPR art. 6(1)(f)) — uppgiften är redan offentligt tillgänglig och det finns ett allmänintresse av insyn i skolors ledarskap.
Vi publicerar inga personuppgifter om elever, lärare eller annan skolpersonal utöver ovan nämnda.
Intresseavvägning
Vi har gjort en intresseavvägning enligt GDPR art. 6(1)(f):
- Berättigat intresse: Allmänhetens intresse av insyn i vem som leder offentligt finansierade skolor
- Källa: Uppgifterna hämtas uteslutande från Skolverkets öppna API — vi samlar inte in uppgifter på egen hand
- Begränsning: Enbart rektors namn visas. Vi publicerar inte personliga kontaktuppgifter, hemadress eller andra privata uppgifter om skolpersonal
- Rätt att invända: Om du är namngiven rektor och invänder mot att ditt namn visas, kontakta oss så tar vi bort uppgiften för din skola
Dina rättigheter
Enligt GDPR har du rätt att:
- Neka samtycke — välj "Bara nödvändiga" i samtyckesbannern
- Återkalla samtycke — gå till Inställningar och klicka "Återkalla cookiesamtycke", eller rensa webbläsarens lokala lagring. För AI-chatten: klicka "Återkalla AI-samtycke" i chattfönstret, eller stäng webbläsarfliken.
- Radera data — du kan radera ditt konto under kontoinställningar. Alla personuppgifter (profil, medlemskap, bevakningar) raderas. Organisationsdata och faktureringshistorik behålls om andra medlemmar finns kvar. Lokalt lagrad data (hemadress, samtycke) raderas genom att rensa webbläsarens localStorage. AI-chattdata (konversation) lagras enbart i sessionStorage och raderas när du stänger webbläsarfliken. Granskningslogg-poster raderas automatiskt efter 90 dagar.
- Invända mot behandling — om du är namngiven rektor och inte vill att ditt namn visas, kontakta oss på info@skolkoll.se så tar vi bort uppgiften
- Rätt till tillgång — du har rätt att begära en kopia av dina personuppgifter. Kontakta oss på info@skolkoll.se
- Dataportabilitet — du har rätt att få ut dina personuppgifter i ett strukturerat, maskinläsbart format
- Begränsa behandling — du har rätt att begära att behandlingen av dina personuppgifter begränsas under vissa omständigheter
- Lämna klagomål — du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), imy.se
Ändringar
Vi kan uppdatera denna policy vid behov. Senaste versionen finns alltid på denna sida.