# Kundguide: Så fungerar PUB-avtalet för xRex/tRex
För: IT-chefer, dataskyddsansvariga och beslutsfattare i kommuner
Syfte: Förstå personuppgiftsbehandling i xRex/tRex och fördelarna med PUB-avtal
Version: 1.0
Datum: 2026-01-28
📋 Sammanfattning
xRex/tRex är ett digitalt läromedel med AI-coach som hjälper elever att lära sig genom dialog och övningar. För att kunna erbjuda bästa möjliga pedagogik samtidigt som vi säkerställer GDPR-efterlevnad, finns två driftlägen:
- PUB-läge (med PUB-avtal) - Fullständig funktionalitet med personuppgifter
- Integritetsläge (utan PUB-avtal) - Privacy-by-design med automatisk anonymisering
Rekommendation: Vi rekommenderar PUB-läge för bästa pedagogiska resultat och transparent personuppgiftshantering enligt GDPR.
🎯 Varför behövs ett PUB-avtal?
Juridisk grund (GDPR artikel 28)
När en skola/kommun använder xRex/tRex behandlar Inducera AB personuppgifter på uppdrag av kommunen. Enligt GDPR artikel 28.3 krävs då ett skriftligt avtal som reglerar:
✅ Vad vi får göra med personuppgifter (endast för pedagogiskt ändamål)
✅ Hur vi ska skydda data (tekniska och organisatoriska åtgärder)
✅ Vem som får ta del av data (endast AI-coach för pedagogiskt stöd)
✅ När data raderas (efter avtalets upphörande eller på begäran)
PUB-avtal är Sveriges Kommuner och Regioners (SKR) standardmall för personuppgiftsbiträdesavtal - en juridiskt granskad mall som används av tusentals kommuner i Sverige.
🔄 Två driftlägen - Vad är skillnaden?
Visuell jämförelse
| Funktion | MED PUB-avtal (Rekommenderas) | UTAN PUB-avtal (Begränsat) |
|---|---|---|
| Elevens namn | Lagras för pedagogisk kontinuitet | Endast lokalt i webbläsare (scrubbed från AI) |
| E-post | Lagras för inloggning och molnsynk | Lagras som hash (ej läsbar för Inducera) |
| AI-coach tilltalar elev | Använder [ElevNamn] → ersätts lokalt med namn |
Använder [ElevNamn] → ersätts lokalt med namn |
| Aktivitetsdata | Kopplas till elev för uppföljning | Sparas anonymt (ingen koppling till individ) |
| Lärarens översikt | Ser elevens namn, framsteg och historik | Begränsat (endast pseudonymiserade ID) |
| Molnsynkronisering | Fungerar mellan enheter (skola/hem) | Begränsad (scrubbar namn automatiskt) |
| GDPR-efterlevnad | Transparent med PUB-avtal | Privacy-by-design (minimerar data) |
Den faktiska skillnaden: Lärarens vy
MED PUB-avtal:
- Läraren ser elevens faktiska namn ("Anna Andersson")
- Kan följa individuell framsteg och historik
- Full elevuppföljning och pedagogisk kontinuitet
UTAN PUB-avtal:
- Läraren ser endast pseudonymt ID ("Elev-abc123")
- Begränsad aktivitetsdata (anonymiserad)
- Ingen direkt koppling mellan namn och aktivitet i systemet
🧪 Utvärdera xRex/tRex utan PUB-avtal
Systemet kan användas för pedagogisk utvärdering även utan PUB-avtal.
Skillnaden utan PUB-avtal:
- Läraren ser endast anonymiserade elev-ID (inte elevens namn)
- Individuell uppföljning av elevprogress är begränsad
Allmän säkerhetsregel:
- Elever bör alltid instrueras att inte skriva personuppgifter i chatten
- Användningen bör hållas till ämnesinnehåll och pedagogiska frågeställningar
Se även:
🛡️ Hur skyddar vi personuppgifter?
Tekniska säkerhetsåtgärder
✅ Kryptering: All kommunikation sker via HTTPS (TLS 1.2+)
✅ Pseudonymisering: Elever får automatiskt pseudonyma ID (anon_id) som används internt
✅ IP-trunkering: IP-adresser trunkeras till x.x.x.0 (sista oktett tas bort)
✅ Sessionshantering: Säkra cookies med HttpOnly + Secure + SameSite-flaggor
✅ Lösenordsskydd: Lärarlösenord krypteras med bcrypt/Argon2
✅ Namnscrubbing - Utgående (Bas): Elevens namn ersätts automatiskt med "jag" i AI-kontext (fungerar även med PUB-avtal)
✅ Namnscrubbing - Inkommande: AI:ns namnplatshållare [ElevNamn] ersätts lokalt i webbläsaren med elevens faktiska namn
✅ Smart namnanonymisering: När eleven skriver sitt eget namn i ett chatsvar ersätts namnet automatiskt med "jag" innan det skickas till AI:n. Undantag: Om samma namn förekommer i det rekommenderade svaret ersätts det INTE (då antas namnet avse en person i svaret, inte eleven själv)
Exempel på smart namnanonymisering:
- Fråga: "Vad hette kungen?" | Rekommenderat svar: "Gustav"
- Om eleven heter Gustav och skriver "Gustav" → ersätts INTE (avser kungen)
- Om eleven heter Lisa och skriver "Lisa" → ersätts med "jag" (avser eleven)
- Fråga: "Vad tycker du?" | Rekommenderat svar: "Jag tycker..."
- Om eleven heter Anna och skriver "Anna tycker..." → ersätts med "jag tycker..." (avser eleven)
Organisatoriska säkerhetsåtgärder
✅ Rollbaserad åtkomst: Lärare ser endast egna klassrum
✅ Incidenthantering: 12-timmars rapportering till kommun vid säkerhetsincident
✅ Årlig säkerhetsgranskning: Q1 varje år (enligt PUB-avtal punkt 9.2)
✅ Personalutbildning: Regelbunden GDPR-utbildning för Inducera-personal
✅ Sekretessförbindelser: Alla anställda har undertecknat sekretess (NDA)
Fysiska säkerhetsåtgärder
✅ EU-hosting: Servrar hos Strato AG (Tyskland) med ISO 27001-certifiering
✅ Datacenter-säkerhet: Fysiskt skyddade serverhall med begränsad åtkomst
✅ Backups: Krypterade dagliga/månadsbackups med samma skyddsnivå som produktionsdata
🌍 Behandling i tredje land (AI-leverantörer)
Varför används AI-leverantörer i USA?
xRex/tRex använder AI-teknologi från ledande leverantörer för att ge bästa möjliga pedagogiska stöd:
- OpenAI (ChatGPT/GPT-4) - San Francisco, USA
- Anthropic (Claude) - San Francisco, USA
- Google (Gemini) - Dublin, Irland (EU)
Hur säkerställs GDPR-efterlevnad vid USA-överföring?
✅ Standard Contractual Clauses (SCC): Alla USA-leverantörer har undertecknat EU-kommissionens standardavtalsklausuler enligt beslut (EU) 2021/914
✅ Data minimering: Systemet skickar inte elevens namn eller e-post som separata fält till AI. Endast nödvändiga chattmeddelanden skickas för att få ett pedagogiskt svar.
✅ Best-effort-scrubbing: Systemet försöker maska elevens eget namn där det kan identifieras. Eleven kan dock själv skriva personuppgifter i chattmeddelanden (vilket innebär en rest-risk som kommunen behöver ta höjd för i sin bedömning/instruktion)
✅ Kortvarig retention hos AI-leverantörer:
- OpenAI: 30 dagar (kan raderas tidigare på begäran)
- Anthropic: 90 dagar (kan raderas tidigare på begäran)
- Google: Ephemeral (raderas omedelbart efter svar)
✅ Ingen AI-träning på elevdata: Vi har avtal som förbjuder användning av elevdata för AI-träning
📊 Vilka personuppgifter behandlas?
Elever (MED PUB-avtal)
| Personuppgift | Syfte | Lagringstid |
|---|---|---|
| Namn | Personlig AI-dialog, lärarens översikt | Innevarande + 1 läsår |
| E-post (hash) | Inloggning, molnsynk | Innevarande + 1 läsår |
| Pseudonym ID (anon_id) | Intern identifiering | Innevarande + 1 läsår |
| Chattmeddelanden | AI-coachning, lärande | Innevarande + 1 läsår |
| Aktivitetsdata | Pedagogisk uppföljning | Innevarande + 1 läsår |
| IP-adress (trunkerad) | Säkerhet, felsökning | 30 dagar |
| Tidsstämplar | Sessionsspårning | Innevarande + 1 läsår |
OBS: Email sparas alltid som hash (SHA-256) - inte läsbar för Inducera-personal.
Lärare
| Personuppgift | Syfte | Lagringstid |
|---|---|---|
| Namn | Identifiering, kommunikation | Under anställning + 2 år |
| E-post | Inloggning, systemkommunikation | Under anställning + 2 år |
| Skola/Huvudman | Åtkomstkontroll | Under anställning + 2 år |
| Roll (lärare/admin) | Behörigheter | Under anställning + 2 år |
🗑️ Dina rättigheter som registrerad
GDPR-rättigheter för elever (via vårdnadshavare)
Enligt GDPR har elever (genom vårdnadshavare) rätt till:
✅ Rätt till tillgång (artikel 15): Be om kopia av alla personuppgifter
✅ Rätt till rättelse (artikel 16): Korrigera felaktiga uppgifter
✅ Rätt till radering (artikel 17): "Rätten att bli glömd"
✅ Rätt till begränsning (artikel 18): Begränsa behandling under utredning
✅ Rätt till dataportabilitet (artikel 20): Få data i maskinläsbart format
✅ Rätt att göra invändningar (artikel 21): Invända mot behandling
Hur begär jag DSAR (Data Subject Access Request)?
Steg 1: Kontakta er kommuns dataskyddsansvariga
Steg 2: Kommunen vidarebefordrar begäran till Inducera AB
Steg 3: Inducera levererar svar inom 30 dagar
Format: JSON eller CSV med alla personuppgifter (enligt artikel 15)
Kostnad: Gratis (första begäran per år)
📤 Vad händer när avtalet upphör?
Val vid uppsägning (30 dagars varsel)
När ett PUB-avtal sägs upp har kommunen två val:
Alternativ 1: ÅTERLÄMNING
- Vi exporterar alla personuppgifter i strukturerat format (JSON + SQL-dump)
- Säker överföring med AES-256 kryptering
- Dokumentation av PUB-avtal och bilagor inkluderas
- Efter bekräftad mottagning: Radering från våra system inom 7 dagar
Alternativ 2: RADERING
- Permanent radering från produktionssystem inom 30 dagar
- Backups flaggas för radering (dagliga 7d, månatliga 30d, årliga 90d)
- Intyg utfärdas av VD och Dataskyddsombud
- Arkivering av dokumentation (5 år för granskning)
Intyg om radering
Efter radering utfärdar vi ett officiellt intyg som bekräftar:
- [x] Datum för radering
- [x] Typer av data som raderats
- [x] Verifieringsmetod (SQL-queries, loggar)
- [x] Status för backups (flaggade för radering)
- [x] AI-leverantörer informerade om radering
🔍 Granskning och kontroll
Er rätt att granska (PUB-avtal punkt 9.3)
Som personuppgiftsansvarig har kommunen rätt att:
✅ Granska våra system (med 14 dagars varsel)
✅ Begära dokumentation (säkerhetsrutiner, underbiträdesavtal, loggåtkomst)
✅ Anlita oberoende revisor (på kommunens bekostnad)
✅ Delta i årlig säkerhetsgranskning (första årliga granskning kostnadsfri)
Vår årliga egenkontroll (Q1 varje år)
Inducera AB genomför årlig säkerhetsgranskning enligt PUB-avtal punkt 9.2:
✅ Teknisk säkerhet (20 kontrollpunkter: kryptering, åtkomstkontroll, loggning, uppdateringar, backups)
✅ Organisatorisk säkerhet (15 kontrollpunkter: rutiner, utbildning, kontrakt, incidenter, DSAR)
✅ Personalsäkerhet (9 kontrollpunkter: sekretess, behörigheter, utbildning)
✅ Fysisk säkerhet (8 kontrollpunkter: hosting, datacenter, arbetsstationer)
Resultat: Sammanfattande rapport skickas till alla kommuner med PUB-avtal i Q1.
Extern revision (valfritt)
För kommuner som önskar extra säkerhet kan vi erbjuda:
- ISO 27001-certifiering (~100,000-300,000 SEK/år) - Informationssäkerhet
- SOC 2 Type II (~150,000-400,000 SEK/år) - Kontroller för tjänsteleverantörer
- Penetration testing (~50,000-150,000 SEK/år) - Säkerhetstest av system
OBS: Kostnaden delas av alla kommuner som önskar extern revision.
🚨 Incidenthantering
Vad är en personuppgiftsincident?
En personuppgiftsincident är en händelse som leder till:
- Konfidentialitetsbrott: Obehörig åtkomst till personuppgifter
- Integritetsskada: Oavsiktlig ändring eller förstöring av data
- Tillgänglighetsförlust: Data blir otillgängligt (t.ex. systemfel)
- Dataförlust: Permanent förlust av personuppgifter
Vår process vid incident
Inom 12 timmar:
- Upptäckt och klassificering (🔴 Kritisk, 🟠 Hög, 🟡 Medel, 🟢 Låg)
- Omedelbar åtgärd för att begränsa skada
- Rapportering till kommun via email till dataskyddsansvarig
Inom 72 timmar: 4. Fullständig incidentrapport enligt GDPR artikel 33.3:
- Incidentens art och omfattning
- Antal drabbade registrerade
- Konsekvenser för registrerade
- Vidtagna och planerade åtgärder
- Uppföljning och åtgärdsplan
Långsiktig: 6. Förebyggande åtgärder för att undvika återfall 7. Dokumentation i incidentregister (5 års retention)
💰 Kostnad för PUB-avtal
Ingår i ordinarie pris (kostnadsfritt)
✅ Teckna och administrera PUB-avtal
✅ Normal uppsägning med 30 dagars varsel
✅ Standard-export (JSON/SQL) vid avtalets upphörande
✅ Årlig säkerhetsgranskning med rapport
✅ Incidenthantering och rapportering
✅ DSAR-hantering (export, rättelse, radering)
✅ Intyg och dokumentation
Tillkommande kostnader (om tillämpligt)
⚠️ Uppsägning med omedelbar verkan (mindre än 30 dagars varsel) - Debiteras enligt timkostnad
⚠️ Specialformat för export (annat än JSON/SQL) - Debiteras enligt timkostnad
⚠️ Manuell återställning från gamla backups (>12 månader) - Debiteras enligt timkostnad
⚠️ Fysisk leverans (USB-disk, extern hårddisk) - Materialkostnad + frakt
⚠️ Extern revision (ISO 27001, SOC 2, penetration testing) - Kostnad delas av deltagande kommuner
📝 Så tecknar ni PUB-avtal
Steg 1: Kontakta oss
Email: kontakt@inducera.eu
Telefon: [XXX-XXX XX XX]
Kontaktperson: [VD:s namn]
Steg 2: Vi skickar avtal för granskning
Vi skickar komplett PUB-avtal (PDF) med:
- Huvudavtal (22 avsnitt enligt SKR-mall)
- Bilaga 1: Instruktion (xRex/tRex-specifik)
- Bilaga 2: Underbiträdeslista (hosting + AI-leverantörer)
Steg 3: Er juridiska granskning
Låt er dataskyddsansvarige och/eller jurist granska avtalet.
Vi svarar gärna på frågor och kan göra mindre justeringar.
Steg 4: Undertecknande
Traditionell signering: Skriv ut, signera, skanna, skicka tillbaka
Digital signering (rekommenderas): BankID via Scrive eller annan e-signeringstjänst
Steg 5: Aktivering i system
Efter mottagande av undertecknat avtal:
- Vi aktiverar PUB-läge för er kommun (inom 24h)
- Ni får bekräftelse via email
- System övergår från integritetsläge till PUB-läge automatiskt
❓ Vanliga frågor
Kan vi använda xRex/tRex utan PUB-avtal?
Ja! Systemet fungerar i "integritetsläge" där:
- Elevens namn endast sparas lokalt i webbläsaren (scrubbed från AI och server)
- AI-coachen använder
[ElevNamn]-platshållare som ersätts lokalt (samma som med PUB-avtal) - Aktivitetsdata sparas anonymt (ingen koppling till individ)
- Skillnad: Läraren ser endast pseudonyma ID, inte elevens namn
Men: Vi rekommenderar PUB-läge för bästa pedagogiska resultat och transparent personuppgiftshantering.
Vad kostar det att teckna PUB-avtal?
Ingår utan extra kostnad i ordinarie xRex/tRex-licens.
Hur lång giltighetstid har avtalet?
Tillsvidare med 30 dagars uppsägningstid (enligt PUB-avtal punkt 15).
Kan vi säga upp endast PUB-avtalet (men fortsätta använda systemet)?
Ja! Systemet övergår då automatiskt till integritetsläge. Elevdata från PUB-perioden hanteras enligt avtalets upphörande (återlämning eller radering inom 30 dagar).
Vad händer om Inducera AB går i konkurs?
Enligt PUB-avtal punkt 12.3 har ni rätt att instruera underbiträden (hosting-leverantör, AI-leverantörer) direkt vid konkurs. Konkursförvaltare ansvarar för att data raderas eller överlämnas enligt avtal.
Kan vi granska Induceras system?
Ja! Enligt PUB-avtal punkt 9.3 har ni rätt att granska med 14 dagars varsel. Vi tillhandahåller då:
- Loggåtkomst
- Säkerhetsdokumentation
- Underbiträdesavtal
- System-demonstration
Hur länge sparas elevdata?
Innevarande + 1 läsår, därefter automatisk radering (enligt Bilaga 1 punkt 4).
Exempel: Data från läsåret 2025/2026 raderas sommaren 2027.
Behandlas elevdata utanför EU?
Ja, delvis. AI-anrop skickas till USA (OpenAI/Anthropic) och Irland (Google). Detta sker enligt Standard Contractual Clauses (SCC) och med namnscrubbing (elevens namn ersätts med "jag" automatiskt - både bas och smart kontextmedveten anonymisering).
Primär lagring (databas) sker hos Strato AG i Tyskland (EU).
Kan elever använda systemet hemifrån?
Ja! Med molnsynkronisering kan elever logga in hemma och fortsätta där de slutade i skolan. Data synkas säkert mellan enheter (med samma skyddsnivå som i skolan).
📞 Kontakt
Frågor om PUB-avtal
Allmänna frågor:
Email: kontakt@inducera.eu
Telefon: [XXX-XXX XX XX]
Dataskyddsfrågor:
Dataskyddsombud: Sonny Andersson
Email: privacy@inducera.eu
Telefon: [XXX-XXX XX XX]
Incidentrapportering (brådskande):
Email: incident@inducera.eu
Telefon: [XXX-XXX XX XX] (24/7)
Mer information
Hemsida: www.xrex.se/dataskydd
Dokumentation: Se denna mapp för kompletta dokument
SKR:s vägledning: skr.se/juridik/dataskyddsforordningengdpr/personuppgiftsbitradesavtalpubavtal
Dokument ägs av: Inducera AB
Senast uppdaterad: 2026-01-28
Nästa granskning: 2027-01-28
Version: 1.0
Bilagor
Bilaga A: PUB-avtal (ifyllt exempel) (PUBavtal_xRex_IFYLLD_EXEMPEL.md)
Bilaga B: Teknisk specifikation (xRex_Teknisk_Specifikation_Privacy.md)
Bilaga C: Personuppgiftshantering översikt (xRex_Personuppgiftshantering.md)
Bilaga D: FAQ om dataskydd (se separat dokument)