Slik håndterer vi dataene dine

1. Roller etter GDPR

Vi har to typiske roller avhengig av hvem som bruker tjenesten:

• Behandlingsansvarlig

  Når enkeltbrukere registrerer seg direkte, er LexiCo AS behandlingsansvarlig for deres data.

• Databehandler

  Når en bedrift kjøper lisenser for sine ansatte, er bedriften behandlingsansvarlig og LexiCo AS er databehandler under en DPA (databehandleravtale).

2. Krypteringsmekanismer

Data beskyttes i flere lag:

• I transport

  TLS 1.3 på alle endepunkter. HSTS aktivert med 30 dagers maks-alder. Ingen HTTP-tilgang.

• I hvile

  AES-256 disk-kryptering på databasevolumene. Sensitive felt (API-nøkler, tokens) krypteres i tillegg per felt før insert.

• Passord

  ASP.NET Identity med PBKDF2-SHA512, 10 000+ iterasjoner og unik salt per bruker.

• Sertifikater (TSP)

  ECDSA P-256 signering med hash-kjedet evidens — tamper-evidens for hvert utstedt sertifikat. Offentlig nøkkel tilgjengelig på /.well-known/lexico-academy-tsp-key.

3. Dataflyt

All trafikk følger denne flyten — vi har bevisst designet bort eksterne tredjeparter for analytics og sporing:

1. 1

   Bruker → CDN

   Cloudflare (EU-edge) for DDoS-beskyttelse. Ingen logging av personlig identifiserbar trafikk.

2. 2

   CDN → App

   ASP.NET Core 8 hostet hos Hetzner i Tyskland og Finland.

3. 3

   App → Database

   SQL Server i samme datasenter. Privat nettverk, ingen offentlig endepunkt.

4. 4

   App → Backup

   Daglige krypterte backups til geo-redundant EU-lagring (90 dagers retensjon).

4. Underleverandører (sub-processors)

Komplett liste over hvem som behandler data på våre vegne. Alle har signert DPA, alle er innenfor EU/EØS:

5. Tilgangskontroll og audit

Tilgang til produksjonsdata er rolle-basert (RBAC) og krever MFA. Alle administrative handlinger logges i en uforanderlig audit-logg med tidsstempel, brukerid og handlingstype. Logger arkiveres i 12 måneder.

6. Hendelsesrespons (incident response)

Ved bekreftet sikkerhetshendelse som påvirker personopplysninger varsler vi:

• Datatilsynet

  Innen 72 timer (GDPR art. 33).

• Berørte brukere

  Hvis hendelsen sannsynligvis vil medføre høy risiko (GDPR art. 34).

• Bedriftskunder

  Per DPA-forpliktelser, normalt innen 24 timer.

7. Dataportabilitet og sletting

Du kan når som helst be om å få utlevert eller slettet dataene dine via profil-innstillingene eller ved å kontakte personvernkontakten:

• Eksport

  JSON-struktur med all profil-, kurs- og sertifikat-data. Leveres innen 30 dager.

• Sletting

  Konto + profil + progresjon slettes innen 30 dager. Sertifikater og TSP-evidens beholdes anonymisert i 10 år for verifiserbarhet.

• Bedrifts-eksport

  Company kan eksportere alle ansattes kurs-rapport via /Company/Reports.

8. AI-funksjoner og data

Noen kurs tilbyr automatiserte forslag (f.eks. tilpasset læringsplan). Vi sender aldri ditt navn, e-post eller fulle profil til eksterne leverandører. Kun anonymiserte fragmenter (kursprogresjon, nivå og valgte temaer) brukes der dette er nødvendig.

9. For bedriftskunder

Bedrifter som registrerer ansatte via en bedriftslisens får standard DPA-vilkår som del av abonnementet. Egen tilpasset DPA kan inngås for Enterprise-tier — kontakt salg.

10. Kontakt og dokumentasjon

Spørsmål om databehandling eller behov for dokumentasjon: