# DPIA v0 — matte-plattformen (preprod)

**Status:** v0 utkast. Slutförs innan B2C beta (M8).
**Författare:** — (fyll i när formell review görs)
**Senast uppdaterad:** 2026-04-16

Denna DPIA genomförs enligt GDPR art. 35 samt EU AI Act art. 9 (riskhanteringssystem
för högrisk-AI). Referens-arkitekturen finns i `~/.claude/plans/atomic-orbiting-sutton.md` §8.

---

## 1. Behandlingens övergripande syfte

Tillhandahålla adaptiv matematikinlärning åk F–9 + gymnasiet. AI används för att
välja nästa övning, nästa pedagogisk metod och för språkanpassning. Ingen
marknadsprofilering, ingen personlighetsanalys, ingen känsloigenkänning.

## 2. Behandlingsansvarig / biträde

- **B2C:** vi är behandlingsansvarig.
- **B2B (skolor):** skolan är behandlingsansvarig, vi är biträde. PUB-avtal
  ingås via mall som tas fram av advokatbyrå (se `pub-brief.md`).

## 3. Kategorier av personuppgifter

Endast *handlingsdata* — ingen biometri, ingen känslodata, ingen hälsoinfo.

| Kategori | Exempel | Lagringsort |
|---|---|---|
| Identifierare | student-uuid, tenant-id, vårdnadshavar-email | Postgres `matte.student`, `matte.consent` |
| Samtycke | scope, version, tidsstämplar | Postgres `matte.consent` |
| Interaktionsdata | atom_id, svar, svarstid, hints_used | Postgres (kommer M4) |
| Mastery-state | per-atom sannolikhet 0–1, decay-rate | Postgres (kommer M4) |
| Audit | decision-log med hash-kedja | Postgres `audit.event` |

## 4. Rättslig grund

- **B2C:** vårdnadshavarsamtycke (art. 6.1.a + art. 8) för barn under 13,
  samtycke av eleven själv 13–15 med vårdnadshavar-bekräftelse, själv 16+.
- **B2B:** skolans avtal med vårdnadshavare + berättigat intresse (art. 6.1.f).

## 5. Principbedömning (art. 5)

| Princip | Hur uppfylld |
|---|---|
| Lawfulness | Se §4 |
| Ändamålsbegränsning | student_state får endast användas för pedagogik, aldrig marknad |
| Dataminimering | Endast handlingsdata, inga personlighetsdata |
| Riktighet | Förälder/elev kan korrigera profil, mastery kan resettas |
| Lagringsminimering | Aktiv + 6 mån, sedan aggregerad/anonymiserad |
| Integritet | Audit-chain, least-privilege DB-access, token-baserad auth |
| Ansvarsskyldighet | DPIA + auditlogg + årlig extern review |

## 6. Risker och mitigationer

Rangordning: S (sannolikhet 1–3), K (konsekvens 1–3).

| Risk | S | K | Mitigation |
|---|---|---|---|
| AI ger pedagogiskt felaktigt svar | 2 | 2 | SymPy-gate hard-fail i M2. /audit logg. |
| LLM hallucinerar fakta | 2 | 2 | Content Factory genererar endast från verifierade seed; /verify används vid generering |
| Felaktig kunskapsgraf (fel prereq) | 2 | 2 | Expert-review-gate (M1+M2), graf-versionering |
| Barns data läcker utanför EU | 1 | 3 | Hela stacken i EU; molnmodeller endast för syntetisk design-data |
| Mastery-profil exfiltreras | 1 | 3 | TLS, token-auth, RBAC i Postgres, audit-log |
| Föräldrar kan ej påverka / förklara AI | 2 | 2 | /admin kill-switch, /audit/verify, M7-dashboard med "förklara detta beslut" |
| Systemet påverkar barn psykiskt (spelmissbruk) | 2 | 3 | Inga externa belöningar, max sessionstid i M5, föräldrainsyn |
| DPIA-kraven uppdateras efter lansering | 2 | 2 | DPIA versioneras, ny version per större release |
| LLM-prompt-injection | 2 | 2 | Systemprompt + input-sanitering i engine (M4); statiskt fallback vid PANIC |
| Audit-loggen manipuleras | 1 | 3 | Append-only trigger i Postgres, hash-kedja verifierbar via /audit/verify |

## 7. Inbyggda skydd (privacy by design)

- **Tenant-isolation** i Postgres (alla tabeller har tenant_id, M7 planerar RLS).
- **Kill-switches** (§10) för snabb nedgång vid incident.
- **PANIC** kan aktiveras av ops och skickar hela plattformen till 503-underhåll.
- **Samtycke som datagate:** all pedagogisk logik är beroende av aktivt consent.
- **Embedding-cache:** SHA-256 över text, ingen återidentifiering möjlig.

## 8. Samråd med registrerade

Vårdnadshavare informeras via samtyckesformulär om:
- exakt scope (pedagogik / aggregerad LoRA-träning / delning med skola)
- datakategorier som lagras
- återkallelse-processen (30 dagar till fullständig radering)
- rätt till export (export_state)

## 9. Åtgärdsplan

| Åtgärd | Ansvarig | Deadline |
|---|---|---|
| Färdig PUB-mall från advokat | advokatbyrå | innan M11 |
| Extern legal review av DPIA | advokatbyrå | innan M8 (B2C beta) |
| Red-team-test | ops | kvartalsvis |
| Bias-eval | ämnesexpert | månadsvis |
| Årlig konformitetsbedömning | extern | årlig |

## 10. DPIA-slutsats

I preprod hanteras inga riktiga barndata. Innan M8 måste DPIA godkännas av
extern jurist, samtliga kill-switches testas, och samtyckes-flödet UX-validerat
av minst 5 föräldrar.