Vi er i samsvar med GDPR

For de fleste av kundene våre, nei. I henhold til GDPR er samtykke bare én av seks lovlige grunner til å behandle data. Kundene våre må velge det lovlige grunnlaget som best gjenspeiler det reelle forholdet mellom deg og brukerne dine. For de fleste av våre kunder vil samtykke ikke være det mest hensiktsmessige rettslige grunnlaget for behandlingen. For mange av kundene våre vil det rettslige grunnlaget for behandlingen være knyttet til oppgaver som utføres i allmennhetens interesse, eller som er knyttet til deres rettslige forpliktelser.

Retten til åpenhet og informasjon til brukerne (eller deres foreldre) står sterkt under GDPR. Informasjon du må gjøre lett tilgjengelig, kan omfatte

• Identitet og kontaktinformasjon til den behandlingsansvarlige/den behandlingsansvarliges representant
• Kontaktopplysningene til personvernombudet
• Formålet med behandlingen og det rettslige grunnlaget for behandlingen av opplysningene
• Eventuelle intensjoner om å overføre personopplysninger til et tredjeland (utenfor EU/EØS) og hvilke sikkerhetstiltak som er iverksatt, samt hvordan du kan få en kopi av disse.
• Perioden personopplysningene skal lagres, eller kriterier som bestemmer perioden.
• Den registrertes rettigheter (innsyn, retting, sletting osv.)
• Retten til å klage til tilsynsmyndigheten
• Hvor dataene stammer fra
• All bruk av automatisk beslutningstaking/profilering.

Sannsynligvis ikke. En bruker kan bare kreve at opplysningene slettes hvis det rettslige grunnlaget for behandlingen er Samtykke (se ovenfor), eller hvis det opprinnelige formålet eller lovligheten ikke lenger er gyldig. Kundene våre må ha prosesser på plass for å nøye vurdere de registrertes forespørsler om å få opplysningene sine slettet. Du kan kontakte vårt personvernombud for å få råd i vanskelige tilfeller. Hvis en registrert får rett til å bli slettet, vil itslearning , enten gjennom programvaren vår eller støttetjenestene våre, være tilgjengelig for å hjelpe den registrerte med å utøve sine rettigheter.

Til en viss grad, ja. Alle brukerne dine har nå sterke rettigheter til åpenhet, informasjon og datatilgang. Alle registrerte kan utøve sine rettigheter ved å be om en kopi av alle personopplysningene sine, så lenge det ikke går ut over andre, eller hvis disse opplysningene ikke allerede er tilgjengelige for ham/henne. Dette er imidlertid ikke en absolutt rettighet; andre lover kan kreve at du beskytter den registrerte, eller andre, fra å få tilgang til visse typer informasjon. Du må nøye vurdere disse forespørslene i henhold til GDPR opp mot rettigheter og forpliktelser i andre regelverk. Du kan kontakte personvernombudet vårt for å få råd i vanskelige tilfeller. Hvis en registrert får rett til innsyn, vil itslearning , enten gjennom programvaren vår eller støttetjenestene våre, være tilgjengelig for å hjelpe den registrerte med å utøve rettighetene sine.

I henhold til GDPR er den registrertes (brukerens) rettigheter en sak mellom den registrerte og den behandlingsansvarlige (våre kunder). Eventuelle forespørsler fra sluttbrukere til itslearning vil bli overlevert til kunden. itslearning vil samarbeide i god tro med kundene for å sikre at de kan utøve rettighetene til de registrerte på en rask måte.

itslearning sletter personopplysninger etter instruks fra våre kunder, eller hvis kontrakten mellom oss og kunden avsluttes. Prosedyrene rundt sletting av kundedata ved avslutning av tjenesten skal være skriftlig eller nedfelt i en databehandleravtale.

En instruks om å slette en bruker i våre tjenester kan enten utføres manuelt i plattformen av en kundebehandler, utføres automatisk gjennom en integrasjon med et studentadministrativt system (eller lignende) eller på forespørsel til vår supportorganisasjon.

Når brukere slettes i systemene våre, finnes det sikkerhetstiltak for å forhindre feil som fører til uerstattelige tap av data. I mange tilfeller må kundene manuelt bekrefte sletting av kundedata, inkludert personopplysninger.

Avhengig av arten av datainnbruddet kan kundene våre være pålagt å varsle både de berørte brukerne og tilsynsmyndighetene. itslearning er pålagt å varsle kundene sine når de blir oppmerksomme på et datainnbrudd, og å hjelpe dem med å oppfylle sine forpliktelser til å varsle brukerne.

Et av hovedmålene med den nye personvernforordningen er fri flyt av personopplysninger innenfor Det europeiske økonomiske samarbeidsområdet (EØS), under ett felles regelverk. I de fleste tilfeller vil det ikke være tillatt å begrense leverandørers behandling av data på tvers av EØS-området i henhold til GDPR.

GDPR forbyr ikke at personopplysninger flyter utenfor EØS, men den innfører strenge sikkerhetstiltak for å sikre at all behandling av opplysninger utenfor EØS skjer i henhold til prinsippene i GDPR. I tillegg må behandlingsansvarlige eller databehandlere som behandler opplysninger utenfor EØS, gi detaljert informasjon om behandlingens art, og i noen tilfeller gi kunder eller brukere mulighet til å motsette seg behandlingen.

For de fleste av våre europeiske kunder behandler itslearning alle personopplysninger innenfor EØS. Det finnes noen unntak i tilfeller der itslearning legger til rette for valgfri integrasjon med tredjepartsverktøy eller -tjenester utenfor EØS. I disse tilfellene må både itslearning og kundene våre følge kravene i GDPR.

GDPR stiller ikke detaljerte krav til hva som utgjør en "sikker" skybasert tjeneste. Det er et felles ansvar for kundene våre (behandlingsansvarlige) og itslearning (databehandleren) å sørge for tilstrekkelig organisatorisk og teknisk sikkerhet for personopplysningene som behandles, og å kunne dokumentere dette. Den viktigste endringen fra gjeldende regelverk til GDPR er en styrking av ansvaret for organisasjoner som ikke sørger for tilstrekkelig sikkerhet.
I to tiår har itslearning med hell beskyttet behandlingen av personopplysninger om millioner av brukere. Tidligere resultater er imidlertid ikke alltid en indikasjon på fremtidige resultater. Derfor investerer vi kontinuerlig i organisatorisk sikkerhet, nettverks- og infrastruktursikkerhet og applikasjonssikkerhet for å sikre at vi kan tilby mer enn det som er passende sikkerhet for sluttbrukerne våre. Vi tillater også regelmessig at tredjeparter reviderer sikkerheten vår, og vi ønsker kundene våre velkommen til å utføre sine egne revisjoner.

Som de fleste programvareselskaper går ikke itslearning i detalj om sikkerhetstiltakene som er iverksatt. Men blant de sikkerhetstiltakene og prosessene som er på plass for å beskytte mot kjente trusler, er blant annet

• Applikasjonssikkerhet, for eksempel bruk av kryptering av all trafikk, sterkt hashede passord, beskyttelse mot sårbarheter som Cross Site Scripting, SQL-injeksjoner, phishing og annet.
• Nettverkssikkerhet, brannmurer og systemer for å oppdage mistenkelig atferd, eller for å stoppe ondsinnede forsøk på å få tilgang eller svekke tjenestens robusthet (f.eks. DDOS-angrep).
• Organisatorisk sikkerhet, som tilgangspolicyer, revisjonslogger og konfidensialitetsavtaler.
• Fysisk sikkerhet for å hindre uautorisert tilgang til infrastruktur som behandler personopplysninger.
• Prosedyresikkerhet - IT-administrasjonsprosesser for å minimere risikoen for menneskelige feil, eller testregimer for å identifisere svakheter i programvaren før vi lanserer nye funksjoner i skytjenestene våre, eller retningslinjer for å sikre at data bare behandles etter instruks fra kundene våre.

itslearning innhenter ikke uavhengig brukerdata til våre tjenester. Brukerdata kan enten sendes inn manuelt til plattformen av kundenes representanter, gjennom en integrasjon med et tredjepartssystem, eller i noen tilfeller av brukerne selv.

Personopplysningene i itslearning kommer som oftest fra "studentinformasjonssystemer" som kundene våre kontrollerer. Vi importerer kun data fra tredjepartssystemer etter instruks fra våre kunder.

itslearning sender ikke data til tredjeparter på egen hånd uten instruks fra våre kunder eller en juridisk forpliktelse til å gjøre det. En instruks fra en kunde kan komme i form av en avtale om å integrere med et tredjepartsverktøy eller -tjeneste, eller at kundens representanter selv setter opp en integrasjon med et tredjepartsverktøy eller -tjeneste. itslearning iverksetter tiltak for å forhindre at kunder sender data til tredjeparter uten å overholde personvernregelverket. Det er imidlertid viktig at kundene våre implementerer sikkerhetstiltak for å sikre at data ikke overføres til tredjeparter uten at de overholder sine juridiske forpliktelser.

Ikke juridisk sett. EU har selvsagt ingen lovgivende makt på amerikansk jord. GDPR gir ingen rettigheter eller friheter til registrerte som befinner seg i USA. Og GDPR pålegger ikke amerikanske kunder som ikke behandler opplysninger om registrerte i EU/EØS, noen forpliktelser. Rettighetene og pliktene til registrerte og organisasjoner i USA er sikret gjennom delstatlige eller føderale forskrifter, eller gjennom avtalefestede eller frivillige ordninger.

Men itslearning tilbyr stort sett de samme tjenestene og det samme sikkerhetsnivået til våre amerikanske kunder som vi tilbyr våre europeiske kunder. Amerikanske kunder vil dra nytte av itslearning s tilnærming til, og kultur for, sikring av personopplysninger i henhold til GDPR. De grunnleggende prinsippene for europeisk personvern er en del av strukturen og de kontraktsmessige forpliktelsene vi tilbyr våre amerikanske kunder.