Hopp til innhold

Vi er i samsvar med GDPR

Vi oppfyller kravene fullt ut for alle våre tjenester.
Systemer og retningslinjer
Denne erklæringen beskriver hvorfor vi behandler og hvordan vi beskytter personopplysninger.
Underprosessorer
itslearning bruker tredjepartsleverandører til å bistå i forbindelse med levering av tjenester.
Sikkerhetstiltak
Vi har iverksatt både organisatoriske og tekniske sikkerhetstiltak.
Forespørsel om data
Vi overholder internasjonale regler om enkeltpersoners rett til personvern.

Informasjon til våre kunder om GDPR

EUs personvernforordning (GDPR), som ble vedtatt av EU-parlamentet i 2016, er den viktigste endringen innen personvernregulering på 20 år. Den erstatter personverndirektivet 95/46/EF og lokale lover og forskrifter i hele EU/EØS. Den nye forordningen er utformet for å styrke den enkeltes rett til personvern og harmonisere personvernlovgivningen i hele Europa.

itslearning har vært opptatt av personvern siden selskapet ble grunnlagt i 1999 og ønsker den nye forordningen velkommen. Vi vil fortsette å gjøre vårt for å sikre at alle kundene våre overholder GDPR. Det ligger et stort, uutnyttet potensial i å bruke teknologi og skytjenester til å forbedre undervisningspraksis og læringsresultater. En av nøklene til å utløse dette potensialet er å gjøre seg fortjent til tillit fra lærere, elever og foreldre. I så måte er det økte fokuset på databeskyttelse og personvern som følge av GDPR, en fordel for alle parter.

 

itslearning GDPR-forpliktelse

Vi oppfyller kravene til at alle våre tjenester, inkludert itslearning, Fronter og SkoleIntra, skal være GDPR-klare. Vi har jobbet med GDPR i lang tid for å analysere den nye forordningen og gjøre de nødvendige endringene i våre tjenester, prosedyrer og organisasjon. I løpet av de siste månedene har vi gjort tilgjengelig all dokumentasjon, kontraktstillegg og prosedyrer som trengs for å bevise at dere overholder GDPR.

Det er viktig å si at for skytjenestene vi leverer til kundene våre og deres sluttbrukere, er itslearning det som både eksisterende og ny EU-forordning definerer som en databehandler. Som databehandler bestemmer vi ikke formålet med eller lovligheten av behandlingen, vi behandler bare data på vegne av kundene våre. GDPR-regelverket stiller strengere krav til alle databehandlere.

Vår forpliktelse til GDPR krever at vi jobber for å:

  • Sørge for organisatorisk og teknisk sikkerhet for alle tjenester.
  • Vi hjelper deg med dokumentasjonen du trenger for å dokumentere samsvar og informere brukerne.
  • Gi deg nye kontraktstillegg som er i samsvar med GDPRs krav til databehandleravtaler (DPA)
  • Vi gir deg nødvendig støtte når brukerne dine utøver sine rettigheter som registrerte. Du finner mer informasjon på GDPR Data Request-siden på vårsupportside.

itslearning har et personvernombud (DPO) som definert i GDPR. I tillegg til å overvåke vår egen etterlevelse og gi råd og opplæring til våre egne ansatte, er vårt personvernombud tilgjengelig for våre kunder og deres personvernombud for å diskutere personvernspørsmål.

Kontaktinformasjon for vårt personvernombud:
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
privacy@itslearning.com

 

GDPR-kundekrav

Generelt krever GDPR at du:

  • Dokumenter og vurder all behandling av personopplysninger og systemene som brukes. Formålet med og lovligheten av behandlingen bør defineres, og du bør sørge for at du ikke behandler personopplysninger som ikke er nødvendige for det definerte formålet.
  • Sørge for organisatorisk og teknisk sikkerhet i forbindelse med behandlingen, og kunne dokumentere dette. Vurder de interne prosessene for datalagring og datasikkerhet, og dokumenter det. Sørg for at din egen teknologi kan sørge for tilstrekkelig teknisk sikkerhet, og dokumenter dette.
  • Når du bruker tredjeparts tjenester, som våre, til å behandle personopplysninger, må du sørge for at kravene til databehandling er i samsvar med GDPR.
  • Når du anskaffer ny teknologi som sannsynligvis vil medføre en høy risiko for personopplysninger, må du utføre en risikoanalyse - en konsekvensanalyse for personvern (DPIA). Som eksisterende kunde er ikke tjenestene våre ny teknologi for deg. Men det kan likevel være en god idé å gjennomføre en DPIA, og det vil hjelpe deg med å dokumentere samsvar.
  • Brukerne (de registrerte) har sterkere rettigheter i henhold til GDPR. Kundene våre må ha en prosess på plass for å ta imot forespørsler fra de registrerte og for å vurdere gyldigheten av forespørslene.
  • En særlig viktig rettighet for de registrerte er åpenhet og informasjon. Sørg for at informasjonen til brukerne dine om alt som kreves i henhold til GDPR, er lett tilgjengelig, inkludert hvordan de kan utøve rettighetene sine. Hvis brukerne dine er unge, bør du sørge for at denne informasjonen også er tilgjengelig for foreldrene.
  • Gjennomgå itslearning Databehandleravtale, som har til formål å regulere rettigheter og plikter i henhold til den europeiske personvernlovgivningen, herunder GDPR-regelverket, som gjelder for den behandlingsansvarlige i forbindelse med abonnementsavtalen for standardtjenesten.

Last ned itslearning Databehandleravtale.

For generelle spørsmål knyttet til itslearning produkter og tjenester, kan du som alltid kontakte vår supportorganisasjon. For kontraktsmessige eller kommersielle spørsmål, vennligst kontakt din kundeansvarlige.

For spesifikke GDPR-relaterte spørsmål fra våre kunder, vennligst kontakt vårt personvernombud via e-post privacy@itslearning.com eller ring +35 89 122 4791. All kommunikasjon med vårt personvernombud må foregå på engelsk.

Vil GDPR kreve at vi innhenter samtykke fra alle brukerne våre (eller foreldrene deres)?

For de fleste av kundene våre, nei. I henhold til GDPR er samtykke bare én av seks lovlige grunner til å behandle data. Kundene våre må velge det lovlige grunnlaget som best gjenspeiler det reelle forholdet mellom deg og brukerne dine. For de fleste av våre kunder vil samtykke ikke være det mest hensiktsmessige rettslige grunnlaget for behandlingen. For mange av kundene våre vil det rettslige grunnlaget for behandlingen være knyttet til oppgaver som utføres i allmennhetens interesse, eller som er knyttet til deres rettslige forpliktelser.

Kan itslearning bruke personopplysninger til egne formål?

Både i dag og i henhold til den nye GDPR-forordningen kan vi bare behandle data på direkte instruks fra kundene våre. Opplysningene er dine, og bare en håndfull ansatte på itslearning har tilgang til personopplysningene under streng konfidensialitet og sikkerhet. Vi kan bare behandle personopplysninger uavhengig av hverandre hvis det er avgjørende for tjenestens integritet eller sikkerhet, eller for å analysere eller evaluere kvaliteten på tjenesten som leveres.

Hva slags informasjon er vi forpliktet til å gi brukerne om behandlingen av personopplysninger?

Retten til åpenhet og informasjon til brukerne (eller deres foreldre) står sterkt under GDPR. Informasjon du må gjøre lett tilgjengelig, kan omfatte

  • Identitet og kontaktinformasjon til den behandlingsansvarlige/den behandlingsansvarliges representant
  • Kontaktopplysningene til personvernombudet
  • Formålet med behandlingen og det rettslige grunnlaget for behandlingen av opplysningene
  • Eventuelle intensjoner om å overføre personopplysninger til et tredjeland (utenfor EU/EØS) og hvilke sikkerhetstiltak som er iverksatt, samt hvordan du kan få en kopi av disse.
  • Perioden personopplysningene skal lagres, eller kriterier som bestemmer perioden.
  • Den registrertes rettigheter (innsyn, retting, sletting osv.)
  • Retten til å klage til tilsynsmyndigheten
  • Hvor dataene stammer fra
  • All bruk av automatisk beslutningstaking/profilering.
Kan noen av brukerne våre nå kreve at vi sletter opplysningene deres ("retten til å bli glemt")?

Sannsynligvis ikke. En bruker kan bare kreve at opplysningene slettes hvis det rettslige grunnlaget for behandlingen er Samtykke (se ovenfor), eller hvis det opprinnelige formålet eller lovligheten ikke lenger er gyldig. Kundene våre må ha prosesser på plass for å nøye vurdere de registrertes forespørsler om å få opplysningene sine slettet. Du kan kontakte vårt personvernombud for å få råd i vanskelige tilfeller. Hvis en registrert får rett til å bli slettet, vil itslearning , enten gjennom programvaren vår eller støttetjenestene våre, være tilgjengelig for å hjelpe den registrerte med å utøve sine rettigheter.

Kan brukerne våre nå kreve at vi gir dem en kopi av alle personopplysningene deres?

Til en viss grad, ja. Alle brukerne dine har nå sterke rettigheter til åpenhet, informasjon og datatilgang. Alle registrerte kan utøve sine rettigheter ved å be om en kopi av alle personopplysningene sine, så lenge det ikke går ut over andre, eller hvis disse opplysningene ikke allerede er tilgjengelige for ham/henne. Dette er imidlertid ikke en absolutt rettighet; andre lover kan kreve at du beskytter den registrerte, eller andre, fra å få tilgang til visse typer informasjon. Du må nøye vurdere disse forespørslene i henhold til GDPR opp mot rettigheter og forpliktelser i andre regelverk. Du kan kontakte personvernombudet vårt for å få råd i vanskelige tilfeller. Hvis en registrert får rett til innsyn, vil itslearning , enten gjennom programvaren vår eller støttetjenestene våre, være tilgjengelig for å hjelpe den registrerte med å utøve rettighetene sine.

Kan en bruker kontakte itslearning direkte (f.eks. elev, forelder, lærer) for å utøve sine rettigheter i henhold til GDPR?

I henhold til GDPR er den registrertes (brukerens) rettigheter en sak mellom den registrerte og den behandlingsansvarlige (våre kunder). Eventuelle forespørsler fra sluttbrukere til itslearning vil bli overlevert til kunden. itslearning vil samarbeide i god tro med kundene for å sikre at de kan utøve rettighetene til de registrerte på en rask måte.

Når sletter itslearning personopplysninger?

itslearning sletter personopplysninger etter instruks fra våre kunder, eller hvis kontrakten mellom oss og kunden avsluttes. Prosedyrene rundt sletting av kundedata ved avslutning av tjenesten skal være skriftlig eller nedfelt i en databehandleravtale.

En instruks om å slette en bruker i våre tjenester kan enten utføres manuelt i plattformen av en kundebehandler, utføres automatisk gjennom en integrasjon med et studentadministrativt system (eller lignende) eller på forespørsel til vår supportorganisasjon.

Når brukere slettes i systemene våre, finnes det sikkerhetstiltak for å forhindre feil som fører til uerstattelige tap av data. I mange tilfeller må kundene manuelt bekrefte sletting av kundedata, inkludert personopplysninger.

Må itslearning varsle brukerne hvis de har blitt rammet av et datainnbrudd?

Avhengig av arten av datainnbruddet kan kundene våre være pålagt å varsle både de berørte brukerne og tilsynsmyndighetene. itslearning er pålagt å varsle kundene sine når de blir oppmerksomme på et datainnbrudd, og å hjelpe dem med å oppfylle sine forpliktelser til å varsle brukerne.

Må jeg utnevne et personvernombud?

Ja, i mange tilfeller. Du er pålagt å utnevne et personvernombud hvis du:
a) Er en offentlig/statlig institusjon
b) Behandler visse typer sensitive opplysninger i stor skala
c) Behandlingen innebærer overvåking eller kontroll i stor skala

Vær oppmerksom på at det er organisasjonen, ikke systemet, som trenger et personvernombud. I mange tilfeller kan organisasjonen din allerede ha et personvernombud. Personvernombudet kan være en innleid rolle. Mange offentlige institusjoner tilbyr personvernombudstjenester til andre institusjoner.

 
Kan jeg kreve at en leverandør av skytjenester, som itslearning, kun hoster personopplysninger i mitt land?

Et av hovedmålene med den nye personvernforordningen er fri flyt av personopplysninger innenfor Det europeiske økonomiske samarbeidsområdet (EØS), under ett felles regelverk. I de fleste tilfeller vil det ikke være tillatt å begrense leverandørers behandling av data på tvers av EØS-området i henhold til GDPR.

Behandler itslearning data utenfor EØS? Er det tillatt å behandle opplysninger utenfor EØS?

GDPR forbyr ikke at personopplysninger flyter utenfor EØS, men den innfører strenge sikkerhetstiltak for å sikre at all behandling av opplysninger utenfor EØS skjer i henhold til prinsippene i GDPR. I tillegg må behandlingsansvarlige eller databehandlere som behandler opplysninger utenfor EØS, gi detaljert informasjon om behandlingens art, og i noen tilfeller gi kunder eller brukere mulighet til å motsette seg behandlingen.

For de fleste av våre europeiske kunder behandler itslearning alle personopplysninger innenfor EØS. Det finnes noen unntak i tilfeller der itslearning legger til rette for valgfri integrasjon med tredjepartsverktøy eller -tjenester utenfor EØS. I disse tilfellene må både itslearning og kundene våre følge kravene i GDPR.

Jeg har hørt at itslearning ikke er sikkert nok i henhold til GDPR! Er dette sant?

GDPR stiller ikke detaljerte krav til hva som utgjør en "sikker" skybasert tjeneste. Det er et felles ansvar for kundene våre (behandlingsansvarlige) og itslearning (databehandleren) å sørge for tilstrekkelig organisatorisk og teknisk sikkerhet for personopplysningene som behandles, og å kunne dokumentere dette. Den viktigste endringen fra gjeldende regelverk til GDPR er en styrking av ansvaret for organisasjoner som ikke sørger for tilstrekkelig sikkerhet.
I to tiår har itslearning med hell beskyttet behandlingen av personopplysninger om millioner av brukere. Tidligere resultater er imidlertid ikke alltid en indikasjon på fremtidige resultater. Derfor investerer vi kontinuerlig i organisatorisk sikkerhet, nettverks- og infrastruktursikkerhet og applikasjonssikkerhet for å sikre at vi kan tilby mer enn det som er passende sikkerhet for sluttbrukerne våre. Vi tillater også regelmessig at tredjeparter reviderer sikkerheten vår, og vi ønsker kundene våre velkommen til å utføre sine egne revisjoner.

Som de fleste programvareselskaper går ikke itslearning i detalj om sikkerhetstiltakene som er iverksatt. Men blant de sikkerhetstiltakene og prosessene som er på plass for å beskytte mot kjente trusler, er blant annet

  • Applikasjonssikkerhet, for eksempel bruk av kryptering av all trafikk, sterkt hashede passord, beskyttelse mot sårbarheter som Cross Site Scripting, SQL-injeksjoner, phishing og annet.
  • Nettverkssikkerhet, brannmurer og systemer for å oppdage mistenkelig atferd, eller for å stoppe ondsinnede forsøk på å få tilgang eller svekke tjenestens robusthet (f.eks. DDOS-angrep).
  • Organisatorisk sikkerhet, som tilgangspolicyer, revisjonslogger og konfidensialitetsavtaler.
  • Fysisk sikkerhet for å hindre uautorisert tilgang til infrastruktur som behandler personopplysninger.
  • Prosedyresikkerhet - IT-administrasjonsprosesser for å minimere risikoen for menneskelige feil, eller testregimer for å identifisere svakheter i programvaren før vi lanserer nye funksjoner i skytjenestene våre, eller retningslinjer for å sikre at data bare behandles etter instruks fra kundene våre.
Hvor får itslearning personopplysninger om brukerne fra?

itslearning innhenter ikke uavhengig brukerdata til våre tjenester. Brukerdata kan enten sendes inn manuelt til plattformen av kundenes representanter, gjennom en integrasjon med et tredjepartssystem, eller i noen tilfeller av brukerne selv.

Personopplysningene i itslearning kommer som oftest fra "studentinformasjonssystemer" som kundene våre kontrollerer. Vi importerer kun data fra tredjepartssystemer etter instruks fra våre kunder.

Sender itslearning data til tredjeparter?

itslearning sender ikke data til tredjeparter på egen hånd uten instruks fra våre kunder eller en juridisk forpliktelse til å gjøre det. En instruks fra en kunde kan komme i form av en avtale om å integrere med et tredjepartsverktøy eller -tjeneste, eller at kundens representanter selv setter opp en integrasjon med et tredjepartsverktøy eller -tjeneste. itslearning iverksetter tiltak for å forhindre at kunder sender data til tredjeparter uten å overholde personvernregelverket. Det er imidlertid viktig at kundene våre implementerer sikkerhetstiltak for å sikre at data ikke overføres til tredjeparter uten at de overholder sine juridiske forpliktelser.

Påvirker GDPR amerikanske kunder eller amerikanske sluttbrukere?

Ikke juridisk sett. EU har selvsagt ingen lovgivende makt på amerikansk jord. GDPR gir ingen rettigheter eller friheter til registrerte som befinner seg i USA. Og GDPR pålegger ikke amerikanske kunder som ikke behandler opplysninger om registrerte i EU/EØS, noen forpliktelser. Rettighetene og pliktene til registrerte og organisasjoner i USA er sikret gjennom delstatlige eller føderale forskrifter, eller gjennom avtalefestede eller frivillige ordninger.

Men itslearning tilbyr stort sett de samme tjenestene og det samme sikkerhetsnivået til våre amerikanske kunder som vi tilbyr våre europeiske kunder. Amerikanske kunder vil dra nytte av itslearning s tilnærming til, og kultur for, sikring av personopplysninger i henhold til GDPR. De grunnleggende prinsippene for europeisk personvern er en del av strukturen og de kontraktsmessige forpliktelsene vi tilbyr våre amerikanske kunder.