Spring til indhold

Vi er i overensstemmelse med GDPR

Vi overholder fuldt ud kravene til alle vores tjenester.
Systemer og politikker
Denne politik beskriver, hvorfor vi behandler, og hvordan vi beskytter persondata.
Underprocessorer
itslearning bruger tredjepartsleverandører til at hjælpe i forbindelse med levering af tjenester.
Sikkerhedsforanstaltninger
Vi har implementeret både organisatoriske og tekniske sikkerhedsforanstaltninger.
Anmodning om data
Vi overholder internationale regler om enkeltpersoners ret til privatliv.

Information til vores kunder om GDPR

EU's generelle databeskyttelsesforordning (GDPR), der blev godkendt af Europa-Parlamentet i 2016, er den vigtigste ændring inden for databeskyttelseslovgivningen i 20 år. Den erstatter databeskyttelsesdirektivet 95/46/EF og lokale love og regler i hele EU/EØS. Den nye forordning er designet til at styrke individets ret til privatlivets fred og harmonisere databeskyttelseslovgivningen i hele Europa.

itslearning har været engageret i databeskyttelse siden grundlæggelsen i 1999 og hilser den nye forordning velkommen. Vi vil fortsat gøre vores del for at sikre, at alle vores kunder overholder GDPR. Der er et stort, uudnyttet potentiale i at bruge teknologi og cloud-tjenester til at forbedre undervisningspraksis og læringsresultater. En af nøglerne til at frigøre dette potentiale er at gøre sig fortjent til lærernes, elevernes og forældrenes tillid. I den forstand er det øgede fokus på databeskyttelse og privatlivets fred på grund af GDPR til gavn for alle parter.

 

itslearning GDPR-forpligtelse

Vi overholder fuldt ud kravene til, at alle vores tjenester, herunder itslearning, Fronter og SkoleIntra, skal være klar til GDPR. Vi har arbejdet med GDPR i lang tid for at analysere den nye forordning og foretage de nødvendige ændringer i vores tjenester, procedurer og organisation. I løbet af de seneste måneder har vi gjort al dokumentation, kontrakttillæg og procedurer tilgængelige, som er nødvendige for at bevise, at du overholder GDPR.

Det er vigtigt at sige, at for de cloud-tjenester, vi leverer til vores kunder og deres slutbrugere, er itslearning det, som både eksisterende og ny EU-regulering definerer som en databehandler. Som databehandler bestemmer vi ikke formålet med eller lovligheden af behandlingen, vi behandler blot data på vores kunders vegne. GDPR-reglerne stiller strengere krav til alle databehandlere.

Vores engagement i GDPR kræver, at vi arbejder for at:

  • Sikre organisatorisk og teknisk sikkerhed for alle tjenester.
  • Hjælp dig med den dokumentation, der er nødvendig for at demonstrere compliance og informere dine brugere.
  • Giv dig nye kontrakttillæg, der overholder GDPR's krav til databehandlingsaftaler (DPA)
  • Giv dig den nødvendige støtte, når dine brugere udøver deres rettigheder som registrerede. Du kan finde flere oplysninger på GDPR Data Request page på vores Support site.

itslearning har en databeskyttelsesrådgiver (DPO) som defineret i GDPR. Ud over at overvåge vores egen overholdelse og give råd og uddannelse til vores eget personale, står vores DPO til rådighed for vores kunder og deres DPO'er for at diskutere spørgsmål om databeskyttelse.

Kontaktoplysninger for vores DPO:
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
privacy@itslearning.com

 

GDPR-kundekrav

Generelt kræver GDPR, at du gør det:

  • Dokumentér og vurder al behandling af personoplysninger og de systemer, der anvendes. Formålet med og lovligheden af behandlingen skal defineres, og du skal sikre dig, at du ikke behandler personoplysninger, som ikke er nødvendige for det definerede formål.
  • Sørg for organisatorisk og teknisk sikkerhed i forbindelse med behandlingen, og vær i stand til at demonstrere det. Vurder dine interne processer for dataopbevaring og -sikkerhed, og dokumenter det. Sørg for, at din egen teknologi kan give tilstrækkelig teknisk sikkerhed, og dokumenter det.
  • Når du bruger tredjepartstjenester, som vores, til at behandle personoplysninger, skal du sikre dig, at kravene til databehandling er i overensstemmelse med GDPR.
  • Når du anskaffer ny teknologi, som sandsynligvis vil medføre en høj risiko for personoplysninger, skal du udføre en risikoanalyse - en konsekvensanalyse af databeskyttelse (DPIA). Som eksisterende kunde er vores tjenester ikke ny teknologi for dig. Men det kan stadig være en god idé at foretage en DPIA, og det vil hjælpe dig med at dokumentere compliance.
  • Brugere (registrerede) har stærkere rettigheder under GDPR. Vores kunder skal have en proces på plads til at tage imod anmodninger fra registrerede og til at vurdere gyldigheden af anmodningerne.
  • En særlig vigtig rettighed for den registrerede er gennemsigtighed og information. Sørg for, at oplysningerne til dine brugere om alt, hvad der kræves i henhold til GDPR, er let tilgængelige, herunder hvordan de kan udøve deres rettigheder. Hvis dine brugere er unge, skal du sørge for, at disse oplysninger også er tilgængelige for forældrene.
  • Gennemgå itslearning Databehandleraftale, hvis formål er at regulere de rettigheder og pligter i henhold til den europæiske databeskyttelseslovgivning, herunder GDPR-reglerne, der gælder for den dataansvarlige i forbindelse med Standard Service Subscription Agreement.

Download itslearning Databehandleraftale.

Hvis du har generelle spørgsmål om itslearning 's produkter og tjenester, kan du som altid kontakte vores supportorganisation. For kontraktlige eller kommercielle spørgsmål bedes du kontakte din account manager.

For specifikke GDPR-relaterede spørgsmål fra vores kunder bedes du kontakte vores databeskyttelsesrådgiver via e-mail privacy@itslearning.com eller ringe til +35 89 122 4791. Al kommunikation med vores DPO skal foregå på engelsk.

Vil GDPR kræve, at vi får samtykke fra alle vores brugere (eller deres forældre)?

For de fleste af vores kunder, nej. I henhold til GDPR er samtykke kun en af seks lovlige grunde til at behandle data. Vores kunder skal vælge det lovlige grundlag, der bedst afspejler den sande karakter af forholdet mellem dig og dine brugere. For de fleste af vores kunder vil samtykke ikke være det mest hensigtsmæssige lovlige grundlag for behandlingen. For mange af vores kunder vil det lovlige behandlingsgrundlag være relateret til opgaver, der udføres i offentlighedens interesse, eller som er relateret til dine juridiske forpligtelser.

Kan itslearning bruge persondata til egne formål?

Nej. Både nu og under den nye GDPR-forordning kan vi kun behandle data efter direkte instrukser fra vores kunder. Dataene er dine, og kun en håndfuld medarbejdere på itslearning har adgang til persondata under streng fortrolighed og sikkerhed. Vi kan kun behandle personoplysninger uafhængigt, hvis det er afgørende for tjenestens integritet eller sikkerhed eller for at analysere eller evaluere kvaliteten af den leverede tjeneste.

Hvilken slags information er vi forpligtet til at give brugerne om behandlingen af personoplysninger?

Retten til gennemsigtighed og information til brugerne (eller deres forældre) er stærk under GDPR. De oplysninger, du skal gøre let tilgængelige, kan omfatte:

  • Identitet og kontaktoplysninger for den dataansvarlige/den dataansvarliges repræsentant
  • Kontaktoplysninger på den databeskyttelsesansvarlige
  • Formålet med behandlingen og det juridiske grundlag for behandlingen af dataene
  • Eventuelle intentioner om at overføre personoplysninger til et tredjeland (uden for EU/EØS), og hvilke sikkerhedsforanstaltninger der er truffet, samt hvordan man kan få en kopi af dem.
  • Den periode, hvor personoplysningerne vil blive opbevaret, eller kriterier, der bestemmer perioden.
  • Den registreredes rettigheder (adgang, berigtigelse, sletning osv.)
  • Retten til at indgive en klage til tilsynsmyndigheden
  • Hvor data stammer fra
  • Enhver brug af automatisk beslutningstagning/profilering.
Kan nogen af vores brugere nu kræve, at vi sletter deres data ("retten til at blive glemt")?

Sandsynligvis ikke. En bruger kan kun kræve sine data slettet, hvis det lovlige grundlag for behandlingen er Samtykke (se ovenfor), eller hvis det oprindelige formål eller den oprindelige lovlighed ikke længere er gyldig. Vores kunder skal have processer på plads til nøje at evaluere de registreredes anmodninger om at få deres data slettet. Du kan kontakte vores databeskyttelsesrådgiver for at få rådgivning i vanskelige tilfælde. Hvis en registreret får ret til at blive slettet, vil itslearning enten via vores software eller vores supporttjenester være til rådighed for at hjælpe med at udøve den registreredes rettigheder.

Kan vores brugere nu kræve, at vi giver dem en kopi af alle deres persondata?

Til en vis grad, ja. Alle dine brugere har nu stærke rettigheder til gennemsigtighed, information og dataadgang. Enhver registreret kan udøve sin ret til at anmode om en kopi af alle sine personlige data, så længe det ikke påvirker andre negativt, eller hvis disse data ikke allerede er tilgængelige for ham/hende. Dette er dog ikke en absolut ret; andre love kan kræve, at du beskytter den registrerede eller andre mod at få adgang til visse typer oplysninger. Du skal nøje vurdere disse anmodninger i henhold til GDPR i forhold til rettigheder og forpligtelser i andre bestemmelser. Du kan kontakte vores databeskyttelsesrådgiver for at få rådgivning i vanskelige tilfælde. Hvis en registreret får ret til adgang, vil itslearning enten via vores software eller vores supporttjenester være til rådighed for at hjælpe med at udføre den registreredes rettigheder.

Kan en bruger kontakte itslearning direkte (f.eks. elev, forælder, lærer) for at udøve sine rettigheder i henhold til GDPR?

Nej. I henhold til GDPR er den registreredes (brugerens) rettigheder mellem ham og den dataansvarlige (vores kunder). Eventuelle anmodninger fra slutbrugere til itslearning vil blive overdraget til kunden. itslearning vil samarbejde i god tro med kunderne for at sikre, at de kan udøve de registreredes rettigheder på en hurtig måde.

Hvornår sletter itslearning personlige data?

itslearning sletter persondata, når vores kunder beder os om det, eller hvis kontrakten mellem os og kunden ophører. Procedurerne for sletning af kundedata ved ophør af service skal angives skriftligt eller i en databehandleraftale.

En instruktion om at slette en bruger i vores tjenester kan enten udføres manuelt i platformen af en kunderepræsentant, udføres automatisk gennem en integration med et studieadministrativt system (eller lignende) eller efter anmodning til vores supportorganisation.

Når brugere slettes i vores systemer, er der sikkerhedsforanstaltninger på plads for at forhindre fejl, der fører til et uerstatteligt tab af data. I mange tilfælde skal kunderne manuelt bekræfte sletningen af kundedata, herunder personoplysninger.

Skal itslearning underrette brugerne, hvis de er blevet ramt af et databrud?

Afhængigt af arten af databruddet kan vores kunder være forpligtet til straks at underrette både de berørte brugere og de tilsynsførende myndigheder. itslearning er forpligtet til at underrette sine kunder, når de bliver opmærksomme på et databrud, og til at hjælpe dem med at opfylde deres forpligtelser til at underrette brugerne.

Skal jeg udpege en databeskyttelsesansvarlig?

I mange tilfælde ja. Du er forpligtet til at udpege en databeskyttelsesrådgiver, hvis du:
a) Er en offentlig institution
b) Behandler visse typer følsomme data i stor skala
c) Behandlingen involverer overvågning eller kontrol i stor skala

Bemærk, at det er organisationen og ikke systemet, der har brug for en DPO. I mange tilfælde har din organisation måske allerede en DPO. DPO'en kan være en kontraktbaseret rolle. Mange offentlige institutioner tilbyder DPO-tjenester til andre institutioner.

 
Kan jeg kræve, at en cloud-tjenesteudbyder som itslearning kun hoster personlige data i mit land?

Et af hovedformålene med den nye persondataforordning er fri udveksling af persondata inden for Det Europæiske Økonomiske Samarbejdsområde (EØS) under én fælles forordning. I de fleste tilfælde vil det ikke være tilladt at begrænse leverandørers behandling af data på tværs af EØS under GDPR.

Behandler itslearning data uden for EØS? Er det tilladt at behandle data uden for EØS?

GDPR forbyder ikke, at persondata flyder uden for EØS, men den indfører stærke sikkerhedsforanstaltninger for at sikre, at enhver behandling af data uden for EØS sker i overensstemmelse med principperne i GDPR. Desuden skal dataansvarlige eller databehandlere, der behandler data uden for EØS, give detaljerede oplysninger om behandlingens art og i nogle tilfælde give kunder eller brugere mulighed for at gøre indsigelse mod behandlingen.

For de fleste af vores europæiske kunder behandler itslearning alle persondata inden for EØS. Der er nogle undtagelser i tilfælde, hvor itslearning faciliterer valgfri integration til tredjepartsværktøjer eller -tjenester, der ikke er baseret i EØS. I disse tilfælde skal både itslearning og vores kunder følge de krav, der er fastsat i GDPR.

Jeg har hørt, at itslearning ikke er sikkert nok under GDPR! Er dette sandt?

GDPR opstiller ikke detaljerede krav til, hvad der udgør en "sikker" cloudbaseret tjeneste. Det er vores kunders (dataansvarlige) og itslearning 's (databehandleren) fælles ansvar at sørge for passende organisatorisk og teknisk sikkerhed for de personoplysninger, der behandles, og være i stand til at påvise det. Den vigtigste ændring fra de nuværende regler til GDPR er en styrkelse af ansvaret for organisationer, der ikke sørger for passende sikkerhed.
I to årtier har itslearning med succes beskyttet behandlingen af millioner af brugeres persondata. Men tidligere resultater er ikke altid en indikation af fremtidige resultater. Derfor investerer vi løbende i organisatorisk sikkerhed, netværks- og infrastruktursikkerhed samt applikationssikkerhed for at sikre, at vi kan tilbyde mere end blot passende sikkerhed til vores slutbrugere. Vi lader også regelmæssigt tredjeparter revidere vores sikkerhed, og vi byder vores kunder velkommen til at udføre deres egne revisioner.

Som de fleste softwarevirksomheder går itslearning ikke i detaljer med de sikkerhedsforanstaltninger, der er indført. Men blandt de sikkerhedsforanstaltninger og processer, der er på plads for at beskytte mod kendte trusler, herunder:

  • Applikationssikkerhed, som f.eks. brug af kryptering af al trafik, stærkt hashede adgangskoder, beskytter mod sårbarheder som Cross site scripting, SQL-injektioner, phishing og andre.
  • Netværkssikkerhed, firewalls og systemer til at opdage mistænkelig adfærd eller til at stoppe ondsindede forsøg på at få adgang eller kompromittere tjenestens modstandsdygtighed (f.eks. DDOS-angreb).
  • Organisatorisk sikkerhed, f.eks. adgangspolitikker, revisionslogs og fortrolighedsaftaler.
  • Fysisk sikkerhed for at sikre forebyggelse af uautoriseret adgang til infrastruktur, der behandler personoplysninger.
  • Proceduremæssig sikkerhed - IT-styringsprocesser for at minimere risikoen for menneskelige fejl, eller testordninger for at identificere softwaresvagheder, før vi frigiver nye funktioner til vores cloudtjenester, eller politikker for at sikre, at data kun behandles efter instruktion fra vores kunder.
Hvor får itslearning personoplysninger om brugerne fra?

itslearning indhenter ikke uafhængigt brugerdata til vores tjenester. Brugerdata kan enten indsendes manuelt til platformen af kundernes repræsentanter, gennem en integration med et tredjepartssystem eller i nogle tilfælde af brugerne selv.

Persondata i itslearning kommer oftest fra "elevinformationssystemer", som vores kunder kontrollerer. Vi importerer kun data fra tredjepartssystemer efter instruktion fra vores kunder.

Sender itslearning data til tredjeparter?

itslearning sender ikke selvstændigt data til tredjeparter uden instruktion fra vores kunder eller en juridisk forpligtelse til at gøre det. En instruktion fra en kunde kan komme i form af en aftale om at integrere med et tredjepartsværktøj eller -tjeneste, eller at kundens repræsentanter selv opretter en integration med et tredjepartsværktøj eller -tjeneste. itslearning tager skridt til at forhindre kunder i at sende data til tredjeparter uden at overholde databeskyttelsesbestemmelserne. Det er dog vigtigt, at vores kunder implementerer sikkerhedsforanstaltninger for at sikre, at data ikke overføres til tredjeparter uden at overholde deres juridiske forpligtelser.

Påvirker GDPR amerikanske kunder eller amerikanske slutbrugere?

Ikke juridisk. EU har naturligvis ingen lovgivende magt på amerikansk jord. GDPR giver ingen rettigheder eller friheder til registrerede i USA. Og GDPR pålægger ikke amerikanske kunder, der ikke behandler data om registrerede i EU/EØS, nogen forpligtelser. Amerikanske registreredes og organisationers rettigheder og forpligtelser er sikret gennem statslige eller føderale regler eller gennem kontraktlige eller frivillige ordninger.

Men itslearning tilbyder stort set de samme tjenester og det samme sikkerhedsniveau til vores amerikanske kunder, som vi tilbyder vores europæiske kunder. Amerikanske kunder vil nyde godt af itslearning's tilgang til og kultur for sikring af persondata under GDPR. De grundlæggende principper for europæisk persondatabeskyttelse er en del af det stof og den kontraktlige forpligtelse, vi tilbyder vores amerikanske kunder.