Spring til indhold
Luk
Anmod om en demo
Login
Log ind
Anmod om en demo
Login

Vi er i overensstemmelse med GDPR

Vi lever fuldt ud op til kravene for alle vores tjenester.
Systemer og politikker
Denne politik beskriver, hvorfor vi behandler, og hvordan vi beskytter personoplysninger.
Underbehandlere
itslearning bruger tredjepartsleverandører til at hjælpe i forbindelse med levering af tjenester.
Sikkerhedsforanstaltninger
Vi har implementeret både organisatoriske og tekniske sikkerhedsforanstaltninger.
Anmodning om data
Vi overholder internationale regler om enkeltpersoners ret til privatliv.

Information til vores kunder om GDPR

EU's General Data Protection Regulation (GDPR), der blev godkendt af Europa-Parlamentet i 2016, er den vigtigste ændring inden for databeskyttelseslovgivning i 20 år. Den erstatter databeskyttelsesdirektivet 95/46/EF og lokale love og regler i hele EU/EØS. Den nye forordning er designet til at styrke den enkeltes ret til privatliv og harmonisere databeskyttelseslove i hele Europa.

itslearning har været engageret i databeskyttelse, siden det blev grundlagt i 1999, og hilser den nye forordning velkommen. Vi vil fortsætte med at gøre vores del for at sikre, at alle vores kunder overholder GDPR. Der er et stort, uudnyttet potentiale i at bruge teknologi og cloud-tjenester til at forbedre undervisningspraksis og læringsresultater. En af nøglerne til at frigøre dette potentiale er at gøre sig fortjent til lærernes, elevernes og forældrenes tillid. I den forstand er det øgede fokus på databeskyttelse og privatliv på grund af GDPR til gavn for alle parter.

 

itslearning GDPR-forpligtelse

Vi lever fuldt ud op til kravene om, at alle vores tjenester, herunder itslearning, Fronter og SkoleIntra, skal være klar til GDPR. Vi har arbejdet med GDPR i lang tid for at analysere den nye forordning og foretage de nødvendige ændringer i vores tjenester, procedurer og organisation. I løbet af de seneste måneder har vi gjort al dokumentation, kontrakttillæg og procedurer, der er nødvendige for at bevise, at du overholder GDPR, tilgængelige.

Det er vigtigt at sige, at for de cloud-tjenester, vi leverer til vores kunder og deres slutbrugere, er itslearning det, som både eksisterende og ny EU-regulering definerer som en databehandler. Som databehandler bestemmer vi ikke formålet eller lovligheden af behandlingen, vi behandler blot data på vores kunders vegne. GDPR-reglerne stiller strengere krav til alle databehandlere.

Vores forpligtelse til GDPR kræver, at vi arbejder på at:

  • Sørge for organisatorisk og teknisk sikkerhed for alle tjenester.
  • Hjælpe dig med den dokumentation, der er nødvendig for at demonstrere compliance og informere dine brugere.
  • Forsyne dig med nye kontrakttillæg, der overholder GDPR's krav til databehandlingsaftaler (DPA).
  • Give den nødvendige støtte til dig, når dine brugere udøver deres rettigheder som registrerede. Du kan finde flere oplysninger på GDPR Data Request page på vores supportside.

itslearning har en Data Protection Officer (DPO) som defineret i GDPR. Ud over at overvåge vores egen overholdelse og yde rådgivning og uddannelse til vores eget personale, er vores DPO tilgængelig for vores kunder og deres DPO'er for at diskutere databeskyttelsesspørgsmål.

Kontaktoplysninger for vores DPO:
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
privacy@itslearning.com

 

GDPR-kundekrav

Generelt kræver GDPR, at du:

  • Dokumentér og vurder al behandling af persondata og de systemer, der bruges. Formålet med og lovligheden af behandlingen skal defineres, og du skal sikre dig, at du ikke behandler persondata, der ikke er nødvendige for det definerede formål.
  • Sørg for den organisatoriske og tekniske sikkerhed i forbindelse med behandlingen, og vær i stand til at påvise det. Vurder dine interne processer for datalagring og -sikkerhed, og dokumenter det. Sørg for, at din egen teknologi kan give tilstrækkelig teknisk sikkerhed, og dokumenter det.
  • Når du bruger tredjepartstjenester som vores til at behandle persondata, skal du sikre dig, at kravene til databehandling er i overensstemmelse med GDPR.
  • Når du anskaffer ny teknologi, som sandsynligvis vil medføre en høj risiko for persondata, skal du udføre en risikoanalyse - en Data Protection Impact Assessment (DPIA). Som eksisterende kunde er vores tjenester ikke ny teknologi for dig. Men en DPIA kan stadig være en god idé og vil hjælpe dig med at dokumentere compliance.
  • Brugere (registrerede) har stærkere rettigheder under GDPR. Vores kunder skal have en proces på plads til at tage imod anmodninger fra registrerede og til at vurdere gyldigheden af anmodningerne.
  • En særlig vigtig rettighed for registrerede er gennemsigtighed og information. Sørg for, at oplysningerne til dine brugere om alt det, der kræves i henhold til GDPR, er let tilgængelige, herunder hvordan de kan udøve deres rettigheder. Hvis dine brugere er unge, bør du sørge for, at disse oplysninger også er tilgængelige for forældrene.
  • Gennemgå itslearning Databehandleraftale, som har til formål at regulere rettigheder og pligter i henhold til den europæiske databeskyttelseslovgivning, herunder GDPR-reglerne, der gælder for den dataansvarlige i forbindelse med abonnementsaftalen for standardtjenesten.

Download itslearning Databehandleraftale.

For generelle spørgsmål relateret til itslearning produkter og tjenester, kan du som altid kontakte vores supportorganisation. For kontraktlige eller kommercielle spørgsmål bedes du kontakte din account manager.

For specifikke GDPR-relaterede spørgsmål fra vores kunder, bedes du kontakte vores databeskyttelsesansvarlige via e-mail privacy@itslearning.com eller ringe til +35 89 122 4791. Al kommunikation med vores DPO skal foregå på engelsk.

Kræver GDPR, at vi indhenter samtykke fra alle vores brugere (eller deres forældre)?

For de fleste af vores kunder, nej. I henhold til GDPR er samtykke kun en af seks lovlige grunde til at behandle data. Vores kunder skal vælge det lovlige grundlag, der bedst afspejler den sande karakter af forholdet mellem dig og dine brugere. For de fleste af vores kunder vil samtykke ikke være det mest hensigtsmæssige lovlige grundlag for behandlingen. For mange af vores kunder vil det lovlige grundlag for behandling være relateret til opgaver, der udføres i offentlighedens interesse eller relateret til dine juridiske forpligtelser.

Kan itslearning bruge personlige data til deres egne formål?

Nej, både i øjeblikket og i henhold til den nye GDPR-forordning kan vi kun behandle data efter direkte instruks fra vores kunder. Dataene er dine, og kun en håndfuld medarbejdere på itslearning har adgang til personlige data under streng fortrolighed og sikkerhed. Vi kan kun behandle personlige data uafhængigt, hvis det er afgørende for tjenestens integritet eller sikkerhed, eller for at analysere eller evaluere kvaliteten af den leverede tjeneste.

Hvilken slags information er vi forpligtet til at give brugerne om behandlingen af personlige data?

Retten til gennemsigtighed og information til brugerne (eller deres forældre) er stærk under GDPR. Oplysninger, du skal gøre let tilgængelige, kan omfatte:

  • Identitet og kontaktoplysninger for den dataansvarlige/den dataansvarliges repræsentant
  • Kontaktoplysninger på den databeskyttelsesansvarlige
  • Formålet med behandlingen og det juridiske grundlag for behandlingen af dataene
  • Eventuelle hensigter om at overføre personoplysninger til et tredjeland (uden for EU/EØS), og hvilke sikkerhedsforanstaltninger der er indført, samt hvordan man kan få en kopi af dem.
  • Perioden, hvor personoplysningerne vil blive opbevaret, eller kriterier, der bestemmer perioden.
  • Den registreredes rettigheder (indsigt, berigtigelse, sletning osv.)
  • Retten til at indgive en klage til tilsynsmyndigheden
  • Hvor dataene stammer fra
  • Enhver brug af automatisk beslutningstagning/profilering.
Kan nogen af vores brugere nu kræve, at vi sletter deres data ("AKA retten til at blive glemt")?

Sandsynligvis ikke. En bruger kan kun kræve sine data slettet, hvis det lovlige grundlag for behandlingen er samtykke (se ovenfor), eller hvis det oprindelige formål eller lovligheden ikke længere er gyldig. Vores kunder skal have processer på plads til omhyggeligt at evaluere de registreredes anmodninger om at få deres data slettet. Du kan kontakte vores databeskyttelsesansvarlige for at få råd i vanskelige tilfælde. Hvis en registreret får ret til at blive slettet, vil itslearning , enten gennem vores software eller vores supporttjenester, være til rådighed for at hjælpe med at udføre den registreredes rettigheder.

Kan vores brugere nu kræve, at vi giver dem en kopi af alle deres personlige data?

Til en vis grad, ja. Alle dine brugere har nu stærke rettigheder til gennemsigtighed, information og dataadgang. Enhver registreret kan udøve sine rettigheder ved at anmode om en kopi af alle sine personlige data, så længe det ikke påvirker andre negativt, eller hvis disse data ikke allerede er tilgængelige for ham/hende. Dette er dog ikke en absolut rettighed; andre love kan kræve, at du beskytter den registrerede eller andre mod at få adgang til visse typer oplysninger. Du skal nøje vurdere disse anmodninger i henhold til GDPR i forhold til rettigheder og forpligtelser i andre forordninger. Du kan kontakte vores databeskyttelsesansvarlige for at få råd i vanskelige tilfælde. Hvis en registreret får ret til adgang, vil itslearning , enten gennem vores software eller vores supporttjenester, være til rådighed for at hjælpe med at udføre den registreredes rettigheder.

Kan en bruger kontakte itslearning direkte (f.eks. elev, forælder, lærer) for at udøve sine rettigheder i henhold til GDPR?

Nej. I henhold til GDPR er den registreredes (brugerens) rettigheder mellem ham og den dataansvarlige (vores kunder). Eventuelle anmodninger fra slutbrugere til itslearning vil blive overdraget til kunden. itslearning vil samarbejde i god tro med kunderne for at sikre, at de kan udøve de registreredes rettigheder på en hurtig måde.

Hvornår sletter itslearning personlige data?

itslearning sletter persondata, når vores kunder beder om det, eller hvis kontrakten mellem os og kunden ophører. Procedurerne omkring sletning af kundedata ved ophør af service bør angives skriftligt eller i en databehandleraftale.

En instruktion om at slette en bruger i vores tjenester kan enten udføres manuelt i platformen af en kundeservicemedarbejder, udføres automatisk gennem en integration med et studieadministrativt system (eller lignende) eller efter anmodning til vores supportorganisation.

Når brugere slettes i vores systemer, er der sikkerhedsforanstaltninger på plads for at forhindre fejl, der fører til et uerstatteligt tab af data. I mange tilfælde skal kunderne manuelt bekræfte sletningen af kundedata, herunder personlige data.

Skal itslearning give brugerne besked, hvis de er blevet ramt af et databrud?

Afhængigt af arten af databruddet kan vores kunder være forpligtet til straks at underrette både de berørte brugere og de tilsynsførende myndigheder. itslearning er forpligtet til at underrette sine kunder, når de bliver opmærksomme på et databrud, og til at hjælpe dem med at opfylde deres forpligtelser til at underrette brugerne.

Skal jeg udpege en databeskyttelsesansvarlig?

Ja, i mange tilfælde. Du er forpligtet til at udpege en databeskyttelsesrådgiver, hvis du:
a) Er en offentlig institution
b) Behandler visse typer følsomme oplysninger i stort omfang
c) Behandlingen indebærer omfattende overvågning eller kontrol

Bemærk, at det er organisationen, ikke systemet, der har brug for en DPO. I mange tilfælde har din organisation måske allerede en DPO. DPO'en kan være en kontraktbaseret rolle. Mange statslige institutioner tilbyder DPO-tjenester til andre institutioner.

 
Kan jeg kræve, at en udbyder af cloud-tjenester som itslearning kun hoster personlige data i mit land?

Et af hovedformålene med den nye GDPR er fri udveksling af persondata inden for Det Europæiske Økonomiske Samarbejdsområde (EØS) under én fælles forordning. I de fleste tilfælde vil det ikke være tilladt at begrænse leverandørers behandling af data på tværs af EØS i henhold til GDPR.

Behandler itslearning data uden for EØS? Er det tilladt at behandle data uden for EØS?

GDPR forbyder ikke, at persondata flyder uden for EØS, men den indfører stærke sikkerhedsforanstaltninger for at sikre, at enhver behandling af data uden for EØS sker i overensstemmelse med principperne i GDPR. Derudover skal dataansvarlige eller databehandlere, der behandler data uden for EØS, give detaljerede oplysninger om behandlingens art og i nogle tilfælde give kunder eller brugere mulighed for at gøre indsigelse mod behandlingen.

For de fleste af vores europæiske kunder behandler itslearning alle personlige data inden for EØS. Der er nogle undtagelser i tilfælde, hvor itslearning letter valgfri integration til tredjeparts ikke-EØS-baserede værktøjer eller tjenester. I disse tilfælde skal både itslearning og vores kunder følge de krav, der er fastsat i GDPR.

Jeg har hørt, at itslearning ikke er sikker nok i henhold til GDPR! Er det sandt?

GDPR opstiller ikke detaljerede krav til, hvad der udgør en "sikker" cloud-baseret tjeneste. Det er vores kunders (dataansvarlige) og itslearning 's (databehandlerens) fælles ansvar at sørge for passende organisatorisk og teknisk sikkerhed for de personoplysninger, der behandles, og at kunne påvise det. Den største ændring fra de nuværende regler til GDPR er en styrkelse af ansvaret for organisationer, der ikke sørger for passende sikkerhed.
I to årtier har itslearning med succes beskyttet behandlingen af personoplysninger for millioner af brugere. Men tidligere resultater er ikke altid en indikator for fremtidige resultater. Så vi investerer løbende i organisatorisk sikkerhed, netværks- og infrastruktursikkerhed og applikationssikkerhed for at sikre, at vi kan tilbyde mere end det, der er passende sikkerhed for vores slutbrugere. Vi tillader også regelmæssigt tredjeparter at revidere vores sikkerhed, og vi byder vores kunder velkommen til at udføre deres egne revisioner.

Som de fleste softwarefirmaer går itslearning ikke i detaljer med de sikkerhedsforanstaltninger, de har indført. Men blandt de sikkerhedsforanstaltninger og processer, der er på plads for at beskytte mod kendte trusler, herunder:

  • Applikationssikkerhed, såsom brug af kryptering af al trafik, stærkt hashede adgangskoder, beskytter mod sårbarheder som Cross site scripting, SQL-injektioner, phishing og andre.
  • Netværkssikkerhed, firewalls og systemer til at opdage mistænkelig adfærd eller til at stoppe ondsindede forsøg på at få adgang eller kompromittere tjenestens modstandsdygtighed (f.eks. DDOS-angreb).
  • Organisatorisk sikkerhed, såsom adgangspolitikker, revisionslogfiler og fortrolighedsaftaler.
  • Fysisk sikkerhed for at sikre forebyggelse af uautoriseret adgang til infrastruktur, der behandler personlige data.
  • Proceduremæssig sikkerhed - IT-styringsprocesser for at minimere risikoen for menneskelige fejl eller testregimer for at identificere softwaresvagheder, før vi frigiver nye funktioner til vores cloudtjenester, eller politikker for at sikre, at data kun behandles efter instruktion fra vores kunder.
Hvor får itslearning personlige data om brugerne fra?

itslearning indhenter ikke uafhængigt brugerdata til vores tjenester. Brugerdata kan enten indsendes manuelt til platformen af kundernes repræsentanter, gennem en integration med et tredjepartssystem eller i nogle tilfælde af brugerne selv.

Oftest kommer persondata i itslearning fra "student information systems", som vores kunder har kontrol over. Vi importerer kun data fra tredjepartssystemer efter anvisning fra vores kunder.

Sender itslearning data til tredjeparter?

itslearning sender ikke selvstændigt data til 3. parter uden instruktion fra vores kunder eller en juridisk forpligtelse til at gøre det. En instruktion fra en kunde kan komme i form af en aftale om at integrere med et tredjepartsværktøj eller -tjeneste, eller at kunderepræsentanter selv opretter en integration med et tredjepartsværktøj eller -tjeneste. itslearning tager skridt til at forhindre kunder i at sende data til tredjeparter uden at overholde databeskyttelsesreglerne. Det er dog vigtigt, at vores kunder implementerer sikkerhedsforanstaltninger for at sikre, at data ikke overføres til tredjeparter uden at overholde deres juridiske forpligtelser.

Påvirker GDPR amerikanske kunder eller amerikanske slutbrugere?

Ikke juridisk. EU har naturligvis ikke nogen lovgivende magt på amerikansk jord. GDPR giver ingen rettigheder eller friheder til registrerede, der befinder sig i USA. Og GDPR pålægger ikke amerikanske kunder, der ikke behandler data om registrerede fra EU/EØS, nogen forpligtelser. Rettigheder og forpligtelser for amerikanske registrerede og organisationer er sikret af statslige eller føderale bestemmelser eller gennem kontraktlige eller frivillige ordninger.

Men itslearning tilbyder for det meste de samme tjenester og det samme sikkerhedsniveau til vores amerikanske kunder, som vi tilbyder vores europæiske kunder. Amerikanske kunder vil drage fordel af itslearning's tilgang til og kultur for sikring af persondata under GDPR. De grundlæggende principper for europæisk persondatabeskyttelse er en del af den struktur og kontraktlige forpligtelse, vi tilbyder vores amerikanske kunder.