Gå til innhold

Vi er i samsvar med GDPR

Vi oppfyller kravene til alle våre tjenester fullt ut.
Systemer og retningslinjer
Denne erklæringen beskriver hvorfor vi behandler og hvordan vi beskytter personopplysninger.
Underbehandlere
itslearning bruker tredjepartsleverandører til å bistå i forbindelse med levering av tjenester.
Sikkerhetstiltak
Vi har iverksatt både organisatoriske og tekniske sikkerhetstiltak.
Forespørsel om data
Vi overholder internasjonale regler om enkeltpersoners rett til personvern.

Informasjon til våre kunder om GDPR

EUs General Data Protection Regulation (GDPR), som ble godkjent av Europaparlamentet i 2016, er den viktigste endringen i personvernregelverket på 20 år. Den erstatter personverndirektivet 95/46/EF og lokale lover og forskrifter i hele EU/EØS. Den nye forordningen er utformet for å styrke den enkeltes rett til personvern og harmonisere personvernlovgivningen i Europa.

itslearning har vært opptatt av personvern siden selskapet ble grunnlagt i 1999 og ønsker den nye forordningen velkommen. Vi vil fortsette å gjøre vårt for å sikre at alle våre kunder overholder GDPR. Det ligger et stort, uutnyttet potensial i å bruke teknologi og skytjenester til å forbedre undervisningspraksis og læringsresultater. En av nøklene til å utløse dette potensialet er å gjøre seg fortjent til lærernes, elevenes og foreldrenes tillit. I så måte er det økte fokuset på databeskyttelse og personvern som følge av GDPR en fordel for alle parter.

 

itslearning GDPR-forpliktelse

Vi oppfyller kravene til at alle våre tjenester, inkludert itslearning, Fronter og SkoleIntra, skal være GDPR-klare. Vi har jobbet med GDPR i lang tid for å analysere den nye forordningen og gjøre de nødvendige endringene i tjenestene, prosedyrene og organisasjonen vår. I løpet av de siste månedene har vi gjort tilgjengelig all dokumentasjon, kontraktstillegg og prosedyrer som er nødvendige for å dokumentere at dere overholder GDPR.

Når det gjelder skytjenestene vi leverer til kundene våre og deres sluttbrukere, er det viktig å understreke at itslearning er det som både eksisterende og ny EU-forordning definerer som en databehandler. Som databehandler bestemmer vi ikke formålet eller lovligheten av behandlingen, vi behandler bare opplysningene på vegne av kundene våre. GDPR-regelverket stiller strengere krav til alle databehandlere.

Vår forpliktelse til GDPR krever at vi arbeider for å:

  • Sørge for organisatorisk og teknisk sikkerhet for alle tjenester.
  • Vi hjelper deg med dokumentasjonen du trenger for å dokumentere samsvar og informere brukerne.
  • Gi deg nye kontraktstillegg som oppfyller GDPRs krav til databehandleravtaler (DPA).
  • Gi deg den nødvendige støtten du trenger når brukerne utøver sine rettigheter som registrerte. Du finner mer informasjon på GDPR Data Request-siden supportsiden vår.

itslearning har et personvernombud (DPO) som definert i GDPR. I tillegg til å overvåke vår egen etterlevelse og gi råd og opplæring til våre egne ansatte, er vårt personvernombud tilgjengelig for våre kunder og deres personvernombud for å diskutere personvernspørsmål.

Kontaktinformasjon for vårt personvernombud:
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
privacy@itslearning.com

 

GDPR-kundekrav

Generelt krever GDPR at du gjør følgende

  • Dokumenter og vurder all behandling av personopplysninger og systemene som brukes. Formålet og lovligheten av behandlingen bør defineres, og du bør sørge for at du ikke behandler personopplysninger som ikke er nødvendige for det definerte formålet.
  • Sørge for organisatorisk og teknisk sikkerhet i forbindelse med behandlingen, og kunne dokumentere dette. Vurder og dokumenter de interne prosessene for datalagring og sikkerhet. Sørg for at din egen teknologi kan gi tilstrekkelig teknisk sikkerhet, og dokumenter dette.
  • Når du bruker tredjepartstjenester, som våre, til å behandle personopplysninger, må du sørge for at kravene til databehandling er i samsvar med personvernforordningen.
  • Når du anskaffer ny teknologi som kan medføre høy risiko for personopplysninger, må du utføre en risikoanalyse - en vurdering av personvernkonsekvenser (DPIA). Som eksisterende kunde er tjenestene våre ikke ny teknologi for deg. Det kan likevel være en god idé å gjennomføre en DPIA, og det vil hjelpe deg med å dokumentere at du overholder kravene.
  • Brukerne (de registrerte) har sterkere rettigheter i henhold til GDPR. Kundene våre må ha en prosess på plass for å ta imot forespørsler fra registrerte og for å vurdere gyldigheten av forespørslene.
  • En spesielt viktig rettighet for de registrerte er åpenhet og informasjon. Sørg for at informasjonen til brukerne om alt som kreves i henhold til personvernforordningen er lett tilgjengelig, inkludert hvordan de kan utøve rettighetene sine. Hvis brukerne er unge, bør du sørge for at denne informasjonen også er tilgjengelig for foreldrene.
  • Se gjennom itslearning Databehandleravtalen, som har til formål å regulere rettigheter og plikter i henhold til den europeiske personvernlovgivningen, herunder GDPR-regelverket, som gjelder for den behandlingsansvarlige i forbindelse med abonnementsavtalen for standardtjenesten.

Last ned itslearning Databehandleravtale.

Hvis du har generelle spørsmål om itslearning produkter og tjenester, kan du som alltid kontakte vår supportorganisasjon. Hvis du har kontraktsmessige eller kommersielle spørsmål, kan du kontakte din account manager.

Hvis du har spesifikke GDPR-relaterte spørsmål fra kundene våre, kan du kontakte vårt personvernombud via e-post privacy@itslearning.com eller ringe +35 89 122 4791. All kommunikasjon med vårt personvernombud må foregå på engelsk.

Krever GDPR at vi innhenter samtykke fra alle våre brukere (eller deres foreldre)?

For de fleste av kundene våre, nei. I henhold til GDPR er samtykke bare én av seks lovlige grunner til å behandle opplysninger. Kundene våre må velge det lovlige grunnlaget som best gjenspeiler den faktiske relasjonen mellom deg og brukerne dine. For de fleste av kundene våre vil samtykke ikke være det mest hensiktsmessige behandlingsgrunnlaget. For mange av våre kunder vil behandlingsgrunnlaget være knyttet til oppgaver i allmennhetens interesse eller knyttet til deres juridiske forpliktelser.

Kan itslearning bruke personopplysninger til egne formål?

Både i dag og i henhold til den nye GDPR-forordningen kan vi bare behandle opplysninger etter direkte instruksjoner fra kundene våre. Opplysningene er dine, og det er kun en håndfull ansatte på itslearning som har tilgang til personopplysninger under streng konfidensialitet og sikkerhet. Vi kan bare behandle personopplysninger på egen hånd hvis det er avgjørende for tjenestens integritet eller sikkerhet, eller for å analysere eller evaluere kvaliteten på tjenesten.

Hva slags informasjon er vi forpliktet til å gi brukerne om behandlingen av personopplysninger?

Retten til åpenhet og informasjon til brukerne (eller deres foreldre) er sterk i henhold til GDPR. Informasjon du må gjøre lett tilgjengelig, kan blant annet omfatte:

  • Identitet og kontaktinformasjon til den behandlingsansvarlige/den behandlingsansvarliges representant.
  • Kontaktinformasjonen til personvernombudet
  • Formålet med behandlingen og det rettslige grunnlaget for behandlingen av opplysningene.
  • Eventuelle planer om å overføre personopplysninger til et tredjeland (utenfor EU/EØS) og hvilke sikkerhetstiltak som er iverksatt, og hvordan du kan få en kopi av dem.
  • Perioden personopplysningene skal lagres, eller kriterier som bestemmer perioden.
  • Den registrertes rettigheter (innsyn, retting, sletting osv.)
  • Retten til å sende inn en klage til tilsynsmyndigheten.
  • Hvor dataene kommer fra
  • Enhver bruk av automatisk beslutningstaking/profilering.
Kan noen av brukerne våre nå kreve at vi sletter opplysningene deres ("retten til å bli glemt")?

Sannsynligvis ikke. En bruker kan bare kreve at opplysningene slettes hvis det lovlige grunnlaget for behandlingen er samtykke (se ovenfor) eller hvis det opprinnelige formålet eller lovligheten ikke lenger er gyldig. Kundene våre må ha prosesser på plass for å nøye vurdere de registrertes forespørsler om sletting av opplysninger. Du kan kontakte vårt personvernombud for råd i vanskelige tilfeller. Hvis en registrert får rett til å bli slettet, vil itslearning , enten gjennom programvaren vår eller støttetjenestene våre, være tilgjengelig for å hjelpe til med å oppfylle den registrertes rettigheter.

Kan brukerne våre nå kreve at vi gir dem en kopi av alle personopplysningene deres?

Til en viss grad, ja. Alle brukerne har nå sterke rettigheter til åpenhet, informasjon og datatilgang. Alle registrerte kan utøve sine rettigheter ved å be om en kopi av alle personopplysningene sine, så lenge det ikke er til skade for andre, eller hvis opplysningene ikke allerede er tilgjengelige. Dette er imidlertid ikke en absolutt rettighet; andre lover kan kreve at du beskytter den registrerte eller andre fra å få tilgang til visse typer informasjon. Du må nøye vurdere disse forespørslene i henhold til GDPR opp mot rettigheter og plikter i andre regelverk. Du kan kontakte vårt personvernombud for råd i vanskelige tilfeller. Hvis en registrert gis rett til innsyn, vil itslearning , enten gjennom programvaren vår eller støttetjenestene våre, være tilgjengelig for å hjelpe til med å oppfylle den registrertes rettigheter.

Kan en bruker kontakte itslearning direkte (f.eks. elev, forelder, lærer) for å utøve sine rettigheter i henhold til GDPR?

I henhold til GDPR er den registrertes (brukerens) rettigheter et anliggende mellom vedkommende og den behandlingsansvarlige (våre kunder). Eventuelle forespørsler fra sluttbrukere til itslearning vil bli overlevert til kunden. itslearning vil samarbeide i god tro med kundene for å sikre at de kan utøve de registrertes rettigheter på en rask måte.

Når sletter itslearning personopplysninger?

itslearning sletter personopplysninger etter instruks fra våre kunder, eller hvis avtalen mellom oss og kunden opphører. Prosedyrene for sletting av kundedata ved avslutning av tjenesten bør angis skriftlig eller i en databehandleravtale.

En instruks om å slette en bruker i våre tjenester kan enten utføres manuelt i plattformen av en kundebehandler, automatisk gjennom en integrasjon med et studentadministrativt system (eller lignende) eller på forespørsel til vår supportorganisasjon.

Når brukere slettes i systemene våre, er det innført sikkerhetstiltak for å forhindre at feil fører til uerstattelig tap av data. I mange tilfeller må kundene manuelt bekrefte sletting av kundedata, inkludert personopplysninger.

Må itslearning varsle brukerne hvis de har blitt rammet av et datainnbrudd?

Avhengig av datainnbruddets art kan våre kunder være pålagt å varsle både de berørte brukerne og tilsynsmyndighetene. itslearning er pålagt å varsle sine kunder når de blir oppmerksomme på et datainnbrudd, og å hjelpe dem med å oppfylle sine forpliktelser til å varsle brukerne.

Må jeg utnevne et personvernombud?

Ja, i mange tilfeller. Du er pålagt å utnevne et personvernombud hvis du:
a) Er en offentlig/statlig institusjon
b) Behandler visse typer sensitive opplysninger i stor skala
c) Behandlingen innebærer overvåking eller kontroll i stor skala.

Vær oppmerksom på at det er organisasjonen, ikke systemet, som trenger et personvernombud. I mange tilfeller har organisasjonen allerede et personvernombud. Personvernombudet kan være en innleid rolle. Mange offentlige institusjoner tilbyr personvernombudstjenester til andre institusjoner.

 
Kan jeg kreve at en skytjenesteleverandør, som itslearning, kun hoster personopplysninger i mitt land?

Et av hovedmålene med den nye personvernforordningen er fri flyt av personopplysninger innenfor Det europeiske økonomiske samarbeidsområdet (EØS), under ett felles regelverk. I de fleste tilfeller vil det i henhold til GDPR ikke være tillatt å begrense leverandørers behandling av personopplysninger i EØS.

Behandler itslearning opplysninger utenfor EØS? Er det tillatt å behandle opplysninger utenfor EØS?

Personvernforordningen forbyr ikke at personopplysninger flyter utenfor EØS, men den innfører strenge sikkerhetstiltak for å sikre at all behandling av opplysninger utenfor EØS skjer i henhold til prinsippene i forordningen. I tillegg må behandlingsansvarlige eller databehandlere som behandler opplysninger utenfor EØS, gi detaljert informasjon om behandlingens art, og i noen tilfeller gi kunder eller brukere mulighet til å protestere mot behandlingen.

For de fleste av våre europeiske kunder behandler itslearning alle personopplysninger innenfor EØS. Det finnes noen unntak i tilfeller der itslearning legger til rette for valgfri integrasjon med tredjepartsverktøy eller -tjenester utenfor EØS. I disse tilfellene må både itslearning og kundene våre følge kravene i GDPR.

Jeg har hørt at itslearning ikke er sikkert nok i henhold til GDPR! Stemmer dette?

GDPR stiller ikke detaljerte krav til hva som utgjør en "sikker" skybasert tjeneste. Det er et felles ansvar for våre kunder (behandlingsansvarlige) og itslearning (databehandleren) å sørge for passende organisatorisk og teknisk sikkerhet for personopplysningene som behandles, og å kunne dokumentere dette. Den viktigste endringen fra dagens regelverk til GDPR er en styrking av ansvaret for organisasjoner som ikke sørger for tilstrekkelig sikkerhet.
I to tiår har itslearning beskyttet behandlingen av personopplysninger for millioner av brukere. Tidligere resultater er imidlertid ikke alltid en indikasjon på fremtidige resultater. Derfor investerer vi kontinuerlig i organisatorisk sikkerhet, nettverks- og infrastruktursikkerhet og applikasjonssikkerhet for å sikre at vi kan tilby mer enn det som er tilstrekkelig sikkerhet for våre sluttbrukere. Vi lar også jevnlig tredjeparter revidere sikkerheten vår, og vi ønsker kundene våre velkommen til å utføre sine egne revisjoner.

Som de fleste programvareselskaper går itslearning ikke i detalj om sikkerhetstiltakene som er iverksatt. Men blant sikkerhetstiltakene og prosessene som er på plass for å beskytte mot kjente trusler, finner vi blant annet:

  • Applikasjonssikkerhet, for eksempel kryptering av all trafikk, sterkt hashede passord, beskyttelse mot sårbarheter som Cross site scripting, SQL-injeksjoner, phishing og annet.
  • Nettverkssikkerhet, brannmurer og systemer for å oppdage mistenkelig atferd, eller for å stoppe ondsinnede forsøk på å få tilgang eller kompromittere tjenestens robusthet (f.eks. DDOS-angrep).
  • Organisatorisk sikkerhet, som retningslinjer for tilgang, revisjonslogger og konfidensialitetsavtaler.
  • Fysisk sikkerhet for å forhindre uautorisert tilgang til infrastruktur som behandler personopplysninger.
  • Prosedyresikkerhet - IT-administrasjonsprosesser for å minimere risikoen for menneskelige feil, eller testregimer for å identifisere programvaresvakheter før vi lanserer nye funksjoner i skytjenestene våre, eller retningslinjer for å sikre at data kun behandles etter instruks fra kundene våre.
Hvor får itslearning personopplysninger om brukerne fra?

itslearning innhenter ikke brukerdata til tjenestene våre på egen hånd. Brukerdata kan enten sendes inn manuelt til plattformen av kunderepresentanter, gjennom en integrasjon med et tredjepartssystem eller i noen tilfeller av brukerne selv.

De fleste personopplysningene i itslearning kommer fra "studentinformasjonssystemer" som kundene våre kontrollerer. Vi importerer kun data fra tredjepartssystemer etter instruks fra våre kunder.

Sender itslearning data til tredjeparter?

itslearning sender ikke på egen hånd data til tredjeparter uten instruks fra våre kunder eller en juridisk forpliktelse til å gjøre det. En instruksjon fra en kunde kan komme i form av en avtale om å integrere med et tredjepartsverktøy eller -tjeneste, eller at kunderepresentanter selv setter opp en integrasjon med et tredjepartsverktøy eller -tjeneste. itslearning iverksetter tiltak for å forhindre at kunder sender data til tredjeparter uten å overholde personvernreglene. Det er imidlertid viktig at kundene våre iverksetter sikkerhetstiltak for å sikre at data ikke overføres til tredjeparter uten at de overholder sine juridiske forpliktelser.

Påvirker GDPR amerikanske kunder eller amerikanske sluttbrukere?

Ikke juridisk sett. EU har åpenbart ingen lovgivende makt på amerikansk jord. GDPR gir ingen rettigheter eller friheter til registrerte som befinner seg i USA. Og GDPR pålegger ikke amerikanske kunder som ikke behandler opplysninger om registrerte i EU/EØS, noen forpliktelser. Rettighetene og forpliktelsene til amerikanske registrerte og organisasjoner sikres gjennom delstatlig eller føderal lovgivning, eller gjennom avtalefestede eller frivillige ordninger.

Men itslearning tilbyr stort sett de samme tjenestene og det samme sikkerhetsnivået til våre amerikanske kunder som vi tilbyr våre europeiske kunder. Amerikanske kunder vil dra nytte av itslearning sin tilnærming til og kultur for sikring av personopplysninger i henhold til GDPR. De grunnleggende prinsippene for europeisk personvern er en del av den strukturen og de kontraktsmessige forpliktelsene vi tilbyr våre amerikanske kunder.