Hoppa till innehåll
Nära
Boka en demo
Inloggning
Logga in
Boka en demo
Inloggning

Vi uppfyller kraven i GDPR

Vi uppfyller kraven fullt ut för alla våra tjänster.
System och policyer
Denna policy beskriver varför vi behandlar och hur vi skyddar personuppgifter.
Underleverantörer
itslearning använder tredjepartsleverantörer för att bistå i samband med tillhandahållandet av tjänster.
Säkerhetsåtgärder
Vi har implementerat både organisatoriska och tekniska säkerhetsåtgärder.
Begäran om uppgifter
Vi följer internationella bestämmelser om enskildas rätt till integritet.

Information till våra kunder om GDPR

EU:s allmänna dataskyddsförordning (GDPR), som godkändes av Europaparlamentet 2016, är den viktigaste förändringen inom dataskyddslagstiftningen på 20 år. Den ersätter dataskyddsdirektivet 95/46/EG och lokala lagar och förordningar i hela EU/EES. Den nya förordningen är utformad för att stärka individens rätt till integritet och harmonisera dataskyddslagar i hela Europa.

itslearning har varit engagerade i dataskydd sedan företaget grundades 1999 och välkomnar den nya förordningen. Vi kommer att fortsätta att göra vårt för att se till att alla våra kunder följer GDPR. Det finns en stor, outnyttjad potential i att använda teknik och molntjänster för att förbättra undervisningsmetoder och inlärningsresultat. En av nycklarna till att frigöra denna potential är att vinna förtroende hos lärare, elever och vårdnadshavare. I detta avseende är det ökade fokuset på dataskydd och integritet till följd av GDPR fördelaktigt för alla parter.

 

itslearning Åtagande avseende GDPR

Vi uppfyller kraven för att alla våra tjänster, inklusive itslearning, Fronter och SkoleIntra, ska vara redo för GDPR. Vi har arbetat med GDPR under en längre tid för att analysera den nya förordningen och göra nödvändiga förändringar i våra tjänster, rutiner och organisation. Under de senaste månaderna har vi gjort all dokumentation, avtalstillägg och rutiner som behövs för att bevisa att ni följer GDPR tillgängliga.

Det är viktigt att säga att för de molntjänster vi tillhandahåller till våra kunder och deras slutanvändare är itslearning det som både befintlig och ny EU-lagstiftning definierar som ett personuppgiftsbiträde. Som personuppgiftsbiträde bestämmer vi inte syftet eller lagligheten med behandlingen, vi behandlar bara uppgifterna för våra kunders räkning. GDPR-reglerna ställer strängare krav på alla personuppgiftsbiträden.

Vårt engagemang för GDPR kräver att vi arbetar för att:

  • Säkerställa organisatorisk och teknisk säkerhet för alla tjänster.
  • Hjälp ni med den dokumentation som behövs för att visa efterlevnad och informera era användare.
  • Förse ni med nya avtalstillägg som uppfyller GDPR:s krav på personuppgiftsbiträdesavtal (DPA)
  • Ge nödvändigt stöd till ni när dina användare utövar sina rättigheter som registrerade. ni hittar mer information på GDPR Data Request page på vår supportwebbplats.

itslearning har ett dataskyddsombud (DPO) enligt definitionen i GDPR. Förutom att övervaka vår egen efterlevnad och ge råd och utbildning till vår egen personal, är vårt dataskyddsombud tillgängligt för våra kunder och deras dataskyddsombud för att diskutera dataskyddsfrågor.

Kontaktuppgifter för vårt dataskyddsombud:
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
privacy@itslearning.com

 

GDPR kundkrav

I allmänhet kräver GDPR att ni

  • Dokumentera och utvärdera all behandling av personuppgifter och de system som används. Syftet och lagligheten med behandlingen bör definieras och ni bör se till att ni inte behandlar personuppgifter som inte behövs för det definierade syftet.
  • Säkerställa den organisatoriska och tekniska säkerheten för behandlingen, och kunna visa detta. Bedöm era interna processer för datalagring och säkerhet, och dokumentera dem. Säkerställ att er egen teknik kan ge tillräcklig teknisk säkerhet, och dokumentera detta.
  • När ni använder tjänster från tredje part, som våra, för att behandla personuppgifter, måste ni se till att kraven för databehandling överensstämmer med GDPR.
  • När man skaffar ny teknik som sannolikt innebär en hög risk för personuppgifter måste ni utföra en riskanalys - en konsekvensbedömning avseende dataskydd (DPIA). Som befintlig kund är våra tjänster inte ny teknik för ni. Men att göra en DPIA kan ändå vara en bra idé och kommer att hjälpa ni att dokumentera efterlevnad.
  • Användare (registrerade) har starkare rättigheter enligt GDPR. Våra kunder måste ha en process på plats för att ta emot förfrågningar från registrerade och för att bedöma giltigheten i förfrågningarna.
  • En särskilt viktig rättighet för registrerade är transparens och information. Se till att informationen till dina användare om allt som krävs enligt GDPR är lättillgänglig, inklusive hur de kan utöva sina rättigheter. Om dina användare är unga bör ni se till att denna information även finns tillgänglig för vårdnadshavare .
  • Granska itslearning dataanvändare -avtalet, vars syfte är att reglera de rättigheter och skyldigheter enligt den europeiska dataskyddslagstiftningen, inklusive GDPR-reglerna, som gäller för den personuppgiftsansvarige i samband med abonnemangsavtalet för standardtjänsten.

Ladda ner itslearning dataanvändare avtalet.

För allmänna frågor om itslearning produkter och tjänster kan ni som alltid kontakta vår supportorganisation. För frågor om avtal eller kommersiella frågor, vänligen kontakta din account manager.

För specifika GDPR-relaterade frågor från våra kunder, vänligen kontakta vårt dataskyddsombud via e-post privacy@itslearning.com eller ring +35 89 122 4791. All kommunikation med vårt dataskyddsombud måste ske på engelska.

Kommer GDPR att kräva att vi inhämtar samtycke från alla våra användare (eller deras vårdnadshavare)?

För de flesta av våra kunder, nej. Enligt GDPR är samtycke bara en av sex lagliga grunder för att behandla uppgifter. Våra kunder måste välja den lagliga grund som bäst återspeglar den verkliga karaktären hos förhållandet mellan ni och era användare. För de flesta av våra kunder skulle samtycke inte vara den lämpligaste lagliga grunden för behandlingen. För många av våra kunder skulle den lagliga grunden för behandlingen vara relaterad till uppgifter som utförs i allmänhetens intresse eller relaterad till dina rättsliga skyldigheter.

Kan itslearning använda personuppgifter för sina egna syften?

Både för närvarande och enligt den nya GDPR-förordningen kan vi endast behandla uppgifter på direkta instruktioner från våra kunder. Uppgifterna är dina, och endast en handfull av itslearning personal har tillgång till personuppgifter under strikt sekretess och säkerhet. Vi kan endast behandla personuppgifter självständigt om det är avgörande för tjänstens integritet eller säkerhet, eller för att analysera eller utvärdera kvaliteten på den tjänst som tillhandahålls.

Vilken typ av information är vi skyldiga att ge användarna om behandlingen av personuppgifter?

Rätten till insyn och information till användarna (eller deras vårdnadshavare) är stark enligt GDPR. Information som ni behöver göra lättillgänglig kan omfatta:

  • Identitet och kontaktuppgifter för den personuppgiftsansvarige/den personuppgiftsansvariges representant
  • Kontaktuppgifter till dataskyddsombudet
  • Syftet med behandlingen och den rättsliga grunden för behandlingen av uppgifterna
  • Eventuella avsikter att överföra personuppgifter till ett tredje land (utanför EU/EES) och vilka skyddsåtgärder som har vidtagits, samt hur man kan få en kopia av dessa.
  • Den period under vilken personuppgifterna kommer att lagras, eller kriterier som bestämmer perioden.
  • Den registrerades rättigheter (tillgång, rättelse, radering etc.)
  • Rätt att lämna in ett klagomål till tillsynsmyndigheten
  • Varifrån uppgifterna härrör
  • All användning av automatiskt beslutsfattande/profilering.
Kan någon av våra användare nu kräva att vi raderar deras uppgifter ("AKA rätten att bli bortglömd")?

Förmodligen inte. En användare kan endast kräva att deras uppgifter raderas om den lagliga grunden för behandlingen är Samtycke (se ovan) eller om det ursprungliga syftet eller lagligheten inte längre är giltig. Våra kunder måste ha processer på plats för att noggrant utvärdera registrerades begäran om att deras uppgifter ska raderas. ni kan kontakta vårt dataskyddsombud för råd i svåra fall. Om en registrerad beviljas rätten att raderas kommer itslearning , antingen genom vår programvara eller våra supporttjänster, att vara tillgänglig för att hjälpa till att verkställa den registrerades rättigheter.

Kan våra användare nu kräva att vi ger dem en kopia av alla deras personuppgifter?

I viss utsträckning, ja. Alla era användare har nu starka rättigheter till öppenhet, information och tillgång till uppgifter. Alla registrerade kan utöva sin rätt att begära en kopia av alla sina personuppgifter, så länge det inte påverkar andra negativt, eller om dessa uppgifter inte redan är tillgängliga för honom/henne. Detta är dock inte en absolut rättighet; andra lagar kan kräva att ni skyddar den registrerade, eller andra, från att få tillgång till vissa typer av information. ni måste noggrant utvärdera dessa förfrågningar enligt GDPR mot rättigheter och skyldigheter i andra förordningar. ni kan kontakta vårt dataskyddsombud för råd i svåra fall. Om en registrerad beviljas rätt till tillgång kommer itslearning , antingen genom vår programvara eller våra supporttjänster, att vara tillgänglig för att hjälpa till att verkställa den registrerades rättigheter.

Kan en användare kontakta itslearning direkt (t.ex. elev, förälder, lärare) för att utöva sina rättigheter enligt GDPR?

Enligt GDPR är den registrerades (användarens) rättigheter en fråga mellan denne och den personuppgiftsansvarige (våra kunder). Eventuella förfrågningar från slutanvändare till itslearning kommer att överlämnas till kunden. itslearning kommer att samarbeta i god tro med kunderna för att säkerställa att de kan utöva de registrerades rättigheter på ett snabbt sätt.

När raderar itslearning personuppgifter?

itslearning raderar personuppgifter på uppdrag av våra kunder, eller om avtalet mellan oss och kunden upphör. Rutinerna för radering av kunddata vid uppsägning av tjänsten bör anges skriftligen eller i ett avtal på dataanvändare .

En instruktion om att radera en användare i våra tjänster kan antingen utföras manuellt i plattformen av en kundrepresentant, utföras automatiskt genom en integration med ett administrativt system på elev (eller liknande) eller på begäran till vår supportorganisation.

När användare raderas i våra system finns det skyddsåtgärder på plats för att förhindra fel som leder till en oersättlig förlust av data. I många fall måste kunderna manuellt bekräfta raderingen av kunddata, inklusive personuppgifter.

Måste itslearning meddela användarna om de har drabbats av ett dataintrång?

Beroende på typen av dataintrång kan våra kunder vara skyldiga att omedelbart meddela både de berörda användarna och tillsynsmyndigheterna. itslearning är skyldigt att meddela sina kunder när de blir medvetna om ett dataintrång och att hjälpa dem att uppfylla sina skyldigheter att meddela användarna.

Måste jag utse ett dataskyddsombud?

Ja, i många fall. ni är skyldiga att utse ett dataskyddsombud om ni:
a) Är en offentlig eller statlig institution
b) Behandlar vissa typer av känsliga uppgifter i stor skala
c) Behandlingen omfattar övervakning eller kontroll i stor skala

Observera att det är organisationen, inte systemet, som behöver ett dataskyddsombud. I många fall kanske din organisation redan har ett dataskyddsombud. Uppgiftsskyddsombudet kan vara en kontrakterad roll. Många statliga institutioner erbjuder dataskyddsombudstjänster till andra institutioner.

 
Kan jag kräva att en molntjänstleverantör, som itslearning, endast får lagra personuppgifter i mitt land?

Ett av huvudsyftena med den nya dataskyddsförordningen är det fria flödet av personuppgifter inom Europeiska ekonomiska samarbetsområdet (EES), enligt en gemensam förordning. I de flesta fall skulle det inte vara tillåtet enligt GDPR att begränsa leverantörers behandling av uppgifter inom EES.

Behandlar itslearning uppgifter utanför EES? Är det tillåtet att behandla uppgifter utanför EES?

GDPR förbjuder inte att personuppgifter flödar utanför EES, men den inför starka skyddsåtgärder för att säkerställa att all behandling av uppgifter utanför EES sker i enlighet med principerna i GDPR. Dessutom måste registeransvariga eller registerförare som behandlar uppgifter utanför EES tillhandahålla detaljerad information om behandlingens art, och i vissa fall tillåta kunder eller användare att invända mot behandlingen.

För de flesta av våra europeiska kunder behandlar itslearning alla personuppgifter inom EES. Det finns vissa undantag i fall där itslearning underlättar valfri integration med verktyg eller tjänster från tredje part som inte är baserade inom EES. I dessa fall måste både itslearning och våra kunder följa de krav som anges i GDPR.

Jag har hört att itslearning inte är tillräckligt säkert enligt GDPR! Stämmer detta?

GDPR ställer inga detaljerade krav på vad som utgör en "säker" molnbaserad tjänst. Det är våra kunders (personuppgiftsansvariga) och itslearning (personuppgiftsbiträdet) gemensamma ansvar att tillhandahålla lämplig organisatorisk och teknisk säkerhet för de personuppgifter som behandlas, och att kunna visa detta. Den största förändringen från aktuella till GDPR är ett utökat ansvar för organisationer som inte tillhandahåller lämplig säkerhet.
Under två decennier har itslearning framgångsrikt skyddat behandlingen av personuppgifter för miljontals användare. Tidigare resultat är dock inte alltid en indikation på framtida resultat. Därför investerar vi kontinuerligt i organisatorisk säkerhet, nätverks- och infrastruktursäkerhet samt applikationssäkerhet för att säkerställa att vi kan erbjuda våra slutanvändare mer än vad som är lämplig säkerhet. Vi låter också regelbundet tredje part granska vår säkerhet, och vi välkomnar våra kunder att utföra sina egna granskningar.

Som de flesta programvaruföretag går itslearning inte in i detalj på vilka säkerhetsåtgärder som vidtagits. Men bland de säkerhetsåtgärder och processer som finns på plats för att skydda mot kända hot, inklusive:

  • Applikationssäkerhet, t.ex. kryptering av all trafik, starkt hashade lösenord, skyddar mot sårbarheter som Cross site scripting, SQL-injektioner, nätfiske och andra.
  • Nätverkssäkerhet, brandväggar och system för att upptäcka misstänkt beteende eller för att stoppa illvilliga försök att få tillgång till eller äventyra tjänstens motståndskraft (t.ex. DDOS-attacker).
  • Organisatorisk säkerhet, t.ex. åtkomstpolicyer, granskningsloggar och sekretessavtal.
  • Fysisk säkerhet för att säkerställa att obehörig åtkomst till infrastruktur som behandlar personuppgifter förhindras.
  • Procedursäkerhet - IT-hanteringsprocesser för att minimera risken för mänskliga fel, eller testregimer för att identifiera svagheter i programvaran innan nya funktioner släpps till våra molntjänster, eller policyer för att säkerställa att data endast behandlas på instruktion från våra kunder.
Varifrån får itslearning personuppgifter om användarna?

itslearning inte självständigt inhämtar användardata till våra tjänster. Användardata kan antingen skickas manuellt till plattformen av kundernas representanter, genom en integration med ett tredjepartssystem eller i vissa fall av användarna själva.

De vanligaste personuppgifterna i itslearning kommer från "elev informationssystem" som kontrolleras av våra kunder. Vi importerar endast uppgifter från tredjepartssystem på uppdrag av våra kunder.

Skickar itslearning uppgifter till tredje part?

itslearning inte självständigt skickar data till tredje part utan instruktioner från våra kunder eller en rättslig skyldighet att göra det. En instruktion från en kund kan komma i form av ett avtal om att integrera med ett verktyg eller en tjänst från tredje part, eller att kundrepresentanter själva sätter upp en integration med ett verktyg eller en tjänst från tredje part. itslearning vidtar åtgärder för att förhindra att kunder skickar data till tredje part utan att följa dataskyddsbestämmelserna. Det är dock viktigt att våra kunder implementerar skyddsåtgärder för att säkerställa att data inte överförs till tredje part utan att följa sina juridiska skyldigheter.

Påverkar GDPR amerikanska kunder eller amerikanska slutanvändare?

Inte juridiskt. EU har naturligtvis inte någon lagstiftande makt på amerikansk mark. GDPR ger inga rättigheter eller friheter till registrerade som befinner sig i USA. Och GDPR innebär inga skyldigheter för amerikanska kunder som inte behandlar uppgifter om registrerade från EU/EES. Rättigheter och skyldigheter för amerikanska registrerade och organisationer säkerställs genom delstatliga eller federala bestämmelser eller genom avtal eller frivilliga överenskommelser.

Men itslearning erbjuder i stort sett samma tjänster och samma säkerhetsnivå till våra amerikanska kunder som vi erbjuder våra europeiska kunder. Amerikanska kunder kommer att dra nytta av itslearning:s inställning till, och kultur för, att säkra personuppgifter enligt GDPR. De grundläggande principerna för skydd av personuppgifter i Europa är en del av den struktur och det avtalsenliga åtagande som vi erbjuder våra amerikanska kunder.