Minlæring (”August & Hemmingsen ApS”) er underlagt den til enhver tid gældende persondatalov og enhver behandling af personoplysninger sker under iagttagelse af persondataloven.
Denne politik beskriver hvilken type oplysninger, vi indsamler, hvordan vi behandler disse, og hvem du kan kontakte, såfremt du har spørgsmål, indsigelser eller kommentarer til vores retningslinjer.
GDPR
General Data Protection Regulation (persondataforordningen) er en lovgivning indført af EU i maj 2018 for at ensrette persondatalovgivningen inden for EU. Formålet med GDPR er at sikre, at du som bruger af fx Minlæring kan regne med, at vi passer godt på dine data.
Vigtigt at vide (definitioner)
Herunder finder du en oversigt over vigtige begreber i GDPR-sammenhænge af betydning for din brug af Minlæring:
Personoplysninger er oplysninger, der kan bruges til at identificere en konkret person, fx navn, brugernavn, adresse mv. En særlig kategori af personoplysninger er følsomme personoplysninger såsom race, etnisk oprindelse, politisk overbevisning mv. Minlæring behandler eller registrerer aldrig følsomme personoplysninger.
Databehandlingsaktivitet er enhver operation udført på baggrund af personoplysninger, hvilket kan være organisering, strukturering, indsamling, opbevaring, brug af data mv. (ikke udtømmende liste).
Der skelnes mellem data registrant/subjekt (”data subject”), som er selve brugeren af Minlærings services, databehandler (”data processor”), som i de fleste tilfælde vil være Minlæring, som behandler data på vegne af en dataansvarlig (”data controller”), som vil være skoler og institutioner med ansvar for den behandlede data. I få tilfælde, såfremt en lærer manuelt tilmelder sig uden om skolen, vil Minlæring være at betragte som dataansvarlige.
Databehandleraftaler indgås mellem Minlæring som databehandler og skolerne/institutionerne som dataansvarlige. Det sikrer, at du som bruger garanteres, at Minlæring behandler data efter den dataansvarliges krav. Det er lovpligtigt at indgå en databehandleraftale. Du kan desuden forvente, at den dataansvarlige omtrent årligt gennemfører tilsyn med Minlæring som databehandlere for at sikre, at vi lever op til kravene i databehandleraftalen.
Et tilsyn kan enten udføres ved brug af en tilsynsrapport, ved som dataansvarlig at hyre en tredjepart til at føre tilsyn med databehandleren eller ved selv at udføre tilsynet enten fysisk ved at møde op hos databehandleren eller ved at fremsende en række spørgsmål om databehandlingen til databehandleren. Minlæring vil altid som minimum udføre et grundigt, årligt internt tilsyn med udgangspunkt i ISAE-3000, som fremsendes til den dataansvarlige i form af en ledelseserklæring.
De 7 principper
En af persondataforordningens vigtigste kapitler er artikel 5 om principperne for behandling af personoplysninger. Minlæring tilstræber altid god databehandlingsskik, og det indebærer, at vi skal leve op til:
Princippet om ansvarlighed som påpeger ansvaret for Minlæring til at kunne påvise, at vi efterlever persondataforordningens principper. Derfor skal vi altid kunne dokumentere, hvordan og hvorfor databehandlingen foregår.
Princippet om formålsbegrænsning som påpeger, at Minlæring kun må indsamle, opbevare og behandle persondata til klare, afgrænsede formål og derfor ikke databehandle til andre formål, videresælge persondata eller lignende. Minlæring må derfor kun viderebehandle og indsamle persondata til legitime, saglige formål.
Princippet om dataminimering betyder, at den data, vi indsamler om dig altid sker ud fra en minimumsbetragtning: Hvilke data er nødvendige ift. at kunne leve tilstrækkeligt op til formålet med databehandlingen?
Princippet om lovlighed, rimelighed og gennemsigtighed understreger, at vi kun må udføre lovlig indsamling og behandling af persondata. Vi skal eksempelvis have dit samtykke eller indgå en databehandleraftale med skolen for at sikre lovlig behandling af persondata. Behandlingen skal dog også være rimelig, dvs. sikre en sikker databehandling med brug af best practice løsninger. Endelig skal vi sikre gennemsigtighed, hvorfor vi også bl.a. her på denne side forsøger at skrive i et letforståeligt og lettilgængeligt sprog.
Princippet om rigtighed betyder, at vi sørger for at have tilstrækkelige kontrolmekanismer til at sikre, at vores data om dig er ajourført, ligesom vi skal sørge for at slette og rette urigtige persondata.
Princippet om integritet og fortrolighed indebærer, at vi skal sørge for at persondata om dig til enhver tid er troværdigt og korrekt (integritet), at uvedkommende ikke kan få adgang til din persondata (fortrolighed) samt at vi har indført en passende og tilstrækkelig sikkerhed ift. risikoen forbundet med databehandlingen.
Princippet om opbevaringsbegrænsning medfører, at persondata alene opbevares i den tid, det er nødvendigt for at leve op til formålet med databehandlingen. Såfremt data opbevares efter denne periode, sørger vi for at anonymisere data, hvormed ”personoplysningerne overgår til blot at være oplysninger”.
Det er vores opgave at gøre dig opmærksom på disse 7 principper og dokumentere over for dig, at vi lever op til dem!
Dine rettigheder som bruger (kunde)
Som kunde og bruger af Minlæring har du en række rettigheder, som du skal være opmærksom på:
Ret til indsigt
Du har ret til at se, hvilke oplysninger vi behandler om dig. Derfor har vi beskrevet nedenfor, hvilke oplysninger vi behandler, hvordan og til hvilket formål. Læs mere hos Datatilsynet her.
Ret til berigtigelse
Du har ret til at få rettet urigtige oplysninger om dig. Læs mere hos Datatilsynet her.
Ret til sletning
Du har ret til at få slettet dine personoplysninger, hvis blot én af 6 betingelser er opfyldt, hvoraf den vigtigste formentlig er, at formålet for at opbevare dine personoplysninger ikke længere er gældende. Læs hos Datatilsynet her (se især listen over betingelser på s. 34).
Ret til begrænsning af behandling
Du har ret til at få begrænset behandlingen af dine personoplysninger, så oplysningerne alene må opbevares, hvis blot én af 4 betingelser er opfyldt, hvoraf en af betingelserne er tilfældet, hvor personoplysningerne ikke er korrekte. Se mere hos Datatilsynet her (se især listen over betingelser på s. 37).
Ret til dataportabilitet
Du har i visse tilfælde ret til, at dine personoplysninger overføres til en anden databehandler. Det kræver dog, at 1) behandlingen af oplysningerne sker automatisk, og at 2) du selv har givet oplysningerne, der skal behandles. Læs mere hos Datatilsynet her.
Ret til indsigelse
Du har ret til at gøre indsigelse, og såfremt der er tungtvejende grunde til at indstille behandlingen skal den stoppes. Læs mere hos Datatilsynet her.
Ret til ikke at være genstand for en automatisk afgørelse
Du har ret til, at afgørelser der har en betydelig påvirkning for dig ikke foretages på baggrund af automatiske behandlinger. Læs mere hos Datatilsynet her.
Minlæring har sørget for at vores sikkerhedsforanstaltninger og databehandling ikke alene lever op til de 7 principper nævnt ovenfor men også understøtter dine rettigheder som bruger (”data subject”) på Minlæring.
Cookies
Cookies er små tekstfiler, som bruges på stort set alle hjemmesider. De er ikke farlige og kan ikke indeholde virus, men bruges primært til at få en hjemmeside til at fungere mere effektivt, så fx data ikke skal indlæses hver gang, du indlæser en side, men gemmes i din browser.
Cookies kan ikke bruges til at udtrække personoplysninger. Det altså ikke muligt ud fra cookies at se, hvem du er, hvad du hedder eller lignende.
Minlæring bruger bl.a. cookies for at forbedre din oplevelse af at bruge siden eller til anonym statistik om brug af siden. For at tillade cookies kræver vi dit samtykke. Samtykket gemmes i op til 1 år. Du kan til enhver tid ændre eller tilbagetrække dit samtykke.
Cookies reguleres af en anden lovgivning. Derfor har vi udarbejdet en særskilt cookiepolitik med alt, du behøver at vide ift. Minlærings brug af cookies på denne side.
Sikkerhed
Minlæring har foretaget en række sikkerhedsforanstaltninger, der er med til at sikre, at brugernes persondata opbevares og behandles sikkert. Vi samarbejder kun med tredjeparter, der kan leve op til samme høje sikkerhedskrav.
Sikkerheden indbefatter bl.a. sikring af infrastruktur (dvs. sikkerhed ifm. datacentre, netværkssikkerhed, datasikkerhed, monitorering af adgang til oplysninger, systemtests, løbende sikkerhedskopiering samt monitorering af fejl og misbrug), produktsikkerhed (dvs. sikkerhed ifm. login, kryptering, afsendelse af mails, login, automatisk opdatering af elever og hold (automatisk sletning) samt sikring ift. personer under myndighedsalder) og compliance (sikkerhed for overholdelse af persondataforordning på baggrund af "ISAE 3000"-erklæring samt leverandørsikkerhed i form af underdatabehandleraftaler).
For en mere detaljeret oversigt og beskrivelse af hver sikkerhedsforanstaltning se vores databehandleraftale eller kontakt os på gdpr@minlaering.dk.
Oplysninger Minlæring indsamler
Minlæring indsamler personoplysninger om brugere, når de tilmelder sig eller bruger Minlæring. Som udgangspunkt foregår alle behandlingsaktiviteter på baggrund af UNI-Login. Hvis man som underviser eller systemadministrator på skolen ikke har UNI-Login, er det muligt at tilmelde sig med mail.
Hvordan bruges UNI-Login?
UNI-Login er et digitalt ID for børn og ansatte på skoleinstitutioner i Danmark. Systemet er drevet af Styrelsen for It og Læring og giver en sikker adgang til indsamling af relevant persondata. For at indsamle personoplysninger fra UNI-Login kræves en skriftlig databehandleraftale med brugernes institution. Såfremt institutionen ikke har særlige ønsker, vil Minlæring indgå en databehandleraftale med institutionen baseret på Datatilsynets anbefalede aftale.
Minlæring indsamler ikke personfølsomme oplysninger i UNI-Login men alene almindelige personoplysninger i form af navne, efternavne, holdnavne og holdtilknytning, UNI-Login brugernavn samt institutionstilknytninger (afdelingstilknytning ved flere afdelinger på institutionen) for elever (kursister) og lærere (undervisere). Dette foregår konkret, efter indgåelse af skriftlig databehandlingsaftale med institutionen, ved udtræk fra:
1) ws17/wsiEKSPORT (lille)
Formålet med denne dataaftale er at indsamle personoplysninger i form af navn, efternavn, hovedgruppe/klasse, UNI-Login-brugernavn samt gruppeoplysninger (holdoplysninger) i form af gruppenavne, gruppetype og start/slutdato for grupperne. Læs mere på viden.stil her.
2) ws22/wsiINST
Formålet med denne dataaftale er at indsamle oplysninger om lærere og elevers undergruppetilknytninger (hold), rolle på institutionen. Dette bruges til at placere elever og lærere efter de korrekte gruppetilknytninger (dvs. hold/stamklassetilknytninger). Læs mere på viden.stil her.
3) ws71/wsiBRUGER
Formålet med dataaftalen er at indsamle data om en lærers relation/tilknytning til andre institutioner. Dette bruges til at lade ansatte, som er ansat flere steder, skifte rolle i Minlæring, så de kan tilgå systemet efter den rette rolle. Læs mere på viden.stil her.
Indsamling af persondata i andre tilfælde
Minlæring kan også indsamle og behandle oplysninger om brugere i andre tilfælde end ved tilmelding. Det kunne være i forbindelse med indstilling af en brugers profil ved at indtaste præferencer, dvs. information om, hvilke fag læreren er interesseret i at følge. Det gælder således ved brug af siden, eller når de kontakter os. Dette er udførligt beskrevet nedenfor om behandlingsaktiviteter og deres formål.
Behandlingsaktiviteter samt behandlingens formål og risiko
Vi indsamler og behandler persondata om brugere for at kunne levere, beskytte og forbedre Minlærings digitale læremidler. Du kan desuden læse mere om, hvilke parametre vi gør brug af ved vurdering af risiko og påvirkningsgrad nedenfor (under ”Risikoanalyse”).
Nedenfor er hver behandlingsaktivitet beskrevet kort. For en mere detaljeret præsentation af behandlingsaktivitetens formål og risiko, kan du se den tilhørende tabel til hver overskrift (mere information er tilknyttet den skriftligt indgåede databehandleraftale med institutionen).
Til bekræftelse af identitet ved login
Som lærer eller systemadministrator kan man vælge at bruge mailadresse som adgangsgivende login på Minlæring. For elever kan der alene bruges UNI-Login. I den forbindelse bruger persondata til at logge brugeren ind.
Til automatisk opdatering af hold (grupper)
På baggrund af data fra UNI-Login (se ovenfor) kan vi automatisk opdatere (synkronisere) alle hold på Minlæring. Mellem 1 og 4 gange dagligt opdateres hver institutions hold, så nye elever automatisk tilføjes lærerens valgte hold, og elever, der ikke længere er på holdet, slettes.
Til præsentation af progression i arbejdet med Minlærings øvelser
Når elever og lærere arbejder med læremidlerne på Minlæring, gemmes besvarelser i øvelser. Disse resultater præsenteres over for brugerne selv og over for relevante lærere koblet på holdet, eleverne er tilmeldt.
Til forbedring af brugeroplevelsen
Vi kan præsentere brugerne for eget navn og personoplysninger for at forbedre brugeroplevelsen på Minlæring. Dette betyder, at brugerne kun vil se relevante læremidler ud fra de fag og præferencer, de har indstillet.
Til beskyttelse af brugere og produkt
Vi kan identificere potentiel misbrug af brugernes konto, så vi kan informere brugerne om det ved usædvanlig aktivitet.
Vi kan bruge persondata for at overholde juridiske krav.
For en mere detaljeret beskrivelse af hver behandlingsaktivitet se vores databehandleraftale eller kontakt os på gdpr@minlaering.dk.
Databehandleraftale og instruks
For at indsamle personoplysninger om lærere og elever indgår Minlæring en skriftlig databehandleraftale med hver institution. Databehandleraftalen dokumenterer sikkerhed, gældende periode for databehandlingen samt en skriftlig instruks, som beskriver, til hvilke formål Minlæring må behandle persondata
Minlærings databehandleraftale er baseret på Datatilsynets anbefalede aftale.
Opbevaringsperiode
Minlæring opbevarer kun persondata så længe, det er nødvendigt for at leve op til databehandlingens formål, dvs. levere adgang til de digitale læremidler på Minlæring til brugerne. Når kundeforholdet/abonnementsforholdet ophører, slettes eller tilbageleveres persondata til den dataansvarlige, og eventuelle kopier slettes. Dette gælder ikke for oplysninger, Minlæring er forpligtet til at opbevare af hensyn til national lovgivning eller EU-ret (for disse oplysninger er opbevaringsperioden typisk maksimalt 5 år i de fleste jurisdiktioner).
Nogle personoplysninger anonymiseres og opbevares efter kundeforholdets ophør som oplysninger til brug for statistik og forbedring af produktet.
Minlæring har udviklet en automatisk slettemekanisme, der sletter elever og hold, når de ikke længere er aktive i UNI-Login. For at kunne genskabe mulige fejl gemmes sikkerhedskopier i sådanne tilfælde op til 12 måneder (se mere i afsnittet om sikkerhed ovenfor).
Tredjeparter (deling af dine oplysninger med andre)
Personoplysninger indsamlet af Minlæring bruges alene internt og deles eller videregives ikke til tredjeparter, medmindre vi er forpligtet til at videregive oplysninger for at overholde dansk lovgivning.
Minlæring gør dog brug af underdatabehandlere. Disse underdatabehandlere opbevarer og behandler personoplysninger på vegne af Minlæring, og derfor instrueres de i alene at behandle personoplysninger til ovenstående formål. Dette sikrer vi ved at indgå databehandleraftaler med alle underdatabehandlere.
For en mere detaljeret oversigt over underdatabehandlere se vores databehandleraftale eller kontakt os på gdpr@minlaering.dk.
Risikoanalyse
Behandling af personoplysninger er forbundet med risici for de personer, der behandles oplysninger på baggrund af. Minlæring tilgår sikkerheden ud fra en risikobaseret tilgang, hvilket indebærer, at vi for hver behandlingsaktivitet har analyseret, hvilke risici der indgår for de involverede fysiske personer.
Det kunne være fysiske, materielle eller imaterialle skader samt risiko for identitetstyveri, identitetssvig, skade på omdømme, sociale konsekvenser, krænkelse af menneskelig værdighed eller økonomiske konsekvenser.
For at opnå et passende sikkerhedsniveau ud fra de risici, behandlingsaktiviteterne kan medføre, er det nødvendigt at opgøre det for hver behandlingsaktivitet og sørge for, at der er implementeret tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger for at imødekomme disse risici.
Det er vores samlede vurdering, at risikoen og påvirkningsgraden forbundet med behandling af persondata på Minlæring er lav. Dette er uddybet i afsnittet ovenfor for hver behandlingsaktivitet. Dette er yderligere uddybet over for de dataansvarlige i den skriftligt indgåede databehandlingsaftale.
Håndhæv dine rettigheder
Som du kan læse ovenfor har du en række rettigheder, som du kan gøre brug af. Det gælder fx retten til at få at vide, hvilke oplysninger Minlæring har registreret om dig samt formålet med registreringen. Kontakt os på gdpr@minlaering.dk for at høre nærmere eller for at få udleveret dine data i et læseligt format. Hvis du synes, at vi behandler eller registrerer oplysninger om dig på en forkert måde, kan du gøre indsigelse på gdpr@minlaering.dk eller klage til Datatilsynet.
Ændringer i denne persondatapolitik
Teknologi ændrer sig hele tiden og giver nye og bedre muligheder for at beskytte dine personoplysninger, ligesom vi løbende forbedrer vores læremidler. Vi kan derfor finde på at ændre vores persondatapolitik. Vi vil i tilfælde af ændringer naturligvis underrette dig om sådanne ændringer.
Kontakt Minlæring
Minlæring er et digitalt forlag, der udvikler digitale læremidler og smart teknologi til undervisning i primært sprogfagene.
Du kan kontakte os for mere information eller besvarelse af spørgsmål om persondata på:
Nicklas Augustine
gdpr@minlaering.dk
Sankt Peders Stræde 43 st
1453 København K
+45 50 59 88 20
Senest opdateret 2. januar 2023:
• Forsimpling af tekst om sikkerhed, underdatabehandlere og behandlingsaktiviteter med opfordring til kontakt for yderligere detaljer med mere omfattende beskrivelser i indgået databehandleraftale
• Rettet afsnit om cookies pga. ændret brug af (færre) cookies
• Rettet døde links (henvisninger)
2019-24 © Ovenstående GDPR-beskrivelse er udarbejdet specifikt til Minlæring.dk og må ikke anvendes helt eller delvist uden for denne sammenhæng