Kan vi hjælpe med noget?

Sikkerhed, persondatapolitik og GDPR

Skrevet af Minlæring
Opdateret 1 måned siden

Minlæring (”August & Hemmingsen ApS”) er underlagt den til enhver tid gældende persondatalov og enhver behandling af personoplysninger sker under iagttagelse af persondataloven.

Denne politik beskriver hvilken type oplysninger, vi indsamler, hvordan vi behandler disse, og hvem du kan kontakte, såfremt du har spørgsmål, indsigelser eller kommentarer til vores retningslinjer.

GDPR
General Data Protection Regulation (persondataforordningen) er en lovgivning indført af EU i maj 2018 for at ensrette persondatalovgivningen inden for EU. Formålet med GDPR er at sikre, at du som bruger af fx Minlæring kan regne med, at vi passer godt på dine data.

Vigtigt at vide (definitioner)
Herunder finder du en oversigt over vigtige begreber i GDPR-sammenhænge af betydning for din brug af Minlæring:

Personoplysninger er oplysninger, der kan bruges til at identificere en konkret person, fx navn, brugernavn, adresse mv. En særlig kategori af personoplysninger er følsomme personoplysninger såsom race, etnisk oprindelse, politisk overbevisning mv. Minlæring behandler eller registrerer aldrig følsomme personoplysninger.

Databehandlingsaktivitet er enhver operation udført på baggrund af personoplysninger, hvilket kan være organisering, strukturering, indsamling, opbevaring, brug af data mv. (ikke udtømmende liste).

Der skelnes mellem data registrant/subjekt (”data subject”), som er selve brugeren af Minlærings services, databehandler (”data processor”), som i de fleste tilfælde vil være Minlæring, som behandler data på vegne af en dataansvarlig (”data controller”), som vil være skoler og institutioner med ansvar for den behandlede data. I få tilfælde, såfremt en lærer manuelt tilmelder sig uden om skolen, vil Minlæring være at betragte som dataansvarlige.

Databehandleraftaler indgås mellem Minlæring som databehandler og skolerne/institutionerne som dataansvarlige. Det sikrer, at du som bruger garanteres, at Minlæring behandler data efter den dataansvarliges krav. Det er lovpligtigt at indgå en databehandleraftale. Du kan desuden forvente, at den dataansvarlige omtrent årligt gennemfører tilsyn med Minlæring som databehandlere for at sikre, at vi lever op til kravene i databehandleraftalen.

Et tilsyn kan enten udføres ved brug af en tilsynsrapport, ved som dataansvarlig at hyre en tredjepart til at føre tilsyn med databehandleren eller ved selv at udføre tilsynet enten fysisk ved at møde op hos databehandleren eller ved at fremsende en række spørgsmål om databehandlingen til databehandleren. Minlæring vil altid som minimum udføre et grundigt, årligt internt tilsyn med udgangspunkt i ISAE-3000, som fremsendes til den dataansvarlige i form af en ledelseserklæring.

De 7 principper
En af persondataforordningens vigtigste kapitler er artikel 5 om principperne for behandling af personoplysninger. Minlæring tilstræber altid god databehandlingsskik, og det indebærer, at vi skal leve op til:

Princippet om ansvarlighed som påpeger ansvaret for Minlæring til at kunne påvise, at vi efterlever persondataforordningens principper. Derfor skal vi altid kunne dokumentere, hvordan og hvorfor databehandlingen foregår.

Princippet om formålsbegrænsning som påpeger, at Minlæring kun må indsamle, opbevare og behandle persondata til klare, afgrænsede formål og derfor ikke databehandle til andre formål, videresælge persondata eller lignende. Minlæring må derfor kun viderebehandle og indsamle persondata til legitime, saglige formål.

Princippet om dataminimering betyder, at den data, vi indsamler om dig altid sker ud fra en minimumsbetragtning: Hvilke data er nødvendige ift. at kunne leve tilstrækkeligt op til formålet med databehandlingen?

Princippet om lovlighed, rimelighed og gennemsigtighed understreger, at vi kun må udføre lovlig indsamling og behandling af persondata. Vi skal eksempelvis have dit samtykke eller indgå en databehandleraftale med skolen for at sikre lovlig behandling af persondata. Behandlingen skal dog også være rimelig, dvs. sikre en sikker databehandling med brug af best practice løsninger. Endelig skal vi sikre gennemsigtighed, hvorfor vi også bl.a. her på denne side forsøger at skrive i et letforståeligt og lettilgængeligt sprog.

Princippet om rigtighed betyder, at vi sørger for at have tilstrækkelige kontrolmekanismer til at sikre, at vores data om dig er ajourført, ligesom vi skal sørge for at slette og rette urigtige persondata.

Princippet om integritet og fortrolighed indebærer, at vi skal sørge for at persondata om dig til enhver tid er troværdigt og korrekt (integritet), at uvedkommende ikke kan få adgang til din persondata (fortrolighed) samt at vi har indført en passende og tilstrækkelig sikkerhed ift. risikoen forbundet med databehandlingen.

Princippet om opbevaringsbegrænsning medfører, at persondata alene opbevares i den tid, det er nødvendigt for at leve op til formålet med databehandlingen. Såfremt data opbevares efter denne periode, sørger vi for at anonymisere data, hvormed ”personoplysningerne overgår til blot at være oplysninger”.

Det er vores opgave at gøre dig opmærksom på disse 7 principper og dokumentere over for dig, at vi lever op til dem!

Dine rettigheder som bruger (kunde)
Som kunde og bruger af Minlæring har du en række rettigheder, som du skal være opmærksom på:

Ret til indsigt
Du har ret til at se, hvilke oplysninger vi behandler om dig. Derfor har vi beskrevet nedenfor, hvilke oplysninger vi behandler, hvordan og til hvilket formål. Læs mere hos Datatilsynet her.

Ret til berigtigelse
Du har ret til at få rettet urigtige oplysninger om dig. Læs mere hos Datatilsynet her.

Ret til sletning
Du har ret til at få slettet dine personoplysninger, hvis blot én af 6 betingelser er opfyldt, hvoraf den vigtigste formentlig er, at formålet for at opbevare dine personoplysninger ikke længere er gældende. Læs hos Datatilsynet her (se især listen over betingelser på s. 34).

Ret til begrænsning af behandling
Du har ret til at få begrænset behandlingen af dine personoplysninger, så oplysningerne alene må opbevares, hvis blot én af 4 betingelser er opfyldt, hvoraf en af betingelserne er tilfældet, hvor personoplysningerne ikke er korrekte. Se mere hos Datatilsynet her (se især listen over betingelser på s. 37).

Ret til dataportabilitet
Du har i visse tilfælde ret til, at dine personoplysninger overføres til en anden databehandler. Det kræver dog, at 1) behandlingen af oplysningerne sker automatisk, og at 2) du selv har givet oplysningerne, der skal behandles. Læs mere hos Datatilsynet her.

Ret til indsigelse
Du har ret til at gøre indsigelse, og såfremt der er tungtvejende grunde til at indstille behandlingen skal den stoppes. Læs mere hos Datatilsynet her.

Ret til ikke at være genstand for en automatisk afgørelse
Du har ret til, at afgørelser der har en betydelig påvirkning for dig ikke foretages på baggrund af automatiske behandlinger. Læs mere hos Datatilsynet her.

Minlæring har sørget for at vores sikkerhedsforanstaltninger og databehandling ikke alene lever op til de 7 principper nævnt ovenfor men også understøtter dine rettigheder som bruger (”data subject”) på Minlæring.

Cookies
Cookies er små tekstfiler, som bruges på stort set alle hjemmesider. De er ikke farlige og kan ikke indeholde virus, men bruges primært til at få en hjemmeside til at fungere mere effektivt, så fx data ikke skal indlæses hver gang, du indlæser en side, men gemmes i din browser.

Cookies kan ikke bruges til at udtrække personoplysninger. Det altså ikke muligt ud fra cookies at se, hvem du er, hvad du hedder eller lignende.

Minlæring bruger bl.a. cookies for at forbedre din oplevelse af at bruge siden eller til anonym statistik om brug af siden. For at tillade cookies kræver vi dit samtykke. Samtykket gemmes i op til 1 år. Du kan til enhver tid ændre eller tilbagetrække dit samtykke.

Cookies reguleres af en anden lovgivning. Derfor har vi udarbejdet en særskilt cookiepolitik med alt, du behøver at vide ift. Minlærings brug af cookies på denne side.

Sikkerhed
Minlæring har foretaget en række sikkerhedsforanstaltninger, der er med til at sikre, at brugernes persondata opbevares og behandles sikkert. Vi samarbejder kun med tredjeparter, der kan leve op til samme høje sikkerhedskrav.

1) Sikring af infrastruktur
Foranstaltninger foretaget i infrastrukturen omkring Minlærings platform.

Datacentre
Vi har valgt at samarbejde med DigitalOcean, som er certificeret ved den internationale sikkerhedsstandard ISO/IEC 27001:2013. DigitalOcean er GDPR-compliant, og der er indgået SCC med datacenteret, ligesom hvert datacenter kontrolleres individuelt og uafhængigt af hinanden af uvildig tredjepart. Læs mere på https://www.digitalocean.com/legal/certifications/. DigitalOcean lever dog også op til principperne i GDPR og har fuld gennemsigtighed om deres fysiske, infrastrukturelle og digitale sikkerhedsprocedurer.

Netværkssikkerhed
DigitalOceans netværkssikkerhed er yderligere øget ved brug af virtuelle servere, der kan fra- og tilkobles, hvis der viser sig at være sikkerhedsrisici eller tegn på uautoriseret adgang til serverne. Der er altså ikke alene brugt fysiske men også digitale sikkerhedsprocedurer foruden firewalls, adgangslogging, backupsikkerhed mv. Se mere på https://www.digitalocean.com/legal/data-security/

Datasikkerhed
Minlæring krypterer data ved migration af data, og vi bruger frameworket Laravel til at sikre, at brugerdata, herunder kodeord, beskyttes efter branchens standarder. Se mere på https://laravel.com/docs/4.2/security

Monitorering af adgang til oplysninger
Foruden DigitalOceans sikkerhedsprocuderer for streng monitorering af adgang til data, har Minlæring interne procedurer, der sikrer, at kun relevante medarbejdere (rolle-baseret beskyttelse) har adgang til DigitalOcean og at denne adgang er beskyttet med krypterede adgangskoder. Der er desuden IP-beskyttelse på tilgang til DigitalOceans krypterede udviklingsmiljø. Det er derfor kun bestemte, godkendte fysiske computere, der kan tilgå miljøet.

Systemtests
Det fremgår desuden af DigitalOceans beskrivelser af deres sikkerhedsprocedurer, at deres datacentre løbende udsættes for stresstest, og at Minlæring får øjeblikkelig besked om ændringer i sikkerhedsrisici.

Løbende sikkerhedskopiering
For at sikre at brugerens personoplysningerne kan genskabes ved tilfælde af brud på sikkerheden, anvendes servicen BackupBird, som sørger for at der opbevares sikkerhedskopier af data til brug ved genskabelse af fx datatab eller fejl i migrering af data. BackupBird varetages af den danske virksomhed Uptime Development A/S, som opbevarer data i Vejle og lever op til GDPR-sikkerhedsreglerne som beskrevet på https://www.backupbird.com/privacy-policy

Sikkerhedsbackups gemmes på Amazons servere, som er førende inden for serversikkerhed. Amazons servere lever op til branchens standarder herunder ISO 9001 / ISO 27001, og der bruges omfattende både fysiske og digitale sikkerhedsforanstaltninger for at sikre konstant oppetid og total sikkerhed mod udefrakommendes potentielle adgang til persondata. Amazon har grundigt beskrevet serversikkerheden på https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

Alle Amazons webservices lever op til reguleringen i persondataforordningen. Sikkerheden vurderes af en uvildig tredjepart og resultaterne præsenteres offentligt på https://aws.amazon.com/compliance/gdpr-center/

Sikker kommunikation
Lærere og elever kan finde på at kommunikere direkte til os på enten telefon eller mail. For at sikre en sikker kommunikationsforbindelse anvendes Googles G Suite (Google Mail). Google lever op til ISO 27001 (information security management), ISO 27017 (cloud security), ISO 27018 (cloud privacy) samt SSAE16 / ISAE 3402 (SOC 2/3). Google er desuden GDPR-compliant og har implementeret omfattende sikkerhed, herunder kryptering, adgangskontroller, login monitorering, 2-step verifikation samt døgnbemandet overvågning af servere. Læs mere om deres sikkerhed på https://cloud.google.com/security/gdpr/

Monitorering af fejl og misbrug
Det er vigtigt, at data behandles troværdigt og korrekt samt at uvedkommende ikke kan få adgang til persondata. Derfor har vi valgt at implementere en sikkerhedssoftware, Sentry, i Minlærings infrastruktur, der hjælper med at identificere og løse potentielle fejl eller tegn på misbrug af brugernes konti. Sentry er en tjeneste med meget høj teknisk og organisatorisk sikkerhed. Sentry
er GDPR-compliant og er selv hosted hos Google, hvorfor de samme sikkerhedsforanstaltninger som nævnt ovenfor gør sig gældende for Sentry. Derudover sørger Sentry for at al data på serverne er krypteret, at data automatisk slettes efter 90 dage, at kodeord og andre oplysninger, der kan bruges til at identificere en person er krypteret og at der skal bruges 2-faktor loginprocedure for at få adgang til al data. Sentry har desuden implementeret et risk management system efter NIST SP 800-30. Du kan læse mere om Sentrys sikkerhed på https://sentry.io/security/#business-continuity-and-disaster-recovery

 

2) Produktsikkerhed
Foranstaltninger foretaget i selve produktet (de digitale læremidler), Minlæring tilbyder.

Loginsikkerhed
Minlæring er udviklet på Laravel, som tillader login via alle moderne browsere. Brugere har hver deres brugernavn og kodeord. Ved flere på hinanden følgende fejllogins spærres brugerens login. Desuden er det ikke muligt at ”gætte” en brugers mail eller kodeord, da det aldrig vil blive bekræftet over for den besøgende, om det indtastede hver især er korrekt, men alene når kombinationen af brugernavn og kodeord er korrekt. Se mere om autorisering af brugere i Laravel på https://laravel.com/docs/5.7/authentication

Ved brug af UNI-Login (se mere herom nedenfor) står Styrelsen for It og Læring for sikkerheden af login. Du kan læse mere om UNI-Login på https://stil.dk/administration-og-infrastruktur/uni-login eller nedenfor under om behandlingsaktiviteter.

Kryptering
Alle loginoplysninger opbevares krypteret. Det er aldrig muligt at se eller tilgå kodeord. Ved skriftlig kommunikation bruges en fortrolig forbindelse hos Google, som altid automatisk krypteres med TLS 1.2. Hvis kunden er kommet til at sende personfølsomme oplysninger skriftligt er supportmedarbejdere desuden instrueret i at kunne anvende en særlig tys-tys kodeordsbeskyttet og tidsbegrænset mailtilstand, hvor mailen kun kan læses i et bestemt tidsrum. Alle mails i supportøjemed slettes, når der ikke længere er et formål med at gemme mailen.

Sikker afsendelse af e-mails
For at sikre brugerne maksimal sikkerhed i afsendelse af e-mails og beskeder via Minlærings platform (såsom ”Glemt password-”mails eller andre vigtige meddelelser) gør Minlæring brug af tjenesten Mailchimp. Mailchimp er GDPR-compliant (https://mailchimp.com/help/about-mailchimp-the-eu-swiss-privacy-shield-and-the-gdpr/) og har en omfattende sikkerhed. Hele tjenesten er TLS krypteret, der er døgnbemandet fysisk sikkerhedsovervågning på datacentre, og de er sikret med DDOS mitigation. Læs mere om Mailchimps sikkerhed på https://mailchimp.com/about/security/

Logging
Serverne logger al internettrafik. Alle operationer kan derfor identificeres med en sikkerhedstoken og føres tilbage til den enkelte bruger. Dette sker for alle kritiske operationer på Minlæring, og loggen er tilgængelig for systemadministratorer.

Sikkerhed ved telefonisk support
I supportøjemed kan Minlæring tilgå en brugerkonto hos Minlæring. Dette kan dog kun ske efter brugeren har givet dem adgang til dette. Supportmedarbejdere er instrueret i at sikre sig, at såfremt en brugerkonto skal tilgås, skal vedkommende besvare et par kontrollerende spørgsmål om kontoen for at bekræfte deres identitet.

Automatisk opdatering af elever og hold (automatisk sletning)
Minlæring sikrer, at data ikke opbevares, når elever går ud eller hold stopper med at være aktive på skolen. På baggrund af udtræk fra UNI-Login har Minlæring udviklet en automatisk slettemekanisme, så hold øjeblikkeligt identificeres som slettet i Minlæring, når de slettes af den dataansvarlige i UNI-Login. Dette gælder både enkelte elever på hold samt hele hold. Dermed sikres det, at elever og hold der ikke længere er aktive på skolen automatisk slettes, da abonnementet for pågældende elever og hold så betragtes som afsluttet. Inden for 12 måneder kan data genskabes ved brug af den løbende sikkerhedskopiering, så eventuelle fejl undgås (hvis fx en systemadministrator på skolen sletter et hold ved en fejl i UNI-Login. Se mere herom ovenfor).

Sikring ift. personer under myndighedsalder
Minlæring har indbygget en sikkerhed ved tilmelding af brugere under myndighedsalder (elever). Det indebærer, at kun lærere kan tilmelde sig adgang eller prøveadgang uden om UNI-Login. Elever skal altid verificeres gennem UNI-Login og dermed behandles persondata altid efter instruks fra den dataansvarlige (skolen), når brugeren er en elev.

 

3) Compliance
For at sikre at Minlæring løbende lever op til persondataforordningen udarbejdes som minimum en gang årligt en ledelseserklæring baseret på branchens standarder for tilsyn med databehandlinger. Erklæringen fremsendes til dataansvarlige og indeholder som minimum:

- Vurdering af, om der er årsag til ændret risikoanalyse/risikovurdering
- Gennemgang af, om eventuelle ændringer fra praksis hos Datatilsynet om god behandlingsskik kræver ændringer i behandlingen af personoplysninger på Minlæring-    Kontrol af, at der forelægger skriftlig dokumentation for instruks på databehandlingen
- Kontrol af mekanismer, der sikrer automatisk sletning af persondata, der ikke længere skal opbevares
- Kontrol af, om personoplysninger der skal overgå til oplysninger pga. ophørt aftale om opbevaring er sket
- Kontrol af, at Minlæring har instrueret relevante medarbejdere i sikkerhedsprocedurer, såfremt de har adgang til persondata
- Kontrol af, at underdatabehandlere kan dokumentere deres sikkerhed som aftalt i en underdatabehandlingsaftale
- Kontrol af, at fortegnelse over kategorier af behandlingsaktiviteter er opdateret og retvisende
- Kontrol af, at mekanismer der regulerer øjeblikkelig rapportering i tilfælde af brud på persondatasikkerheden fungerer

Ovenstående er ikke at betragte som en udtømmende liste over, hvad en årlig ledelseserklæring vil indeholde, da den altid skal afspejle en grundig kontrol af alle aspekter af compliance med gældende persondatalovgivning. Foruden ovenstående liste bruges inspiration fra ”ISAE 3000”-erklæringen.

Leverandørsikkerhed, underdatabehandleraftaler
Såfremt en tredjepart skal bruges til behandling af data, sikrer vi, at de lever op til højeste sikkerhedsstandarder, og at vi har indgået en skriftlig underdatabehandlingsaftale med leverandørerne.

Oplysninger Minlæring indsamler
Minlæring indsamler personoplysninger om brugere, når de tilmelder sig eller bruger Minlæring. Som udgangspunkt foregår alle behandlingsaktiviteter på baggrund af UNI-Login. Hvis man som underviser eller systemadministrator på skolen ikke har UNI-Login, er det muligt at tilmelde sig med mail.

Hvordan bruges UNI-Login?
UNI-Login er et digitalt ID for børn og ansatte på skoleinstitutioner i Danmark. Systemet er drevet af Styrelsen for It og Læring og giver en sikker adgang til indsamling af relevant persondata. For at indsamle personoplysninger fra UNI-Login kræves en skriftlig databehandleraftale med brugernes institution. Såfremt institutionen ikke har særlige ønsker, vil Minlæring indgå en databehandleraftale med institutionen baseret på Kommunernes Landsforenings IT-organisation (KOMBIT) anbefalede standardaftale.

Minlæring indsamler ikke personfølsomme oplysninger i UNI-Login men alene almindelige personoplysninger i form af navne, efternavne, holdnavne og holdtilknytning, UNI-Login brugernavn samt institutionstilknytninger (afdelingstilknytning ved flere afdelinger på institutionen) for elever (kursister) og lærere (undervisere). Dette foregår konkret, efter indgåelse af skriftlig databehandlingsaftale med institutionen, ved udtræk fra:

1) ws17/wsiEKSPORT (lille)
Formålet med denne dataaftale er at indsamle personoplysninger i form af navn, efternavn, hovedgruppe/klasse, UNI-Login-brugernavn samt gruppeoplysninger (holdoplysninger) i form af gruppenavne, gruppetype og start/slutdato for grupperne. Læs mere på viden.stil her.

2) ws22/wsiINST
Formålet med denne dataaftale er at indsamle oplysninger om lærere og elevers undergruppetilknytninger (hold), rolle på institutionen. Dette bruges til at placere elever og lærere efter de korrekte gruppetilknytninger (dvs. hold/stamklassetilknytninger). Læs mere på viden.stil her.

3) ws71/wsiBRUGER
Formålet med dataaftalen er at indsamle data om en lærers relation/tilknytning til andre institutioner. Dette bruges til at lade ansatte, som er ansat flere steder, skifte rolle i Minlæring, så de kan tilgå systemet efter den rette rolle. Læs mere på viden.stil her.

Indsamling af persondata i andre tilfælde
Minlæring kan også indsamle og behandle oplysninger om brugere i andre tilfælde end ved tilmelding. Det kunne være i forbindelse med indstilling af en brugers profil ved at indtaste præferencer, dvs. information om, hvilke fag læreren er interesseret i at følge. Det gælder således ved brug af siden, eller når de kontakter os. Dette er udførligt beskrevet nedenfor om behandlingsaktiviteter og deres formål.

Behandlingsaktiviteter samt behandlingens formål og risiko
Vi indsamler og behandler persondata om brugere for at kunne levere, beskytte og forbedre Minlærings digitale læremidler. Du kan desuden læse mere om, hvilke parametre vi gør brug af ved vurdering af risiko og påvirkningsgrad nedenfor (under ”Risikoanalyse”).

Nedenfor er hver behandlingsaktivitet beskrevet kort. For en mere detaljeret præsentation af behandlingsaktivitetens formål og risiko, kan du se den tilhørende tabel til hver overskrift (mere information er tilknyttet den skriftligt indgåede databehandleraftale med institutionen).

Til bekræftelse af identitet ved login
Som lærer eller systemadministrator kan man vælge at bruge mailadresse som adgangsgivende login på Minlæring. For elever kan der alene bruges UNI-Login. I den forbindelse bruger persondata til at logge brugeren ind.

Til automatisk opdatering af hold (grupper)
På baggrund af data fra UNI-Login (se ovenfor) kan vi automatisk opdatere (synkronisere) alle hold på Minlæring. Mellem 1 og 4 gange dagligt opdateres hver institutions hold, så nye elever automatisk tilføjes lærerens valgte hold, og elever, der ikke længere er på holdet, slettes.

Til præsentation af progression i arbejdet med Minlærings øvelser
Når elever og lærere arbejder med læremidlerne på Minlæring, gemmes besvarelser i øvelser. Disse resultater præsenteres over for brugerne selv og over for relevante lærere koblet på holdet, eleverne er tilmeldt.

Til vigtige meddelelser
Hvis en lærer eller administrator foretager et køb på Minlæring, sender vi en ordrebekræftelse.
Hvis en lærer tilmelder sig med mailadresse, modtager de en bekræftelse på e-mail om, at brugeren er oprettet.
Hvis en lærer tilmelder sig en prøveadgang, modtager de en bekræftelse på prøveadgangen på mail.
Hvis Minlæring ønsker at orientere brugerne om vigtige opdateringer eller væsentlige forbedringer af platformen, modtager de en notifikation i platformen.
Elever modtager ikke vigtige meddelelser på mail eller anden kommunikation uden for Minlærings hjemmeside.

Til forbedring af brugeroplevelsen
Vi kan præsentere brugerne for eget navn og personoplysninger for at forbedre brugeroplevelsen på Minlæring. Dette betyder, at brugerne kun vil se relevante læremidler ud fra de fag og præferencer, de har indstillet.

Til at sende nyhedsbreve
Som lærer kan man tilmelde sig vores månedlige nyhedsbreve, som udsendes per mail. Det er altid muligt at afmelde sig direkte i de enkelte nyhedsbreve ved at klikke på linket ”Afmeld nyhedsbreve” eller ved at kontakte os på support@minlaering.dk.

Til support og markedsføring
Vi kan bruge brugernes personoplysninger i forbindelse med support, hvis de kontakter os og forespørger en konkret hjælp. Det er nødvendigt for at kunne identificere brugeren og om nødvendigt logge ind som vedkommende (vi har ikke adgang til brugernes krypterede adgangsoplysninger). Hvis man som lærer kontakter os til begivenheder, hvor de fx giver os navn og mail kan vi bruge oplysningerne til at følge op på denne kontakt. De opbevares i så fald sikkert i Googles mailklient. Vi kontakter aldrig elever og beder aldrig elever om at indtaste kontaktoplysninger.

Til beskyttelse af brugere og produkt
Vi kan identificere potentiel misbrug af brugernes konto, så vi kan informere brugerne om det ved usædvanlig aktivitet.
Vi kan bruge persondata for at overholde juridiske krav.

Databehandleraftale og instruks
For at indsamle personoplysninger om lærere og elever indgår Minlæring en skriftlig databehandleraftale med hver institution. Databehandleraftalen dokumenterer sikkerhed, gældende periode for databehandlingen samt en skriftlig instruks, som beskriver, til hvilke formål Minlæring må behandle persondata

Minlærings databehandleraftale er baseret på Kommunernes Landsforenings IT-fællesskabs standardaftale (KOMBIT).

Opbevaringsperiode
Minlæring opbevarer kun persondata så længe, det er nødvendigt for at leve op til databehandlingens formål, dvs. levere adgang til de digitale læremidler på Minlæring til brugerne. Når kundeforholdet/abonnementsforholdet ophører, slettes eller tilbageleveres persondata til den dataansvarlige, og eventuelle kopier slettes. Dette gælder ikke for oplysninger, Minlæring er forpligtet til at opbevare af hensyn til national lovgivning eller EU-ret (for disse oplysninger er opbevaringsperioden typisk maksimalt 5 år i de fleste jurisdiktioner).

Nogle personoplysninger anonymiseres og opbevares efter kundeforholdets ophør som oplysninger til brug for statistik og forbedring af produktet.

Minlæring har udviklet en automatisk slettemekanisme, der sletter elever og hold, når de ikke længere er aktive i UNI-Login. For at kunne genskabe mulige fejl gemmes sikkerhedskopier i sådanne tilfælde op til 12 måneder (se mere i afsnittet om sikkerhed ovenfor).

Tredjeparter (deling af dine oplysninger med andre)
Personoplysninger indsamlet af Minlæring bruges alene internt og deles eller videregives ikke til tredjeparter, medmindre vi er forpligtet til at videregive oplysninger for at overholde dansk lovgivning.

Minlæring gør dog brug af underdatabehandlere. Disse underdatabehandlere opbevarer og behandler personoplysninger på vegne af Minlæring, og derfor instrueres de i alene at behandle personoplysninger til ovenstående formål. Dette sikrer vi ved at indgå databehandleraftaler med alle underdatabehandlere. Nogle underdatabehandlere befinder sig uden for EU. For disses vedkommende er der indgået særskilte databehandleraftaler (SCC):

Underdatabehandlerne er:

Uptime Development A/S
Lysholt Allé 10,
7100 Vejle

Amazon
410 Terry Ave North Seattle
WA 98109-5210, US

Digital Ocean
101 Avenue of the Americas, New York
NY 10013, US

Mailchimp
675 Ponce De Leon Ave NE, Suite 5000,
Atlanta, Georgia 30308

Google
Barrow Street, Dublin 4
Irland

Sentry
132 Hawthorne St
San Francisco, CA 94107

Risikoanalyse
Behandling af personoplysninger er forbundet med risici for de personer, der behandles oplysninger på baggrund af. Minlæring tilgår sikkerheden ud fra en risikobaseret tilgang, hvilket indebærer, at vi for hver behandlingsaktivitet har analyseret, hvilke risici der indgår for de involverede fysiske personer.

Det kunne være fysiske, materielle eller imaterialle skader samt risiko for identitetstyveri, identitetssvig, skade på omdømme, sociale konsekvenser, krænkelse af menneskelig værdighed eller økonomiske konsekvenser.

For at opnå et passende sikkerhedsniveau ud fra de risici, behandlingsaktiviteterne kan medføre, er det nødvendigt at opgøre det for hver behandlingsaktivitet og sørge for, at der er implementeret tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger for at imødekomme disse risici.

Det er vores samlede vurdering, at risikoen og påvirkningsgraden forbundet med behandling af persondata på Minlæring er lav. Dette er uddybet i afsnittet ovenfor for hver behandlingsaktivitet. Dette er yderligere uddybet over for de dataansvarlige i den skriftligt indgåede databehandlingsaftale.

Håndhæv dine rettigheder
Som du kan læse ovenfor har du en række rettigheder, som du kan gøre brug af. Det gælder fx retten til at få at vide, hvilke oplysninger Minlæring har registreret om dig samt formålet med registreringen. Kontakt os på gdpr@minlaering.dk for at høre nærmere eller for at få udleveret dine data i et læseligt format. Hvis du synes, at vi behandler eller registrerer oplysninger om dig på en forkert måde, kan du gøre indsigelse på gdpr@minlaering.dk eller klage til Datatilsynet.

Ændringer i denne persondatapolitik
Teknologi ændrer sig hele tiden og giver nye og bedre muligheder for at beskytte dine personoplysninger, ligesom vi løbende forbedrer vores læremidler. Vi kan derfor finde på at ændre vores persondatapolitik. Vi vil i tilfælde af ændringer naturligvis underrette dig om sådanne ændringer.

Kontakt Minlæring
Minlæring er et digitalt forlag, der udvikler digitale læremidler og smart teknologi til undervisning i primært sprogfagene.

Du kan kontakte os for mere information eller besvarelse af spørgsmål om persondata på:

Nicklas Augustine
gdpr@minlaering.dk
Sankt Peders Stræde 43 st
1453 København K
+45 50 59 88 20

 

Senest opdateret 18. december 2019

2019-20 © Ovenstående GDPR-beskrivelse er udarbejdet specifikt til Minlæring.dk og må ikke anvendes helt eller delvist uden for denne sammenhæng

Fik du svar på det du søgte?