Integritetspolicy

Inledning

Detta är en beskrivning över vilka personuppgifter som ViaEcole hanterar och hur i IT-tjänsterna yh-antagning.se och LearnPoint, vidare kallat "Tjänsterna".

Parter och ansvar för behandlingen av dina personuppgifter

ViaEcole AB, 556684-6381, Box 39, 121 25 Stockholm-Globen, är leverantör av IT-tjänster inom utbildningssektorn. ViaEcole är i huvudsak personuppgiftsbiträde för behandling av personuppgifter i Tjänsterna. ViaEcoles organisatoriska och tekniska säkerhetsåtgärder finns beskrivet under rubriken "Säkerhet". Personuppgiftsansvarig för behandlingen av personuppgifter är i huvudsak utbildningsanordnaren (ViaEcoles kund) i Tjänsterna. Utbildningsanordnaren utser en eller flera personer som företräder utbildningsanordnaren i rollen som personuppgiftsansvarig.

ViaEcole är personuppgiftsansvarig för behandlingen av de uppgifter som tillhör konton som kan ge tillgång till flera utbildningsanordnare.

Vilka personuppgifter behandlar vi?

Kontouppgifter för inloggning till flera utbildningsanordnare

Till vissa delar av Tjänsterna krävs ett konto som kan ge tillgång till flera utbildningsanordnare. ViaEcole är personuppgiftsansvarig för dessa inloggningsuppgifter.

Sökande

Sökande är en person som söker till en utbildning/kurs.

Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.

Student/studerande

Student/studerande är en person som deltar i eller har deltagit i en eller flera utbildning(ar)/kurs(er).

Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.

Arbetslivskontakt

Arbetslivskontakt är en person som är involverad i utbildningsverksamheten hos en utbildningsanordnare som tex handledare under praktik.

Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.

Personal

Personal är en person som är involverad i utbildningsverksamheten hos en utbildningsanordnare som tex lärare.

Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.

Administratör

Administratör är en person med administratörsbehörigheter. För att få åtkomst till Tjänsterna krävs ett ViaEcole-konto vid hantering av ansökan/antagning till utbildningar/kurser.

Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.

Hur och varför behandlar vi personuppgifter?

ViaEcole behandlar personuppgifter för att kunna tillhandahålla Tjänsterna, fullgöra åtaganden gentemot vår kund (utbildningsanordnaren) enligt avtal, samt ge dig som användare bästa möjliga upplevelse av Tjänsterna.

Teknisk systemdrift

ViaEcole utför följande databehandling vid systemdrift:

Personlig behandling av personuppgifter

ViaEcole behandlar individuella personuppgifter för att:

Hur länge behandlar vi personuppgifter?

När avtalet mellan ViaEcole och utbildningsanordnaren upphör kommer ViaEcole radera de uppgifter utbildningsanordnaren är personuppgiftsansvarig för inom en rimlig tid om inget annat överenskommits. Utbildningsanordnaren kan också när som helst begära att uppgifter som de är personuppgiftsansvarig för ska raderas. Personuppgifter i Tjänsterna raderar administratör, men vid de fall det inte finns en teknisk funktion för radering behöver administratören kontakta ViaEcole.

Kontouppgifter för inloggning till flera utbildningsanordnare som ViaEcole är personuppgiftsansvarig för raderas tre månader efter av kontouppgifterna inte längre används för inloggning till någon anordnare.

Vilka delar vi personuppgifter med?

ViaEcole använder sig av underleverantörer för drift av Tjänsterna och kan därmed komma att dela personuppgifter med dessa underleverantörer både inom och utanför EU/EES. Leverantörerna har motsvarande skyldigheter gällande behandlingen av personuppgifter som ViaEcole har mot utbildningsanordnaren i fall utbildningsanordnaren är personuppgiftsansvarig. Detta är reglerat i Personuppgiftsbiträdesavtalet mellan utbildningsanordnaren och ViaEcole.

Användarnamn för inloggning till flera utbildningsanordnare som ViaEcole är personuppgiftsansvarig för delar ViaEcole med utbildningsanordnarna.

Behandling Underleverantör Plats
Systemdrift Microsoft Behandlingen sker huvudsakligen i ett datacenter i Dublin, Irland. Sekundär plats för behandling är datacenter i Amsterdam, Nederländerna
E-postutskick Sendgrid USA (Privacy Shield Certified)
SMS-utskick Telenor Sverige

Vilka rättigheter har du som registrerad?

Du som registrerad i ViaEcoles Tjänster har flera rättigheter som du bör känna till. För att åberopa dina rättigheter behöver du vända dig till personuppgiftsansvarig vilket generellt är utbildningsanordnaren.

Du har rätt att kostnadsfritt en gång per år, förutsatt att du har berättigade skäl, begära ett registerutdrag över vilken information som finns registrerad om dig. Du har i vissa fall även rätt till dataportabilitet av personuppgifterna. Du har rätt till att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga eller missvisande och rätt att begränsa behandlingen av personuppgifter tills de blir ändrade. Rätten till radering av personuppgifter som utbildningsanordnaren är personuppgiftsansvarig för gäller generellt inte då behandlingen anses som myndighetsutövning. Du har också rätt att lämna klagomål om behandlingen till Datainspektionen.

Säkerhet

Inledning

Detta är en beskrivning över vilka tekniska och organisatoriska säkerhetsåtgärder ViaEcole vidtar i och kring IT-tjänsterna yh-antagning.se och LearnPoint, vidare kallat "Tjänsterna". ViaEcole har ansvaret för den säkerhet som krävs i Tjänsterna för att uppfylla rollen som personuppgiftsansvarig och personuppgiftsbiträde. De åtgärder som inte finns tillgängliga som funktioner i Tjänsterna hanteras av interna rutiner.

Autentisering och kryptering

För att få tillgång till Tjänsterna krävs inloggning med användarnamn och lösenord. Lösenorden måste följa ett regelverk för komplexitet. Användarens lösenord lagras i envägskrypterat format vilket innebär att det inte kan läsas eller dekrypteras.

För att undvika att obehörig får tillgång till Tjänsterna om en dator lämnas obevakad loggar systemet automatisk ut användaren efter ett förinställt tidsintervall om användaren inte använder tjänsten.

All datakommunikation sker över Secure Sockets Layer (SSL) med 256-bitars kryptering.

Drift

Systemdrift för databehandling tillhandahålls av underleverantören Microsoft.

Webbtjänster körs på minst två lastbalanserade rollinstanser och skalas automatiskt upp eller ner beroende på aktuell belastning.

Data lagras i tjänster som kan skalas upp i takt med att mängden data och mängden användare ökar.

Driften sker huvudsakligen i ett datacenter i Dublin, Irland. Sekundär plats är datacenter i Amsterdam, Nederländerna.

Lagring och säkerhetskopiering

Säkerhetskopiering av relationsdatabaser tas löpande och sparas i minst 30 dygn. Data kan därmed återskapas för en specifik tidpunkt inom dessa 30 dagar för analys eller återställning av data vid en incident.

Filer (ansökningshandlingar, utbildningsmaterial mm) replikeras i fyra versioner på två olika datacenter och sparas tills antagningsomgången eller utbildningsomgången arkiveras.

Vissa kritiska data säkerhetskopieras även till larmad lokal i Stockholm, Sverige.

Test, loggning och övervakning

Automatiserade och manuella tester genomförs mot en separat produktionsliknande miljö innan förändringar levereras. All data som används vid dessa tester är rensade på personuppgifter.

Automatiserade tester genomförs kontinuerligt mot produktionsmiljön för att övervaka upptid och svarstider.

Trafik och händelser loggas och övervakas för att identifiera och analysera felaktigheter, potentiella hot och prestandaproblem.

Organisatorisk säkerhet och informationsskydd

Produktionsmiljön är endast åtkomligt för personer som tecknat ett sekretessavtal som reglerar hantering av information och spridning av personuppgifter.

Endast produktionsmiljön och produktionsmiljöns säkerhetskopior innehåller personuppgifter. När data lämnar produktionsmiljön (till exempel för underlag för test) rensas data på personuppgifter.

Incidenthantering

Inledning

Detta är en beskrivning över hur ViaEcole hanterar incidenter i IT-tjänsterna yh-antagning.se och LearnPoint, vidare kallat "Tjänsterna".

Incident

En incident kan till exempel uppstå på grund av en olycka, sabotage, fel som inträffar eller obehörigt intrång. Varje incident kan ha olika allvarlighetsgrad och vara av olika kategorier. En incident kan vara på organisatorisk nivå och systemnivå. Om incidenten innefattar förvanskning, förlust eller röjande av personuppgifter klassas incidenten som en personuppgiftsincident.

Upptäcka och klassificera incidenter

ViaEcole övervakar Tjänsterna och använder både automatiserad och manuell analys för att upptäcka potentiella incidenter. ViaEcole sparar även loggar gällande datatrafik och ändringar av data för att kunna diagnostisera en potentiell incident. Om en potentiell incident upptäcks genomförs en undersökning och klassificering av incidenten.

Parallellt med undersökning och klassificering utses en ägare av incidenten som påbörjar åtgärd och vidare diagnosticering.

Åtgärd

Ägaren av incidenten tar fram en åtgärdsplan och kopplar in rätt resurser för att snarast stoppa, lösa eller minimera incidentens påverkan på Tjänsterna.

Under arbetet genomförs en analys gällande vad incidenten påverkat och hur allvarlig denna påverkan är.

Dokumentation och kommunikation

Varje incident dokumenteras. Dokumentationen innehåller information om vad som orsakade incidenten, vad påverkades och vilka åtgärder utfördes och vilka som genomförde dessa åtgärder.

När en incident inträffat bedömer ViaEcole hur detta ska kommuniceras.

Incidenter som är av intresse för användare och kunder kommuniceras via de kanaler som bäst passar för de som påverkats av incidenten.

Om incidenten klassas som en personuppgiftsincident kontaktas den personuppgiftsansvarige och förses med information om incidenten så att personuppgiftsansvarige kan anmäla incidenten till Datainspektionen/Integritetsskyddsmyndigheten och informera registrerade.

Om ViaEcole är personuppgiftsansvarig för data involverad i en personuppgiftsincident som bedöms medföra en risk för de registrerade så rapporterar ViaEcole detta till Datainspektionen/Integritetsskyddsmyndigheten och informerar de registrerade.

Uppföljning och förbättring

Efter varje incident genomförs en undersökning och analys för att minimera risken för framtida incidenter.