Databehandleravtale 

Om databehandleravtalen

 

Magisk Kunnskap AS samler inn og håndterer kun høyst nødvendige data i tråd med prinsippet om dataminimering. Databehandleren samler inn og håndterer personopplysninger og brukergenererte data. Formålet med innsamlingen og håndteringen av data er å gi sluttbrukere (elever og lærere) tilgang til læremiddelet, slik de skal kunne ta det i bruk og motta teknisk support dersom det er behov. Sluttbrukerne får tilgang til læremidlene via FEIDE, levert av Sikt.

A. OPPLYSNINGER OM BEHANDLINGEN  

Hvilke data samles inn

Under ser du en oversikt over data som samles inn og begrunnelse for hvorfor denne informasjonen er nødvendig:  

Personalia:  

Innsamling og lagring av personalia som hentes fra Feide. Denne listen viser hvilke attributt-grupper (SAML2/gamle Feide) eller scope (Oauth2/nye Feide).   

Navn på attributtgruppe (scope)  Begrunnelse for bruk av attributtgruppe (scope)  Oppdaterings-frekvens 
Navn (userinfo-name)  

Brukes for å kunne tildele lisens og rolle til riktig person.  Gjør det også mulig for læreren å finne og vurdere besvarelsene til hver enkelt elev.   

 

 Oppdateres ved hver pålogging.   
Brukeridentifikatorer hos organisasjonen (userid-feide)   Brukes for å kunne tildele lisens og rolle til riktig person.   Oppdateres ved hver pålogging.  
Organisasjonstilhørighet (groups-org)  

Brukes for å kunne tildele lisens til riktig person ved riktig skole.   

 

 Oppdateres ved hver pålogging.  
Gruppetilhørigheter for undervisning (groups-edu)  

Brukes for at læreren skal kunne planlegge undervisning til riktig klasse samt vurdere progresjon og besvarelsens til riktig elev.   

 

 Oppdateres ved hver pålogging.  

Type 

Beskrivelse 

 

Begrunnelse 

Aktivitetsdata 

Hva eleven har svart, skår og kopling til kompetansemål. 

Gir eleven muligheten til å se sine egne besvarelser samt gir læreren et vurderingsgrunnlag.  

 

Kunden/Behandlingsansvarlig kan få innsikt i anonymiserte brukergenererte data, for å vite hvordan læremiddelet blir brukt.  

Vurderinger 

Vurdering av elevenes aktiviteter.  

Aktivitetsdata som elevbesvarelser gir læreren et vurderingsgrunnlag.  

 

Tjenesten inneholder interaktive oppgaver bla. multiple choice-oppgaver der innholdsprodusenten setter forhåndsbestemte svar. Utover det setter ikke Leverandøren rammer for hvordan elevenes aktiviteter blir vurdert.  

 

 

De nevnte aktivitetene innebærer at personopplysningene blir håndtert på følgende måter  

  • Innsamling, lagring og analyse av anonymiserte forbruksdata   
  • Registering, organisering og oppbevaring   
  • Tilpasning eller endring  
  • Henting 
  • Søking  
  • Bruk  
  • Sletting  

Bruken av læremiddelet omfatter også behandling av disse personopplysningene  

  • Pseudonymisert bruker-ID  
  • IP-adresse  
  • Anonymisert forbruksdata (hvor mange ganger brukerne har logget seg inn på databehandlerens læremiddel) 
  • Bruksmåter av læremiddelet (klikk, tidsforbruk mm), knyttet til besvarelser av oppgaver, bedømmelse av oppgaver og egenvurdering av oppgaveløsning  

 

A.5 Kategorier av registrerte 

Behandlingen omfatter følgende kategorier av registrerte  

  • Elever  
  • Lærere, pedagoger og andre som har en undervisningsfunksjon  

 

A.6 Varighet av behandlingen  

 

Databehandleravtalen gjelder fra den er signert av begge Parter. Databehandleravtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Den gjelder også for eventuelle personopplysninger som måtte finnes hos Databehandler eller noen av dennes Underdatabehandler etter Hovedavtalens opphør.  

Ved opphør av Hovedavtalen og/eller Databehandleravtalen skal personopplysningene slettes i samsvar med Databehandleravtalen punkt 12 og instruksjonene i Bilag C.   

 

B. BETINGELSER FOR DATABEHANDLERENS BRUK OG ENDRING AV EVENTUELLE UNDERDATABEHANDLERE 

B.1 Behandlingsansvarliges godkjennelse av bruk av Underdatabehandlere 

 
Ved inngåelse av Databehandleravtalen godkjenner Behandlingsansvarlig bruk av de Underdatabehandlere som er oppført i punkt B.2. Merk at også mor-, søster- og datterselskaper til Databehandleren regnes som Underdatabehandlere hvis de bidrar til leveransen og behandler personopplysninger.  

For endringer i bruk av Underdatabehandlere er det i tillegg avtalt følgende: 

  • Databehandleren kan benytte Underdatabehandler som i samme konsern (mor- søster- eller datterselskap) som er etablert i et land innenfor EØS-området. Databehandleren skal på forhånd informere Behandlingsansvarlige om bruken av slik Underdatabehandler. (Dette alternativet kan kombineres med et av de andre alternativene.) 
  • Databehandler kan gjennomføre endringer i bruken av Underdatabehandlere forutsatt at den Behandlingsansvarlige underrettes og gis mulighet til å motsette seg endringene. En slik underretning skal være mottatt av Behandlingsansvarlig senest 1 måned før endringen trer i kraft, med mindre annet er avtalt skriftlig mellom partene. Merk at endringer som medfører overføring av personopplysninger til land utenfor EØS-området (Tredjestater) uansett krever skriftlig godkjenning etter Databehandleravtalens punkt 10.  
  • Hvis Behandlingsansvarlig motsetter seg endringen skal Databehandler underrettes så snart som mulig. Den behandlingsansvarlige kan ikke motsette seg endringen uten saklig grunn. 

B.2 Godkjente Underdatabehandlere
 

Magisk Kunnskap AS sitt digitale læremiddel, Hugin og Munin, er tilgjengelig på innholdsplattformen Alinea Next, som leveres og driftes av Lindhardt & Ringhof Forlag AS. Lindhardt & Ringhof Forlag AS er en del av Egmont mediekonsern, Danmark. Da læremiddelets tekniske og digitale løsning leveres og driftes av underleverandøren, inkluderer oversikten over underdatabehandlere også underleverandøren sine.
Microsoft Ireland Operations og Amazon Web Services er med i oversikten, da underleverandøren fører selvstendig tilsyn med de underdatabehandlerene selv om avtalepartneren i det tilfellet er Egmont IT. 

 

Navn  Adresse  Beskrivelse av behandling  Behandlingssted  Sikkerhetstiltak  

Lindhardt & Ringhof Forlag AS  

org/CVR nr 76351910 

Vognmagergade 11 

1120 København  

Danmark 

Kontaktperson: Jonas Nielsen 

Digital utviklingssjef 

+4561711712
[email protected] 

 Levering og drift av teknisk løsning, herunder digital plattform. I forbindelse med levering av digital plattform behandler underdatabehandler personopplysninger på vegne av databehandler.   Danmark    

Microsoft Ireland Operations, Ltd. 

  

(Azure West Europe Region) 

 

 

One Microsoft Place 

South County Business Park 

Leopardstown 

Dublin 18, D18 P521, Ireland 

 Lindhardt og Ringhofs digitale læremidler: Hosting av digitale læremidler, herunder vedlikehold av servere, backup, sikkerhet mm.  Azure datasenter i EU/EØS – spesifikt West Europe region (Holland)   

Data er kryptert fra det øyeblikket de blir levert til L&R, når de lagres i L&Rs databaser og helt fram til sluttbrukerens nettleser. Krypteringsnøklene er, der det er mulig, egne nøkler som ikke kan tilgås av uvedkommende.  

 

Kryptering av data in transit kryptert ved bruk av TLS, data at rest er kryptert ved bruk av FIPS 140-2.  

 

 

Patching, sikkerhetsoppdateringer, back-up, penetrasjonstester 

Antivirus og brannmurer  

Fysiske og miljømessige tiltak  

 

Ved Support:  

Tilgangsstyring 

Costumer Lockbox  

Proxy server med symmetrisk kryptering  

Egmont IT  

Org.nr. /CVR.nr 11456111 

Vognmagergade 11, 1148 København K, Danmark  

 

Alle digitale læremidler: Drift av løsninger på Microsoft Azure og Amazon AWS, herunder administrasjon av miljøer, overvåkning, brukeradministrasjon mv. 

 

 Azure datasenter i EU/EØS    Se ovenstående tiltak  

Sii Sp. z o.o  

VAT: 140381516

 

al. Niepodległości 69, 02-626 Warszawa, 3rd floor, Metron building 

 

 

 Utvikling og support av lisenssystem.  Denne underleverandøren til L&R får i perioder tilgang til produksjonsdata i forbindelse med vedlikehold av og feilsøking i lisenssystemet.  Azure datasenter i EU/EØS    Se ovenstående tiltak 

Dixa ApS 

Org.nr. /CVR.nr

36561009

 

Vimmelskaftet 41A, 1 Sal., 1161 Copenhagen S 

 

 

 Kundesupport på alle digitale læremidler: Saksstyringssystem til håndtering av kundehenvendelser. Håndterer henvendelser fra Leverandør, ikke sluttbruker, i dette tilfellet.   AWS datasenter i EU/EØS   

Data er beskyttet med AWS Key Management Service (KMS) og krypteringsnøklen ligger hos Dixa. 

 

AWS KMS er designet slik at ingen, inklusive AWS-medarbeidere, kan hente nøkler fra tjenesten. Nøklene overføres aldri utenfor den AWS-region, hvor de ble opprettet, og kan kun brukes i den region, hvor de ble opprettet. 

C. INSTRUKS VEDRØRENDE BEHANDLING AV PERSONOPPLYSNINGER  

C.1 Behandlingens omfang og formål 

Personopplysningene skal utelukkende behandles i det omfang og for de formål som er beskrevet i Databehandleravtalen i bilag A.  

Databehandler har ikke råderett over personopplysningene utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.  

 

C.2 Sikkerhet ved behandlingen 

Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen ikke omfatter opplysninger som faller innunder særlige kategorier av personopplysninger i henhold til GDRP artikkel 9 (1), som krever særlig beskyttelse. Behandlingen omfatter derfor kun alminnelige opplysninger definert i personvernforordningens artikkel 4, som ikke krever et høyt sikkerhetsnivå.  

Datahandler har gjennomført risikovurdering av Underdatabehandler, og har vurdert at de konkrete behandlingsaktivitetene foretatt av underdatabehandler medfører et lavt risikonivå. Underdatabehandler Lindhardt & Ringhof Forlag har dog iverksatt et sikkerhetsnivå som svarer til en risikovurdering på middels jf. European Network and Information Security Agency’s (ENISA) “Handbook on Security of Personal Data Processing”.  

Etter forespørsel fra Databehandlingsansvarlige kan Databehandler legge fram risikovurderingen.   

C.2.1 Styringssystem for informasjonssikkerhet 

 Databehandleren skal ha et egnet styringssystem for informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, som beskrevet nedenfor:  

  • Oppbevaring i egnede og sikrede datasentre lokalisert i EU 
  • Tilgangsstyring for ansatte  
  • Gjelder for ansatte hos Databehandler og Underdatabehandler  
  • Gjelder for ansatte ved datasentre  
  • Pseudonymisering av data 
  • Pseudonymisering av data ved at det kun er en intern bruker-ID som lagres i databasen 
  • Anonymisering av data  
  • Anonymisering av forbruksdata  
  • Anonymisering av data der det er mulig når informasjon ikke lengre overføres fra FEIDE 
  • Sletting av data  
  • Tjenesten har en soft-delete-funksjon, som innebærer at sluttbrukeren og tilhørende data blir slettet, dersom sluttbruker har vært inaktiv i mer enn 90 dager.  
  • Kryptering av data  
  • Ved overføring av data mellom flere lokasjoner  
  •  data in transit er kryptert ved bruk av TLS  
  •  data at rest er kryptert ved bruk av kryptografisk modul FIPS 140-2  

 

Underdatabehandler, Lindhardt & Ringhof Forlag, sine sikkerhetstiltak kan leses i detalj her:  

https://www.alinea.dk/lr-sikkerhedsforanstaltninger 

 

C.3 Dokumentasjon 

Databehandler skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som fremkommer av Gjeldende personvernregler og Databehandleravtalen, herunder kravene til informasjonssikkerhet. Slik dokumentasjon skal oppbevares og ajourholdes så lenge Databehandleravtalen består, og gjøres tilgjengelig for Behandlingsansvarlig eller tilsynsmyndigheter på forespørsel. 
 

 

C.4 Overføring av personopplysninger – Lokasjon for behandling og tilgang 
 

Behandling av de personopplysninger som avtalen omfatter kan ikke uten den Behandlingsansvarliges forutgående skriftlige godkjennelse utføres på eller med tilgang fra andre lokasjoner enn de som er angitt i Bilag B.2. Med lokasjon menes: 

 

  • Sted det er mulig å få tilgang til personopplysningene fra (aksessering) 
  • Sted hvor personopplysningene bearbeides (prosesseres) 
  • Sted hvor personopplysningene lagres 

 

Begrensningen ovenfor gjelder ikke Databehandlerens mor-, søster- og datterselskaper som er etablert innenfor EØS-området. Databehandleren skal imidlertid på forespørsel fra den Behandlingsansvarlige redegjøre for hvor personopplysningene til enhver tid behandles, jf. bilag B punkt B.2, Oversikt over godkjente underdatabehandlere. 

 

C.5 Rutiner for revisjon og tilsyn 

For å kontrollere etterlevelse av Gjeldende personvernregler og Databehandleravtalen er det avtalt følgende: 

  • Behandlingsansvarlig har rett til å utføre revisjon på Databehandlers forretningssted for å verifisere Databehandlers etterlevelse av sine plikter i henhold til denne Databehandleravtalen eller Gjeldende personvernregler.  
  • Slike revisjoner skal 
  • gjennomføres etter rimelig forhåndsvarsel og maksimalt én gang i året, med mindre sikkerhetsbrudd hos Databehandler eller andre særlige forhold gir grunn for hyppigere revisjoner, 
  • foregå innenfor normal arbeidstid og ikke forstyrre Databehandlers virksomhet unødvendig, 
  • utføres av ansatte hos Behandlingsansvarlig eller av tredjepart som er godkjent av Partene og underlagt taushetsplikt, 
  • Databehandler stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen, og 
  • Behandlingsansvarlige dekke kostnadene ved revisjonen.   
  • For standardiserte tredjepartstjenester som leveres av Underdatabehandler kan det fremlegges tredjepartsrevisjon forutsatt at revisjonen er gjennomført etter alminnelig anerkjente prinsipper og av sertifisert revisor. 
  • Ved revisjon kan Databehandler tilgjengeliggjøre rapport, ISAE 3000, fra Underdatabehandler, Lindhardt & Ringhof Forlag 

 

C.6 Sletting og tilbakelevering av personopplysninger ved avtalens opphør 

 Partene har avtalt følgende om sletting av personopplysninger: 

  • Alle personopplysninger som behandles under denne Databehandleravtale skal slettes uten ugrunnet opphold og senest innen 90 kalenderdager etter opphør av Hovedavtalen. Dette samme gjelder eventuell annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig. 

 

C.7 Melding om brudd på personopplysningssikkerheten  

Ved brudd på personopplysningssikkerheten, som har negative konsekvenser for de registrertes rettigheter og friheter, har Databehandler rutiner for å varsle Behandlingsansvarlige, slik at Behandlingsansvarlige kan melde bruddet innen 72 timer til Datatilsynet.   

Ved brudd på personopplysningssikkerheten, som har negative konsekvenser for de registrertes rettigheter og friheter, har Underdatabehandler en meldefrist på 24 timer til Databehandler. Databehandler varsler deretter Behandlingsansvarlige umiddelbart etter mottatt melding fra Underleverandør, slik at Datatilsynet kan varsles innen 72 timer.  

Databehandler har følgende rutine: 

  • Underdatabehandler, som overvåker tjenesten døgnet rundt, varsler Databehandler innen 24 timer.   
  • Databehandler varsler Behandlingsansvarlige umiddelbart etter mottatt melding fra Underleverandøren.  

 
Meldingen om brudd på personopplysningssikkerheten skal  

  • beskrive arten av bruddet på personopplysningssikkerheten,  
  • kategoriene av og omtrentlig antall registrerte som er berørt, og 
  •  kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt. 

 
Meldingen om brudd på personopplysningssikkerheten skal også inneholde  

  • navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes, 
  • beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten, og 
  • beskrive de tiltak som Databehandleren har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.  

Informasjonen kan i den grad det er nødvendig gis trinnvis uten ytterligere ugrunnet opphold.