Detta är en beskrivning över vilka personuppgifter som ViaEcole hanterar och hur i IT-tjänsterna yh-antagning.se och Learnpoint, vidare kallat "Tjänsterna".
ViaEcole AB, 556684-6381, Box 39, 121 25 Stockholm-Globen, är leverantör av IT-tjänster inom utbildningssektorn. ViaEcole är i huvudsak personuppgiftsbiträde för behandling av personuppgifter i Tjänsterna. ViaEcoles organisatoriska och tekniska säkerhetsåtgärder finns beskrivet under rubriken "Säkerhet". Personuppgiftsansvarig för behandlingen av personuppgifter är i huvudsak utbildningsanordnaren (ViaEcoles kund) i Tjänsterna. Utbildningsanordnaren utser en eller flera personer som företräder utbildningsanordnaren i rollen som personuppgiftsansvarig.
ViaEcole är personuppgiftsansvarig för behandlingen av de uppgifter som tillhör konton som kan ge tillgång till flera utbildningsanordnare.
Till vissa delar av Tjänsterna krävs ett konto som kan ge tillgång till flera utbildningsanordnare. ViaEcole är personuppgiftsansvarig för dessa inloggningsuppgifter.
Sökande är en person som söker till en utbildning/kurs.
Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.
Student/studerande är en person som deltar i eller har deltagit i en eller flera utbildning(ar)/kurs(er).
Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.
Arbetslivskontakt är en person som är involverad i utbildningsverksamheten hos en utbildningsanordnare som tex handledare under praktik.
Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.
Personal är en person som är involverad i utbildningsverksamheten hos en utbildningsanordnare som tex lärare.
Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.
Administratör är en person med administratörsbehörigheter. För att få åtkomst till Tjänsterna krävs ett ViaEcole-konto vid hantering av ansökan/antagning till utbildningar/kurser.
Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.
ViaEcole behandlar personuppgifter för att kunna tillhandahålla Tjänsterna, fullgöra åtaganden gentemot vår kund (utbildningsanordnaren) enligt avtal, samt ge dig som användare bästa möjliga upplevelse av Tjänsterna.
ViaEcole utför följande databehandling vid systemdrift:
ViaEcole behandlar individuella personuppgifter för att:
När avtalet mellan ViaEcole och utbildningsanordnaren upphör kommer ViaEcole radera de uppgifter utbildningsanordnaren är personuppgiftsansvarig för inom en rimlig tid om inget annat överenskommits. Utbildningsanordnaren kan också när som helst begära att uppgifter som de är personuppgiftsansvarig för ska raderas. Personuppgifter i Tjänsterna raderar administratör, men vid de fall det inte finns en teknisk funktion för radering behöver administratören kontakta ViaEcole.
Kontouppgifter för inloggning till flera utbildningsanordnare som ViaEcole är personuppgiftsansvarig för raderas tre månader efter av kontouppgifterna inte längre används för inloggning till någon anordnare.
ViaEcole använder sig av underleverantörer för drift av Tjänsterna och kan därmed komma att dela personuppgifter med dessa underleverantörer både inom och utanför EU/EES. Leverantörerna har motsvarande skyldigheter gällande behandlingen av personuppgifter som ViaEcole har mot utbildningsanordnaren i fall utbildningsanordnaren är personuppgiftsansvarig. Detta är reglerat i Personuppgiftsbiträdesavtalet mellan utbildningsanordnaren och ViaEcole.
Användarnamn för inloggning till flera utbildningsanordnare som ViaEcole är personuppgiftsansvarig för delar ViaEcole med utbildningsanordnarna.
| Behandling | Underleverantör | Plats |
|---|---|---|
| Systemdrift | Microsoft | Geografiska regionen Europa som består av Europa, norra (Irland) och Europa, västra (Nederländerna) |
| Flowmailer | Nederländerna | |
| Telenor | Sverige |
Du som registrerad i ViaEcoles Tjänster har flera rättigheter som du bör känna till. För att åberopa dina rättigheter behöver du vända dig till personuppgiftsansvarig vilket generellt är utbildningsanordnaren.
Du har rätt att kostnadsfritt en gång per år, förutsatt att du har berättigade skäl, begära ett registerutdrag över vilken information som finns registrerad om dig. Du har i vissa fall även rätt till dataportabilitet av personuppgifterna. Du har rätt till att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga eller missvisande och rätt att begränsa behandlingen av personuppgifter tills de blir ändrade. Rätten till radering av personuppgifter som utbildningsanordnaren är personuppgiftsansvarig för gäller generellt inte då behandlingen anses som myndighetsutövning. Du har också rätt att lämna klagomål om behandlingen till Datainspektionen.
Detta är en beskrivning över vilka tekniska och organisatoriska säkerhetsåtgärder ViaEcole vidtar i och kring IT-tjänsterna yh-antagning.se och Learnpoint, vidare kallat "Tjänsterna". ViaEcole har ansvaret för den säkerhet som krävs i Tjänsterna för att uppfylla rollen som personuppgiftsansvarig och personuppgiftsbiträde. De åtgärder som inte finns tillgängliga som funktioner i Tjänsterna hanteras av interna rutiner.
För att få tillgång till Tjänsterna krävs inloggning med användarnamn och lösenord. Lösenorden måste följa ett regelverk för komplexitet. Användarens lösenord lagras i envägskrypterat format vilket innebär att det inte kan läsas eller dekrypteras.
För att undvika att obehörig får tillgång till Tjänsterna om en dator lämnas obevakad loggar systemet automatisk ut användaren efter ett förinställt tidsintervall om användaren inte använder tjänsten.
All datakommunikation sker över Secure Sockets Layer (SSL) med 256-bitars kryptering.
Systemdrift för databehandling tillhandahålls av underleverantören Microsoft.
Webbtjänster körs på minst två lastbalanserade rollinstanser och skalas automatiskt upp eller ner beroende på aktuell belastning.
Data lagras i tjänster som kan skalas upp i takt med att mängden data och mängden användare ökar.
Driften sker huvudsakligen i ett datacenter i Dublin, Irland. Sekundär plats är datacenter i Amsterdam, Nederländerna.
Säkerhetskopiering av relationsdatabaser för återställning till specifik tidpunkt sparas i minst 30 dygn. Fullständiga säkerhetskopior skapas en gång per vecka och sparas i minst ett år.
Filer (ansökningshandlingar, utbildningsmaterial mm) replikeras i fyra versioner på två olika datacenter och sparas tills antagningsomgången eller utbildningsomgången arkiveras. Raderade filer finns kvar för återställning i 30 dagar.
Automatiserade och manuella tester genomförs mot en separat produktionsliknande miljö innan förändringar levereras. All data som används vid dessa tester är rensade på personuppgifter.
Automatiserade tester genomförs kontinuerligt mot produktionsmiljön för att övervaka upptid och svarstider. Vi mäter upptid genom att var femte minut kontrollera att sidan returneras som den ska, har kontakt med databasen och att certifikat är giltiga.
Trafik och händelser loggas och övervakas för att identifiera och analysera felaktigheter, potentiella hot och prestandaproblem.
Produktionsmiljön är endast åtkomligt för personer som tecknat ett sekretessavtal som reglerar hantering av information och spridning av personuppgifter.
Endast produktionsmiljön och produktionsmiljöns säkerhetskopior innehåller personuppgifter. När data lämnar produktionsmiljön (till exempel för underlag för test) rensas data på personuppgifter.
Detta är en beskrivning över hur ViaEcole hanterar incidenter i IT-tjänsterna yh-antagning.se och Learnpoint, vidare kallat "Tjänsterna".
En incident kan till exempel uppstå på grund av en olycka, sabotage, fel som inträffar eller obehörigt intrång. Varje incident kan ha olika allvarlighetsgrad och vara av olika kategorier. En incident kan vara på organisatorisk nivå och systemnivå. Om incidenten innefattar förvanskning, förlust eller röjande av personuppgifter klassas incidenten som en personuppgiftsincident.
ViaEcole övervakar Tjänsterna och använder både automatiserad och manuell analys för att upptäcka potentiella incidenter. ViaEcole sparar även loggar gällande datatrafik och ändringar av data för att kunna diagnostisera en potentiell incident. Om en potentiell incident upptäcks genomförs en undersökning och klassificering av incidenten.
Parallellt med undersökning och klassificering utses en ägare av incidenten som påbörjar åtgärd och vidare diagnosticering.
Ägaren av incidenten tar fram en åtgärdsplan och kopplar in rätt resurser för att snarast stoppa, lösa eller minimera incidentens påverkan på Tjänsterna.
Under arbetet genomförs en analys gällande vad incidenten påverkat och hur allvarlig denna påverkan är.
Varje incident dokumenteras. Dokumentationen innehåller information om vad som orsakade incidenten, vad påverkades och vilka åtgärder utfördes och vilka som genomförde dessa åtgärder.
När en incident inträffat bedömer ViaEcole hur detta ska kommuniceras.
Incidenter som är av intresse för användare och kunder kommuniceras via de kanaler som bäst passar för de som påverkats av incidenten.
Om incidenten klassas som en personuppgiftsincident kontaktas den personuppgiftsansvarige och förses med information om incidenten så att personuppgiftsansvarige kan anmäla incidenten till Datainspektionen/Integritetsskyddsmyndigheten och informera registrerade.
Om ViaEcole är personuppgiftsansvarig för data involverad i en personuppgiftsincident som bedöms medföra en risk för de registrerade så rapporterar ViaEcole detta till Datainspektionen/Integritetsskyddsmyndigheten och informerar de registrerade.
Efter varje incident genomförs en undersökning och analys för att minimera risken för framtida incidenter.