DATABEHANDLERAFTALER MELLEM UNDERVISNINGSINSTITUTIONER OG EASYIQ A/S

Transkript

1 DATABEHANDLERAFTALER MELLEM UNDERVISNINGSINSTITUTIONER OG EASYIQ A/S Side 1/16

2 DATABEHANDLERAFTALE Mellem Kommunes/Skolens navn Institutions nr. Adresse Institutions CVR. nr. (herefter Kunden ) Og EasyIQ A/S Godthåbsvej Skanderborg CVR. nr.: (herefter Leverandøren ) er der indgået nedenstående databehandleraftale (herefter Aftalen ) om Leverandørens behandling af personoplysninger på vegne af Kunden: Side 2/16

3 1. Aftalens formål, baggrund og udformning 1.1 Som producent og leverandør af integration til Office 365, Google G Suite og digitale læremidler behandler Leverandøren personoplysninger med særligt henblik på at stille værktøjer til rådighed og styrke elevprogression og feedback i forbindelse med lærerfeedback hos den enkelte elev. Leverandørens behandlinger og formålet med behandlingerne er beskrevet i Leverandørens Købsaftale og abonnementsbetingelserne heri. 1.2 Aftalen er udformet på baggrund af de anbefalinger, som Kommunernes Landsforening har givet landets kommuner i forhold til at sikre, at disse lever op til forpligtelserne til at efterleve den nye Databeskyttelsesforordning, som finder anvendelse fra 25. maj Aftalen skal ses som et led i, at Leverandøren ønsker at understøtte vores kunder (Institutioner, folkeskoler, skoler samt privat- og efterskoler) på bedst muligvis vis i deres arbejde med at kunne leve op til Databeskyttelsesforordningen. 2. Generelt 2.1 Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) 42, jf. 41, stk Kravene er beskrevet i: (i) Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen). (ii) Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsvejledningen). 2.2 Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1 (i) (ii) herefter erstattes med Databeskyttelsesforordningen. 2.3 I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler. 2.4 Leverandøren skal leve op til principper og anbefalinger i ISO Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger. Side 3/16

4 3. Kundens rettigheder og forpligtelser 3.1 Kunden er dataansvarlig for de personoplysninger, som Kunden instruerer Leverandøren om at behandle. Kunden har ansvaret for, at de personoplysninger, som Kunden instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Kundens opgavevaretagelse. Kunden har ansvaret for, at der foreligger fyldestgørende anmeldelse til Datatilsynet (anmeldelsespligten bortfalder med indførelse af Databeskyttelsesforordningen 25. maj 2018), såfremt EasyIQ anvendes af Kunden til formål der kræver dette, samt at der er gyldig hjemmel til alle de formål EasyIQ anvendes til hos Kunden. 3.2 Kunden har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 2.1 og Leverandørens forpligtelser 4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kunden, jf. pkt. 6 og bilag 3. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 2.1 og Leverandøren behandler alene de overladte personoplysninger efter instruks fra Kunden, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Købsaftalen. 4.3 Leverandøren skal fra 25. maj 2018 løbende føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud. 4.4 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018), jf. bilag 1 Sikkerhed. 4.5 Leverandøren skal på opfordring fra Kunden hjælpe med at opfylde Kundens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel Leverandøren skal fra 25. maj 2018 hjælpe Kunden med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel Leverandøren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kundens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. Side 4/16

5 4.8 Leverandøren er forpligtet til at oplyse med præcise adresseangivelser, hvor Kundens personoplysninger opbevares, jf. bilag 2. Leverandøren skal ajourføre oplysningerne over for Kunden ved enhver ændring. 4.9 Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren frem til 25. maj 2018 ligeledes overholde de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat. 5. Underleverandør (underdatabehandler) 5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kunden. 5.2 Leverandøren må anvende de underdatabehandlere, der er angivet i bilag 2, til at behandle de personoplysninger, som Kunden har overladt til Leverandøren i medfør af Købsaftalen. Leverandøren vil ved planlagt tilføjelse eller erstatning af underdatabehandlere opdatere bilag 2 og underrette Kunden om sådanne ændringer. Kunden kan ikke gøre indsigelse mod tilføjelse af eller udskiftning af en underdatabehandler, medmindre der foreligger en konkret saglig begrundelse herfor. Kundens eventuelle indsigelse skal meddeles Leverandøren inden 30 dage efter, at Leverandøren har oplyst om en planlagt ændring af de angivne databehandler. I modsat fald kan Leverandøren anse ændringerne for godkendt. Hvis Kunden ikke kan anerkende en underdatabehandler, betragtes Købsaftalen som annulleret for så vidt angår de(t) uddannelsesprodukt(er), for hvilke(t) underdatabehandleren deltager i behandlingsaktiviteter. Kommunen er dog uanset annullationen forpligtet til at betale for ydelsen frem til det tidspunkt, som Kommunen tidligst kunne have opsagt til. 5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren. 5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 5.5 Når Leverandøren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kunden ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt Kunden kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kunden. Side 5/16

6 5.7 Al kommunikation mellem Kunden og underdatabehandleren sker via Leverandøren. 6. Instrukser 6.1 Leverandørens behandling af personoplysninger på vegne af Kunden sker udelukkende efter dokumenteret instruks, jf. bilag 3. Det er Leverandørens ansvar at sikre, at eventuelle underdatabehandlere, jf. pkt 5.3, får tilsendt Kundens instruks, jf. bilag Leverandøren giver fra 25. maj 2018 omgående besked til Kunden, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt Tekniske og organisatoriske sikkerhedsforanstaltninger 7.1 Leverandøren skal frem til 25. maj 2018, jf. bilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger: (i) (ii) (iii) tilintetgøres, mistes, ændres eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1 [eller i strid med Kundens uddybende it-sikkerhedsregler, jf. bilag [6]]. 7.2 Leverandøren skal fra 25. maj 2018, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau. 7.3 Leverandøren skal [mindst en gang årligt] gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 og 7.2, samt bilag Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver. 7.5 Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kundens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt Leverandøren er forpligtet til straks at underrette Kunden om ethvert sikkerhedsbrud samt ved (i) enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Kunden er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning, Side 6/16

7 (ii) anden manglende overholdelse af Leverandørens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos Leverandøren eller hos en underdatabehandler. 7.7 Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt 7.6, uden forudgående skriftlig aftale med Kunden om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation. 8. Overførsler til andre lande 8.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Kundens instruks herfor, jf. bilag Ved overførsel til tredjelande er Leverandøren og Kunden i fællesskab ansvarlige for, at der foreligger et gyldigt overførselsgrundlag. 8.3 Hvis Kundens personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018 Leverandørens ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes. 9. Tavshedspligt og fortrolighed 9.1 Leverandøren er - under og efter Købsaftalen s ophør - pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffelovens f, jf. straffelovens 152a, finder anvendelse. 9.2 Leverandøren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 10. Kontroller og erklæringer 10.1 Leverandøren er forpligtet til uden ugrundet ophold at give Kunden nødvendige oplysninger til, at Kunden til enhver tid kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale Kunden, en repræsentant for Kunden eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale Leverandøren skal én gang årligt (første gang ved årsskiftet 2018/2019) enten på sin hjemmeside eller på Institutions forespørgsel vederlagsfrit fremlægge en erklæring om overholdelse af denne Side 7/16

8 Aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte standarder ISAE 3402 for alle produkter og der udover ISAE 3000 specifikt for EasyIQ SkolePortal, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. Såfremt Kunden ønsker en ekstern revisionserklæring, kan dette ske mod et vederlag I tilfælde af, at Kunden ønsker yderligere kontrol hos Leverandøren, skal denne kontrol i første omgang søges tilvejebragt ved, at Kunden kontakter Leverandøren, som forestår eventuel videre kontakt til underleverandører. Kunden skal i fald dække Leverandørens og eventuelle underleverandørers omkostninger, herunder omkostninger til medgået tidsforbrug, i forbindelse med yderligere kontrol ud over den årlige revisionserklæring. 11. Ændringer i Aftalen 11.1 Kunden kan til enhver til foreslå ændringer i Aftalen og Instruksen, jf. bilag 3. Ændringsprocessen aftalen nærmere skriftligt mellem Kunden og Leverandøren. Omkostninger, som påføres leverandøren og dennes underdatabehandlere i denne anledning, afholdes af Kunden. Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne I det omfang ændringer i lovgivningen, jf. pkt 2.1 og 2.2, eller tilhørende praksis, giver anledning til dette, er Kunden med et varsel på 90 dage og uden at dette medfører krav om betaling fra Leverandøren, berettiget til at foretage ændringer i Aftalen. 12. Sletning af data 12.1 Kunden træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Købsaftalen Kunden skal senest 90 dage inden Købsaftalen ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kunden. I det tilfælde, hvor personoplysningerne tilbageleveres til Kunden, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kundens meddelelse Leverandøren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget. 13. Misligholdelse og tvistigheder 13.1 Misligholdelse og tvistigheder er reguleret i Købsaftalen. Side 8/16

9 14. Erstatning og forsikring 14.1 Erstatnings- og forsikringsspørgsmål er reguleret i Købsaftalen. 15. Ikrafttræden og varighed 15.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Købsaftalen. 16. Formkrav 16.1 Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kunden og Leverandøren. For Kunden Dato: Titel: Navn: For Leverandøren Dato: Titel: Navn: (Underskrift) (Underskrift) Bilag: Bilag 1 Sikkerhed Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) Bilag 3 Instruks Side 9/16

10 Bilag 1 Sikkerhed 1. Indledning Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag Sikkerhedskrav indtil 25. maj 2018 Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis. Foranstaltningerne gennemføres for at undgå, at personoplysninger: tilintetgøres, mistes, ændres eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller i øvrigt behandles i strid med lovgivningen, jf. Aftalens pkt. 2.1 Generelle sikkerhedsforanstaltninger Leverandøren har en direktionsgodkendt Informationssikkerhedspolitik. Informationssikkerhedspolitikken fastlægger bl.a. formål, omfang og organisering for informationssikkerhed hos Leverandøren. Leverandørens IT-sikkerhedsansvarlige leder det daglige arbejde med IT-sikkerheden hos Leverandøren og har ansvaret for udviklingen af Leverandørens informationssikkerhedsstyringssystem (ISMS, Information Security Management System), så det imødegår de aktuelle trusselsscenarier og understøtter overholdelsen af de til enhver tid gældende lovkrav. Autorisation og adgangskontrol Brugerne af EasyIQ (Pædagogisk og administrativ personale og elever) Autorisation og adgangskontrol er integreret med STIL Uni-login og NemLog-in. Det er således den dataansvarlige hos Kunden, der administrerer og vedligeholder, hvilke brugere som har adgang, når den dataansvarlige opretter brugerens Uni-login bruger-id og knytter dette til det relevante institutionsnummer. Ved købet af Leverandørens ydelser autoriserer den dataansvarlige, hvem der skal have adgang til Leverandørens ydelser. Når en bruger vil benytte EasyIQ produkter, omdirigeres brugeren til UNILogin eller NemLog-in. UNILogin eller NemLog-in autentificerer brugeren ved at identificere denne og dokumenterer over for EasyIQ s platform, hvem brugeren er. Derefter har brugeren afgang til de løsninger som Kunden har aktiv Købsaftale på. Side 10/16

11 For løsningerne EasyIQ Office365 og EasyIQ GSuite skabes der blot adgang til Kundens Office 365 og/eller Google G Suite løsning, og disse løsninger leveres til Kunden af henholdsvis Microsoft og Google. EasyIQ Løsninger integreres til Kundens Office 365 og/eller Google G Suite. EasyIQ løsninger giver mulighed for at indhente og lagre følgende oplysning: UNILogin brugernavn Navn Klassetilhørsforhold og skolenavn Funktion (Fx lærer, elev etc.) Her kan du læse mere om, hvordan UNI Login behandler personoplysninger: Leverandørens medarbejdere og underdatabehandlere Autorisation og adgangskontrol for Leverandørens medarbejdere og underdatabehandlere sker via Leverandørens adgangskontrolsystem og via krypterede datalinjer. Adgangskontrolsystemet er underlagt Leverandørens regler og procedurer. Autorisationer, der giver adgang til udvidede rettigheder i systemer og på platforme, er begrænset til få udvalgte medarbejdere og underlagt separat adgangskontrol. Fysisk adgangskontrol Leverandørens lokationer er underlagt fysisk adgangskontrol, og der er etableret videoovervågning. Leverandørens fysiske servere er placeret i hosting centre hos anerkendt leverandør, der er ISAE 3402 erklæret eller er ISO27001, ISO27017 og ISO27018 certificeret med årligt ekstern kontrol af ITsikkerheden. Inddatamateriale som indeholder personoplysninger Udover den data, der bliver overført via sikrede forbindelse fra STIL og UNILogin til EasyIQ s systemer, så bliver der også genereret andre typer af data. Det drejer sig overordnet om følgende data, som bliver registeret og lagret: Brugerens UniLogin og deres roller og klasser/hold Brugernes password som til hver en tid er krypteret. Det vil sige under transport og lagring. Passwords videresendes til Kundens Office 365 og/eller Google G Suite løsning på sikker vis. Kundens links til digitale læremidler Skema informationer fra 3 ed part som Kunden har godkendt adgang til Inddata specifikt i forhold til EasyIQ SkolePortal (uden Elevplan): Ugeplaner Links til resultater og besvarelser Lærernes evaluering og elevernes selvevaluering på forløb Vurderinger og kartaktere givet i portalen Ovenstående datatyper indhentes med henblik på at integrere Office 365 og Google G Suite, samt at styrke mulighederne for at monitorere elevernes læringsprogression samt forbedre brugeroplevelsen. Data er lagret i et fysisk datamiljø, der er sikret, krypteret og adgangskontrolleret. (Se bilag 2). Side 11/16

12 Uddatamateriale som indeholder personoplysninger Uddatamateriale dannes af brugerne af platformene via brugergrænsefladen. Derudover leveres data til AULA, der hentes og vises i brugerens kontekst, det drejer sig overordnet om følgende data: Skema og ugeplaner Eksterne kommunikationsforbindelser Alle data er krypterede, når de sendes over offentlige transformationslinjer, enten via VPN-forbindelser eller via HTTPS protokollen. Kontrol med afviste adgangsforsøg Brugerne af EasyIQ (Pædagogisk og administrativ personale og elever) Der laves login til leverandørens løsninger via UniLogin eller NemLog-in dermed er det STIL og NemLogin der har ansvaret for denne del. Leverandørens medarbejdere og underdatabehandlere Brugernavne og passwords skal skrives hver gang man som bruger logger ind. Ved gentagne fejlslagne forsøg på login for en brugerkonto låses brugerkontoen i et tidsrum. Driftssystemer gemmer brugerpasswords krypteret, på en måde der forhindrer at passwords kan genskabes. Logning Der foregår logning af al aktivitet i Leverandørens løsninger. Følgende hændelser logges i specifik logfil: Administratorer, der tilgår personfølsomme oplysninger. Brugere, der tilgår personfølsomme oplysninger. Disse data logges til filer dagligt og er del af backup-proceduren. Logfiler opbevares i 6 måneder. Hjemmearbejdspladser Leverandørens behandling af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser: Ja Nej Leverandørens behandling af personoplysninger sker delvist ved anvendelse af hjemmearbejdspladser, og Leverandørens medarbejdere og underdatabehandlere har således adgang til personoplysninger fra computer arbejdspladser uden for Leverandørens lokationer, der er opkoblet via VPN forbindelser. Computer arbejdspladserne er til enhver tid opdaterede og beskyttet af sikkerhedsprogrammel, der vedligeholdes centralt, således at uvedkommende ikke kan få adgang til personoplysninger. Side 12/16

13 Sikkerhedskrav fra 25. maj 2018 Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om: 1. Hvad der kan lade sig gøre rent teknisk 2. Implementeringsomkostningerne 3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3) 4. Konsekvenserne for borgerne ved et sikkerhedsbrud 5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for: a) tilintetgørelse af oplysningerne b) tab af oplysningerne c) ændring af oplysningerne d) uautoriseret videregivelse af oplysningerne e) uautoriseret adgang til oplysningerne Leverandøren har en direktionsgodkendt Informationssikkerhedspolitik. Informationssikkerhedspolitikken fastlægger bl.a. formål, omfang og organisering for informationssikkerhed hos Leverandøren. Leverandørens IT-sikkerhedsansvarlige leder det daglige arbejde med IT-sikkerheden hos Leverandøren og har ansvaret for udviklingen af Leverandørens informationssikkerhedsstyringssystem (ISMS, Information Security Management System), så det imødegår de aktuelle trusselsscenarier og understøtter overholdelsen af de til enhver tid gældende lovkrav. Der udføres årligt en ekstern revision af sikkerheden hos Leverandøren. Side 13/16

14 Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) 1. Lokation(er) for behandlingen Data behandles her: EasyIQ A/S Godthåbsvej Skanderborg Danmark 2. Underdatabehandlere Data opbevares på disse 3 lokationer: Nianet A/S Niels Bohrs Vej 35, 8660 Skanderborg CVR: Denmark Cloud Factory A/S CVR: har data placeret ved: GlobalConnect A/S Kokbjerg 8, 6000 Kolding CVR: Denmark Microsoft Azure Vesteuropa Data placeret i Azure Holland Side 14/16

15 Bilag 3 Instruks Instruks Kunden instruerer hermed Leverandøren om at foretage behandling af Kundens oplysninger til brug for levering og drift af forskellige digitale løsninger jf. Købsaftalen der er indgået mellem Kunden og leverandøren Overlader Leverandøren behandling af Kundens oplysninger til underdatabehandlere, er Leverandøren ansvarlig for at indgå skriftlige (under)databehandleraftaler med disse, jf. Aftalens pkt 5.3. Leverandøren er ansvarlig for, at Kundens instruks fremsendes til eventuelle underdatabehandlere. 1.1 Behandlingens formål Behandling af Kundens oplysninger sker i henhold til formålet i Købsaftalen. Leverandøren må ikke anvende oplysningerne til andre formål. Oplysningerne må ikke behandles efter instruks fra andre end Kunden. 1.2 Generel beskrivelse af behandlingen Leverandøren instrueres af Kunden til at håndtere og behandle personoplysninger med henblik på at give adgang til EasyIQ løsninger og styrke mulighederne for at monitorere elevernes læringsprogression og dokumentere feedback. Leverandøren instrueres i den forbindelse af Kunden til at foretage profilering af de registrerede data, som defineret ved databeskyttelsesforordningens artikel 4, nr. 4, udelukkende til de formål som er beskrevet i instruksen. Denne databehandling vil foregå indtil et eventuelt ophør af kunderelationen mellem Leverandøren og Kunden, jf. Købsaftalen eller Købsaftalerne. 1.3 Typen af personoplysninger Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1. Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens 6, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6) Almindelige personoplysninger Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens 7, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 9): Racemæssig eller etnisk baggrund Politisk overbevisning Religiøs overbevisning Filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. Side 15/16

16 Seksuelle forhold Oplysninger om enkeltpersoners rent private forhold (indtil 25. maj 2018, jf. Persondatalovens 8, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6 og 9): Strafbare forhold Væsentlige sociale problemer Andre rent private forhold, som ikke er nævnt ovenfor: Oplysninger om feedback, bedømmelse og læringsprogression samt links til opgavebesvarelser. Oplysninger om cpr-nummer (indtil 25. maj 2018, jf. Persondatalovens 11, fra 25. maj 2018, eventuelt national lovgivning, jf. Databeskyttelsesforordningens artikel 87) CPR-numre 1.4 Kategorier af registrerede Der behandles oplysninger om følgende kategorier af registrerede (f.eks. borgere, elever, kontanthjælpsmodtagere m.m.): A) Pædagogisk og administrativ personale B) Elever 1.5 Tredjelande (ikke EU-medlemslande) Leverandøren overfører ikke personoplysninger til tredjelande. Side 16/16