Detta är en beskrivning över vilka personuppgifter som Learnpoint AB hanterar och hur i IT-tjänsten yh-antagning.se, vidare kallat "Tjänsten".
Learnpoint AB, 556684-6381, KIVRA: 556684-6381, 106 31 Stockholm, är leverantör av IT-tjänster inom utbildningssektorn. Learnpoint AB är i huvudsak personuppgiftsbiträde för behandling av personuppgifter i Tjänsten. Learnpoint ABs organisatoriska och tekniska säkerhetsåtgärder finns beskrivet under rubriken "Säkerhet". Personuppgiftsansvarig för behandlingen av personuppgifter är i huvudsak utbildningsanordnaren (Learnpoint ABs kund) i Tjänsten. Utbildningsanordnaren utser en eller flera personer som företräder utbildningsanordnaren i rollen som personuppgiftsansvarig.
Learnpoint AB är personuppgiftsansvarig för behandlingen av de uppgifter som tillhör konton som kan ge tillgång till flera utbildningsanordnare.
Till vissa delar av Tjänsten krävs ett konto som kan ge tillgång till flera utbildningsanordnare. Learnpoint AB är personuppgiftsansvarig för dessa inloggningsuppgifter.
Sökande är en person som söker till en utbildning/kurs.
Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.
Administratör är en person med administratörsbehörigheter. För att få åtkomst till Tjänsten krävs ett yh-antagnings-konto vid hantering av ansökan/antagning till utbildningar/kurser.
Utbildningsanordnaren är personuppgiftsansvarig för personuppgifter.
Learnpoint AB behandlar personuppgifter för att kunna tillhandahålla Tjänsten, fullgöra åtaganden gentemot vår kund (utbildningsanordnaren) enligt avtal, samt ge dig som användare bästa möjliga upplevelse av Tjänsten.
Learnpoint AB utför följande databehandling vid systemdrift:
Learnpoint AB behandlar individuella personuppgifter för att:
När avtalet mellan Learnpoint AB och utbildningsanordnaren upphör kommer Learnpoint AB radera de uppgifter utbildningsanordnaren är personuppgiftsansvarig för inom en rimlig tid om inget annat överenskommits. Utbildningsanordnaren kan också när som helst begära att uppgifter som de är personuppgiftsansvarig för ska raderas. Personuppgifter i Tjänsten raderar administratör, men vid de fall det inte finns en teknisk funktion för radering behöver administratören kontakta Learnpoint AB.
Kontouppgifter för inloggning till flera utbildningsanordnare som Learnpoint AB är personuppgiftsansvarig för raderas tre månader efter av kontouppgifterna inte längre används för inloggning till någon anordnare.
Learnpoint AB använder sig av underleverantörer för drift av Tjänsten och kan därmed komma att dela personuppgifter med dessa underleverantörer både inom och utanför EU/EES. Leverantörerna har motsvarande skyldigheter gällande behandlingen av personuppgifter som Learnpoint AB har mot utbildningsanordnaren i fall utbildningsanordnaren är personuppgiftsansvarig. Detta är reglerat i Personuppgiftsbiträdesavtalet mellan utbildningsanordnaren och Learnpoint AB.
Kontouppgifter för inloggning till flera utbildningsanordnare som Learnpoint AB är personuppgiftsansvarig för delar Learnpoint AB med utbildningsanordnarna.
Behandling | Underleverantör | Plats |
---|---|---|
Systemdrift | Microsoft | Geografiska regionen Europa som består av Europa, norra (Irland) och Europa, västra (Nederländerna) |
Flowmailer | Nederländerna | |
Generic Mobile Systems Sweden AB | Sverige |
Du som registrerad i Learnpoint ABs Tjänster har flera rättigheter som du bör känna till. För att åberopa dina rättigheter behöver du vända dig till personuppgiftsansvarig vilket generellt är utbildningsanordnaren.
Du har rätt att kostnadsfritt en gång per år, förutsatt att du har berättigade skäl, begära ett registerutdrag över vilken information som finns registrerad om dig. Du har i vissa fall även rätt till dataportabilitet av personuppgifterna. Du har rätt till att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga eller missvisande och rätt att begränsa behandlingen av personuppgifter tills de blir ändrade. Rätten till radering av personuppgifter som utbildningsanordnaren är personuppgiftsansvarig för gäller generellt inte då behandlingen anses som myndighetsutövning. Du har också rätt att lämna klagomål om behandlingen till Datainspektionen.
Detta är en beskrivning över vilka tekniska och organisatoriska säkerhetsåtgärder Learnpoint AB vidtar i och kring IT-tjänsten yh-antagning.se, vidare kallat "Tjänsten". Learnpoint AB har ansvaret för den säkerhet som krävs i Tjänsten för att uppfylla rollen som personuppgiftsansvarig och personuppgiftsbiträde. De åtgärder som inte finns tillgängliga som funktioner i Tjänsten hanteras av interna rutiner.
För att få tillgång till Tjänsten krävs inloggning med användarnamn och lösenord. Lösenorden måste följa ett regelverk för komplexitet. Användarens lösenord lagras i envägskrypterat format vilket innebär att det inte kan läsas eller dekrypteras.
För att undvika att obehörig får tillgång till Tjänsten om en dator lämnas obevakad loggar systemet automatisk ut användaren efter ett förinställt tidsintervall om användaren inte använder tjänsten.
All datakommunikation sker över Secure Sockets Layer (SSL) med 256-bitars kryptering.
Systemdrift för databehandling tillhandahålls av underleverantören Microsoft.
Webbtjänster körs på minst två lastbalanserade rollinstanser och skalas automatiskt upp eller ner beroende på aktuell belastning.
Data lagras i tjänster som kan skalas upp i takt med att mängden data och mängden användare ökar.
Driften sker huvudsakligen i ett datacenter i Dublin, Irland. Sekundär plats är datacenter i Amsterdam, Nederländerna.
Säkerhetskopiering av relationsdatabaser för återställning till specifik tidpunkt sparas i minst 30 dygn. Fullständiga säkerhetskopior skapas en gång per vecka och sparas i minst ett år.
Filer (ansökningshandlingar, utbildningsmaterial mm) replikeras i fyra versioner på två olika datacenter och sparas tills antagningsomgången eller utbildningsomgången arkiveras. Raderade filer finns kvar för återställning i 30 dagar.
Automatiserade och manuella tester genomförs mot en separat produktionsliknande miljö innan förändringar levereras. All data som används vid dessa tester är rensade på personuppgifter.
Automatiserade tester genomförs kontinuerligt mot produktionsmiljön för att övervaka upptid och svarstider. Vi mäter upptid genom att var femte minut kontrollera att sidan returneras som den ska, har kontakt med databasen och att certifikat är giltiga.
Trafik och händelser loggas och övervakas för att identifiera och analysera felaktigheter, potentiella hot och prestandaproblem.
Produktionsmiljön är endast åtkomligt för personer som tecknat ett sekretessavtal som reglerar hantering av information och spridning av personuppgifter.
Endast produktionsmiljön och produktionsmiljöns säkerhetskopior innehåller personuppgifter. När data lämnar produktionsmiljön (till exempel för underlag för test) rensas data på personuppgifter.
Detta är en beskrivning över hur Learnpoint AB hanterar incidenter i IT-Tjänsten yh-antagning.se, vidare kallat "Tjänsten".
En incident kan till exempel uppstå på grund av en olycka, sabotage, fel som inträffar eller obehörigt intrång. Varje incident kan ha olika allvarlighetsgrad och vara av olika kategorier. En incident kan vara på organisatorisk nivå och systemnivå. Om incidenten innefattar förvanskning, förlust eller röjande av personuppgifter klassas incidenten som en personuppgiftsincident.
Learnpoint AB övervakar Tjänsten och använder både automatiserad och manuell analys för att upptäcka potentiella incidenter. Learnpoint AB sparar även loggar gällande datatrafik och ändringar av data för att kunna diagnostisera en potentiell incident. Om en potentiell incident upptäcks genomförs en undersökning och klassificering av incidenten.
Parallellt med undersökning och klassificering utses en ägare av incidenten som påbörjar åtgärd och vidare diagnosticering.
Ägaren av incidenten tar fram en åtgärdsplan och kopplar in rätt resurser för att snarast stoppa, lösa eller minimera incidentens påverkan på Tjänsten.
Under arbetet genomförs en analys gällande vad incidenten påverkat och hur allvarlig denna påverkan är.
Varje incident dokumenteras. Dokumentationen innehåller information om vad som orsakade incidenten, vad påverkades och vilka åtgärder utfördes och vilka som genomförde dessa åtgärder.
När en incident inträffat bedömer Learnpoint AB hur detta ska kommuniceras.
Incidenter som är av intresse för användare och kunder kommuniceras via de kanaler som bäst passar för de som påverkats av incidenten.
Om incidenten klassas som en personuppgiftsincident kontaktas den personuppgiftsansvarige och förses med information om incidenten så att personuppgiftsansvarige kan anmäla incidenten till Datainspektionen/Integritetsskyddsmyndigheten och informera registrerade.
Om Learnpoint AB är personuppgiftsansvarig för data involverad i en personuppgiftsincident som bedöms medföra en risk för de registrerade så rapporterar Learnpoint AB detta till Datainspektionen/Integritetsskyddsmyndigheten och informerar de registrerade.
Efter varje incident genomförs en undersökning och analys för att minimera risken för framtida incidenter.