Ansvar for personopplysningene

Aftenposten Junior skole og Schibsted behandler personopplysninger på vegne av skoleeiere, som regel er dette en kommune. Dette betyr at skoleeieren er behandlingsansvarlig for personopplysningene til elevene og er den som har ansvaret å tilse at rettighetene til brukerne imøtekommes og at det finnes lovlig grunn for behandlingen.

Hvis du vil ta i bruk rettighetene dine, f.eks. retten til innsyn eller sletting, eller hvis du har spørsmål om behandlingen av personopplysninger, vennligst ta kontakt med din aktuelle skoleeiere.

Schibsted har inngått databehandleravtaler med hver skoleeier. Der presiseres det hvordan Aftenposten Junior skole behandler personopplysninger på vegne av skoleeieren. Gjennom avtalen plikter Aftenposten Junior skole også å sikre at ikke uvedkommende får tilgang til personopplysningene, og at vi ikke behandler flere opplysninger eller lagrer opplysninger lengre enn nødvendig.

Behandling av personopplysninger

Personvern er noe som Aftenposten Junior og Schibsted tar på aller største alvor og Aftenposten Junior skole er laget med personvern som en høy prioritet i designet av produktet. I tråd med personvernprinsippene om dataminimering og lagringsbegrensning samles bare de personopplysninger som er nødvendige og de lagres bare så lenge de trengs for å levere tjenesten og relaterte formål.

Pålogging til Junior Skole skjer gjennom FEIDE (Kunnskapsdepartementets løsning for sikker identifisering i utdanningssektoren). Påloggingsinformasjon Aftenposten Junior skole mottar via Feide er som følger: navn, rolle, skole og e-postadresse til den som logger på. Dette er nødvendige opplysninger for å kunne levere produktet.

Les mer om pålogging via Feide her.

Sikkerhetsrutiner

Taushetserklæring

Alle som behandler personopplysninger knyttet til Aftenposten Junior Skole, vil signere en taushetserklæring. Taushetsplikten gjelder også etter at avtalen med skoleeier utløper.

Schibsted kan fremvise dokumentasjon på en signert taushetserklæring på forespørsel fra den behandlingsansvarlige (skoleeier).

Begrensninger for ansatte

Det er tekniske begrensninger for ansatte i Schibsted som har tilgang til de forskjellige områdene der vi håndterer personopplysninger som en del av formålet med produktet. Ansatte har bare tilgang til dataene som trengs for å utføre jobben sin, og ingenting annet.

Begrensninger for elever og lærere

Påloggede elever og lærere ser bare personlige data knyttet til sin egen bruker.

Trusselovervåking

Schibsteds sikkerhetsteam gjennomfører regelmessige trusselmodelleringer av juniorskole.no. Schibsted overvåker de tekniske systemene for å forhindre brudd på sikkerheten ved bruk av følgende verktøy:

  • Vulcan - Les mer her
  • Detectify - Les mer her
  • AWS GuardDuty - Les mer her

Eventuelle funn og identifiserte risikoer ved slike sikkerhetsskanninger blir videre vurdert og utbedret.

Underprosessorer

Schibsteds sikkerhetsutviklere gjennomfører en sikkerhetsvurdering av alle underdataprosessorer. Hvis underleverandøren godkjennes, signerer Schibsted en skriftlig avtale med alle underdatabehandlere der de pålegges de samme forpliktelsene angående beskyttelse av personopplysninger, som databehandleren selv er underlagt i henhold til databehandleravtalen.

Rutiner for sletting

Ved avslutning av avtalen mellom skoleeiere og Schibsted vil alle personlige opplysninger og eventuelle sikkerhetskopier bli slettet eller overskrevet innen 90 dager etter at avtalen avsluttes.