Trust Center for skoler & indkøb

Status: Aktiv | Version: 1.0

1. Resumé

Edudata.io er en SaaS-platform for Governance, Risk, and Compliance (GRC) af virksomhedsklasse, som er udviklet eksklusivt til uddannelsessektoren. Platformen betjener i øjeblikket kommuner, skolebestyrelser og læreanstalter i Finland og Sverige. Systemet samler databeskyttelse, cybersikkerhed, tilgængelighed og AI-overholdelse i et centraliseret nav.

I stedet for at opbygge stive lokale datagrænser fungerer Edudata.io som en facilitator for overholdelse, hvilket hjælper grænseoverskridende uddannelsesøkosystemer med at navigere smidigt i komplekse europæiske regler – herunder GDPR, NIS2-direktivet, EU's AI-forordning og europæiske tilgængelighedskrav.

2. Centrale funktionsmoduler

• Edudata Compliance & Bibliotek: Centraliserer en global database med tusindvis af forhåndsvurderede digitale uddannelsesapplikationer. Systemet sporer leverandørers databehandleraftaler (DPA) og privatlivspolitikker og opdaterer efterlevelsesstatusen automatisk, når leverandører ændrer deres juridiske vilkår.
• Automatiseret RoPA & Kortlægning: Opretter og vedligeholder programmatisk organisationens fortegnelse over behandlingsaktiviteter (RoPA). Når en app godkendes eller blokeres af administrationen, registrerer systemet øjeblikkeligt dataflow og specifikke elevdatapunkter.
• Edudata Transparens: En offentlig grænseflade (transparency.edudata.io), som giver elever, forældre og værger realtidsindsigt i nøjagtig hvilke apps, der er godkendt til klasserumsundervisning, og deres tilsvarende regler for datalagring.

3. Avanceret teknisk arkitektur: AI-motoren CAG

Kernen i Edudata.io er dens deterministiske, juridisk forankrede AI-motor. Systemet anvender en specialiseret Cache-Augmented Generation (CAG)-model og opgiver helt ældre RAG-infrastrukturer, der var afhængige af vektordatabaser, indeksering og tekstsegmentering.

Infrastruktur og indlæsning

• Model-lag: Bygget på Gemini 3.1 Pro, hvilket udnytter dens enorme indbyggede kontekstvindue til at indlæse hele regelsæt uden strukturel komprimering.
• Vertex AI Context Caching: Hele det europæiske regelsæt, nationale læreplaner (herunder finske og svenske standarder) og Edudatas egne vurderingsregler holdes permanent indlæst i hurtigt GPU-RAM.
• Søgefri behandling (Retrieval-Free): Da motoren ikke foretager eksterne databasesøgninger eller semantiske segmenteringer i realtid, fungerer den uden det konteksttab eller de blinde vinkler, der er typiske for klassiske søgeprocesser.

Vigtige arkitektoniske garantier

• Hallucinationsfri juridisk slutning: Ved at evaluere brugerforespørgsler mod fuldstændige, uafbrudte regler og skolepolitikker i stedet for fragmenterede tekstuddrag garanterer systemet juridisk holdbare og hallucinationsfrie konklusioner.
• Millisekund-latens: Ved at omgå flaskehalsen med databasesøgninger minimeres tiden til første token (TTFT), hvilket giver næsten øjeblikkelige sikkerhedsvurderinger.
• 100 % deterministisk matematisk scoring: Modellen fungerer som en pålidelig logisk tolk for låste vurderingsregler, hvilket sikrer, at risikomål er matematisk forudsigelige, reproducerbare og præcise.

4. Europæisk datastyring og skysikkerhed

• Datasuverænitet i EU: For at opfylde de strenge databeskyttelseskrav i den offentlige uddannelsessektor lagres og behandles al kontekstcache, inferens og telemetri strengt inden for sikre, suveræne EU-baserede skyregioner (ved hjælp af Google Clouds europæiske infrastruktur).
• Grænseoverskridende harmonisering af regelsæt: Platformen er designet til at kortlægge overholdelsesvurderinger samtidigt mod EU-direktiver og de nationale uddannelsesspecifikke detaljer, der er unikke for Finland og Sverige.
• Menneske-i-loop-validering: CAG-motoren fungerer som en ekspertassistent. Selvom den analyserer politikker og beregner risikoscore med matematisk præcision, kræves der altid endelig godkendelse af en certificeret databeskyttelsesrådgiver.
• Isolering af lejere (Tenant Isolation): Kunders konfigurationsdata, skoleprofiler og logningsmålinger er sikret i separate databaselag, hvilket garanterer nul kontaminering mellem kommuner, der bruger systemet.

Ikrafttrædelsesdato: 11. marts 2026

Disse servicevilkår ("Vilkår") beskriver dine rettigheder og forpligtelser ved brug af Edudata.io-tjenesten ("Tjenesten"), der drives af Cloudpoint Oy ("os", "vi", "vores" eller "Virksomheden"). Læs venligst disse Vilkår grundigt, før du bruger nogen version af Edudata.io-tjenesten.

Tjenesten leveres af Cloudpoint Oy, Malminkaari 17-19B, 00700 Helsinki, Finland, momsnummer (Business ID) 2325703-6.

Desuden er adgang til og brug af denne Tjeneste – herunder struktur, organisering, præsentation af dens data og de indsigter den afslører i Edudata.io's beskyttede metodik og know-how – strengt begrænset til kvalificerede uddannelsesudbydere og bundet af disse Vilkår. Enhver brug foretaget af konkurrenter, til konkurrentanalyse, benchmarking, reverse engineering eller til at opnå uautoriseret indsigt i Edudata.io's processer, datakurering eller forretningsmodel er udtrykkeligt forbudt og underlagt væsentlige økonomiske konsekvenser og fastsatte skadeserstatninger som beskrevet i disse Vilkår.

1. Generel tjenesteoversigt og versioner

Edudata.io anvendes til at vurdere databeskyttelse, AI og sikkerhedsefterlevelse samt den generelle egnethed af digitale tjenester, der anvendes i undervisningen. Tjenesten er beregnet til Kunder (f.eks. byer, kommuner, uddannelsesudbydere, uddannelsesinstitutioner), i det følgende benævnt enten "Kunden" eller "Uddannelsesudbyderen".

Edudata.io støtter uddannelsesudbyderen i at opretholde opdateret dokumentation over behandlingen af elevernes personoplysninger i forskellige digitale tjenester, der anvendes i undervisningen.

Tjenestens komponenter:

• EDUDATA Compliance: Består af selve Edudata.io-platformen og en udvalgt liste over digitale undervisningstjenester med tilhørende detaljerede oplysninger.
• EDUDATA Compliance Service: En professionel service, hvor Virksomheden eller en Partner evaluerer digitale uddannelsestjenester, hvilket gør det muligt for Kunden at kortlægge risici og indsende tjenester til evaluering.
• EDUDATA Privacy: Et gennemsigtighedsværktøj, der giver en elev mulighed for at se de digitale tjenester, der er i brug, de data, der behandles i disse tjenester, opbevaringsperioden, samt hvornår brugeren loggede ind med sine EDU-loginoplysninger.
• EDUDATA Security: En komponent, der indsamler login-data på første og andet niveau fra separat definerede læringsmiljøer og, efter pseudonymisering, lagres og administreres av Kunden (Dataansvarlig). Denne komponent tilbyder også analyseværktøjer til de indsamlede data.

Tjenesteversioner:

• a. Edudata Starter: Giver grundlæggende adgang til platformen Edudata.io Compliance og tjenestelisten. Brugere foretager deres egne risikovurderinger. Denne version tilbyder ikke specifikke anbefalinger, AI-funktioner eller adgang til appen EDUDATA Privacy. Leveres "som beset" uden support eller garantier for oppetid.
• b. Edudata Advanced: Et betalt serviceniveau, hvor risikovurderinger forbedres af AI-funktioner integreret i platformen Edudata.io Compliance. Vores AI er trænet på bedømmelser udført af juridiske rådgivere. AI'en yder assistance, men det endelige ansvar for at validere og reagere på bedømmelserne påhviler fuldt ud Kunden. Inkluderer adgang til appen EDUDATA Privacy.
• c. Edudata Premium: Et betalt serviceniveau, som inkluderer Edudata.io Compliance-platformen, og hvor risikovurderinger udføres av Edudata.io's egne juridiske rådgivere. Disse bedømmelser gives som professionel vejledning, og ansvaret for den endelige beslutning og overholdelse påhviler fuldt ud Kunden. Denne version inkluderer også adgang til appen EDUDATA Privacy.

2. Accept af vilkår & beføjelser til at forpligte organisationen

• a. Bindende aftale: Disse Vilkår udgør en juridisk bindende aftale mellem din organisation og Edudata.io.
• b. Beføjelser: Ved at oprette en konto eller bruge Tjenesten på din organisations vegne garanterer den person, der gør det ("Autoriseret repræsentant") personligt, at:
  • i. De accepterer disse Vilkår på vegne af en juridisk anerkendt organisation (f.eks. en uddannelsesinstitution).
  • ii. De har fuld juridisk kompetence til at indgå og forpligte organisationen til disse Vilkår.
  • iii. Organisationen, de repræsenterer, indvilliger i at være fuldt bundet af alle vilkår og betingelser heri.
• c. Tillid til erklæringen: Edudata.io forlader sig på denne erklæring om beføjelser. Hvis den Autoriserede repræsentant ikke har sådanne beføjelser, vil de blive holdt personligt ansvarlige for eventuelle brud på disse Vilkår og resulterende skader.
• d. Accept: Ved at fortsætte med kontoregistrering eller brug af Tjenesten bekræfter den Autoriserede repræsentant på vegne af organisationen, at organisationen har læst, forstået og indvilliget i at være bundet af disse Vilkår. Hvis organisationen ikke accepterer Vilkårene, må I ikke bruge Tjenesten.

3. Fortrolighed og kontaktoplysninger

Vi behandler personoplysninger i overensstemmelse med databehandleraftalen (DPA) mellem os ja Kundens organisation.

Du kan kontakte os ved at sende en e-mail to info@edudata.io. Hvis vi har brug for at kontakte kunden, gør vi det via den e-mailadresse, Kunden har angivet.

4. Brugeradgang og sikkerhed

Brugen af Tjenesten skal ske i overensstemmelse med disse Vilkår. Brugeren skal logge ind på Tjenesten ved å logge på med en tredjeparts single sign-on (såsom Google eller Microsoft).

Kunden accepterer praksis for behandling af personoplysninger som anført i databehandleraftalen, fortrolighedspolitikken ja disse Vilkår. Vi kan til enhver tid lukke kontoen, hvis Kunden overtræder gældende aftaler.

Kunden skal opretholde passende sikkerhedsforanstaltninger, herunder opdateret virusbeskyttelse, for at forhindre, at Kundens system inficerer Tjenesten med skadeligt indhold.

5. Berettigelse ja kontoregistrering

• a. Anerkendt uddannelsesudbyder: Adgang til og brug af Tjenesten er strengt begrænset til institutioner eller enheder, der er formelt anerkendt som uddannelsesudbydere i henhold til gældende national lovgivning (f.eks. skoler, gymnasier, universiteter og kommuner begrænset til deres uddannelsessektor).
• b. Organisationsgaranti: Ved at registrere dig garanterer din organisation, at den opfylder dette berettigelseskriterium og ikke er en konkurrent til Edudata.io eller tilknyttet en sådan.
• c. Verifikation: Edudata.io forbeholder sig ret til når som helst at anmode om dokumentation for at verificere jeres status. Manglende bevis fører til øjeblikkelig suspension.
• d. Kontoansvar: Organisationen er ansvarlig for at holde inloggingsoplysninger fortrolige og hæfter for alle aktiviteter under jeres konto.

6. Tilladt brug og begrænsninger

• a. Licens: Under forudsætning af jeres overholdelse af disse Vilkår giver Edudata.io jeres organisation en begrænset, ikke-eksklusiv, ikke-overdragelig, genkaldelig licens til at bruge Tjenesten udelukkende til interne, ikke-kommercielle uddannelsesformål.
• b. Forbudt brug: Brugere må ikke anvende Tjenesten på en ulovlig måde, transmittere stødende materiale, beskadige vores systemer eller anvende Tjenesten til konkurrentanalyse, benchmarking eller produktudvikling, der konkurrerer med Edudata.io's interesser.

For clarity regarding Permitted Use of Assessments: Tilladt brug omfatter deling af risikovurderinger og anbefalinger inden for egen organisation. Vurderinger og anbefalinger må ikke deles med andre organisationer eller personer uden for Kundens egen organisation uden forudgående skriftligt samtykke fra Edudata.io. Kunden kan frit offentliggøre sine egne beslutninger, forudsat at de ikke indeholder de specifikke vurderings- eller anbefalingsoplysninger leveret af Virksomheden.

7. Uautoriseret brug & konkurrencemæssigt misbrug

Hvis Virksomheden fastslår, at din organisation bruger Tjenesten uden at opfylde berettigelseskravene eller til ulovlige konkurrencemæssige formål:

• a. Udelukket: Din organisation vil øjeblikkeligt og permanent blive udelukket fra at bruge alle Edudata.io's tjenester.

• c. Juridiske retsmidler: Edudata.io forbeholder sig ret til at forfølge alle andre tilgængelige juridiske retsmidler, herunder midlertidige forbud og yderligere skadeserstatninger.

8. Fortrolighed og proprietære oplysninger

• a. Definition: Du anerkender, at samlingen, strukturen og præsentationen af app-oplysninger i Tjenesten samt underliggende metoder ("Proprietære oplysninger") udgør værdifulde forretningshemmeligheder tilhørende Edudata.io.
• b. Forpligtelse: Din organisation indvilliger i at holde alle Proprietære oplysninger strengt fortrolige. I må ikke videregive eller dele denne information med tredjepart uden for Kundens organisation. Kunden skal beskytte Virksomhedens fortrolige oplysninger med mindst samme grad af omhu, som I beskytter jeres egne fortrolige oplysninger.
• c. Forbud mod konkurrentbrug: Det er strengt forbudt at bruge Proprietære oplysninger til at udvikle konkurrerende produkter eller tjenester, eller at bistå tredjeparter med dette.
• d. Overlevelse: Denne Sektion 8 forbliver i kraft efter ophør af disse Vilkår.

9. Intellektuelle ejendomsrettigheder

Virksomheden ejer og beholder ejendomsretten til Tjenesten, herunder alle intellektuelle ejendomsrettigheder. Kunden modtager kun en begrænset licens til at bruge Tjenesten i aftaleperioden i overensstemmelse med disse Vilkår.

Virksomheden har ret til uden begrænsning og gratis at bruge oplysninger, som Kunden tilføjer til Tjenesten (forudsat at de ikke udgør personoplysninger), såsom beskrivelser af applikationer eller Kundens egne risikovurderinger, til at udvikle og forbedre Tjenesten.

Virksomheden forbeholder sig alle rettigheder til de risikovurderinger og anbefalinger, der udarbejdes af Virksomheden. Kunden har kun adgang til disse i kontraktperioden.

10. Ændringer og opdateringer af Tjenesten

Virksomheden kan ændre Tjenesten for to overholde love, tilføje funktioner eller forbedre sikkerheden mod cybertrusler. Vi underretter Kunden ved større ændringer.

Kunden er ansvarlig for at installere opdateringer af Tjenesten uden forsinkelse, hvis Virksomheden kræver det.

11. Ansvar for tab eller skader (Ansvarsbegrænsning)

Vores erstatningsansvar er strengt begrænset til det beløb, der er betalt af Kunden i de seneste 12 måneder (for betalte versioner) eller maksimalt 100 euro (for gratisversionen).

Virksomheden er ansvarlig for forudsigelige tab eller skader forårsaget af vores forsummelse. Vi er ikke ansvarlige for indirekte tab eller følgeskader.

Edudata.io bestræber sig på at levere nøjagtige anbefalinger, men Kunden forstår, at disse er af rådgivende karakter. Den endelige beslutning og ansvaret for regelefterlevelse (inklusive GDPR) påhviler fuldt ud Kunden og dennes egen due diligence.

12. Skadesløsholdelse

Organisationen indvilliger i at forsvare, skadesløsholde og beskytte Edudata.io og dens medarbejdere mod alle krav, skader, tab, forpliktelser og omkostninger (herunder advokatbistand), der opstår som følge af: (a) organisationens brug af Tjenesten; (b) overtrædelse af disse Vilkår; (c) krænkelse af tredjeparts rettigheder, herunder fortroligheds- eller intellektuelle ejendomsrettigheder; eller (d) overtrædelse af gældende lov.

13. Gældende tid og opsigelse

Disse Vilkår forbliver i kraft, indtil Serviceaftalen udløber eller opsiges i overensstemmelse med gældende abonnementsbetingelser.

Ved aftalens ophør kan Virksomheden straks deaktivere Kundens konto. Personoplysninger slettes eller returneres i overensstemmelse med databehandleraftalen (DPA).

14. Diverse bestemmelser

• a. Overdragelse af rettigheder: Vi kan overdrage vores rettigheder under disse Vilkår til en anden organisation efter at have informeret Kunden i god tid. Kunden kan derefter opsige aftalen med 30 dages varsel.
• b. Overdragelse af licens: Kundens brugerrettigheder kan kun overdrages med skriftligt samtykke fra Virksomheden.
• c. Tredjepartsrettigheder: Disse Vilkår kan kun gøres gældende af parterne eller godkredte retserhververe.
• d. Ugyldighed: Hvis en domstol finder en del af disse Vilkår ugyldig eller uigennemførlig, skal de øvrige dele fortsætte med at gælde i fuld kraft.
• e. Intet afkald: Hvis vi ikke straks skrider ind over for et aftalebrud, bevarer vi retten til at gøre dette på et senere tidspunkt.
• f. Lovvalg og værneting: Tvister i forbindelse med disse Vilkår skal afgøres ved byretten i Helsinki. Finsk lovgivning og den generelle databeskyttelsesforordning (GDPR) finder anvendelse.
• g. Datainfrastruktur (Security-komponenten): For Kunder, der bruger EDUDATA Security-komponenten, lagres data i et Google Cloud-projekt ejet af Kunden. Kunden er selv ansvarlig for alle relaterede sky-omkostninger.

15. Ændringer af disse Vilkår

Vi forbeholder os ret til at ændre disse Vilkår ved lovændringer, nye regler eller forbedringer af Tjenesten. Vi vil underrette dig på forhånd om sådanne ændringer.

Sidst opdateret: 28. maj 2026 | Status: Aktiv

Denne cookiepolitik forklarer, hvordan Cloudpoint Oy ("vi", "os" og "vores") bruger cookies og lignende teknologier til at genkende dig, når du besøger vores websteder og applikationer. Den forklarer, hvad disse teknologier er, hvorfor vi bruger dem, og dine rettigheder til at kontrollere vores brug av dem i overensstemmelse med databeskyttelsesforordningen (GDPR) og gældende ePrivacy-direktiver.

1. Omfang af denne politik

Denne politik gælder for følgende EDUDATA.IO-domæner og deres respektive underdomæner:

• www.edudata.io: Vores offentlige virksomheds- og markedsføringswebsted.
• compliance.edudata.io: Vores B2B-applikation til overholdelsesstyring for skoleadministratorer og databeskyttelsesrådgivere.
• transparency.edudata.io (og privacy.edudata.io): Vores elevvendte gennemsigtighedsværktøjer, der giver slutbrugere mulighed for at se deres digitale fodaftryk.

2. Hvad er cookies?

Cookies are små datafiler, der placeres på din computer eller mobile enhed, når du besøger et websted. Webstedsejere bruger i vid udstrækning cookies til at få deres websteder til at fungere sikkert og effektivt, samt til at levere rapporteringsoplysninger og personlige oplevelser.

3. Hvorfor bruger vi cookies?

Vi bruger første- og tredjepartscookies af flere årsager. Nogle cookies er nødvendige af tekniske årsager for, at onze websteder og applikationer kan fungere sikkert ("Strengt nødvendige" cookies). Andre cookies giver os mulighed for at spore og målrette vores B2B-brugeres interesser for at forbedre oplevelsen på vores offentlige websted ("Analyse-" og "Målretnings-" cookies).

4. Typer af cookies, vi bruger

Baseret på regelmæssige revisioner af vores domæner anvender vi følgende kategorier af cookies:

A. Strengt nødvendige (essentielle) cookies

Disse cookies er strengt nødvendige for at give dig tjenester, der er tilgængelige via vores websteder og applikationer, for at sikre sikkerhed (botbeskyttelse) og for at autentificere dine login-sessioner. Du kan ikke afvise disse cookies uden at påvirke funktionen af vores tjenester.

B. Analyses- og præstationscookies

Disse cookies indsamler aggregerede oplysninger for at hjælpe os med at forstå, hvordan vores offentlige websted og B2B-portaler bruges. Dette hjælper os med at forbedre brugeroplevelsen og løse tekniske problemer. Disse er deaktiveret som standard, indtil der gives samtykke.

C. Målretnings- og annonceringscookies

Disse cookies bruges til at gøre reklamebudskaber mere relevante for dig.

5. Hvordan kan jeg kontrollere cookies?

Du har ret til at beslutte, om du vil acceptere eller afvise ikke-essentielle cookies:

• Cookie-samtykkebanner: Du kan udøve dine cookierettigheder ved at angive dine præferencer i det cookie-samtykkebanner, der vises, når du besøger www.edudata.io første gang.
• Browserstyring: Du kan indstille eller ændre din browsers indstillinger til at acceptere eller afvise cookies helt.
• Konsekvenser af afvisning: Hvis du vælger at afvise strengt nødvendige cookies via din browsers indstillinger, vil din adgang til kernefunktionalitet — såsom at logge ind på compliance.edudata.io-portalen eller se dine data på transparency.edudata.io — blive alvorligt begrænset eller afbrudt.

6. Opdateringer af denne politik

Vi kan opdatere denne cookiepolitik fra tid til anden for at afspejle ændringer i de cookies, vi bruger, eller af andre driftsmæssige, juridiske eller lovmæssige årsager. Besøg venligst denne cookiepolitik regelmæssigt for at holde dig informeret om vores brug av cookies og relaterede teknologier.

7. Kontakt os

For yderligere oplysninger om, hvordan vi beskytter dine data, bedes du læse vores privatlivspolitik og vores databehandleraftale (DPA).

Hvis du har spørgsmål om vores brug af cookies eller andre teknologier, bedes du kontakte vores databeskyttelsesteam på: privacy@cloudpoint.fi.

Sidst opdateret: 15.12.2025

Dette er Edudata.io's privatlivspolitik i overensstemmelse med EU's generelle databeskyttelsesforordning (GDPR), som beskriver principperne for, hvordan Edudata.io (herefter også "Edudata" eller "Dataansvarlig") behandler personoplysninger, når vi fungerer som dataansvarlig i forbindelse med Edudata.io-tjenesten ("Tjenesten"). Edudata overholder finsk lovgivning og EU's databeskyttelsesforordning i alle sine aktiviteter.

1. Dataansvarlig og kontaktoplysninger

Dataansvarlig: Edudata.io
Virksomheds-id (Business ID): 3460068-8
Adresse: Malminkaari 17-19B, 00700 Helsinki, Finland
Telefon: +358 9 4257 9280
Websted: www.edudata.io
Databeskyttelsesrådgiver: Lauri Kaski, e-mail: lauri.kaski@edudata.io

2. Registrets navn

Edudata kunde-, kontrakt- og markedsføringsregister.

3. Edudata's roller og formål med behandlingen

Edudata's rolle i behandlingen af personoplysninger i Edudata.io-tjenesten is tofoldig:

A. Edudata som databehandler

I Tjenestens (Edudata.io) kerneaktivitet er Kunden (uddannelsesudbyderen) Dataansvarlig, og Edudata er Databehandler. I dette tilfælde fastsætter Kunden formålene og midlerne til behandlingen. Denne behandling sker i overensstemmelse med en separat databehandleraftale (DPA).

B. Edudata som dataansvarlig

Edudata behandler personoplysninger som sin egen dataansvarlig til følgende formål:

• Kundehåndtering: Vi behandler data til at styre kundeforholdet og opfylde kontraktlige forpligtelser. Dette kan omfatte opsætning af kundeforholdet, support, fakturering og rapportering.
  Retsgrundlag: Legitim interesse og opfyldelse af kontrakt.
• Salg og markedsføring: Vi behandler data til salg og markedsføring af vores tjenester, direkte markedsføring samt afsendelse af nyhedsbreve.
  Retsgrundlag: Legitim interesse og samtykke.
• Kundekommunikation: Vi behandler personoplysninger til håndtering af kundefeedback og supportanmodninger samt udsendelse af meddelelser vedrørende tjenesterne.
  Retsgrundlag: Legitim interesse og opfyldelse af kontrakt.
• Overholdelse af lovmæssige forpligtelser: Vi kan behandle personoplysninger for at opfylde lovbestemte forpligtelser, t.eks. regnskabs- og skattelovgivning.
  Retsgrundlag: Retlig forpligtelse.
• Tjenesteudvikling: Virksomheden har ret til at anvende data, der er tilføjet til Tjenesten af Kunden, som ikke er klassificeret som personoplysninger, til at udvikle og forbedre Tjenesten.

4. Hvilke personoplysninger behandler og indsamler vi som dataansvarlig?

Vi indsamler personoplysninger relateret til vores kunder primært fra personerne selv eller fra offentlige kilder. De data, vi behandler, kan omfatte:

• Kontaktoplysninger: Fornavn, efternavn, e-mailadresse, telefonnummer, andre kontaktoplysninger (adresse).
• Organisationsoplysninger: Stilling, organisationens navn.
• Kundeforholdsoplysninger: Oplysninger om bestilte tjenester og ændringer i dem, faktureringsoplysninger samt andre oplysninger relateret til kundeforholdet.
• Markedsføringsoplysninger: Markedsføringssamtykke og -forbud.
• Websteds- og kontaktoplysninger: Tekniske data (brugsdata, enhedsdata), cookies, indhold af kontakten.

5. Säännönmukaiset tietolähteet (Kilder til personoplysningerne)

Vi behandler og indsamler personoplysninger, som brugeren selv har givet eller indsendt til os (f.eks. ved henvendelser, kontrakter). Derudover indsamler vi data fra offentlige kilder som offentlige registre og dokumenter, websteder og sociale medier.

6. Deling og videregivelse af personoplysninger

Vi bruger eksterne tjenesteudbydere og underleverandører, som behandler personoplysninger på vegne af Edudata. Disse omfatter for eksempel:

• Google Ireland
• Hubspot Ireland
• Visma AB
• Cloudpoint Oy
• Online Partner AB

Underleverandører behandler personoplysninger på vores vegne og må ikke bruge dem til egne formål. Alle vores tjenesteudbydere har forpligtet sig til at overholde GDPR.

7. Overførsel af personoplysninger uden for EU og EØS

Personoplysninger kan overføres uden for EU eller EØS, da nogle af de tjenesteudbydere, vi bruger, er beliggende uden for dette område (f.eks. cloud-tjenester).

Hvis personoplysninger overføres til et land, som EU-kommissionen ikke har truffet afgørelse om tilstrækkelighed for, sker overførslen i overensstemmelse med standardkontraktbestemmelser (SCC) godkendt af EU-kommissionen og andre nødvendige beskyttelsesforanstaltninger.

8. Opbevaring og sletning af personoplysninger

Dine personoplysninger opbevares ikke længere end nødvendigt for at opfylde formålet, kundeforholdet eller kontrakten. Data slettes også, hvis du trækker dit samtykke tilbage eller anmoder om sletning, forudsat at der ikke er et andet retsgrundlag for behandlingen.

9. Hvordan vi beskytter dine personoplysninger

Vi træffer passende fysiske, tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger mod uautoriseret adgang eller beskadigelse:

• Medarbejdere med adgang til personoplysninger har en separat fortrolighedsaftale og tavshedspligt.
• Adgang er begrænset til medarbejdere, der har brug for at behandle personoplysninger i forbindelse med deres arbejdsopgaver.
• Medarbejdere anvender tofaktorautentificering.
• Vores kontor har adgangskontrol, er bevogtet og har 24/7 videoovervågning.

10. Hvilke rettigheder har du?

Du har rettigheder til indsigt, berigtigelse, sletning (retten til at blive glemt), begrænsning, indsigelse samt dataportabilitet under GDPR. Du kan kontakte os på info@edudata.io for at udøve disse.

11. Ret til at klage til en tilsynsmyndighed

Du har ret til at indgive en klage til en tilsynsmyndighed (i Finland, Dataombudsmandens kontor; i Danmark, Datatilsynet).

12. Procedure i tilfælde af brud på persondatasikkerheden

I tilfælde af et potentielt brud på persondatasikkerheden følger vi de foranstaltninger og tidsrammer, der er defineret i GDPR. Hvis det er nødvendigt, underretter vi tilsynsmyndigheden og de registrerede uden drøjsmål.

13. Cookies

Vi bruger cookies på vores websted for at give den bedst mulige brugeroplevelse. Brugeren kan give sit samtykke eller afvise cookies via et separat cookiebanner.

14. Ændringer

Vi forbeholder os ret til at foretage ændringer i denne privatlivspolitik. Hvis vi foretager væsentlige ændringer, vil vi underrette dig på forhånd.

Version 1.0 | Gyldig fra: 10.07.2025

Denne AI-politik beskriver Edudata.io's forpligtelse til en ansvarlig og etisk brug af kunstig intelligens (AI) i syfte at beskytte elevernes privatliv og sikre GDPR-overholdelse for skoler i EU. Edudata.io anvender AI til at forbedre effektiviteten og nøjagtigheden af risikovurderinger af tredjeparts digitale tjenester. AI-genererede vurderinger giver anbefalinger og er ikke bindende beslutninger. Kunden bærer det fulde ansvar for de endelige valg.

1. Vores forpligtelse til ansvarlig AI

Hos Edudata.io er vi dedikerede til at udvikle og anvende AI-teknologier, der er i overensstemmelse med vores kerneværdier om privatliv, sikkerhed, gennemsigtighed og ansvarlighed. Vi forstår den dybe indvirkning, som digitale tjenester og AI har på børns privatliv. Vi stræber efter at sikre, at AI bruges som et værktøj til at fremme, ikke kompromittere, elevernes grundlæggende rettigheder i det digitale miljø. Vores tilgang er styret af relevante regler, herunder GDPR, EU's forordning om kunstig intelligens (EU AI Act) og bedste praksis inden for etisk AI-udvikling.

2. Formålet med AI hos Edudata.io

AI is an integral part of Edudata.io's process to prepare comprehensive risk assessments of third-party digital services. Specifikt er vores AI-systemer designet til at:

• Analysere dokumentation: Behandle og udtrække relevant information fra forskellige tjenestedokumenter, herunder privatlivspolitikker, servicevilkår, databehandleraftaler (DPA'er), AI-politikker og sikkerhedspolitikker.
• Integrere ekspertviden: Drage fordel af indsigt fra tidligere menneskelige (juridiske rådgivere) risikovurderinger for den samme tjeneste for at forbedre AI-analysen.
• Støtte risikovurdering for privatliv (GDPR-overholdelse): AI's analytiske evner er skræddersyet til at identificere og evaluere kritiske aspekter af personoplysninger i overensstemmelse med GDPR.
• Støtte risikovurdering for sikkerhet: AI hjælper med at identificere og evaluere tredjepartstjenestens sikkerhedsniveau ved at analysere tekniske og organisatoriske sikkerhedsforanstaltninger (TOM'er) samt specifikke kontroller mod uautoriseret adgang.
• Støtte vurdering af egnethed til uddannelse og markedsføring: AI bidrager til at evaluere den pædagogiske relevans og kommercielle indvirkning ved at vurdere målgrupper og eventuel reklame rettet mod mindreårige.
• Støtte vurdering af AI-anvendelse i tredjepartstjenesten: Analysere udbyderens egen brug av AI, herunder risikokategorier og mekanismer for menneskelig overvågning i henhold til EU AI Act.

Bemærk: Vi bruger ikke AI til at behandle vores kunders personoplysninger.

3. Principper for AI-anvendelse

Vores AI-aktiviteter er styret af følgende nøgleprinciper:

• Indbygget databeskyttelse (Privacy by Design): AI-systemer udvikles med databeskyttelse og privatliv tænkt ind fra starten.
• Sikkerhed: Robuste sikkerhedsforanstaltninger implementeres for at beskytte alle data, der behandles af AI-modeller.
• Gennemsigtighed: Vi tilstræber gennemsigtighed omkring AI's rolle i vores risikovurderingsmetode og de kriterier, den evaluerer.
• Menneskelig overvågning: AI fungerer som et stærkt værktøj, men Kunder og deres brugere, juridiske eksperter og rådgivere bevarer kontrollen. Kunden har beslutningskompetencen over alle risikovurderinger.
• Retfærdighed og ikke-diskrimination: Vores AI-systemer er designet til at vurdere tjenester objektivt og uden bias for at sikre retfærdige evalueringer.
• Overholdelse: Alle AI-aktiviteter overholder strengt GDPR, nationale databeskyttelseslove og andre gældende juridiske rammer.

4. Datahåndtering og privatliv

Edudata.io håndterer data anvendt i sine AI-systemer med største omhu:

• Inputdata: AI behandler offentligt tilgængelig dokumentation og interne, tidligere menneskelige risikovurderinger. Vi indtaster ikke bevidst personoplysninger om elever eller andre følsomme oplysninger som direkte input til AI-modellerne.
• Databehandling: Data, der sendes to AI-funktioner, håndteres sikkert. Vi samarbejder med anerkendte og sikre AI-tjenesteudbydere, der tilbyder stærke databeskyttelsesgarantier og ikke bruger vores data til at træne deres modeller.
• Fortrolighed: Kunder rådes til at undlade at inkludere fortrolige eller følsomme oplysninger i dokumentation, der sendes, hvis det ikke er nødvendigt for risikovurderingen.
• Dataminimering: Vi overholder princippet om dataminimering for at sikre, at kun nødvendige data behandles.

5. Menneskelig overvågning og ansvarlighed

AI hos Edudata.io fungerer som en assisterende teknologi, der forstærker vores menneskelige eksperters evner:

• Ekspertvalidering: Enhver AI-genereret risikovurdering eller anbefaling gennemgår en grundig granskning og validering af Kunden og/eller Edudata.io-teamet.
• Beslutningstagning: Den endelige beslutning vedrørende en digital tjenestes egnethed og tilhørende risici påhviler helt Kunden og dens beslutningstagere.
• Ansvarlighed: Da AI-modeller kan indeholde fejl, ligger ansvaret for at implementere en tjeneste og sikre dens overholdelse helt hos Kunden. Vi understreger, at kunder skal udvise egen due diligence i vurderingen.

6. Nøjagtighed og pålidelighed

Vi er forpligtet til nøjagtigheden og pålideligheden af vores vurderinger:

• Løbende evaluering: Vores AI-modeller og deres resultater evalueres regelmæssigt for nøjagtighed, relevans og konsistens.
• Kvalitetssikring: Vi implementerer strenge kvalitetssikringsprocesser for at identificere og korrigere eventuelle fejl eller bias.
• Brugergennemgang: Vi understreger vigtigheden af at gennemgå de AI-genererede dele og opfordrer kunder til at sparre med vores eksperter.

7. Overholdelse og etiske overvejelser

Edudata.io sikrer fuld overholdelse:

• GDPR: Vores AI-anvendelse understøtter fuldt ud GDPR-overholdelse ved risikovurderinger.
• Uddannelseslovgivning: Vi sikrer, at AI hjælper med å vurdere overholdelse af specifik uddannelseslovgivning, såsom reklamefrie miljøer.
• Etisk AI: Vi følger etiske retningslinjer for AI-udvikling, der fokuserer på fordelagtig brug, forebyggelse af skade og tillid.

8. Løbende forbedring og overvågning

AI-området, digitale trusler og lovgivning udvikler sig konstant. Edudata.io har forpligtet sig til:

• Opdateringer: Opdatere AI-modeller, metoder og politikker baseret på den nyeste teknologi og lovgivning.
• Overvåking: Overvåge systemerne for at sikre, at de leverer høj kvalitet.
• Feedbackintegrering: Inkorporere feedback fra juridiske team, kunder og privatlivscommunityt.

9. Brugeransvar (for Edudata.io's kunder)

Kunden har også et ansvar:

• Gennemgang og verifikation: Kunder bør nøje verificere indholdet i risikovurderingerne, så det passer til deres specifikke kontekst.
• Nøjagtig input: Levere nøjagtig dokumentation om tredjepartstjenester.
• Overholdelse af politikker: Sikre, at interne rutiner stemmer overens med anbefalingerne.

10. Kontaktoplysninger

For spørgsmål om Edudata.io's AI-politik eller praksis, kontakt os på: info@edudata.io

Applikation: edudata.io | Version: 1.0 | Status: Aktiv

1. Resumé

Hos edudata.io anerkender vi, at vores platform håndterer meget følsomme data. Sikring af disse oplysninger er vores kerneforpligtelse over for skoler og kommuner. Dette whitepaper beskriver, hvordan vi beskytter data gennem Privacy by Design og ISO 27001-overholdelse.

2. Tilpasning to ISO 27001:2022-rammeværket

Vores ledelsessystem for informationssikkerhed (ISMS) er opbygget til at flugte med de strenge, globalt anerkendte standarder i ISO/IEC 27001:2022. Vi arbejder aktivt henimod formel certificering.

For at opnå og opretholde denne status er vores ISMS baseret på følgende søjler:

• Omfattende politikrammeværk: Vores sikkerhedsniveau styres af et strengt hierarki af interne politikker, herunder vores informationssikkerhedspolitik, adgangskontrolpolitik, datastyringspolitik, politik for sikker udvikling og politik for håndtering af tredjeparter.
• Kontinuerlig overvågning af efterlevelse: Vi anvender Vanta som vores automatiserede platform til kontinuerlig overvågning for aktivt at spore overholdelse mod kontrolrammerne for ISO 27001:2013 og ISO 27001:2022 i realtid.
• Livscyklusstyring for aktiver: Vi opretholder et strengt inventar over alle informationsmæssige og fysiske aktiver. Alle organisatoriske aktiver er underlagt obligatorisk sporing fra ibrugtagning til afvikling og returnering (kontrol AST-4 til AST-9).
• Fælles ansvar: Informationssikkerhed er en fælles indsats. Alle medarbejdere og underleverandører gennemgår sikkerhedstræning og er underlagt strenge aftaler om acceptabel brug og fortrolighed.

3. Infrastruktur- og netværkssikkerhed

Vi udnytter enterprise-grade skyarkitektur for at sikre høj tilgængelighed, redundans og databeskyttelse.

• Skyhosting og fysisk sikkerhed: edudata.io-platformen er hostet på Google Cloud Platform inden for Det Europæiske Økonomiske Samarbejdsområde (EØS). Vi forlader os på vores skyudbyders ISO 27001-certificerede datacentre for fysisk sikkerhed i verdensklasse, herunder biometrisk adgangskontrol, 24/7 overvågning og beskyttelse mod miljøtrusler.
• Netværkssikkerhed og hærdning: Vores understøttende infrastruktur patches og hærdes rutinemæssigt mod sikkerhedstrusler som en del av vores planlagte vedligeholdelsesprotokoller (kontrol VPM-38). Vi anvender isolerede virtuelle netværk, sikkerhedsgrupper og strengt konfigurerede firewalls for at minimere vores eksterne angrebsflade.
• Datakryptering:
  • Under overførsel (In Transit): Alle data, der overføres mellem klientenheder og vores servere, samt internt mellem mikrotjenester, krypteres ved hjælp af TLS 1.2 eller højere.
  • Ved hvile (At Rest): Alle persistente lagringsmedier, databaser og sikkerhedskopier krypteres ved hvile ved hjælp af AES-256. Derudover er alle virksomhedsudleverede enheder, der anvendes af vores medarbejdere, sikret med fuld diskkryptering (Full Disk Encryption) for at eliminere risikoen for datagendannelse i tilfælde af tab eller tyveri.
• Midlertidig lagring (Ephemeral Storage): Midlertidige filer (f.eks. sky-baseret /tmp-lagring) slettes automatisk i det øjeblik, den tilhørende beregningsproces afsluttes.

4. Adgangskontrol og identitetsstyring

Beskyttelse af adgang til vores systemer håndteres via en streng Zero Trust-tilgang, hvilket sikrer, at brugere og interne medarbejdere kun har adgang til de data, der er nødvendige for deres roller.

• Rollebaseret adgangskontrol (RBAC): Vi håndhæver princippet om mindste privilegium (Principle of Least Privilege) i hele vores organisation. Som standard er al systemadgang forbudt. Adgangsrettigheder gives udelukkende baseret på legitime forretningsbehov og evalueres løbende.
• Identitetsbekræftelse og MFA: Administrativ adgang til produktionsmiljøer og root-konti kræver yderst komplekse, roterede adgangskoder sammen med obligatorisk multifaktor-autentificering (MFA).
• Kildekode og intellektuel ejendomsret: Adgang til programmets kildekode, design og valideringsplaner er strengt kontrolleret, logget og auditeret. Dette forhindrer uautoriserede funktionelle ændringer og beskytter integriteten af vores livscyklus for softwareudvikling.
• Onboarding og offboarding af personale: Adgangstildeling kontrolleres strengt af HR og vores sikkerhedsansvarlige. Ved ophør af ansættelse eller kontrakt skal alle fysiske aktiver returneres, og al systemadgang tilbagekaldes øjeblikkeligt.

5. Databeskyttelse og datastyring

For effektivt at beskytte kundedata håndhæver vi en streng datastyringspolitik (Data Management Policy), der dikterer, hvordan information klassificeres, håndteres og bortskaffes på sikker vis.

• Dataklassifikation: Vi kategoriserer information i tre niveauer, hvor Kundedata og personoplysninger (PII) klassificeres som fortrolige (Confidential). Fortrolige data kræver det højeste beskyttelsesniveau, strenge adgangsbegrænsninger samt godkendelse fra ledelsen eller dataejeren forud for ekstern deling.
• Multi-tenancy og logisk adskillelse: Kundemiljøer og databaser er strengt adskilt for at forhindre datalækage mellem forskellige skoledistrikter. Firestore-databaserne er logisk adskilt via Google Cloud-projektkonfigurationer, hvilket sikrer isolerede sikkerhedsgrænser.
• Dataopbevaring og sletning: Vi overholder følgende opbevaringsplaner for at overholde GDPR's princip om dataminimering:
  • Kundedata: Slettes sikkert inden for 90 dage efter kontraktens ophør.
  • Sikkerheds- og hændelseslogfiler: Sky-/vært-instanslogfiler opbevares i 1 år for at understøtte retsmedicinsk revision, mens lokale sikkerhedslogfiler opbevares på ubestemt tid.
  • Midlertidige filer: Midlertidige data slettes automatisk ved procesafslutning.

6. Sårbarheds- og hændelsesstyring

Vi opererer under den antagelse, at trusselsbilledet konstant udvikler sig. Som følge heraf har vi etableret proaktiv overvågning og hurtige indsatsmekanismer.

• Sårbarheds- og patchstyring: Vi indhenter og evaluerer løbende efterretninger om tekniske sårbarheder (kontrol VPM-3). Vores infrastruktur patches rutinemæssigt, og vores værktøjer til sårbarhedsstyring scanner aktivt vores miljøer. Sårbarhedsdata for værter opbevares, indtil det underliggende aktiv fjernes og slettes.
• Penetrationstestning: Vi udfører årligt strenge, uafhængige sikkerhedsvurderinger og penetrationstests i samarbejde med betroede, certificerede tredjeparts cybersikkerhedsfirmaer.
• Beredskabsplan for sikkerhedshændelser: Vi opretholder en formaliseret beredskabsplan (Incident Response Plan), der administreres af vores sikkerhedsansvarlige.
  • Rapportering og prioritering: Sikkerhedshændelser eskaleres øjeblikkeligt og kategoriseres efter alvorlighedsgrad.
  • Inddæmning og udbedring: I tilfælde af en indikation på kompromittering (Indicator of Compromise, IOC) – såsom unormal kontoaktivitet eller deaktiveret logning – følger vores beredskabsteam strenge retningslinjer. Skridt omfatter øjeblikkelig kontakt til skysupport, rotation af root-adgangskoder/nøgler og annullering af ændringsadgang for at stoppe truslen ("stoppe blødningen").
  • Evaluering (Post-Mortem): Enhver sikkerhedshændelse afsluttes med en grundig rodårsagsanalyse (Root-Cause Analysis). Vi dokumenterer resultaterne, udbedrer underliggende strukturelle problemer og opdaterer vores retningslinjer for at forhindre fremtidige gentagelser.

Denne tilgængelighedserklæring dækker kun privacy.edudata.io-tjenesten (Edudata Privacy Application (PWA)) | Opdateret: 19/05/2026 | Mål: WCAG 2.1 Level AA / EN 301 549

1. Overensstemmelsesstatus

Denne erklæring gælder udelukkende den offentlige tjeneste privacy.edudata.io, som er platformens eneste brugergrænseflade henvendt til slutbrugere. Baseret på evalueringen den 23/12/2025 er denne applikation delvist overensstemmende med WCAG 2.1 Level AA-standarderne.

2. Ikke-tilgængeligt indhold (Kendte problemer)

De funktioner, der er anført nedenfor, er i øjeblikket ikke tilgængelige, men udbedring er planlagt (eller er for nylig blevet udbedret):

• A. Opfattelig (Visuel) - Kontrastproblem (WCAG 1.4.3): Pladsholdertekst i formularfelter (Login, Profil) lå tidligere under kontrastforholdet 4,5:1 i forhold til baggrunden. Udbedret
• B. Anvendelig (Navigering) - Fokusstyring (WCAG 2.4.3): Bekræftelsesdialoger (modaler) låser i øjeblikket ikke tastaturfokus. Dette gør det muligt for tastaturbrugere at navigere bag den åbne dialog. I gang
• C. Forståelig (Kode & etiketter) - Brugerdefinerede til/fra-knapper (WCAG 4.1.2): Reguleringsknapperne til privatlivsindstillinger mangler role="switch" og aria-checked attributterne. Skærmlæsere kan i øjeblikket ikke annoncere, om en indstilling er "Til" eller "Fra". Planlagt

3. Udbedringsplan (Overholdelsesplan for 2026)

For at opfylde kravene til universelt design i den europæiske tilgængelighedslov (EAA) har vi forpligtet os til følgende tidslinje:

4. Strategi for verifikation & certificering

• Nuværende status: Selvevaluering (teknisk & ekspertrevision).
• Fremtidig validering: For at tilpasse os kommunale krav om uafhængig verifikation har vi planlagt en tilgængelighedsrevision af en tredjepart (VPAT/ACR), der vil blive udført efter afslutningen af udbedringspunkterne ovenfor.
• Måldato for revision: 4. kvartal 2026 (november).

5. Feedback og kontaktoplysninger

Hvis du støder på tilgængelighedsbarrierer eller har brug for oplysninger i et alternativt format for at udøve dine GDPR-rettigheder, bedes du kontakte os:

E-mail: info@edudata.io
Svartid: Vi stræber efter at svare inden for 7 arbejdsdage.

6. Håndhævelsesprocedure

Hvis du ikke er tilfreds med det svar, du modtager fra os vedrørende din tilgængelighedsanmodning, kan du kontakte den relevante tilsynsmyndighed i din jurisdiktion:

• Finland: ESAVI
• Sverige: DIGG
• Norge: Uu-tilsynet