Trust Center kouluille ja hankinnoille

Tila: Aktiivinen | Versio: 1.0

1. Tiivistelmä

Edudata.io on yritystason Governance, Risk, and Compliance (GRC) SaaS-alusta, joka on suunniteltu yksinomaan opetussektorille ja palvelee tällä hetkellä kuntia, koulutuksen järjestäjiä ja oppilaitoksia Suomessa ja Ruotsissa. Alusta keskittää tietosuojan, kyberturvallisuuden, saavutettavuuden ja tekoälyn vaatimustenmukaisuuden hallinnan yhdeksi toiminnalliseksi kokonaisuudeksi.

Edudata.io ei luo jäykkiä paikallisia tietorajoja, vaan toimii vaatimustenmukaisuuden mahdollistajana ja auttaa rajat ylittäviä koulutusekosysteemejä navigoimaan saumattomasti monimutkaisissa eurooppalaisissa säädöksissä – mukaan lukien GDPR, NIS2-direktiivi, EU:n tekoälyasetus ja eurooppalaiset saavutettavuusvaatimukset.

2. Keskeiset toiminnalliset moduulit

• Edudata Compliance & Kirjasto: Keskittää maailmanlaajuisen tietokannan tuhansista esiarvioiduista digitaalisista opetussovelluksista. Se seuraa toimittajien tietojenkäsittelysopimuksia (DPA) ja tietosuojaselosteita ja päivittää vaatimustenmukaisuuden tilan automaattisesti, kun toimittajat muuttavat juridisia ehtojaan.
• Automatisoitu RoPA & Kartoitus: Luo ja ylläpitää ohjelmallisesti organisaation selostetta käsittelytoimista (RoPA). Kun hallinto hyväksyy tai estää sovelluksen, järjestelmä kirjaa välittömästi tietovirrat ja opiskelijoiden tarkat tietopisteet.
• Edudata Avoimuus: Julkinen käyttöliittymä (transparency.edudata.io), joka antaa opiskelijoille, vanhemmille ja huoltajille reaaliaikaisen näkymän luokkahuonekäyttöön hyväksytyistä sovelluksista ja niiden vastaavista tietojen säilytyssäännöistä.

3. Edistyksellinen tekninen arkkitehtuuri: CAG-tekoälymoottori

Edudata.io:n analyyttinen sydän on sen deterministinen, oikeudellisesti ankkuroitu tekoälymoottori. Järjestelmä hyödyntää erityistä Cache-Augmented Generation (CAG) -mallia ja luopuu täysin perinteisistä RAG-infrastruktuureista, jotka perustuivat vektoritietokantoihin, indeksointiin ja tekstinpaloitteluun.

Infrastruktuuri ja lataus

• Mallikerros: Rakennettu Gemini 3.1 Pron varaan, hyödyntäen sen laajaa syntyperäistä konteksti-ikkunaa kokonaisten säädöskirjastojen lukemiseen ilman rakenteellista pakkaamista.
• Vertex AI -kontekstin välimuisti tallennus: Koko eurooppalainen lainsäädäntökehys, kansalliset opetussuunnitelmat (mukaan lukien suomalaiset ja ruotsalaiset standardit) sekä Edudatan omat arviointisäännöt pidetään pysyvästi ladattuina nopeassa GPU-muistissa.
• Hauton käsittely (Retrieval-Free): Koska moottori ei tee reaaliaikaisia ulkoisia tietokantahakuja tai semanttisia palojen poimintoja, se toimii ilman perinteisille hakuputkille ominaista kontekstin heikkenemistä tai tietokatveita.

Keskeiset arkkitehtoniset takuut

• Hallusinaatioton oikeudellinen päättely: Arvioimalla käyttäjien kyselyitä kokonaisia, rikkoutumattomia säädöksiä ja koulun sääntöjä vasten sirpaloituneiden tekstiosien sijaan järjestelmä takaa juridisesti pätevän ja hallusinaatiottoman päättelyn.
• Millisekuntitason viive: Monivaiheisen tietokantahaun pullonkaulan ohittaminen minimoi ensimmäisen tokenin viiveen (TTFT), tarjoten lähes välittömät turvallisuusarvioinnit.
• 100% deterministinen matemaattinen pisteytys: Malli toimii luotettavana loogisena tulkkina lukituille arviointisäännöille varmistaen, että riskimittarit ovat matemaattisesti ennustettavia, toistettavia ja tarkkoja.

4. Eurooppalainen tiedonhallinta ja pilviturvallisuus

• EU:n tietosuvereniteetti: Julkisen opetussektorin tiukkojen tietosuojalaatimusten täyttämiseksi kaikki kontekstin välimuistitallennus, päättely ja telemetrian tallennus suoritetaan tiukasti turvallisilla, suvereeneilla EU-pohjaisilla pilvialueilla (hyödyntäen Google Cloudin eurooppalaista infrastruktuuria).
• Rajat ylittävä säädösten yhdenmukaistaminen: Alusta on suunniteltu kartoittamaan vaatimustenmukaisuusarviointeja samanaikaisesti EU-direktiivien ja Suomelle ja Ruotsille ominaisten kansallisten opetustoimen erityispiirteiden mukaisesti.
• Ihminen ohjaimissa -validointi: CAG-moottori toimii asiantuntevana juridisena avustajana. Vaikka se analysoi käytäntöjä ja laskee riskipisteitä matemaattisen tarkasti, lopullinen hyväksyntä vaatii aina sertifioidun tietosuojavaltuutetun tai tietosuojavastaavan vahvistuksen.
• Asiakkaiden eristäminen (Tenant Isolation): Asiakkaiden konfiguraatiotiedot, koulujen profiilit ja valvontalokitiedot suojataan erillisissä tietokantakerroksissa, mikä varmistaa nollakontaminaation sovellusta käyttävien kuntien välillä.

Voimaantulopäivä: 11. maaliskuuta 2026

Nämä käyttöehdot ("Ehdot") kuvaavat oikeuksiasi ja velvollisuuksiasi käyttäessäsi Edudata.io-palvelua ("Palvelu"), jota ylläpitää Cloudpoint Oy ("me", "meidän" tai "Yhtiö"). Lue nämä Ehdot huolellisesti ennen minkä tahansa Edudata.io-palvelun version käyttöä.

Palvelun tarjoaa Cloudpoint Oy, Malminkaari 17-19B, 00700 Helsinki, Suomi, Y-tunnus 2325703-6.

Lisäksi pääsy tähän Palveluun ja sen käyttö – mukaan lukien sen tietojen rakenne, järjestely, esitystapa sekä sen paljastamat oivallukset Edudata.io:n kehittämään menetelmään ja osaamiseen – on tiukasti rajoitettu kelpoisille koulutuksen järjestäjille ja sitoutunut näihin Ehtoihin. Käyttö kilpailijoiden toimesta, kilpailija-analyysiin, takaisinmallinnukseen tai luvattoman tiedon hankkimiseen Edudata.io:n prosesseista, tietojen kuratoinnista tai liiketoimintamallista on nimenomaisesti kielletty ja siitä seuraa merkittäviä taloudellisia seurauksia ja ennalta määrättyjä vahingonkorvauksia, kuten näissä Ehdoissa on kuvattu.

1. Yleinen palvelukuvaus ja versiot

Edudata.io-palvelua käytetään arvioimaan tietosuojaa, tekoälyä ja tietoturvan vaatimustenmukaisuutta sekä digitaalisten opetuspalveluiden yleistä soveltuvuutta. Palvelu on tarkoitettu Asiakkaille (esim. kaupungit, kunnat, koulutuksen järjestäjät, oppilaitokset), jatkossa "Asiakas" tai "Koulutuksen järjestäjä".

Edudata.io tukee koulutuksen järjestäjää ylläpitämään ajanmukaista dokumentaatiota opiskelijoiden henkilötietojen käsittelystä eri digitaalisissa palveluissa.

Palvelun komponentit:

• EDUDATA Compliance: Koostuu Edudata.io-alustasta ja kuratoidusta listasta digitaalisia opetuspalveluita sekä niihin liittyvistä yksityiskohtaisista tiedoista.
• EDUDATA Compliance Service: Asiantuntijapalvelu, jossa Yhtiö tai Kumppani arvioi digitaalisia opetuspalveluita, mahdollistaen Asiakkaan riskien kartoittamisen ja palveluiden lähettämisen arvioitavaksi.
• EDUDATA Privacy: Avoimuustyökalu, jonka avulla opiskelija voi nähdä käytössä olevat digitaaliset palvelut, niissä käsitellyt tiedot, säilytysajat sekä sen, milloin käyttäjä on kirjautunut sisään EDU-tunnuksillaan.
• EDUDATA Security: Komponentti, joka kerää ensimmäisen ja toisen tason kirjautumistietoja erikseen määritellyistä oppimisympäristöistä ja tallentaa ne pseudonymisoinnin jälkeen Asiakkaan (rekisterinpitäjä) hallinnoimana.

Palveluversiot:

• a. Edudata Starter: Tarjoaa peruspääsyn Edudata.io Compliance -alustalle ja palveluluetteloon. Käyttäjät tekevät omat riskinarviointinsa ilman tekoälyavustusta tai asiantuntijatukea.
• b. Edudata Advanced: Maksullinen palvelutaso, jossa riskinarviointia tuetaan tekoälyominaisuuksilla. Tekoäly antaa suosituksia, mutta lopullinen vastuu arvioiden vahvistamisesta jää Asiakkaalle. Sisältää pääsyn EDUDATA Privacy -sovellukseen.
• c. Edudata Premium: Maksullinen palvelutaso, jossa riskinarvioinnit tekevät Edudata.io:n juridiset asiantuntijat. Suositukset tarjotaan asiantuntijaoppaina, ja lopullinen päätösvalta ja vastuu säilyvät Asiakkaalla.

2. Ehtojen hyväksyminen & valtuudet sitoa organisaatio

• a. Sitova sopimus: Nämä Ehdot muodostavat laillisesti sitovan sopimuksen organisaatiosi ja Edudata.io:n välillä.
• b. Valtuudet: Luomalla tilin tai käyttämällä Palvelua organisaatiosi puolesta toimiva henkilö vakuuttaa ja takaa, että hänellä on täydet lailliset valtuudet sitoa organisaatio näihin Ehtoihin.

3. Yksityisyys ja yhteystiedot

Käsittelemme henkilötietoja Asiakkaan ja meidän välisen tietojenkäsittelysopimuksen mukaisesti.

Voit ottaa meihin yhteyttä lähettämällä sähköpostia osoitteeseen info@edudata.io.

4. Käyttäjien pääsy ja tietoturva

Palvelun käytön on oltava näiden Ehtojen mukaista. Käyttäjän tulee kirjautua Palveluun käyttämällä kolmannen osapuolen kertakirjautumista (kuten Google tai Microsoft).

5. Kelpoisuus ja rekisteröityminen

Pääsy Palveluun on tiukasti rajoitettu virallisesti tunnustetuille koulutuksen järjestäjille kansallisen lainsäädännön mukaisesti (esim. koulut, lukiot, yliopistot ja kunnat).

6. Sallittu käyttö ja rajoitukset

Asiakalle myönnetään rajoitettu, ei-yksinomainen, ei-siirrettävä ja peruutettavissa oleva lisenssi käyttää Palvelua yksinomaan sisäisiin, ei-kaupallisiin opetustarkoituksiin. Käyttö kilpailija-analyysiin tai benchmarking-tarkoituksiin on ehdottomasti kielletty.

7. Luvaton käyttö & kilpailullinen väärinkäyttö

Mikäli havaitsemme, että organisaatio käyttää palvelua luvattomasti tai kilpailullisiin tarkoituksiin:

• a. Esto: Organisaatio estetään välittömästi ja pysyvästi kaikista Edudata.io-palveluista.

8. Luottamuksellisuus & omistusoikeudelliset tiedot

Asiakas sitoutuu pitämään Palvelussa olevat tiedot ja riskinarviointimenetelmät täysin luottamuksellisina eikä luovuta niitä kolmansille osapuolille organisaation ulkopuolelle.

9. Immateriaalioikeudet

Yhtiö omistaa ja säilyttää kaikki Palveluun liittyvät immateriaalioikeudet. Asiakas saa ainoastaan käyttöoikeuden sopimuksen voimassaoloajaksi.

10. Muutokset ja päivitykset Palveluun

Yhtiöllä on oikeus muuttaa tai päivittää palvelua tietoturvan parantamiseksi tai lakimuutosten noudattamiseksi.

11. Vastuu menetyksistä tai vahingoista

Vastuumme on rajoitettu enintään Asiakkaan viimeisen 12 kuukauden aikana maksamaan palvelumaksuun (Maksullisissa versioissa) tai enintään 100 euroon (Starter-versiossa).

12. Vastuuvapaus ja vahingonkorvaus

Organisaatiosi sitoutuu puolustamaan ja vapauttamaan Edudata.io:n vastuusta kaikissa vaatimuksissa ja kuluissa, jotka johtuvat Palvelun luvattomasta käytöstä tai näiden Ehtojen rikkomisesta.

13. Voimassaolo ja irtisanominen

Nämä käyttöehdot pysyvät voimassa, kunnes Palvelusopimus päättyy tai se irtisanotaan sopimusehtojen mukaisesti.

14. Erinäiset määräykset

Näihin ehtoihin sovelletaan Suomen lakia, ja kaikki mahdolliset riidat ratkaistaan Helsingin käräjäoikeudessa.

15. Muutokset näihin Ehtoihin

Pidätämme oikeuden muuttaa näitä käyttöehtoja tarvittaessa säädösten tai palvelumuutosten mukaisesti ilmoittamalla siitä etukäteen.

Viimeksi päivitetty: 28. toukokuuta 2026 | Tila: Aktiivinen

Tässä evästekäytännössä selitetään, miten Cloudpoint Oy ("me", "meidän") käyttää evästeitä ja vastaavia tekniikoita tunnistaakseen sinut, kun vierailet verkkosivustoillamme ja sovelluksissamme. Siinä selitetään, mitä nämä tekniikat ovat, miksi käytämme niitä ja oikeutesi hallita niiden käyttöä yleisen tietosuoja-asetuksen (GDPR) ja sovellettavien sähköisen viestinnän tietosuojadirektiivien mukaisesti.

1. Tämän käytännön soveltamisala

Tätä käytäntöä sovelletaan seuraaviin EDUDATA.IO-verkkotunnuksiin ja niiden alitunnuksiin:

• www.edudata.io: Julkinen yritys- ja markkinointisivustomme.
• compliance.edudata.io: B2B-vaatimustenmukaisuuden hallintasovelluksemme koulujen ylläpitäjille ja tietosuojavastaaville.
• transparency.edudata.io (ja privacy.edudata.io): Opiskelijoille suunnatut avoimuustyökalumme, joiden avulla loppukäyttäjät voivat tarkastella digitaalista jalanjälkeään.

2. Mitä evästeet ovat?

Evästeet ovat pieniä datatiedostoja, jotka asetetaan tietokoneellesi tai mobiililaitteellesi, when vierailet verkkosivustolla. Verkkosivustojen omistajat käyttävät evästeitä laajasti tehdäkseen verkkosivustoistaan turvallisia ja tehokkaita sekä tarjotakseen raportointitietoja ja henkilökohtaisia kokemuksia.

3. Miksi käytämme evästeitä?

Käytämme ensimmäisen ja kolmannen osapuolen evästeitä useista syistä. Joitakin evästeitä tarvitaan teknisistä syistä verkkosivustojemme ja sovellustemme turvallista toimintaa varten ("Välttämättömät" evästeet). Muut evästeet mahdollistavat B2B-käyttäjiemme kiinnostuksen kohteiden seuraamisen ja kohdentamisen julkisen sivustomme käyttökokemuksen parantamiseksi ("Analytiikka-" ja "Kohdennus-" evästeet).

4. Käyttämämme evästetyypit

Verkkotunnustemme säännöllisten tarkastusten perusteella käytämme seuraavia evästeryhmiä:

A. Ehdottoman välttämättömät (essential) evästeet

Nämä evästeet on ehdottoman välttämättömiä verkkosivustojemme ja sovellustemme kautta saatavilla olevien palvelujen tarjoamiseksi, turvallisuuden varmistamiseksi (bottisuojaus) ja kirjautumisistuntojen todentamiseksi. Et voi kieltäytyä näistä evästeistä vaikuttamatta palvelujen toimintaan.

B. Analytiikka- ja suorituskykyevästeet

Nämä evästeet keräävät koostetietoja, jotka auttavat meitä ymmärtämään, miten julkista verkkosivustoamme ja B2B-portaalejamme käytetään. Tämä auttaa meitä parantamaan käyttökokemusta ja ratkaisemaan teknisiä ongelmia. Nämä on otettu pois käytöstä oletuksena, kunnes suostumus on annettu.

C. Kohdennus- ja mainosevästeet

Näitä evästeitä käytetään tekemään mainosviesteistä sinulle merkityksellisempiä.

5. Miten voin hallita evästeitä?

Sinulla on oikeus päättää, hyväksytkö vai hylkäätkö ei-välttämättömät evästeet:

• Evästesuostumusbanneri: Voit käyttää evästeoikeuksiasi määrittämällä asetuksesi evästebannerissa, joka tulee näkyviin, kun vierailet ensimmäisen kerran osoitteessa www.edudata.io.
• Selaimen hallinta: Voit asettaa tai muuttaa selaimesi asetuksia hyväksyäksesi tai hylätäksesi evästeet kokonaan.
• Hylkäämisen vaikutus: Jos päätät hylätä välttämättömät evästeet selaimesi asetusten kautta, pääsysi ydintoimintoihin — kuten kirjautuminen compliance.edudata.io-portaaliin tai tietojesi tarkastelu transparency.edudata.io-sivustolla — estyy tai rikkoutuu vakavasti.

6. Tämän käytännön päivitykset

Saatamme päivittää tätä evästekäytäntöä ajoittain heijastaaksemme muutoksia käyttämissämme evästeissä tai muista toiminnallisista, oikeudellisista tai regulatiivisista syistä. Vierailethan tällä sivulla säännöllisesti pysyäksesi ajan tasalla evästeiden ja vastaavien tekniikoiden käytöstämme.

7. Ota yhteyttä

Lisätietoja tietojesi suojaamisesta saat tutustumalla tietosuojaselosteeseemme ja tietojenkäsittelysopimukseemme (DPA).

Jos sinulla on kysyttävää evästeiden tai muiden tekniikoiden käytöstämme, ota yhteyttä tietosuojatiimiimme osoitteessa: privacy@cloudpoint.fi.

Viimeksi päivitetty: 15.12.2025

Tämä on Edudata.io:n EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen tietosuojaseloste, joka kuvaa periaatteet, joiden mukaisesti Edudata.io (jäljempänä myös "Edudata" tai "Rekisterinpitäjä") käsittelee henkilötietoja toimiessaan rekisterinpitäjänä Edudata.io-palvelun ("Palvelu") yhteydessä. Edudata noudattaa kaikessa toiminnassaan Suomen lakia ja EU:n yleistä tietosuoja-asetusta.

1. Rekisterinpitäjä ja yhteystiedot

Rekisterinpitäjä: Edudata.io
Y-tunnus: 3460068-8
Osoite: Malminkaari 17-19B, 00700 Helsinki, Suomi
Puhelin: +358 9 4257 9280
Verkkosivusto: www.edudata.io
Tietosuojavastaava: Lauri Kaski, sähköposti: lauri.kaski@edudata.io

2. Rekisterin nimi

Edudatan asiakas-, sopimus- ja markkinointirekisteri.

3. Edudatan roolit ja käsittelyn tarkoitukset

Edudatan rooli henkilötietojen käsittelyssä Edudata.io-palvelussa on kaksijakoinen:

A. Edudata tietojen käsittelijänä

Palvelun (Edudata.io) ydintoiminnassa Asiakas (koulutuksen järjestäjä) on Rekisterinpitäjä ja Edudata on Tietojen käsittelijä. Tässä tapauksessa Asiakas määrittelee käsittelyn tarkoitukset ja keinot. Tämä käsittely tapahtuu erillisen tietojenkäsittelysopimuksen (DPA) mukaisesti.

B. Edudata rekisterinpitäjänä

Edudata käsittelee henkilötietoja omana rekisterinpitäjänään seuraaviin tarkoituksiin:

• Asiakassuhteen hoitaminen ja hallinta: Käsittelemme tietoja asiakassuhteen ylläpitämiseksi ja sopimusvelvoitteiden täyttämiseksi. Tähän voi kuulua asiakassuhteen perustaminen, tuki, laskutus ja raportointi.
  Oikeusperuste: Oikeutettu etu ja sopimuksen täytäntöönpano.
• Myynti ja markkinointi: Käsittelemme tietoja palveluidemme myyntiä ja markkinointia, suoramarkkinointia sekä uutiskirjeiden lähettämistä varten.
  Oikeusperuste: Oikeutettu etu ja suostumus.
• Asiakasviestintä: Käsittelemme henkilötietoja asiakaspalautteiden ja tukipyyntöjen käsittelemiseksi sekä palveluihin liittyvien ilmoitusten lähettämiseksi.
  Oikeusperuste: Oikeutettu etu ja sopimuksen täytäntöönpano.
• Lakisääteisten velvoitteiden täyttäminen: Saatamme käsitellä henkilötietoja lakisääteisten velvoitteiden, kuten kirjanpito- ja verolainsäädännön vaatimusten noudattamiseksi.
  Oikeusperuste: Lakisääteinen velvoite.
• Palvelun kehittäminen: Yhtiöllä on oikeus käyttää Asiakkaan Palveluun lisäämiä tietoja, joita ei luokitella henkilötiedoiksi, Palvelun kehittämiseen ja parantamiseen.

Emme suorita henkilötietojen perusteella automaattista päätöksentekoa tai profilointia, jolla olisi rekisteröidylle oikeusvaikutuksia.

4. Mitä henkilötietoja käsittelemme ja keräämme rekisterinpitäjänä?

Keräämme asiakkaisiimme liittyviä henkilötietoja pääasiassa henkilöiltä itseltään tai julkisista lähteistä. Käsittelemämme tiedot voivat sisältää:

• Yhteystiedot: Etunimi, sukunimi, sähköpostiosoite, puhelinnumero, muut yhteystiedot (osoite).
• Organisaation tiedot: Tehtävänimike, organisaation nimi.
• Asiakassuhteen tiedot: Tiedot tilatuista palveluista ja niiden muutoksista, laskutustiedot, muut asiakassuhteeseen ja tilattuihin palveluihin liittyvät tiedot.
• Markkinointitiedot: Markkinointiluvat ja -kiellot.
• Verkkosivuston ja yhteydenoton tiedot: Tekniset tiedot (käyttötiedot, laitotiedot), evästeet, yhteydenoton sisältö.

5. Säännönmukaiset tietolähteet

Käsittelemme ja keräämme henkilötietoja, jotka käyttäjä on itse antanut tai toimittanut meille (esim. yhteydenotot, sopimukset). Lisäksi keräämme tietoja julkisista lähteistä, kuten julkisista rekistereistä ja asiakirjoista, verkkosivustoilta ja sosiaalisen median palveluista.

6. Henkilötietojen jakaminen ja luovuttaminen

Käytämme ulkopuolisia palveluntarjoajia ja alihankkijoita, jotka käsittelevät henkilötietoja Edudatan lukuun. Näitä ovat esimerkiksi:

• Google Ireland
• Hubspot Ireland
• Visma AB
• Cloudpoint Oy
• Online Partner AB

Alihankkijat käsittelevät henkilötietoja puolestamme eivätkä saa käyttää henkilötietoja omiin tarkoituksiinsa. Kaikki palveluntarjoajamme ovat sitoutuneet noudattamaan EU:n yleistä tietosuoja-asetusta.

7. Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle

Henkilötietoja voidaan siirtää EU:n tai ETA:n ulkopuolelle, sillä jotkin käyttämämme palveluntarjoajat sijaitsevat alueen ulkopuolella (esim. pilvipalvelut).

Jos henkilötietoja siirretään maahan, jolle EU-komissio ei ole antanut tietosuojan riittävyyttä koskevaa päätöstä, siirto tapahtuu EU-komission hyväksymien vakiolausekkeiden (SCC) ja muiden tarvittavien suojatoimien mukaisesti.

8. Henkilötietojen säilyttäminen ja poistaminen

Henkilötietojasi ei säilytetä pidempään kuin on tarpeen sen käyttötarkoituksen, asiakassuhteen tai sopimuksen täyttämiseksi. Tiedot poistetaan myös, jos peruutat suostumuksesi tai pyydät tietojesi poistamista, ellei käsittelylle ole muuta laillista perustetta. Laskutus- ja kirjanpitoaineistoa säilytetään kirjanpitolain edellyttämän ajan.

9. Miten suojaamme henkilötietojasi

Toteutamme asianmukaiset fyysiset, tekniset ja organisatoriset toimenpiteet henkilötietojesi suojaamiseksi luvattomalta pääsyltä tai vahingoittumiselta.

• Työntekijöillä, joilla on pääsy henkilötietoihin, on erillinen salassapitosopimus ja lakisääteinen vaitiolovelvollisuus.
• Pääsy on rajoitettu vain niille työntekijöille, joilla on työtehtäviensä perusteella tarve käsitellä henkilötietoja.
• Työntekijät käyttävät kaksivaiheista tunnistautumista.
• Toimistomme kulunvalvonta on sähköisesti valvottu, ja kiinteistössä on 24/7 kameravalvonta ja vartiointi.

10. Mitä oikeuksia sinulla on?

Sinulla on GDPR:n mukaisesti seuraavat oikeudet koskien henkilötietojasi:

• Tarkastusoikeus: Oikeus saada tietää, mitä henkilötietoja käsittelemme sinusta ja saada kopio niistä.
• Oikeus vaatia tiedon korjaamista: Oikeus pyytää virheellisten, vanhentuneiden tai puutteellisten henkilötietojen korjaamista tai täydentämistä.
• Oikeus poistaa tiedot (oikeus tulla unohdetuksi): Oikeus pyytää henkilötietojesi poistamista, jos käsittelyelle ei enää ole perustetta.
• Oikeus käsittelyn rajoittamiseen: Oikeus pyytää henkilötietojesi käsittelyn rajoittamista tietyissä tilanteissa.
• Vastustamisoikeus: Oikeus vastustaa käsittelyä, jos se perustuu oikeutettuun etuun eikä käsittelyn jatkamiselle ole pakottavaa syytä.
• Oikeus siirtää tiedot järjestelmästä toiseen: Oikeus saada meille toimittamasi tiedot sopimuksen tai suostumuksen perusteella koneellisesti luettavassa muodossa.
• Oikeus peruuttaa suostumus: Oikeus peruuttaa antamasi suostumus milloin tahansa, jos käsittely perustuu suostumukseen.
• Oikeus kieltää suoramarkkinointi: Oikeus kieltää henkilötietojesi käsittely suoramarkkinointitarkoituksiin milloin tahansa.

Voit käyttää oikeuksiasi ottamalla meihin yhteyttä sähköpostitse: info@edudata.io.

11. Oikeus tehdä valitus valvontaviranomaiselle

Sinulla on oikeus tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutetun toimisto).

12. Toimintamenettelyt tietoturvaloukkaustilanteissa

Mahdollisessa tietoturvaloukkaustilanteessa noudatamme yleisessä tietosuoja-asetuksessa määriteltyjä toimenpiteitä ja määräaikoja. Ilmoitamme tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidyille viipymättä lainsäädännön mukaisesti.

13. Evästeet

Käytämme verkkosivustollamme evästeitä parhaan mahdollisen käyttökokemuksen tarjoamiseksi. Evästeet ovat pieniä tekstitiedostoja, jotka tallennetaan päätelaitteellesi. Käyttäjä voi antaa suostumuksensa tai kieltäytyä evästeistä erillisen evästebannerin kautta.

14. Muutokset

Pidätämme oikeuden tehdä muutoksia tähän tietosuojaselosteeseen. Jos teemme merkittäviä muutoksia, ilmoitamme niistä sinulle etukäteen.

Voimassaolo: 23.7.2025 alkaen

Tämä tietojenkäsittelysopimus ("DPA") koskee EDUDATA-palvelua ("Palvelu"), jonka tarjoaa Cloudpoint Oy. Sopimus täydentää pääsopimusta (mukaan lukien käyttöehdot) ja muodostaa sen kiinteän osan. Ristiriitatilanteissa tämän DPA:n ehdot ovat ensisijaisia henkilötietojen käsittelyn osalta.

1. Määritelmät

• Rekisterinpitäjä: Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot (GDPR Art 4(7)).
• Tietojen käsittelijä (Käsittelijä): Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun (GDPR Art 4(8)).
• GDPR: Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus).
• Henkilötiedot: Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (GDPR Art 4(1)).
• Käsittely: Kaikki sellaiset toimenpiteet tai toimenpidesarjat, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin, joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti.

2. Tausta ja tarkoitus

Rekisterinpitäjä on valinnut Palveluntarjoajan (Cloudpoint Oy) toimimaan henkilötietojen käsittelijänä EU:n yleisen tietosuoja-asetuksen (GDPR) artiklan 28 mukaisesti.

Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän lukuun tarjotakseen Edudata-palvelua (mukaan lukien Edudata Compliance, Edudata Compliance Service, Edudata Privacy ja Edudata Security). Yksityiskohtaiset käsittelytoimet on kuvattu tämän sopimuksen Liitteessä 1.

Tämän sopimuksen tarkoituksena on sopia osapuolten oikeuksista ja velvollisuuksista henkilötietojen käsittelyssä GDPR:n vaatimusten mukaisesti ja turvata rekisteröidyn oikeudet ja vapaudet käsittelyn aikana.

3. Roolit ja vastuut

Käsittelijä käsittelee henkilötietoja ainoastaan Rekisterinpitäjän kirjallisten ja dokumentoitujen ohjeiden mukaisesti. Käsittelijä sitoutuu olemaan käyttämättä henkilötietoja mihinkään muihin tarkoituksiin. Rekisterinpitäjä vastaa siitä, että sillä on laillinen peruste henkilötietojen käsittelyyn.

Jos Käsittelijä huomaa, että jokin Rekisterinpitäjän antama ohje on lainvastainen tai puutteellinen, Käsittelijä ilmoittaa tästä Rekisterinpitäjälle viipymättä.

Rekisterinpitäjä vastaa laillisen perusteen olemassaolosta käsittelylle, rekisteröityjen informoinnista sekä muista GDPR:n mukaisista rekisterinpitäjän velvoitteista.

4. Tekniset ja organisatoriset turvatoimet

Käsittelijä toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia turvatoimia suojatakseen henkilötietoja luvattomalta käsittelyltä, vahingoittumiselta tai katoamiselta Liitteen 2 mukaisesti.

5. Avustamisvelvollisuus

Käsittelijä avustaa Rekisterinpitäjää varmistamaan GDPR:n 32–36 artiklojen mukaisten velvollisuuksien noudattamisen ottaen huomioon käsittelyn luonteen ja Käsittelijän saatavilla olevat tiedot.

Käsittelijä ilmoittaa Rekisterinpitäjälle viipymättä kaikista rekisteröityjen pyynnöistä, jotka koskevat rekisteröidyn oikeuksien käyttämistä GDPR:n mukaisesti. Käsittelijä avustaa Rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, jotta Rekisterinpitäjä voi vastata rekisteröityjen pyyntöihin.

6. Kansainväliset tiedonsiirrot

Käsittelemme henkilötietoja palvelimilla, jotka sijaitsevat Euroopan talousalueella (ETA). Henkilötietoja ei pääsääntöisesti siirretä säännöllisesti ETA-alueen ulkopuolelle.

Mikäli henkilötietoja siirretään ETA-alueen ulkopuolelle alihankkijan toimesta maahan, jolle EU-komissio ei ole antanut tietosuojan riittävyyttä koskevaa päätöstä, siirrossa sovelletaan asianmukaisia suojatoimia (kuten EU-komission hyväksymiä vakiolausekkeita, SCC).

7. Salassapitovelvollisuus

Käsittelijä ja kaikki sen alaisuudessa toimivat henkilöt, joilla on pääsy henkilötietoihin, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

8. Auditointioikeus

Rekisterinpitäjällä on oikeus kohtuullisessa määrin auditoida Käsittelijän toimintaa ja tiloja varmistaakseen, että Käsittelijä noudattaa tämän sopimuksen mukaisia velvoitteita. Rekisterinpitäjä vastaa kaikista auditoinnista aiheutuvista kuluistaan ja ilmoittaa siitä kirjallisesti vähintään 30 arkipäivää etukäteen.

9. Alihankkijat

Käsittelijällä on oikeus käyttää alihankkijoita (alivastuullisia käsittelijöitä) Palvelun tarjoamiseksi. Käsittelijä varmistaa, että alihankkijat sitoutuvat kirjallisesti vastaaviin tietosuojavelvoitteisiin kuin mitä tässä sopimuksessa on sovittu.

Käsittelijä ilmoittaa Rekisterinpitäjälle etukäteen alihankkijoiden muutoksista. Jos Rekisterinpitäjä vastustaa muutosta, sillä on oikeus irtisanoa Palvelu.

10. Tietoturvaloukkaukset

Käsittelijä ilmoittaa Rekisterinpitäjälle kirjallisesti ilman aiheetonta viivytystä saatuaan tiedon henkilötietojen tietoturvaloukkauksesta. Ilmoituksen tulee sisältää tiedot loukkauksen luonteesta, yhteyshenkilöstä sekä suositelluista korjaavista toimenpiteistä.

11. Henkilötietojen poistaminen

Sopimuksen päättymisen jälkeen Käsittelijä poistaa tai palauttaa kaikki henkilötiedot Rekisterinpitäjän valinnan mukaan 180 päivän kuluessa, ellei lainsäädäntö edellytä tietojen säilyttämistä.

12. Vastuunrajoitus

Käsittelijä ei vastaa mistään epäsuorista tai välillisistä vahingoista. Käsittelijän kokonaisvastuu on rajattu enintään summaan, joka vastaa Asiakkaan viimeisen 12 kuukauden aikana maksamia palvelumaksuja.

13. Voimassaolo

Tämä DPA astuu voimaan sen allekirjoituspäivänä ja pysyy voimassa niin kauan kuin Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän lukuun.

14. Riitojen ratkaiseminen ja lainkäyttöalue

Tähän sopimukseen sovelletaan pääsopimuksen mukaisia riitojenratkaisu- ja lainkäyttöalueen ehtoja (Helsingin käräjäoikeus ja Suomen laki).

15. Muutokset

Muutokset tähän sopimukseen tulevat voimaan vasta, kun molemmat osapuolet ovat hyväksyneet ne kirjallisesti.

---

LIITE 1: Käsittelyn kuvaus

1. Henkilötietojen käsittelyn tarkoitukset

Käsittelijä käsittelee henkilötietoja tarjotakseen Palvelua pääsopimuksen ja tämän DPA:n mukaisesti.

2. Rekisteröityjen ryhmät

• Opiskelijat
• Opettajat ja muu Asiakkaan henkilökunta, joka käyttää palvelua

3. Henkilötietoryhmät

Käsittelijä voi käsitellä seuraavia henkilötietoryhmiä Palvelun puitteissa:

• Etunimi
• Sukunimi
• Sähköpostiosoite
• IP-osoite
• Kirjautumistiedot
• Selaimen tiedot
• Laitteen tiedot
• Kolmannen osapuolen kirjautumistiedot
• Edudata-tunnus (Edudata ID)
• Kieli
• Käyttäjätilin luontipäivämäärä
• Viimeisin kirjautumisajankohta
• Profiilikuva
• Käyttäjärooli
• Organisaation nimi ja verkkotunnus

4. Henkilötietojen käsittelyn kesto

Henkilötietoja käsitellään sopimuksen voimassaoloajan. Sopimuksen päättymisen jälkeen tietoja säilytetään enintään 180 päivää siirto- ja poistoprosessien loppuunsaattamiseksi.

• Edudata-lokitiedot: 30 päivää
• Käyttäjätietojen poisto: Automaattisesti käyttäjätietokannasta, kun viimeisestä kirjautumisesta on kulunut 366 päivää.
• Kolmansien osapuolten palvelulokit: 18 kuukautta
• Arvioinnit, päätökset ja pyynnöt: Säilytetään 3 vuotta

5. Alihankkijat

6. Kansainväliset tiedonsiirrot

Henkilötiedot tallennetaan palvelimille ETA-alueella. ETA-alueen ulkopuolisiin siirtoihin sovelletaan GDPR-asetuksen V luvun mukaisia suojatoimia, kuten EU-komission hyväksymiä vakiolausekkeita.

---

LIITE 2: Turvatoimet

Käsittelijä toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia turvatoimia henkilötietojen suojaamiseksi.

• Toimistomme on kulunvalvottu, vartioitu ja siellä on 24/7 kameravalvonta.
• Kaikki pääsy tietoympäristöihin on IAM-hallittua ja lokitettua.
• Kaikki käyttäjien kirjautumiset vaativat kaksivaiheisen tunnistautumisen (2FA) ja vahvat suojausavaimet (Yubico).

Ohjelmistokehityksen tietoturvatoimet:

• Tietoturva-asiat ovat keskeinen osa uusien työntekijöiden perehdytystä.
• Kehittäjille tarjotaan tietoturvakoulutusta Google Cloud -sertifiointien kautta.
• Pääsy koodivarantoon vaatii aina vanhemman kehittäjän hyväksynnän.
• Paikallinen kehitys tapahtuu vain kannettavilla tietokoneilla, joissa on salatut levyt.
• Koodille tehdään aina vertaisarviointi (peer review).

Versio 1.0 | Voimassaolo: 10.7.2025 alkaen

Tämä tekoälykäytäntö kuvaa Edudata.io:n sitoutumista tekoälyn (AI) vastuulliseen ja eettiseen käyttöön tehtävässään suojella opiskelijoiden yksityisyyttä ja varmistaa GDPR-vaatimustenmukaisuus EU-alueen kouluille. Edudata.io hyödyntää tekoälyä parantaakseen opetuksessa käytettävien kolmannen osapuolen digitaalisten palveluiden riskinarviointiprosessien tehokkuutta, tarkkuutta ja kattavuutta. On erittäin tärkeää ymmärtää, että nämä tekoälyavusteiset arvioinnit antavat suosituksia eivätkä sitovia päätöksiä. Lopullinen vastuu suositusten hyväksymisestä tai hylkäämisestä ja sovellettavien lakien noudattamisesta on yksinomaan asiakkaalla ja sen nimetyillä päättäjillä.

1. Sitoumuksemme vastuulliseen tekoälyyn

Edudata.io on sitoutunut kehittämään ja ottamaan käyttöön tekoälyteknologioita, jotka ovat linjassa ydinarvojemme – yksityisyyden, turvallisuuden, avoimuuden ja vastuuvelvollisuuden – kanssa. Ymmärrämme digitaalisten palveluiden ja tekoälyn syvän vaikutuksen lasten yksityisyyteen. Pyrimme varmistamaan, että tekoälyä käytetään välineenä, joka edistää eikä vaaranna opiskelijoiden perusoikeuksia digitaalisessa ympäristössä. Lähestymistapaamme ohjaavat asiaankuuluvat säädökset, kuten GDPR, EU:n tekoälyasetus (EU AI Act) ja eettisen tekoälykehityksen parhaat käytännöt.

2. Tekoälyn käyttötarkoitus Edudata.io:ssa

Tekoäly on olennainen osa Edudata.io:n prosessia luotaessa kattavia riskinarviointeja kolmannen osapuolen digitaalisista palveluista. Erityisesti tekoälyjärjestelmämme on suunniteltu:

• Dokumentaation analysointiin: Käsittelemään ja poimimaan asiaankuuluvia tietoja eri palveluiden dokumentaatiosta, mukaan lukien tietosuojaselosteet, käyttöehdot, tietojenkäsittelysopimukset (DPA), tekoälykäytännöt ja tietoturvaselosteet.
• Asiantuntijatiedon hyödyntämiseen: Hyödyntämään ihmisten (oikeudellisten asiantuntijoiden) tekemiä aiempia riskinarviointeja saman palvelun osalta analyysin parantamiseksi ja laadun varmistamiseksi.
• Tietosuojan riskinarvioinnin tukemiseen (GDPR-vaatimustenmukaisuus): Tekoälyn analyyttiset kyvyt on räätälöity tunnistamaan ja arvioimaan henkilötietojen käsittelyn kriittisiä näkökohtia GDPR:n mukaisesti.
• Tietoturvan riskinarvioinnin tukemiseen: Tekoäly auttaa tunnistamaan ja arvioimaan kolmannen osapuolen palvelun tietoturvatasoa analysoimalla teknisiä ja organisatorisia turvatoimia (TOM) sekä erityisiä suojatoimia luvatonta pääsyä vastaan.
• Pedagogisen ja kaupallisen soveltuvuuden arviointiin: Tekoäly tukee pædagogisen soveltuvuuden ja kaupallisten vaikutusten arviointia analysoimalla kohderyhmiä ja mainonnan esiintymistä alaikäisille.
• Kolmannen osapuolen tekoälyn käytön arviointiin: Analysoimaan palveluntarjoajan omaa tekoälyn käyttöä, mukaan lukien riskiluokat ja inhimillisen valvonnan mekanismit EU:n tekoälyasetuksen mukaisesti.

Huomautus: Emme käytä tekoälyä asiakkaidemme henkilötietojen käsittelyyn.

3. Tekoälyn käytön periaatteet

Tekoälytoimintaamme ohjaavat seuraavat pääperiaatteet:

• Sisäänrakennettu tietosuoja (Privacy by Design): Tekoälyjärjestelmät kehitetään ottaen huomioon tietosuoja- ja yksityisyysnäkökohdat heti alusta alkaen.
• Tietoturva: Käytössä on vahvat turvatoimet kaiken tekoälymallien käsittelemän tiedon suojaamiseksi.
• Avoimuus: Vaikka tekoälymallien monimutkaisuus voi olla suuri, pyrimme avoimuuteen tekoälyn roolista riskinarviointimenetelmällämme ja sen arvioimilla kriteereillä.
• Inhimillinen valvonta (Human Oversight): Tekoäly toimii tehokkaana työkaluna, mutta Asiakkaat ja heidän käyttäjänsä, oikeudelliset asiantuntijat ja neuvonantajat säilyttävät valvonnan. Asiakkaalla on päätösvalta kaikissa riskinarvioinneissa.
• Oikeudenmukaisuus ja syrjimättömyys: Tekoälyjärjestelmämme on suunniteltu arvioimaan palveluita objektiivisesti ja ilman vinoumia tasapuolisten ja oikeudenmukaisten arviointien varmistamiseksi.
• Vaatimustenmukaisuus: Kaikki tekoälytoiminta noudattaa tiukasti GDPR-asetusta, kansallisia tietosuojalakeja ja muita sovellettavia oikeudellisia kehyksiä.

4. Tietojen käsittely ja tietosuoja

Edudata.io käsittelee tekoälyjärjestelmissään käytettäviä tietoja erittäin huolellisesti:

• Syötetieto (Input Data): Tekoäly käsittelee julkisesti saatavilla olevaa dokumentaatiota ja sisäisiä, aiempia inhimillisiä riskinarviointeja. Emme tietoisesti anna opiskelijoiden henkilötietoja tai muita arkaluonteisia käyttäjätietoja suorina syötteinä tekoälymalleille arviointien tuottamiseen.
• Tietojen käsittely: Tekoälyominaisuuksille käsittelyyn toimitettuja tietoja (esim. tekstiä tietosuojaselosteista) käsitellään turvallisesti. Teemme yhteistyötä maineikkaiden ja turvallisten tekoälypalveluntarjoajien kanssa, jotka tarjoavat vahvat tietosuojatakuut eivätkä käytä tietojamme malliensa kouluttamiseen.
• Luottamuksellisuus: Asiakkaita (kouluja, koulutuksen järjestäjiä) neuvotaan välttämään luottamuksellisten tai arkaluonteisten tietojen sisällyttämistä toimitettuihin asiakirjoihin, jos se ei ole tarpeen riskinarvioinnin kannalta.
• Tietojen minimointi: Noudatamme tietojen minimoinnin periaatetta ja varmistamme, että tekoäly käsittelee vain tarpeellisia ja olennaisia tietoja sen käyttötarkoituksen mukaisesti.

5. Inhimillinen valvonta ja vastuuvelvollisuus

Tekoäly Edudata.io:ssa toimii avustavana teknologiana, joka laajentaa inhimillisten asiantuntijoidemme kykyjä:

• Asiantuntijavalidointi: Jokainen tekoälyn tuottama riskinarviointi tai suositus käy läpi Asiakkaan ja/tai Edudata.io-tiimin perusteellisen tarkastuksen ja validoinnin.
• Päätöksenteko: Lopullinen päätös digitaalisen palvelun soveltuvuudesta ja siihen liittyvistä riskeistä on Asiakkaalla ja sen päättäjillä.
• Vastuuvelvollisuus: Vaikka Edudata.io pyrkii tarjoamaan mahdollisimman tarkkoja ja oikeudellisesti yhteensopivia tekoälyavusteisiä riskinarviointeja, tekoälymallien luonteesta johtuen ne voivat sisältää virheitä tai vaatia asiayhteyden tulkintaa. Siksi vastuu ja velvollisuus päätöksestä ottaa käyttöön tai jatkaa minkä tahansa digitaalisen palvelun käyttöä sekä sen täyden vaatimustenmukaisuuden varmistamisesta sovellettavien lakien ja asetusten (mukaan lukien GDPR) kanssa on yksinomaan Asiakkaalla. Korostamme, että asiakkaiden on suoritettava oma due diligence -arviointinsa tarkastaessaan Edudata.io:n suosituksia ja tehdessään lopullisia tietoisia valintojaan.

6. Tarkkuus ja luotettavuus

Olemme sitoutuneet tekoälyavusteisten riskinarviointien tarkkuuteen ja luotettavuuteen:

• Jatkuva arviointi: Tekoälymallejamme ja niiden tuloksia arvioidaan tarkkuuden, olennaisuuden ja johdonmukaisuuden osalta. Tähän sisältyy säännöllinen testaus uusilla ja haastavilla tietojoukoilla mahdollisten vinoumien tai epätarkkuuksien havaitsemiseksi.
• Laadunvarmistus: Toteutamme tiukkoja laadunvarmistusprosesseja havaitaksemme ja korjataksemme mahdolliset epätarkkuudet tai vinoumat, joita tekoälyanalyysistä voi aiheutua.
• Käyttäjien tarkastus: Korostamme Asiakkaillemme tekoälyn tuottamien riskinarviointien osien tarkastamisen ja ymmärtämisen tärkeyttä ja kannustamme heitä kääntymään asiantuntijojemme puoleen selvennysten ja lisämukautusten saamiseksi.

7. Vaatimustenmukaisuus ja eettiset kysymykset

Edudata.io varmistaa, että sen tekoälykäytäntö ja -käytännöt ovat täysin asiaankuuluvien säädösten mukaisia:

• GDPR: Tekoälyn käyttö tukee täysin GDPR-vaatimustenmukaisuutta, erityisesti kolmansien osapuolten digitaalisten palveluiden riskinarvioinneissa.
• Opetusalan lainsäädäntö: Varmistamme, että tekoäly auttaa arvioimaan digitaalisten opetuspalveluiden lainsäädännön noudattamista, mukaan lukien mainoksettomat ympäristöt.
• Eettinen tekoäly: Noudatamme tekoälykehityksen eettisiä ohjeita ja keskitymme hyödylliseen käyttöön, vahinkojen ehkäisyyn ja luottamuksen edistämiseen tekoälyjärjestelmiin.

8. Jatkuva parantaminen ja seuranta

Tekoälyn kenttä, digitaaliset uhat ja lainsäädäntö kehittyvät jatkuvasti. Edudata.io on sitoutunut:

• Päivitykset: Päivittämään tekoälymallejamme, menetelmiämme ja käytäntöjämme heijastamaan tekoälyteknologian viimeisintä kehitystä, lainsäädännön muutoksia ja esiin nousevia riskejä.
• Suorituskyvyn seuranta: Seuraamaan tekoälyjärjestelmiemme suorituskykyä varmistaaksemme, että ne tuottavat johdonmukaisesti korkealaatuisia ja luotettavia riskinarviointeja.
• Palautteen integrointi: Integroimaan lakitiimiltämme, asiakkailtamme ja laajemmalta tietosuojayhteisöltä saatua palautetta tekoälysovellustemme ja -käytäntöjemme parantamiseksi.

9. Käyttäjän velvollisuudet (Edudata.io-asiakkaille)

Vaikka Edudata.io pyrkii tarjoamaan vahvoja tekoälypohjaisia riskinarviointeja, myös Asiakkaalla on velvollisuuksia:

• Tarkastus ja varmistus: Asiakkaiden tulee huolellisesti tarkastaa ja varmistaa annettujen riskinarviointien sisältö, erityisesti tekoälyavusteiset osiot, varmistaakseen, että ne vastaavat heidän erityistä tilannettaan ja vaatimuksiaan.
• Tarkat syötteet: Toimittaa tarkat ja kattavat asiakirjat kolmansien osapuolten digitaalisista palveluista, jotta tekoäly voi suorittaa mahdollisimman tehokkaan arvioinnin.
• Käytäntöjen noudattaminen: Varmistaa, että sisäiset käytännöt ja toimintatavat ovat linjassa riskinarviointien suositusten ja havaintojen kanssa.

10. Yhteystiedot

Jos sinulla on kysyttävää tai huolenaiheita Edudata.io:n tekoälykäytännöstä tai -toiminnasta, ota meihin yhteyttä osoitteessa: info@edudata.io

Sovellus: edudata.io | Versio: 1.0 | Tila: Aktiivinen

1. Tiivistelmä

Edudata.io:ssa ymmärrämme, että alustamme käsittelee erittäin herkkää koulutuksellista, hallinnollista ja opiskelijatietoa. Tämän tiedon turvaaminen ei ole vain lakisääteinen velvoite; se on perustavanlaatuinen sitoumuksemme kouluille, oppilaitoksille ja kunnille, joita palvelemme.

Tämä tietoturva- ja arkkitehtuuriseloste tarjoaa kattavan yleiskuvan siitä, miten Edudata.io suojaa asiakkaidensa tietoja. Varmistamme tietojärjestelmiemme ehdottoman luottamuksellisuuden, eheyden ja käytettävyyden integroimalla "Privacy by Design" -periaatteen ohjelmistokehityksen elinkaareen ja noudattamalla tiukkaa, jatkuvaa valvontaa.

2. ISO 27001:2022 -viitekehyksen mukaisuus

Tietoturvan hallintajärjestelmämme (ISMS) on rakennettu vastaamaan tiukkoja, maailmanlaajuisesti tunnustettuja ISO/IEC 27001:2022 -standardeja. Edistymme aktiivisesti kohti virallista sertifiointia.

Tämän aseman saavuttamiseksi ja ylläpitämiseksi ISMS-järjestelmämme tukeutuu seuraaviin pilareihin: Kattava politiikkakehys, jatkuva vaatimuksenmukaisuuden valvonta Vanta-alustan avulla, omaisuuden elinkaaren hallinta sekä jaettu vastuu tietoturvasta.

3. Infrastruktuuri ja verkkoturvallisuus

Hyödynnämme yritystason pilviarkkitehtuuria varmistaaksemme korkean käytettävyyden, suorituskyvyn ja tietosuojan. Palvelu on isännöity Google Cloud Platformilla (GCP) EU-alueella. Kaikki tiedonsiirto salataan käyttäen TLS 1.2 tai uudempaa suojaprotokollaa, ja levossa oleva data salataan AES-256-menetelmällä.

• Pilvipalvelut ja fyysinen turvallisuus: Edudata.io-alusta isännöidään Google Cloud Platformissa Euroopan talousalueella (ETA). Luotamme pilvipalveluntarjoajamme ISO 27001 -sertifioituihin konesaleihin huippuluokan fyysisen turvallisuuden takaamiseksi, mukaan lukien biometriset pääsynvalvonnat, 24/7 valvonta ja ympäristöuhkien torjunta.
• Verkkoturva ja järjestelmän karkaisu: Taustalla oleva infrastruktuurimme päivitetään ja suojataan säännöllisesti tietoturvauhkilta osana suunniteltuja ylläpitomenettelyitämme (ohjaus VPM-38). Käytämme eristettyjä virtuaaliverkkoja, suojaryhmiä ja tiukasti konfiguroituja palomuureja ulkoisen hyökkäyspinta-alamme minimoimiseksi.
• Tiedon salaus:
  • Siirron aikana: Kaikki käyttäjän laitteen ja palvelimiemme välillä sekä sisäisesti mikropalveluiden välillä siirrettävä data salataan käyttäen TLS 1.2 tai uudempaa protokollaa.
  • Levässä: Kaikki pysyvä tallennustila, tietokannat ja varmuuskopiot salataan levässä AES-256-menetelmällä. Lisäksi kaikki työntekijöidemme käyttämät yrityksen laitteet on suojattu koko levyn salauksella (Full Disk Encryption) tiedon palauttamisen estämiseksi laitteen katoamisen tai varkauden sattuessa.
• Väliaikainen tallennus: Epämuodolliset tiedostot (esim. IaaS /tmp-tallennustila) tuhotaan automaattisesti heti, kun niihin liittyvä laskentaprosessi päättyy.

4. Pääsynhallinta ja identiteetinhallinta

Järjestelmiemme pääsyn suojaaminen perustuu tiukkaan Zero Trust -malliin, mikä varmistaa, että käyttäjillä ja sisäisellä henkilöstöllämme on pääsy vain heidän rooliensa kannalta välttämättömiin tietoihin.

• Roolipohjainen pääsynhallinta (RBAC): Noudatamme "luovutettujen oikeuksien minimoinnin" periaatetta (Principle of Least Privilege) koko organisaatiossamme. Oletusarvoisesti kaikki pääsy järjestelmiin on estetty. Pääsyoikeudet myönnetään yksinomaan perustellun liiketoiminnallisen tarpeen mukaan, ja niitä arvioidaan jatkuvasti uudelleen.
• Identiteetin varmentaminen ja monivaiheinen tunnistautuminen (MFA): Hallinnollinen pääsy tuotantoympäristöihin ja pääkäyttäjätileille (root) vaatii erittäin monimutkaisia, säännöllisesti vaihdettavia salasanoja sekä pakollista monivaiheista tunnistautumista (MFA).
• Lähdekoodi ja immateriaalioikeudet: Pääsyä ohjelmiston lähdekoodiin, suunnitteludokumentteihin ja validointisuunnitelmiin valvotaan tiukasti, ja sitä logitetaan ja auditoidaan. Tämä estää luvattomat toiminnalliset muutokset ja suojaa ohjelmistokehityksen elinkaaren (SDLC) eheyttä.
• Henkilöstön perehdytys ja poistuminen: Pääsyjen myöntämistä valvovat tiukasti HR ja tietoturvavastaavamme. Työ- tai toimeksiantosuhteen päättyessä kaikki fyysiset laitteet on palautettava, ja kaikki pääsyoikeudet järjestelmiin evätään välittömästi.

5. Tietosuoja ja tiedonhallintatapa

Asiakastietojen tehokkaaksi suojaamiseksi noudatamme tiukkaa tiedonhallintakäytäntöä (Data Management Policy), joka määrittää tiedon luokittelun, käsittelyn ja turvallisen hävittämisen.

• Tiedon luokittelu: Luokittelemme tiedot kolmeen tasoon, joista Asiakasdata ja henkilötiedot (PII) on määritelty luottamuksellisiksi (Confidential). Luottamuksellinen tieto vaatii korkeimman tason suojausta, tiukkoja pääsyrajoituksia ja johdon tai tiedon omistajan hyväksynnän ennen mahdollista ulkopuolista jakamista.
• Monivuokralaisuus ja looginen eriyttäminen: Asiakasympäristöt ja tietokannat on eristetty tiukasti toisistaan, jotta estetään tietovuodot eri koulujen tai kuntien välillä. Firestore-tietokannat on loogisesti erotettu toisistaan Google Cloud -projektiasetuksilla, mikä varmistaa erilliset tietoturvarajat.
• Tietojen säilyttäminen ja hävittäminen: Noudatamme seuraavia säilytysaikoja GDPR:n tietojen minimointiperiaatteen mukaisesti:
  • Asiakasdata: Poistetaan turvallisesti 90 päivän kuluessa sopimuksen päättymisestä.
  • Tietoturva- ja tapahtumalokit: Pilvipalvelimen ja isäntäkoneen lokitietoja säilytetään 1 vuosi oikeuslääketieteellisen auditoinnin tueksi, kun taas toimitiloissa sijaitsevia turvalokeja säilytetään toistaiseksi.
  • Väliaikaiset tiedostot: Epämuodolliset tiedot tyhjennetään automaattisesti prosessin valmistuttua.

6. Haavoittuvuuksien ja tietoturvaloukkausten hallinta

Toimimme olettaen, että uhkaympäristö muuttuu jatkuvasti. Siksi olemme luoneet ennakoivia valvontajärjestelmiä ja nopean reagoinnin mekanismeja.

• Haavoittuvuuksien ja päivitysten hallinta: Keräämme ja arvioimme jatkuvasti tietoa teknisistä haavoittuvuuksista (ohjaus VPM-3). Infrastruktuuriamme päivitetään säännöllisesti, ja haavoittuvuuksien hallintatyökalumme skannaavat aktiivisesti ympäristöjämme. Isäntäkoneen haavoittuvuustietoja säilytetään, kunnes kyseinen resurssi poistetaan kokonaan.
• Penetraatiotestaustoiminta: Suoritamme vuosittain tiukkoja, riippumattomia tietoturva-arviointeja ja penetraatiotestejä luotettavien ja sertifioitujen ulkopuolisten kyberturvallisuusyritysten kanssa.
• Tietoturvaloukkausten reagointisuunnitelma: Ylläpidämme virallista tietoturvaloukkausten reagointisuunnitelmaa (Incident Response Plan), jota hallinnoi tietoturvavastaavamme.
  • Raportointi ja lajittelu (Triage): Tietoturvatapahtumat eskaloidaan välittömästi ja luokitellaan vakavuuden mukaan.
  • Eristäminen ja korjaaminen: Jos havaitaan murtojälkiä (Indicator of Compromise, IOC) – kuten epänormaalia tilin toimintaa tai lokien poistamista käytöstä – reagointitiimimme noudattaa tiukkoja toimintaohjeita. Toimenpiteisiin kuuluu välitön yhteydenotto pilvitukeen, pääsalisanojen ja -avainten vaihtaminen sekä muuttavan pääsyn epääminen uhkien pysäyttämiseksi ("verenvuodon tyrehdyttäminen").
  • Jälkianalyysi (Post-Mortem): Jokainen tietoturvapoikkeama päättyy perusteelliseen juurisyiden analyysiin (Root-Cause Analysis). Dokumentoimme havainnot, korjaamme taustalla olevat rakenteelliset ongelmat ja päivitämme toimintaohjeemme estääksemme vastaavat tapaukset tulevaisuudessa.

Tämä saavutettavuusseloste kattaa ainoastaan privacy.edudata.io-palvelun (Edudata Privacy Application (PWA)) | Päivitetty viimeksi: 19/05/2026 | Tavoitetaso: WCAG 2.1 Level AA / EN 301 549

1. Vaatimustenmukaisuustilanne

Tämä seloste koskee ainoastaan julkista privacy.edudata.io-palvelua, joka on alustan ainoa loppukäyttäjille tarkoitettu käyttöliittymä. Perustuen 23/12/2025 suoritettuun arviointiin, tämä sovellus on osittain yhteensopiva WCAG 2.1 Level AA -saavutettavuusstandardien kanssa.

2. Ei-saavutettava sisältö (Tunnetut puutteet)

Seuraavat ominaisuudet ovat tällä hetkellä ei-saavutettavia, mutta niiden korjaaminen on käynnissä tai suunniteltu tiekartassa:

• A. Havaittavuus (Kontrasti) - (WCAG 1.4.3): Lomakekenttien placeholder-tekstit. Korjattu
• B. Hallittavuus (Navigointi) - (WCAG 2.4.3): Vahvistusikkunat (Modals) eivät sulje kohdistusta (focus trap). Käynnissä
• C. Ymmärrettävyys - (WCAG 4.1.2): Asetusten kytkimet (toggles) vaativat paremmat aria-attribuutit. Suunniteltu

3. Korjaustoimenpiteiden tiekartta 2026

4. Arviointi- ja varmistusstrategia

Tavoitteenamme on suorittaa riippumaton kolmannen osapuolen saavutettavuuden auditointi (VPAT/ACR) marraskuussa 2026 (Q4 2026).

5. Palaute ja yhteystiedot

Jos havaitset saavutettavuusongelmia, ota meihin yhteyttä sähköpostitse: info@edudata.io. Vastaamme 7 työpäivän kuluessa.

6. Täytäntöönpanomenettely

Jos et ole tyytyväinen saavutettavuusvaatimukseesi saamaasi vastaukseen, voit ottaa yhteyttä oman lainkäyttöalueesi valvovaan viranomaiseen:

• Suomi: Etelä-Suomen aluehallintovirasto (ESAVI)
• Ruotsi: Myndigheten för digital förvaltning (DIGG)
• Norja: Tilsynet for universell utforming av ikt (Uu-tilsynet)