Trust Center for skoler og innkjøp

Status: Aktiv | Versjon: 1.0

1. Sammendrag

Edudata.io er en SaaS-plattform for Governance, Risk, and Compliance (GRC) av virksomhetsklasse som er utviklet eksklusivt for utdanningssektoren. Plattformen betjener for øyeblikket kommuner, skolestyrer og læreanstalter i Finland og Sverige. Systemet samler databeskyttelse, cybersikkerhet, tilgjengelighet og AI-samsvar i et sentralisert nav.

I stedet for å bygge stive lokale datagrenser fungerer Edudata.io som en tilrettelegger for samsvar, noe som hjelper grenseoverskridende utdanningsekosystemer med å navigere smidig i komplekse europeiske regler – inkludert GDPR, NIS2-direktivet, EU AI Act og europeiske tilgjengelighetskrav.

2. Sentrale funksjonsmoduler

• Edudata Compliance & Bibliotek: Sentraliserer en global database med tusenvis av forhåndsvurderte digitale utdanningsapplikasjoner. Systemet sporer leverandørers databehandleravtaler (DPA) og personvernerklæringer, og oppdaterer samsvarsstatusen automatisk når leverandører endrer sine juridiske vilkår.
• Automatisert RoPA & Kartlegging: Oppretter og vedlikeholder programmatisk organisasjonens protokoll over behandlingsaktiviteter (RoPA). Når en app godkjennes eller blokkeres av administrasjonen, registrerer systemet umiddelbart dataflyt og spesifikke elevdatapunkter.
• Edudata Transparens: Et offentlig grensesnitt (transparency.edudata.io) som gir elever, foreldre og foresatte sanntidsinnsyn i nøyaktig hvilke apper som er godkjent for klasseromsundervisning, og deres tilsvarende regler for datalagring.

3. Avansert teknisk arkitektur: AI-motoren CAG

Kjernen i Edudata.io er dens deterministiske, juridisk forankrede AI-motor. Systemet bruker en spesialisert Cache-Augmented Generation (CAG)-modell, og forlater helt eldre RAG-infrastrukturer som var avhengige av vektordatabaser, indeksering og tekstsegmentering.

Infrastruktur og lasting

• Modell-lag: Bygd på Gemini 3.1 Pro, noe som utnytter dens enorme innebygde kontekstvindu til å laste inn hele regelverk uten strukturell komprimering.
• Vertex AI Context Caching: Hele det europeiske regelverket, nasjonale læreplaner (inkludert finske og svenske standarder) og Edudatas egne vurderingsregler holdes permanent lastet i raskt GPU-RAM.
• Søkefri behandling (Retrieval-Free): Siden motoren ikke foretar eksterne databasesøk eller semantiske segmenteringer i sanntid, fungerer den uten det konteksttapet eller de blinde sonene som er typiske for klassiske søkeprosesser.

Viktige arkitektoniske garantier

• Hallusinasjonsfri juridisk slutning: Ved å evaluere brukerforespørsler mot fullstendige, uavbrutte regler og skolepolicyer i stedet for fragmenterte tekstutdrag, garanterer systemet juridisk holdbare og hallusinasjonsfrie konklusjoner.
• Millisekund-latens: Ved å omgå flaskehalsen med databasesøk minimeres tiden til første token (TTFT), noe som gir nesten umiddelbare sikkerhetsvurderinger.
• 100 % deterministisk matematisk skåring: Modellen fungerer som en pålitelig logisk tolk for låste vurderingsregler, noe som sikrer at risikomål er matematisk forutsigbare, reproduserbare og nøyaktige.

4. Europeisk datastyring og skysikkerhet

• Datasuverenitet i EU: For å oppfylle de strenge databeskyttelseskravene i den offentlige utdanningssektoren lagres og behandles all kontekstcache, inferens og telemetri strengt innenfor sikre, suverene EU-baserte skyregioner (ved hjelp av Google Clouds europeiske infrastruktur).
• Grenseoverskridende harmonisering av regelverk: Plattformen er utformet for å kartlegge samsvarsvurderinger samtidig mot EU-direktiver og de nasjonale utdanningsspesifikke detaljene som er unike for Finland og Sverige.
• Menneske-i-loopen-validering: CAG-motoren fungerer som en ekspertassistent. Selv om den analyserer retningslinjer og beregner risikoskårer med matematisk presisjon, kreves det alltid endelig godkjenning av et sertifisert personvernombud.
• Isolering av leietakere (Tenant Isolation): Kunders konfigurasjonsdata, skoleprofiler og loggingsmålinger er sikret i separate databaselag, noe som garanterer null kontaminering mellom kommuner som bruker systemet.

Ikrafttredelsesdato: 11. mars 2026

Disse brukervilkårene ("Vilkår") beskriver dine rettigheter og forpliktelser ved bruk av Edudata.io-tjenesten ("Tjenesten"), drevet av Cloudpoint Oy ("oss", "vi", "vår" eller "Selskapet"). Les disse Vilkårene nøye før du bruker noen versjon av Edudata.io-tjenesten.

Tjenesten leveres av Cloudpoint Oy, Malminkaari 17-19B, 00700 Helsingforse, Finland, organisasjonsnummer 2325703-6.

Videre er tilgang til og bruk av denne Tjenesten – inkludert struktur, organisering, presentasjon av dens data og innsikten den avslører i Edudata.io sine beskyttede metodikk og kunnskap – strengt begrenset til kvalifiserte utdanningsleverandører og bundet av disse Vilkårene. Enhver bruk av konkurrenter, for konkurrentanalyse, benchmarking, reverse engineering eller for å få uautorisert innsikt i Edudata.io sine prosesser, datakurasjon eller forretningsmodell er uttrykkelig forbudt og underlagt betydelige økonomiske konsekvenser og avtalte skadeserstatninger som beskrevet i disse Vilkårene.

1. Generell tjenesteoversikt og versjoner

Edudata.io brukes til å vurdere personvern, AI og sikkerhetssamsvar samt generell egnethet for digitale tjenester som brukes i undervisningen. Tjenesten er beregnet for Kunder (f.eks. byer, kommuner, utdanningsleverandører, utdanningsinstitusjoner), heretter kalt enten "Kunden" eller "Utdanningsleverandøren".

Edudata.io støtter utdanningsleverandøren i å opprettholde oppdatert dokumentasjon over behandlingen av elevenes personopplysninger i ulike digitale tjenester som brukes i utdanningen.

Tjenestens komponenter:

• EDUDATA Compliance: Består av selve Edudata.io-plattformen og en kuratert liste over digitale undervisningstjenester med tilhørende detaljert informasjon.
• EDUDATA Compliance Service: En profesjonell tjeneste der Selskapet eller en Partner evaluerer digitale utdanningstjenester, noe som gjør det mulig for Kunden å kartlegge og administrere relaterte risikoer samt sende inn tjenester til evaluering.
• EDUDATA Privacy: Et åpenhetsverktøy som lar en elev se de digitale tjenestene som er i bruk, dataene som behandles i disse tjenestene, oppbevaringsperioden, samt når brukeren logget inn med sine EDU-inloggingsdetaljer.
• EDUDATA Security: En komponent som samler inn påloggingsdata på første og andre nivå fra separat definerte læringsmiljøer og, etter pseudonymisering, lagres og administreres av Kunden (Behandlingsansvarlig). Denne komponenten tilbyr også analyseverktøy for de innsamlede dataene.

Tjenesteversjoner:

• a. Edudata Starter: Gir grunnleggende tilgang til plattformen Edudata.io Compliance og tjenestelisten. Brukere foretar sine egne risikovurderinger. Denne versjonen tilbyr ikke spesifikke anbefalinger, AI-funksjoner eller tilgang til appen EDUDATA Privacy. Leveres "som den er" uten støtte eller garantier for oppetid.
• b. Edudata Advanced: Et betalt servicenivå der risikovurderinger forbedres av AI-funksjoner integrert i plattformen Edudata.io Compliance. Vår AI er trent på vurderinger utført av juridiske rådgivere. AI-en yter assistanse, men det endelige ansvaret for å validere og agere på vurderingene påhviler fullt ut Kunden. Inkluderer tilgang til appen EDUDATA Privacy.
• c. Edudata Premium: Et betalt servicenivå, som inkluderer Edudata.io Compliance-plattformen, og der risikovurderinger utføres av Edudata.io sine egne juridiske rådgivere. Disse vurderingene gis som profesjonell veiledning, og ansvaret for den endelige beslutningen og samsvaret påhviler fullt ut Kunden. Denne versjonen inkluderer også tilgang til appen EDUDATA Privacy.

2. Aksept av vilkår & fullmakter til å forplikte organisasjonen

• a. Bindende avtale: Disse Vilkårene utgjør en juridisk bindende avtale mellom din organisasjon og Edudata.io.
• b. Fullmakter: Ved å opprette en konto eller bruke Tjenesten på din organisasjons vegne garanterer den personen som gjør det ("Autorisert representant") personlig at:
  • i. De aksepterer disse Vilkårene på vegne av en juridisk anerkjent organisasjon (f.eks. en utdanningsinstitusjon).
  • ii. De har full juridisk kompetanse til å inngå og forplikte organisasjonen til disse Vilkårene.
  • iii. Organisasjonen de representerer samtykker i å være fullt bundet av alle vilkår og betingelser heri.
• c. Tillit til erklæringen: Edudata.io stoler på denne erklæringen om fullmakter. Hvis den Autoriserte representanten ikke har slike fullmakter, vil de bli holdt personlig ansvarlige for eventuelle brudd på disse Vilkårene og resulterende skader.
• d. Aksept: Ved å fortsette med kontoregistrering eller bruk av Tjenesten bekræfter den Autoriserte representanten på vegne av organisasjonen at organisasjonen har lest, forstått og samtykket i å være bundet av disse Vilkårene. Hvis organisasjonen ikke aksepterer Vilkårene, må dere ikke bruke Tjenesten.

3. Personvern og kontaktinformasjon

Vi behandler personopplysninger i samsvar med databehandleravtalen (DPA) mellom oss og Kundens organisasjon.

Du kan kontakte oss ved å sende en e-post til info@edudata.io. Hvis vi trenger å kontakte kunden, gjør vi det via e-postadressen Kunden har oppgitt.

4. Brukertilgang og sikkerhet

Bruken av Tjenesten må skje i samsvar med disse Vilkårene. Brukeren skal logge inn på Tjenesten ved å logge på med en tredjeparts single sign-on (som Google eller Microsoft).

Kunden aksepterer praksis for behandling av personopplysninger som anført i databehandleravtalen, personvernerklæringen og disse Vilkårene. Vi kan til enhver tid stenge kontoen dersom Kunden bryter gjeldende avtaler.

Kunden skal opprettholde hensiktsmessige sikkerhetstiltak, inkludert oppdatert virusbeskyttelse, for å forhindre at Kundens system infiserer Tjenesten med skadelig innhold.

5. Kvalifisering og kontoregistrering

• a. Godkjent utdanningsleverandør: Tilgang til og bruk av Tjenesten er strengt begrenset til institusjoner eller enheter som er formelt anerkjent som utdanningsleverandører i henhold til gjeldende nasjonal lovgivning (f.eks. skoler, høyskoler, universiteter og kommuner begrenset til deres utdanningssektor).
• b. Organisationsgaranti: Ved å registrere deg garanterer din organisasjon at den oppfyller dette kvalifikasjonskriteriet og ikke er en konkurrent til Edudata.io or tilknyttet en slik.
• c. Verifisering: Edudata.io forbeholder seg retten til når som helst å be om dokumentasjon for å verifisere statusen deres. Manglende bevis fører til umiddelbar suspensjon.
• d. Kontoansvar: Organisasjonen er ansvarlig for å holde påloggingsinformasjon konfidensiell og hefter for alle aktiviteter under deres konto.

6. Tillatt bruk og begrensninger

• a. Lisens: Under forutsetning av at dere overholder disse Vilkårene, gir Edudata.io organisasjonen din en begrenset, ikke-eksklusiv, ikke-overførbar, tilbakekallelig lisens til å bruke Tjenesten utelukkende til interne, ikke-kommersielle utdanningsformål.
• b. Forbudt bruk: Brukere må ikke bruke Tjenesten på en ulovlig måte, overføre støtende materiale, skade våre systemer eller bruke Tjenesten til konkurrentanalyse, benchmarking eller produktutvikling som konkurrerer med Edudata.io sine interesser.

For clarity regarding Permitted Use of Assessments: Tillatt bruk inkluderer deling av risikovurderinger og anbefalinger innen egen organisasjon. Vurderinger og anbefalinger må ikke deles med andre organisasjoner eller personer utenfor Kundens egen organisasjon uten forhåndssamtykke fra Edudata.io. Kunden kan fritt offentliggjøre sine egne beslutninger, forutsatt at de ikke inneholder de spesifikke vurderings- eller anbefalingsopplysningene levert av Selskapet.

7. Uautorisert bruk og konkurransemessig misbruk

Hvis Selskapet fastslår at din organisasjon bruker Tjenesten uten å oppfylle kvalifikasjonskravene eller til ulovlige konkurransemessige formål:

• a. Utestengt: Din organisasjon vil umiddelbart og permanent bli utestengt fra å bruke alle Edudata.io sine tjenester.

• c. Juridiske virkemidler: Edudata.io forbeholder seg retten til å forfølge alle andre tilgjengelige juridiske virkemidler, inkludert midlertidige forføyninger og ytterligere skadeserstatninger.

8. Konfidensialitet og proprietær informasjon

• a. Definisjon: Du anerkjenner at samlingen, strukturen og presentasjonen av app-informasjon i Tjenesten samt underliggende metoder ("Proprietær informasjon") utgjør verdifulle forretningshemmeligheter tilhørende Edudata.io.
• b. Forpliktelse: Din organisasjon samtykker i å holde alle Proprietære opplysninger strengt konfidensielle. Dere må ikke videregi eller dele denne informasjonen med tredjepart utenfor Kundens organisasjon. Kunden skal beskytte Selskapets konfidensielle opplysninger med minst samme grad av omhu som dere beskytter egne konfidensielle opplysninger.
• c. Forbud mot konkurrentbruk: Det er strengt forbudt å bruke Proprietær informasjon til å utvikle konkurrerende produkter eller tjenester, eller å bistå tredjeparter med dette.
• d. Overlevelse: Denne Seksjon 8 forblir i kraft etter opphør av disse Vilkårene.

9. Intellektuelle eiendomsrettigheter

Selskapet eier og beholder eiendomsretten til Tjenesten, inkludert alle intellektuelle eiendomsrettigheter. Kunden mottar kun en begrenset lisens til å bruke Tjenesten i avtaleperioden i samsvar med disse Vilkårene.

Selskapet har rett til uten begrensning og gratis å bruke opplysninger som Kunden legger til i Tjenesten (forutsatt at de ikke utgjør personopplysninger), slik som beskrivelser av applikasjoner eller Kundens egne risikovurderinger, til å utvikle og forbedre Tjenesten.

Selskapet forbeholder seg alle rettigheter til de risikovurderingene og anbefalingene som utarbeides av Selskapet. Kunden har kun tilgang til disse i kontraktsperioden.

10. Endringer og oppdateringer av Tjenesten

Selskapet kan endre Tjenesten for å overholde lover, legge til funksjoner eller forbedre sikkerheten mot cybertrusler. Vi underretter Kunden ved større endringer.

Kunden er ansvarlig for å installere oppdateringer av Tjenesten uten forsinkelse dersom Selskapet krever det.

11. Ansvar for tap eller skader (Ansvarsbegränsning)

Vårt skadestonsansvar er strengt begrenset til det beløpet som er betalt av Kunden i de siste 12 månedene (for betalte versjoner) eller maksimalt 100 euro (for gratisversjonen).

Selskapet er ansvarlig for forutsigbare tap eller skader forårsaket av vår forsommelse. Vi er ikke ansvarlige for indirekte tap eller følgeskader.

Edudata.io bestreber seg på å levere nøyaktige anbefalinger, men Kunden forstår at disse er av rådgivende karakter. Den endelige beslutningen og ansvaret for regeletterlevelse (inkludert GDPR) finner sted fullt ut hos Kunden og dennes egen due diligence.

12. Skadesløsholdelse

Organisasjonen din samtykker i å forsvare, skadesløsholde og beskytte Edudata.io og dens ansatte mot alle krav, skader, tap, forpliktelser og omkostninger (inkludert advokatbistand) som oppstår som følge av: (a) organisasjonens bruk av Tjenesten; (b) brudd på disse Vilkårene; (c) krenkelse av tredjeparts rettigheter, inkludert personverns- eller intellektuelle eiendomsrettigheter; eller (d) brudd på gjeldende lov.

13. Gyldighetstid og oppsigelse

Disse Vilkårene forblir i kraft til Serviceavtalen utløper eller sies opp i samsvar med gjeldende abonnementsbetingelser.

Ved avtalens opphør kan Selskapet straks deaktivere Kundens konto. Personopplysninger slettes eller returneres i samsvar med databehandleravtalen (DPA).

14. Diverse bestemmelser

• a. Overdragelse av rettigheter: Vi kan overdra våre rettigheter under disse Vilkårene til en annen organisasjon etter å ha informert Kunden i god tid. Kunden kan deretter si opp avtalen med 30 dagers varsel.
• b. Overdragelse av lisens: Kundens brukerrettigheter kan kun overdrages med skriftlig samtykke fra Selskapet.
• c. Tredjepartsrettigheter: Disse Vilkårene kan kun gjøre gjeldende av partene eller godkjente rettighethavere.
• d. Ugyldighet: Hvis en domstol finner en del av disse Vilkårene ugyldig eller ugjennomførbar, skal de øvrige delene fortsette å gjelde i full kraft.
• e. Intet avkall: Hvis vi ikke straks skrider inn overfor et avtalebrudd, bevarer vi retten til å gjøre dette på et senere tidspunkt.
• f. Lovvalg og verneting: Tvister i forbindelse med disse Vilkårene skal avgjøres ved byretten i Helsinki. Finsk lovgivning og den generelle databeskyttelsesforordningen (GDPR) finner anvendelse.
• g. Datainfrastruktur (Security-komponenten): For Kunder som bruker EDUDATA Security-komponenten, lagres data i et Google Cloud-prosjekt eid av Kunden. Kunden er selv ansvarlig for alle relaterte sky-kostnader.

15. Endringer av disse Vilkårene

Vi forbeholder oss retten til å endre disse Vilkårene ved lovendringer, nye regler eller forbedringer av Tjenesten. Vi vil underrette deg på forhånd om slike endringer.

Sist oppdatert: 28. mai 2026 | Status: Aktiv

Denne cookieerklæringen forklarer hvordan Cloudpoint Oy ("vi", "oss" og "vår") bruker informasjonskapsler (cookies) og lignende teknologier for å gjenkjenne deg når du besøker våre nettsteder og applikasjoner. Den forklarer hva disse teknologiene er, hvorfor vi bruker dem, og dine rettigheter til å kontrollere vår bruk av dem i samsvar med personvernforordningen (GDPR) og gjeldende ePrivacy-direktiver.

1. Omfanget av disse retningslinjene

Disse retningslinjene gjelder for følgende EDUDATA.IO-domener og their respektive underdomener:

• www.edudata.io: Vår offentlige bedrifts- og markedsføringsnettside.
• compliance.edudata.io: Vår B2B-applikasjon for samsvarsstyring for skoleadministratorer og personvernombud.
• transparency.edudata.io (og privacy.edudata.io): Våre elevrettede transparensverktøy som lar sluttbrukere se sitt digitale fotavtrykk.

2. Hva er informasjonskapsler (cookies)?

Informasjonskapsler (cookies) er små datafiler som plasseres på din datamaskin eller mobile enhet når du besøker et nettsted. Nettstedseiere bruker informasjonskapsler i utstrakt grad for å få nettstedene sine til å fungere sikkert og effektivt, samt for å gi rapporteringsinformasjon og personlige opplevelser.

3. Hvorfor bruker vi informasjonskapsler (cookies)?

Vi bruker første- og tredjeparts informasjonskapsler (cookies) av flere grunner. Noen informasjonskapsler er nødvendige av tekniske årsaker for at nettstedene og applikasjonene våre skal fungere sikkert ("streng Necessary" informasjonskapsler). Andre informasjonskapsler lar oss spore og målrette oss mot B2B-brukernes interesser for å forbedre opplevelsen på vår offentlige nettside ("analyse-" og "målrettings-" informasjonskapsler).

4. Typer informasjonskapsler vi bruker

Baserat på regelmessige revisjoner av våre domener bruker vi følgende kategorier av informasjonskapsler (cookies):

A. Strengt nødvendige (essensielle) informasjonskapsler

Dette informasjonskapslene er strengt nødvendige for å gi deg tjenester som er tilgjengelige via nettstedene og applikasjonene våre, for å ivareta sikkerheten (botbeskyttelse) og for å autentisere innloggingsøktene dine. Du kan ikke takke nei to disse informasjonskapslene uten at det påvirker funksjonaliteten til tjenestene våre.

B. Analyse- og ytelsescookies

Disse informasjonskapslene samler inn aggregert informasjon for å hjelpe oss med å forstå hvordan den offentlige nettsiden vår og B2B-portalene våre brukes. Dette hjelper oss med å forbedre brukeropplevelsen og løse tekniske problemer. Disse er deaktivert som standard inntil samtykke er gitt.

C. Målrettings- og reklamecookies

Disse informasjonskapslene brukes til å gjøre reklamebudskap mer relevante for deg.

5. Hvordan kan jeg kontrollere informasjonskapsler?

Du har rett til å velge om du vil godta eller avvise ikke-essensielle informaskeskapsler (cookies):

• Samtykkebanner for informasjonskapsler: Du kan utøve rettighetene dine for informasjonskapsler by å angi innstillingene dine i samtykkebanneret som vises når du besøker www.edudata.io for første gang.
• Nettleserkontroller: Du kan stille inn eller endre nettleserinnstillingene dine til å godta eller avvise informasjonskapsler helt.
• Konsekvenser av avvisning: Hvis du velger å avvise strengt nødvendige informasjonskapsler via nettleserinnstillingene dine, vil tilgangen din til kjernefunksjonalitet — som å logge inn på compliance.edudata.io-portalen eller se opplysningene dine på transparency.edudata.io — bli alvorligt begrenset eller avbrutt.

6. Oppdateringer av disse retningslinjene

Vi kan oppdatere denne cookieerklæringen fra tid til annen for å gjenspeile endringer i informasjonskapslene vi bruker, eller av andre driftsmessige, juridiske eller regulatoriske årsaker. Vennligst besøk denna cookieerklæringen regelmessig for å holde deg informert om vår bruk av informasjonskapsler (cookies) og relaterte teknologier.

7. Kontakt oss

For mer informasjon om hvordan vi beskytter opplysningene dine, vennligst les vår personvernerklæring og vår databehandleravtale (DPA).

Hvis du har spørsmål om vår bruk av informasjonskapsler (cookies) or andre teknologier, vennligst kontakt vårt databeskyttelsesteam på: privacy@cloudpoint.fi.

Sist oppdatert: 15.12.2025

Dette er Edudata.io sin personvernerklæring i samsvar med EUs personvernforordning (GDPR), som beskriver prinsippene Edudata.io (heretter også "Edudata" eller "Behandlingsansvarlig") behandler personopplysninger under når vi opptrer som behandlingsansvarlig i forbindelse med Edudata.io-tjenesten ("Tjenesten"). Edudata overholder finsk lov og EUs personvernforordning i all sin virksomhet.

1. Behandlingsansvarlig og kontaktinformasjon

Behandlingsansvarlig: Edudata.io
Organisasjonsnummer (Business ID): 3460068-8
Adresse: Malminkaari 17-19B, 00700 Helsinki, Finland
Telefon: +358 9 4257 9280
Nettsted: www.edudata.io
Personvernombud: Lauri Kaski, e-post: lauri.kaski@edudata.io

2. Registrets navn

Edudata kunde-, sopimuse- og marknadsføringsregister.

3. Edudatas roller og formål med behandlingen

Edudatas rolle i behandlingen av personopplysninger i Edudata.io-tjenesten er tofoldig:

A. Edudata som databehandler

I Tjenestens (Edudata.io) kjernevirksomhet er Kunden (utdanningsleverandøren) Behandlingsansvarlig, og Edudata er Databehandler. I dette tilfellet bestemmer Kunden formålene og midlene for behandlingen. Denne behandlingen skjer i samsvar med en separat databehandleravtale (DPA).

B. Edudata som behandlingsansvarlig

Edudata behandler personopplysninger som behandlingsansvarlig for følgende formål:

• Administrasjon av kundeforhold: Vi behandler opplysninger for å administrere kundeforholdet og oppfylle kontraktsforpliktelser. Dette kan inkludere oppstart av kundeforholdet, support, fakturering og rapportering.
  Rettslig grunnlag: Berettiget interesse og oppfyllelse av kontrakt.
• Salg og markedsføring: Vi behandler opplysninger for salg og markedsføring av våre tjenester, direkte markedsføring, og utsendelse av nyhetsbrev.
  Rettslig grunnlag: Berettiget interesse og samtykke.
• Kundekommunikasjon: Vi behandler personopplysninger for å håndtere kundetilbakemeldinger og supporthenvendelser, samt for å sende varsler om tjenestene.
  Rettslig grunnlag: Berettiget interesse og oppfyllelse av kontrakt.
• Oppfyllelse av lovpålagte forpliktelser: Vi kan behandle personopplysninger for å oppfylle lovpålagte forpliktelser, for eksempel i henhold til regnskaps- og skattelovgivning.
  Rettslig grunnlag: Rettslig forpliktelse.
• Tjenesteutvikling: Selskapet har rett til å bruke data lagt inn i Tjenesten av Kunden, som ikke er klassifisert som personopplysninger, til å utvikle og forbedre Tjenesten.

4. Hvilke personopplysninger behandler og samler vi inn som behandlingsansvarlig?

Vi samler inn personopplysninger relatert til våre kunder hovedsakelig fra personene selv eller fra offentlige kilder. Opplysningene vi behandler kan inkludere:

• Kontaktinformasjon: Fornavn, etternavn, e-postadresse, telefonnummer, andre kontaktopplysninger (adresse).
• Organisasjonsinformasjon: Stilling, organisasjonens navn.
• Kundeforholdsinformasjon: Informasjon om bestilte tjenester og endringer i disse, faktureringsinformasjon, samt annen informasjon relatert til kundeforholdet.
• Markedsføringsinformasjon: Markedsføringssamtykke og -reservasjoner.
• Nettsteds- og kontaktinformasjon: Tekniske data (bruksdata, enhetsdata), informasjonskapsler (cookies), innhold av kontakten.

5. Säännönmukaiset tietolähteet (Kilder til personopplysningene)

Vi behandler og samler inn personopplysninger som brukeren selv har gitt eller sendt til oss (f.eks. ved henvendelser, kontrakter). I tillegg samler vi inn data fra offentlige kilder som offentlige registre og dokumenter, nettsteder og sosiale medier.

6. Deling og utlevering av personopplysninger

Vi bruker eksterne tjenesteleverandører og underleverandører som behandler personopplysninger på vegne av Edudata. Disse inkluderer for eksempel:

• Google Ireland
• Hubspot Ireland
• Visma AB
• Cloudpoint Oy
• Online Partner AB

Underleverandører behandler personopplysninger på våre vegne og kan ikke bruke dem til egne formål. Alle våre tjenesteleverandører er forpliktet til å overholde GDPR.

7. Overføring av personopplysninger utenfor EU og EØS

Personopplysninger kan overføres utenfor EU eller EØS, ettersom noen av tjenesteleverandørene vi bruker er lokalisert utenfor dette området (f.eks. skytjenester).

Dersom personopplysninger overføres til et land som EU-kommisjonen ikke har fattet en adekvansbeslutning for, skjer overføringen i samsvar med standardkontraktsbestemmelser (SCC) godkjent av EU-kommissionen og andre nødvendige sikkerhetstiltak.

8. Lagring og sletting av personopplysninger

Dine personopplysninger lagres ikke lenger enn nødvendig for å oppfylle formålet, kundeforholdet eller kontrakten. Data slettes også dersom du trekker tilbake ditt samtykke eller ber om sletting, forutsatt at det ikke foreligger et annet rettslig grunnlag for behandlingen.

9. Hvordan vi beskytter dine personopplysninger

Vi iverksetter egnede fysiske, tekniske og organisatoriske tiltak for å beskytte dine personopplysninger mot uautorisert tilgang eller skade:

• Ansatte med tilgang til personopplysninger har en separat taushetsavtale og taushetsplikt.
• Tilgang er begrenset til ansatte som har behov for å behandle personopplysninger i forbindelse med sine arbeidsoppgaver.
• Ansatte bruker tofaktorautentisering.
• Vårt kontor har adgangskontroll, er bevoktet og har 24/7 videoovervåking.

10. Hvilke rettigheter har du?

Du har rett til innsyn, retting, sletting (retten til å bli glemt), begrensning av behandling, innsigelse, og dataportabilitet etter GDPR. Vennligst kontakt oss på info@edudata.io for å utøve disse rettighetene.

11. Rett til å klage til en tilsynsmyndighet

Du har rett til å klage til en tilsynsmyndighet (i Finland, Dataombudsmannens kontor; i Norge, Datatilsynet).

12. Prosedyre ved brudd på personopplysningssikkerheten

Ved et potensielt brudd på personopplysningssikkerheten følger vi tiltakene og tidsrammene definert i GDPR. Dersom det er nødvendig, varsler vi tilsynsmyndigheten og de registrerte uten ugrunnet opphold.

13. Informasjonskapsler (Cookies)

Vi bruker informasjonskapsler (cookies) på nettstedet vårt for å gi den best mulige brukeropplevelsen. Brukeren kan gi sitt samtykke eller avvise informasjonskapsler via et separat cookiebanner.

14. Endringer

Vi forbeholder oss retten til å gjøre endringer i denne personvernerklæringen. Dersom vi gjør vesentlige endringer, vil vi varsle deg på forhånd.

Gjeldende fra: 23.07.2025

Denne databehandleravtalen ("DPA") gjelder for EDUDATA-tjenesten og utgjør en integrert del av hovedavtalen (inkludert brukervilkårene). Ved uoverensstemmelse har denne DPA-en forrang når det gjelder personopplysningsbehandling.

1. Definisjoner

• Behandlingsansvarlig: Den fysiske eller juridiske personen som bestemmer formålet og midlene for behandlingen av personopplysninger (GDPR Art 4(7)).
• Databehandler (Databehandleren): Den fysiske eller juridiske personen som behandler personopplysninger på vegne av den behandlingsansvarlige (GDPR Art 4(8)).
• GDPR: Europaparlaments- og rådsforordning (EU) 2016/679 (generell personvernforordning).
• Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person (GDPR Art 4(1)).
• Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisk eller ikke.

2. Bakgrunn og formål

Kunden har valgt databehandleren (Cloudpoint Oy) til å behandle personopplysninger på sine vegne i samsvar med artikkel 28 i GDPR.

Databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige for å levere Edudata-tjenesten (inkludert Edudata Compliance, Edudata Compliance Service, Edudata Privacy og Edudata Security). Detaljerte rutiner og tiltak er beskrevet i Vedlegg 1 og 2.

Formålet med denne avtalen er å regulere partenes rettigheter og plikter ved behandling av personopplysninger i samsvar med GDPR og å sikre beskyttelsen av de registrertes rettigheter.

3. Roller og ansvar

Databehandleren skal behandle personopplysninger kun i samsvar med denne databehandleravtalen og dokumenterte instrukser fra den behandlingsansvarlige. Databehandleren forplikter seg til ikke å bruke personopplysningene til andre formål. Den behandlingsansvarlige er ansvarlig for at det foreligger et lovlig grunnlag for behandlingen av personopplysningene.

Dersom Databehandleren oppdager at en instruks er i strid med gjeldende lovgivning, skal Databehandleren straks informere den behandlingsansvarlige.

4. Tekniske og organisatoriske sikkerhetstiltak

Databehandleren skal iverksette og opprettholde egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysningene mot uautorisert behandling, sletting eller tap i samsvar med Vedlegg 2.

5. Plikt til å bistå

Databehandleren skal bistå den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i artikkel 32–36 i GDPR, under hensyntagen til behandlingens art og den informasjonen som er tilgjengelig for Databehandleren.

Databehandleren skal uten unødig opphold underrette den behandlingsansvarlige om forespørsler fra registrerte om utøvelse av deres rettigheter under GDPR, og bistå den behandlingsansvarlige med egnede tiltak for å besvare slike forespørsler.

6. Internasjonale overføringer

Vi behandler personopplysninger på servere i Det europeiske økonomiske samarbeidsområdet (EØS). Personopplysninger overføres som regel ikke ut av EØS.

Dersom personopplysninger overføres utenfor EØS av en underdatabehandler til et land som ikke er omfattet av en adekvansbeslutning fra EU-kommisjonen, skal Databehandleren sikre egnede garantier (f.eks. ved hjelp av EU-kommisjonens standardkontraktsbestemmelser, SCC).

7. Taushetsplikt

Databehandleren skal sikre at alle personer som har autorisasjon til å behandle personopplysninger, har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.

8. Rett til revisjon

Den behandlingsansvarlige har rett til å utføre rimelige revisjoner av Databehandlerens lokaler og prosesser for å kontrollere overholdelsen av denne avtalen. Den behandlingsansvarlige dekker alle kostnader til revisjon og skal gi skriftlig beskjed minst 30 virkedager i forkant.

9. Underdatabehandlere

Databehandleren har rett til å benytte underdatabehandlere for å levere Tjenesten. Databehandleren skal sikre at underdatabehandleren er bundet av en skriftlig avtale som pålegger underdatabehandleren de samme forpliktelsene som er fastsatt i denne avtalen.

Databehandleren skal informere den behandlingsansvarlige om eventuelle planer om å endre underdatabehandlere. Dersom den behandlingsansvarlige gjør innsigelse, har denne rett til å si opp Tjenesten.

10. Brudd på personopplysningssikkerheten

Databehandleren skal underrette den behandlingsansvarlige skriftlig uten unødig opphold etter å ha fått kjennskap til et brudd på personopplysningssikkerheten. Underretningen skal inneholde opplysninger om bruddets art, kontaktperson samt iverksatte eller anbefalte tiltak.

11. Sletting av personopplysninger

Ved avtalens opphør skal Databehandleren, etter den behandlingsansvarliges valg, permanent slette eller returnere alle personopplysninger innen 180 dager, med mindre gjeldende lovgivning krever fortsatt oppbevaring.

12. Ansvarsbegrensning

Databehandleren er ikke ansvarlig for indirekte tap eller følgeskader. Databehandlerens maksimale ansvar under denne avtalen er begrenset til et beløp tilsvarende avgiftene Kunden har betalt under de foregående 12 månedene for Tjenesten.

13. Giltighetstid

Denne DPA-en trer i kraft på datoen for undertegning og forblir i kraft så lenge Databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige.

14. Tvisteløsning og verneting

Denne avtalen skal være underlagt vilkårene for tvisteløsning og verneting som angitt i hovedavtalen (Helsingfors tingrett og finsk lov).

15. Endringer

Endringer av denne avtalen trer først i kraft når de er godkjent skriftlig av begge parter.

---

VEDLEGG 1: Beskrivelse av behandlingen

1. Formålet med behandlingen av personopplysninger

Databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige for å levere Tjenesten i overensstemmelse med hovedavtalen og denne DPA-en.

2. Kategorier av registrerte

• Studenter
• Lærere og annet personale hos Kunden som bruker Tjenesten

3. Typer av personopplysninger

Databehandleren kan behandle følgende typer av personopplysninger i Tjenesten:

• Fornavn
• Etternavn
• E-postadresse
• IP-adresse
• Innloggingsdetaljer
• Nettleserinformasjon
• Enhetsinformasjon
• Tredjeparts innloggingsdetaljer
• Edudata-ID
• Språk
• Konto opprettelsesdato
• Siste innlogging
• Profilbilde
• Brukerrolle
• Organisasjonens navn og domene

4. Varighet av behandlingen av personopplysninger

Personopplysninger behandles under avtalens gyldighetsperiode. Etter at Tjenesten er opphørt, oppbevares opplysningene i høyst 180 dager for å fullføre sletting og overføring.

• Edudata-loggfiler: 30 dager
• Sletting av brukerdata: Slettes automatisk fra brukerdatabasen 366 dager etter siste innloggings-oppdatering.
• Loggfiler for tredjepartstjenester: 18 måneder
• Vurderinger, beslutninger og forespørsler: Lagres i 3 år

5. Underdatabehandlere

6. Internasjonale overføringer

Personopplysninger lagres på servere innen EØS. Overføringer utenfor EØS reguleres av beskyttelsestiltak i henhold til kapittel V i GDPR, f.eks. ved standardkontraktsbestemmelser godkjent av EU-kommisjonen.

---

VEDLEGG 2: Sikkerhetstiltak

Databehandleren skal iverksette og opprettholde egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger.

• Vårt kontor har adgangskontroll, er bevoktet og har 24/7 videoovervåking.
• All adgang til datamiljøer styres av IAM og logges.
• Alle innlogginger krever tofaktorautentisering (2FA) og sterke sikkerhetsnøkler (Yubico).

Sikkerhetskontroller ved programvareutvikling:

• Sikkerhetsaspekter er en viktig del av onboarding av nye medarbeidere.
• Utviklere tilbys sikkerhetsopplæring via Google Cloud-sertifiseringer.
• Tilgang til kodearkiver krever alltid godkjenning av en seniorutvikler.
• Lokal utvikling skjer kun på bærbare datamaskiner med krypterte disker.
• All kildekode gjennomgår peer review (kollegial revisjon).

Versjon 1.0 | Gjeldende fra: 10.07.2025

Disse retningslinjene for kunstig intelligens beskriver Edudata.io sin forpliktelse til en ansvarlig og etisk bruk av kunstig intelligens (AI) for å beskytte elevenes personvern og sikre GDPR-samsvar for skoler i EU. Edudata.io bruker AI for å forbedre effektiviteten av risikovurderinger av tredjeparts digitale tjenester. Vurderingene gir anbefalinger og er ikke bindende beslutninger. Det endelige ansvaret ligger hos Kunden og dens beslutningstakere.

1. Vår forpliktelse til ansvarlig AI

Hos Edudata.io er vi dedikert til å utvikle og ta i bruk AI-teknologier som er i samsvar med våre kjerneverdier om personvern, sikkerhet, åpenhet og ansvarlighet. Vi forstår den dype innvirkningen som digitale tjenester og AI har på barns personvern. Vi streber etter å sikre at AI brukes som et verktøy til å fremme, ikke kompromittere, elevenes grunnleggende rettigheter i det digitale miljøet. Vår tilgang er styrt av relevante regler, inkludert GDPR, EUs forordning om kunstig intelligens (EU AI Act) og beste praksis innen etisk AI-utvikling.

2. Formålet med AI hos Edudata.io

AI er en integrert del av Edudata.io sin prosess for å utarbeide omfattende risikovurderinger av tredjeparts digitale tjenester. Spesifikt er våre AI-systemer designet for å:

• Analysere dokumentasjon: Behandle og trekke ut relevant informasjon fra ulike tjenestedokumenter, inkludert personvernerklæringer, brukervilkår, databehandleravtaler (DPA-er), AI-retningslinjer og sikkerhetsretningslinjer.
• Integrere ekspertkunnskap: Dra nytte av innsikt fra tidligere menneskelige (juridiske rådgivere) risikovurderinger for den samme tjenesten for å forbedre AI-analysen.
• Støtte risikovurdering for personvern (GDPR-samsvar): AIs analytiske evner er skreddersydd for å identifisere og evaluere kritiske aspekter av personopplysninger i samsvar med GDPR.
• Støtte risikovurdering for sikkerhet: AI hjelper til med å identifisere og evaluere tredjepartstjenestens sikkerhetsnivå by analyzing tekniske og organisatoriske sikkerhetstiltak (TOM-er) samt spesifikke kontroller mot uautorisert tilgang.
• Støtte vurdering av egnethet for utdanning og markedsføring: AI bidrar til å evaluere den pedagogiske relevansen og kommersielle innvirkningen ved å vurdere målgrupper og eventuell reklame rettet mot mindreårige.
• Støtte vurdering av AI-bruk i tredjepartstjenesten: Analysere tilbyderens egen bruk av AI, inkludert risikokategorier og mekanismer for menneskelig tilsyn i henhold til EU AI Act.

Merk: Vi bruker ikke AI til å behandle våre kunders personopplysninger.

3. Prinsipper for AI-bruk

Vår AI-virksomhet er styrt av følgende nøkkelprinsipper:

• Innebygd personvern (Privacy by Design): AI-systemer utvikles med personvern og datasikkerhet tenkt inn fra starten.
• Sikkerhet: Robuste sikkerhetstiltak implementeres for å beskytte alle data som behandles av AI-modeller.
• Åpenhet: Vi tilstreber åpenhet rundt AIs rolle i vår risikovurderingsmetodikk og kriteriene den evaluerer.
• Menneskelig tilsyn: AI fungerer som et sterkt verktøy, men Kunder og deres brukere, juridiske eksperter og rådgivere beholder kontrollen. Kunden har beslutningsmyndighet over alle risikovurderinger.
• Rettferdighet og ikke-diskriminering: Våre AI-systemer er designet til å vurdere tjenester objektivt og uten bias for å sikre rettferdige evalueringer.
• Samsvar: All AI-virksomhet overholder strengt GDPR, nasjonale personvernlover og andre gjeldende juridiske rammeverk.

4. Datahåndtering og personvern

Edudata.io håndterer data anvendt i sine AI-systemer med største omhu:

• Inputdata: AI behandler offentlig tilgjengelig dokumentasjon og interne, tidligere menneskelige risikovurderinger. Vi oppgir ikke bevisst personopplysninger om elever eller andre følsomme opplysninger som direkte input til AI-modellene.
• Databehandling: Data som sendes til AI-funksjoner håndteres sikkert. Vi samarbeider med anerkjente og sikre AI-tjenesteleverandører som tilbyr sterke databeskyttelsesgarantier og ikke bruker våre data til å trene sine modeller.
• Konfidensialitet: Kunder rådes til å unngå å inkludere konfidensiell eller følsom informasjon i dokumentasjon som sendes, hvis det ikke er nødvendig for risikovurderingen.
• Dataminimering: Vi overholder prinsippet om dataminimering for å sikre at kun nødvendige data behandles.

5. Menneskelig tilsyn og ansvarlighet

AI hos Edudata.io fungerer som en assisterende teknologi, som forsterker våre menneskelige eksperters evner:

• Ekspertvalidering: Enhver AI-generert risikovurdering eller anbefaling gjennomgår en grundig granskning og validering av Kunden og/eller Edudata.io-teamet.
• Beslutningstaking: Den endelige beslutningen vedrørende en digital tjenestes egnethet og tilhørende risikoer påhviler helt Kunden og dens beslutningstakere.
• Ansvarlighet: Siden AI-modeller kan inneholde feil, ligger ansvaret for å implementere en tjeneste og sikre dens overholdelse helt hos Kunden. Vi understreker at kunder må utvise egen due diligence i vurderingen.

6. Nøyaktighet og pålitelighet

Vi er forpliktet til nøyaktigheten og påliteligheten av våre vurderinger:

• Løpende evaluering: Våre AI-modeller og deres resultater evalueres regelmessig for nøyaktighet, relevans og konsistens.
• Kvalitetssikring: Vi implementerer strenge kvalitetssikringsprosesser for å identifisere og korrigere eventuelle feil eller bias.
• Brukergjennomgang: We understreker viktigheten av å gjennomgå de AI-genererte delene og oppfordrer kunder til å sparre med våre eksperter.

7. Samsvar og etiske overveielser

Edudata.io sikrer fullt samsvar:

• GDPR: Vår AI-bruk understøtter fullt ut GDPR-samsvar ved risikovurderinger.
• Utdanningslovgivning: Vi sikrer at AI hjelper med å vurdere samsvar med spesifikk utdanningslovgivning, som reklamefrie miljøer.
• Etisk AI: Vi følger etiske retningslinjer for AI-utvikling som fokuserar på fordelaktig bruk, forebyggelse av skade og tillit.

8. Løbende forbedring og overvåking

AI-området, digitale trusler og lovgivning utvikler seg konstant. Edudata.io har forpliktet seg til:

• Oppdateringer: Oppdatere AI-modeller, metoder og retningslinjer basert på den nyeste teknologien og lovgivningen.
• Overvåking: Overvåke systemene for å sikre at de leverer høy kvalitet.
• Feedbackintegrering: Inkorporere tilbakemeldinger fra juridiske team, kunder og personverncommunityt.

9. Brukeransvar (for Edudata.io sine kunder)

Kunden har også et ansvar:

• Gjennomgang og verifisering: Kunder bør nøye verifisere innholdet i risikovurderingene slik at det passer til deres spesifikke kontekst.
• Nøyaktig input: Levere nøyaktig dokumentasjon om tredjepartstjenester.
• Overholdelse av retningslinjer: Sikre at interne rutiner stemmer overens med anbefalingene.

10. Kontaktinformasjon

For spørsmål om Edudata.io sine retningslinjer for AI eller praksis, kontakt oss på: info@edudata.io

Applikasjon: edudata.io | Versjon: 1.0 | Status: Aktiv

1. Sammendrag

Hos edudata.io anerkjenner vi at vår plattform behandler sensitive opplysninger. Sikring av denne informasjonen er vår grunnleggende forpliktelse overfor skolene og kommunene vi betjener. Denne hvitboken beskriver hvordan vi beskytter data gjennom Privacy by Design og ISO 27001-tilpasning.

2. Tilpasning til ISO 27001:2022-rammeverket

Vårt styringssystem for informasjonssikkerhet (ISMS) er bygget for å tilpasse seg de strenge, globalt anerkjente standardene i ISO/IEC 27001:2022. Vi jobber aktivt mot en formell sertifisering.

For å oppnå og opprettholde denne statusen, hviler vårt ISMS på følgende pilarer:

• Omfattende policyrammeverk: Vår sikkerhetsstatus styres av et strengt hierarki av interne retningslinjer, inkludert vår policy for informasjonssikkerhet, policy for tilgangskontroll, policy for datahåndtering, policy for sikker utvikling og policy for håndtering av tredjeparter.
• Kontinuerlig overvåking av etterlevelse: Vi bruker Vanta som vår automatiserte plattform for kontinuerlig overvåking for aktivt å spore etterlevelse mot kontrollrammeverkene for ISO 27001:2013 og ISO 27001:2022 i sanntid.
• Livssyklusstyring for aktiva: Vi opprettholder en streng oversikt over alle informasjonsrelaterte og fysiske aktiva. Alle organisatoriske aktiva gjennomgår obligatorisk sporing fra klargjøring til avvikling og retur (kontroll AST-4 til AST-9).
• Delt ansvar: Informasjonssikkerhet er et felles ansvar. Alle ansatte og underleverandører gjennomgår sikkerhetsopplæring og er bundet av strenge avtaler om akseptabel bruk og konfidensialitet.

3. Infrastruktur- og nettverkssikkerhet

Vi utnytter skyarkitektur av enterprise-klasse for å sikre høy tilgjengelighet, redundans og databeskyttelse.

• Skyhosting og fysisk sikkerhet: edudata.io-plattformen er hostet på Google Cloud Platform innenfor Det europeiske økonomiske samarbeidsområdet (EØS). Vi stoler på skyleverandørens ISO 27001-sertifiserte datasentre for fysisk sikkerhet i verdensklasse, inkludert biometrisk tilgangskontroll, 24/7 overvåking og miljøtrusselbeskyttelse.
• Nettverkssikkerhet og herding: Vår støtteinfrastruktur blir rutinemessig oppdatert og herdet mot sikkerhetstrusler som en del av våre planlagte vedlikeholdsprotokoller (kontroll VPM-38). Vi bruker isolerte virtuelle nettverk, sikkerhetsgrupper og strengt konfigurererte brannmurer for å minimere vår eksterne angrebsflate.
• Datakryptering:
  • Under overføring (In Transit): Alle data som overføres mellom klientenheter og våre servere, samt internt mellom mikrotjenester, krypteres med TLS 1.2 eller høyere.
  • Ved hvile (At Rest): All vedvarende lagring, databaser og sikkerhetskopier krypteres ved hvile med AES-256. I tillegg er alle enheter utlevert av Selskapet som brukes av våre ansatte, sikret med full diskkryptering (Full Disk Encryption) for å eliminere risikoen for datagjenvinning i tilfelle tap eller tyveri.
• Midlertidig lagring (Ephemeral Storage): Midlertidige filer (f.eks. sky-basert /tmp-lagring) slettes automatisk i det øyeblikket den tilhørende beregningsprosessen avsluttes.

4. Tilgangskontroll og identitetsstyring

Beskyttelse av tilgang til systemene våre håndteres gjennom en streng Zero Trust-tilnærming, som sikrer at brukere og interne ansatte kun har tilgang til de dataene som er nødvendige for deres roller.

• Rollebasert tilgangskontroll (RBAC): Vi håndhever prinsippet om minste privilegium (Principle of Least Privilege) i hele organisasjonen vår. Som standard er all systemtilgang forbudt. Tilgangsrettigheter innvilges utelukkende basert på legitime forretningsbehov og vurderes kontinuerlig.
• Identitetsverifisering og MFA: Administrativ tilgang til produksjonsmiljøer og root-kontoer krever svært komplekse, roterte passord sammen med obligatorisk multifaktorautentisering (MFA).
• Kildekode og intellektuell eiendom: Tilgang til programmets kildekode, design og valideringsplaner er strengt kontrollert, logget og revidert. Dette forhindrer uautoriserte funksjonelle endringer og beskytter integriteten til vår livssyklus for programvareutvikling.
• Onboarding og offboarding av personell: Tilgangslevering kontrolleres strengt av HR og vår sikkerhetsansvarlige. Ved opphør av ansettelse eller kontrakt må alle fysiske eiendeler returneres, og all systemtilgang tilbakekalles umiddelbart.

5. Personvern og datastyring

For å effektivt beskytte kundedata, håndhever vi en streng datahåndteringspolicy som dikterer hvordan informasjon klassifiseres, håndteres og avhendes på en sikker måte.

• Dataklassifisering: Vi kategoriserer informasjon i tre nivåer, der Kundedata og personopplysninger (PII) er klassifisert som konfidensielle (Confidential). Konfidensielle data krever det høyeste beskyttelsesnivået, strenge tilgangsbegrensninger og godkjenning fra ledelsen eller dataeieren før ekstern deling.
• Flerbrukersystem og logisk separasjon: Kundemiljøer og databaser er strengt segregert for å forhindre datalekkasje mellom ulike skoledistrikter. Firestore-databasene er logisk segregert gjennom Google Cloud-prosjektkonfigurasjoner, noe som sikrer isolerte sikkerhetsgrenser.
• Dataoppbevaring og sletting: Vi overholder følgende oppbevaringsplaner for å overholde GDPRs prinsipper om dataminimering:
  • Kundedata: Slettes på en sikker måte innen 90 dager etter kontraktens utløp.
  • Sikkerhets- og hendelseslogger: Logger for sky-/vertsforekomster oppbevares i 1 år for å bistå i rettsmedisinsk revisjon, mens lokale sikkerhetslogger oppbevares på ubestemt tid.
  • Midlertidige filer: Midlertidige data slettes automatisk når prosessen er fullført.

6. Sårbarhets- og hendelseshåndtering

Vi opererer under forutsetningen om at trusselbildet er i konstant utvikling. Som sådan har vi etablert proaktiv overvåking og raske responssmekanismer.

• Sårbarhets- og patchhåndtering: Vi innhenter og evaluerer kontinuerlig informasjon om tekniske sårbarheter (kontroll VPM-3). Infrastrukturen vår blir rutinemessig oppdatert, og verktøyene våre for sårbarhetshåndtering skanner aktivt miljøene våre. Sårbarhetsdata for verter beholdes til den underliggende ressursen er fjernet og slettet.
• Penetrasjonstesting: Vi gjennomfører strenge, uavhengige sikkerhetsvurderinger og penetrasjonstester årlig med pålitelige, sertifiserte tredjeparts cybersikkerhetsfirmaer.
• Plan for hendelsesrespons: Vi opprettholder en formalisert plan for hendelsesrespons (Incident Response Plan) som administreres av vår sikkerhetsansvarlige.
  • Rapportering og triage: Sikkerhetshendelser eskaleres umiddelbart og kategoriseres etter alvorlighetsgrad.
  • Begrensning og utbedring: I tilfelle en indikasjon på kompromittering (Indicator of Compromise, IOC) – for eksempel unormal kontoaktivitet eller deaktivert logging – responsteamet vårt følger strenge rutiner. Trinn inkluderer umiddelbar kontakt med skystøtte, rotering av root-passord/nøkler og tilbakekalling av endringstilgang for å stoppe trusselen ("stoppe blødningen").
  • Evaluering (Post-Mortem): Hver sikkerhetshendelse avsluttes med en grundig rotårsaksanalyse (Root-Cause Analysis). Vi dokumenterer funnene, utbedrer underliggende strukturelle problemer og oppdaterer rutinene våre for å forhindre fremtidige gjentakelser.

Denne tilgjengelighetserklæringen dekker kun tjenesten privacy.edudata.io (Edudata Privacy Application (PWA)) | Oppdatert: 19/05/2026 | Mål: WCAG 2.1 Level AA / EN 301 549

1. Samsvarsstatus

Denne erklæringen gjelder utelukkende den offentlige tjenesten privacy.edudata.io, som er plattformens eneste sluttbrukergrensesnitt. Basert på evalueringen utført 23/12/2025 er denne applikasjonen delvis kompatibel med WCAG 2.1 Level AA-standardene.

2. Utilgjengelig innhold (Kjente mangler)

Funksjonene oppført nedenfor er for øyeblikket ikke tilgjengelige, men utbedring pågår eller er planlagt:

• A. Oppfattbar (Visuelt) - Kontrastmangel (WCAG 1.4.3): Plassholdertekst i skjema felt (Login, Profil) lå tidligere under kontrastforholdet 4.5:1 mot bakgrunnen. Utbedret
• B. Betjenbar (Navigasjon) - Fokusstyring (WCAG 2.4.3): Bekreftelsesdialoger (modaler) låser for øyeblikket ikke tastaturfokus. Dette gjør at tastaturbrukere kan navigere bak den åpne dialogen. Pågår
• C. Forståelig (Kode & etiketter) - Tilpassede brytere (WCAG 4.1.2): Bryterne for personverninnstillinger mangler attributtene role="switch" og aria-checked. Skjermlesere kan for øyeblikket ikke kunngjøre om en innstilling er "På" eller "Av". Planlagt

3. Utbedringsplan (Samsvarsplan 2026)

For å oppfylle kravene til universell utforming i den europeiske tilgjengelighetsloven (EAA) har vi forpliktet oss til følgende tidslinje:

4. Strategi for verifisering & sertifisering

• Nåværende status: Egenvurdring (teknisk & ekspertrevisjon).
• Fremtidig validering: For å tilpasse oss kommunale krav om uavhengig verifikasjon har vi planlagt en tilgjengelighetsrevisjon av en tredjepart (VPAT/ACR) som skal utføres etter at utbedringspunktene ovenfor er fullført.
• Måldato for revisjon: 4. kvartal 2026 (november).

5. Tilbakemelding og kontaktinformasjon

Hvis du støter på tilgjengelighetsbarrierer eller trenger informasjon i et alternativt format for å utøve dine rettigheter etter GDPR, vennligst kontakt oss:

E-post: info@edudata.io
Svarstid: Vi stræber etter å svare innen 7 virkedager.

6. Tilsynsprosedyre

Hvis du ikke er fornøyd med svaret du mottar fra oss angående din tilgjengelighetsforespørsel, kan du kontakte den relevante tilsynsmyndigheten i din jurisdiktion:

• Finland: ESAVI
• Sverige: DIGG
• Norge: Uu-tilsynet