Trust Center för skolor & upphandling

Status: Aktiv | Version: 1.0

1. Sammanfattning

Edudata.io är en SaaS-plattform för Governance, Risk, and Compliance (GRC) av företagsklass som har utvecklats exklusivt för utbildningssektorn. Plattformen betjänar för närvarande kommuner, skolstyrelser och läroanstalter i Finland och Sverige. Systemet samlar dataskydd, cybersäkerhet, tillgänglighet och AI-efterlevnad i ett centraliserat nav.

Istället för att bygga stela lokala datagränser fungerar Edudata.io som en möjliggörare för efterlevnad, vilket hjälper gränsöverskridande utbildningsekosystem att smidigt navigera i komplexa europeiska regler – inklusive GDPR, NIS2-direktivet, EU:s AI-förordning och europeiska tillgänglighetskrav.

2. Centrala funktionsmoduler

• Edudata Compliance & Bibliotek: Centraliserar en global databas med tusentals förutvärderade digitala utbildningsapplikationer. Systemet spårar leverantörers personuppgiftsbiträdesavtal (DPA) och integritetspolicyer och uppdaterar efterlevnadsstatusen automatiskt när leverantörer ändrar sina juridiska villkor.
• Automatiserad RoPA & Kartläggning: Skapar och underhåller programmatiskt organisationens register över behandlingar (RoPA). När en app godkänns eller blockeras av administrationen registrerar systemet omedelbart dataflöden och specifika elevdatapunkter.
• Edudata Transparens: Ett offentligt gränssnitt (transparency.edudata.io) som ger elever, föräldrar och vårdnadshavare realtidsinsyn i exakt vilka appar som är godkända för klassrumsundervisning och deras motsvarande regler för datalagring.

3. Avancerad teknisk arkitektur: AI-motorn CAG

Kärnan i Edudata.io är dess deterministiska, juridiskt förankrade AI-motor. Systemet använder en specialiserad Cache-Augmented Generation (CAG)-modell och överger helt äldre RAG-infrastrukturer som förlitade sig på vektordatabaser, indexering och textsegmentering.

Infrastruktur och laddning

• Modellskikt: Byggt på Gemini 3.1 Pro, vilket drar nytta av dess enorma inbyggda kontextfönster för att läsa in hela regelverk utan strukturell komprimering.
• Vertex AI Context Caching: Hela det europeiska regelverket, nationella läroplaner (inklusive finska och svenska standarder) och Edudatas egna utvärderingsregler hålls permanent laddade i snabbt GPU-RAM.
• Sökfri bearbetning (Retrieval-Free): Eftersom motorn inte gör några externa databassökningar eller semantiska segmenteringar i realtid fungerar den utan den kontextförlust eller de blinda fläckar som är typiska för klassiska sökprocesser.

Viktiga arkitektoniska garantier

• Hallucinationsfri juridisk slutledning: Genom att utvärdera användarfrågor mot fullständiga, oavbrutna regler och skolpolicyer istället för fragmenterade textdelar garanterar systemet juridiskt hållbara och hallucinationsfria slutsatser.
• Millisekundslatens: Genom att kringgå flaskhalsen med databassökningar minimeras tiden till första token (TTFT), vilket ger nästan omedelbara säkerhetsbedömningar.
• 100 % deterministisk matematisk poängsättning: Modellen fungerar som en pålitlig logisk tolk för låsta bedömningsregler, vilket säkerställer att riskmått är matematiskt förutsägbara, reproducerbara och exakta.

4. Europeisk datastyrning och molnsäkerhet

• Datasuveränitet inom EU: För att uppfylla de strikta dataskyddskraven inom den offentliga utbildningssektorn lagras och behandlas all kontextcache, inferens och telemetri strikt inom säkra, suveräna EU-baserade molnregioner (med hjälp av Google Clouds europeiska infrastruktur).
• Gränsöverskridande harmonisering av regelverk: Plattformen är utformad för att kartlägga efterlevnadsbedömningar samtidigt mot EU-direktiv och de nationella utbildningsspecifika detaljer som är unika för Finland och Sverige.
• Människan i loopen-validering: CAG-motorn fungerar som en expertassistent. Även om den analyserar policyer och beräknar riskpoäng med matematisk precision krävs alltid slutgiltigt godkännande av ett certifierat dataskyddsombud.
• Isolering av användare (Tenant Isolation): Kunders konfigurationsdata, skolprofiler och loggningsmått är säkrade i separata databasskikt, vilket garanterar noll kontaminering mellan kommuner som använder systemet.

Ikraftträdandedatum: 11 mars 2026

Dessa användarvillkor ("Villkor") beskriver dina rättigheter och skyldigheter när du använder tjänsten Edudata.io ("Tjänsten"), som drivs av Cloudpoint Oy ("oss", "vi", "vår" eller "Företaget"). Läs dessa Villkor noggrant innan du använder någon version av Edudata.io-tjänsten.

Tjänsten tillhandahålls av Cloudpoint Oy, Malminkaari 17-19B, 00700 Helsingfors, Finland, FO-nummer 2325703-6.

Dessutom är åtkomst till och användning av denna Tjänst – inklusive struktur, organisering, presentation av dess data och de insikter den avslöjar i Edudata.io:s skyddade metodik och kunskap – strikt begränsad till behöriga utbildningsanordnare och bunden av dessa Villkor. All användning av konkurrenter, för konkurrentanalys, benchmarking, reverse engineering eller för att få obehöriga insikter i Edudata.io:s processer, datakurering eller affärsmodell är uttryckligen förbjuden och föremål för betydande finansiella konsekvenser och förutbestämda skadestånd enligt vad som beskrivs i dessa Villkor.

1. Allmän tjänsteöversikt och versioner

Edudata.io används för att bedöma dataskydd, AI och säkerhetsefterlevnad samt allmän lämplighet för digitala tjänster som används inom utbildning. Tjänsten är avsedd för Kunder (t.ex. städer, kommuner, utbildningsanordnare), nedan kallad "Kunden" eller "Utbildningsanordnaren".

Edudata.io stödjer utbildningsanordnaren i att upprätthålla en uppdaterad dokumentation av behandlingen av elevernas personuppgifter i olika digitala tjänster som används inom utbildningen.

Tjänstens komponenter:

• EDUDATA Compliance: Består av själva Edudata.io-plattformen och en kuraterad lista över digitala utbildningstjänster med tillhörande detaljerad information.
• EDUDATA Compliance Service: En experttjänst där Företaget eller en Partner utvärderar digitala tjänster, vilket gör det möjligt för Kunden att kartlägga risker och skicka in tjänster för utvärdering.
• EDUDATA Privacy: Ett transparenshjälpmedel som gör det möjligt för en elev to se vilka digitala tjänster som används, vilka uppgifter som behandlas i dessa tjänster, gallringsfrister samt när användaren loggade in med sina EDU-inloggningsuppgifter.
• EDUDATA Security: En komponent som samlar in inloggningsuppgifter på första och andra nivån från separat definierade lärmiljöer och som, efter pseudonymisering, lagras och hanteras av Kunden (Personuppgiftsansvarig). Denna komponent erbjuder också analysverktyg för insamlade data.

Tjänsteversioner:

• a. Edudata Starter: Ger grundläggande åtkomst till plattformen Edudata.io Compliance och tjänstelistan. Användare gör sina egna riskbedömningar. Denna version ger inga specifika rekommendationer, AI-funktioner eller åtkomst till EDUDATA Privacy-appen. Starter-versionen erbjuds "i befintligt skick" utan support eller drifttidsgarantier.
• b. Edudata Advanced: En betald tjänstenivå där riskbedömningar stöds av AI-funktioner integrerade i plattformen Edudata.io Compliance. Vår AI har tränats på bedömningar av juridiska rådgivare. AI:n ger rekommendationer, men det slutliga ansvaret för att validera och agera på bedömningarna ligger helt på Kunden. Inkluderar åtkomst till appen EDUDATA Privacy.
• c. Edudata Premium: En betald tjänstenivå som inkluderar Edudata.io Compliance-plattformen och där riskbedömningar utförs av Edudata.io:s egna juridiska rådgivare. Dessa bedömningar tillhandahålls som professionell vägledning, men ansvaret för det slutliga beslutet och efterlevnaden ligger helt hos Kunden. Denna version inkluderar också åtkomst till appen EDUDATA Privacy.

2. Godkännande av Villkor & befogenhet att binda organisationen

• a. Bindande avtal: Dessa Villkor utgör ett juridiskt bindande avtal mellan din organisation och Edudata.io.
• b. Behörighet: Genom att skapa ett konto eller använda Tjänsten på din organisations vägnar garanterar och intygar den person som gör det ("Behörig representant") personligen att:
  • i. De accepterar dessa Villkor på uppdrag av en juridiskt erkänd organisation (t.ex. en läroanstalt).
  • ii. De har full juridisk behörighet att binda organisationen till dessa Villkor.
  • iii. Organisationen de representerar samtycker till att vara fullt bunden av alla villkor häri.
• c. Tillit till utfästelse: Edudata.io förlitar sig på denna utfästelse om behörighet. Om den Behöriga representanten saknar sådan behörighet kommer de att hållas personligen ansvariga för eventuella brott mot dessa Villkor och resulterande skador.
• d. Godkännande: Genom att fortsätta använda Tjänsten bekräftar den Behöriga representanten på organisationens vägnar att organisationen har läst, förstått och samtycker till att vara bunden av dessa Villkor. Om din organisation inte samtycker får ni inte använda Tjänsten.

3. Integritet och kontaktinformation

Vi behandlar personuppgifter i enlighet med personuppgiftsbiträdesavtalet (DPA) mellan oss och Kundens organisation.

Du kan kontakta oss genom att skicka e-post till info@edudata.io. Om vi behöver kontakta kunden kommer vi att göra det via den e-postadress som Kunden angett.

4. Användaråtkomst och säkerhet

Användningen av Tjänsten måste ske i enlighet med dessa Villkor. Användaren ska logga in på Tjänsten med hjälp av enkel inloggning via tredje part (t.ex. Google eller Microsoft).

Kunden accepterar praxis för behandling av personuppgifter enligt personuppgiftsbiträdesavtalet, integritetspolicyn och dessa Villkor. Vi kan när som helst stänga av kontot om Kunden bryter mot avtalen.

Kunden ska vidta lämpliga säkerhetsåtgärder, inklusive uppdaterat virusskydd, för att förhindra att skadlig kod överförs till Tjänsten.

5. Behörighet och kontoregistrering

• a. Erkänd utbildningsanordnare: Åtkomst till och användning av Tjänsten är strikt begränsad till institutioner eller enheter som är formellt erkända som utbildningsanordnare enligt nationell lagstiftning (t.ex. skolor, högskolor, universitet och kommuner begränsat till deras utbildningssektor).
• b. Organisationsgaranti: Genom by registrera ett konto garanterar din organisation att den uppfyller detta behörighetskriterium och inte är en konkurrent till Edudata.io eller ansluten till någon sådan.
• c. Verifiering: Edudata.io förbehåller sig rätten att när som helst begära dokumentation för att verifiera er status. Underlåtenhet att tillhandahålla tillräckliga bevis leder till omedelbar avstängning.
• d. Kontoansvar: Er organisation ansvarar för att hålla inloggningsuppgifter konfidentiella och ansvarar för alla aktiviteter på kontot.

6. Tillåten användning och begränsningar

• a. Licens: Under förutsättning att er organisation följer dessa Villkor beviljar Edudata.io en begränsad, icke-exklusiv, icke-överlåtbar, återkallelig licens att använda Tjänsten uteslutande för interna, icke-kommersiella utbildningsändamål.
• b. Förbjuden användning: Användare får inte använda Tjänsten på ett olagligt sätt, överföra stötande material, skada våra system eller använda Tjänsten för konkurrentanalys, benchmarking eller produktutveckling som konkurrerar med Edudata.io:s intressen.

Förtydligande om tillåten användning av bedömningar: Tillåten användning inkluderar att dela riskbedömningar och rekommendationer inom den egna organisationen. Bedömningar och rekommendationer får inte delas med personer eller organisationer utanför den egna Kundorganisationen utan föregående skriftligt samtycke från Edudata.io. Kunden får fritt publicera sina egna beslut, förutsatt at de inte innehåller de specifika bedömningar eller rekommendationsdetaljer som tillhandahållits av Företaget.

7. Obehörig användning och konkurrensmissbruk

Om Företaget fastställer att din organisation använder Tjänsten utan att uppfylla behörighetskraven eller för något förbjudet konkurrensändamål:

• a. Avstängning: Din organisation kommer omedelbart och permanent att stängas av från alla Edudata.io-tjänster.

• c. Rättsliga åtgärder: Edudata.io förbehåller sig rätten att vidta alla andra tillgängliga rättsliga åtgärder, inklusive förelägganden och ytterligare skadeståndskrav.

8. Sekretess och skyddad information

• a. Definition: Du bekräftar att sammanställningen, strukturen och presentationen av appdetaljer inom Tjänsten samt underliggande metoder ("Skyddad information") utgör värdefulla affärshemligheter tillhörande Edudata.io.
• b. Skyldighet: Din organisation samtycker till att hålla all Skyddad information strikt konfidentiell. Ni får inte röja eller dela denna information med tredje part utanför Kundorganisationen. Kunden ska skydda Företagets konfidentiella information med minst samma omsorg som sin egen konfidentiella information.
• c. Förbud mot konkurrentanvändning: Det är absolut förbjudet att använda Skyddad information för att utveckla konkurrerande produkter eller tjänster, eller att bistå tredje part med detta.
• d. Fortlevnad: Denna Sektion 8 fortsätter att gälla även efter att dessa Villkor upphört att gälla.

9. Immateriella rättigheter

Företaget äger och behåller äganderätten till Tjänsten, inklusive alla immateriella rättigheter. Kunden erhåller endast en begränsad licens att använda Tjänsten under avtalstiden i enlighet med dessa Villkor.

Företaget har rätt att utan begränsning och kostnadsfritt använda information som Kunden lägger till i Tjänsten (förutsatt att den inte utgör personuppgifter), som beskrivningar av applikationer eller Kundens egna riskbedömningar, för att utveckla Tjänsten.

Företaget förbehåller sig alla rättigheter till de bedömningar och rekommendationer som görs av Företaget. Kunden har endast tillgång till dessa under avtalstiden.

10. Ändringar och uppdateringar av Tjänsten

Företaget kan ändra Tjänsten för att följa lagar, lägga till funktioner eller förbättra säkerheten mot cyberhot. Vi kommer att meddela Kunden vid större ändringar.

Kunden är ansvarig för att installera uppdateringar av Tjänsten utan dröjsmål om Företaget kräver det.

11. Ansvar för förlust eller skada (Ansvarsbegränsning)

Vårt skadeståndsansvar är strikt begränsat till det belopp som betalats av Kunden under de senaste 12 månaderna (för betalversioner) eller maximalt 100 euro (for gratisversionen).

Företaget ansvarar för förutsebara skador som orsakats av vår försummelse. Vi ansvarar inte för indirekta skador eller följdskador.

Edudata.io strävar efter att tillhandahålla noggranna rekommendationer, men Kunden förstår att dessa är av rådgivande karaktär. Det slutliga beslutet och ansvaret för regelefterlevnad (inklusive GDPR) vilar helt och hållet på Kunden och dess egen due diligence.

12. Skadeersättning (Indemnisering)

Er organisation samtycker till att försvara, hålla skadelös och skydda Edudata.io och dess anställda mot alla krav, skador, förluster, skulder och kostnader (inklusive advokatkostnader) som uppstår till följd av: (a) er organisations användning av Tjänsten; (b) brott mot dessa Villkor; (c) kränkning av tredje parts rättigheter, inklusive integritets- eller immateriella rättigheter; eller (d) överträdelse av tillämplig lag.

13. Giltighetstid och uppsägning

Dessa Villkor förblir i kraft tills Tjänsteavtalet upphör eller sägs upp i enlighet med gällande prenumerationsvillkor.

Vid avtalets upphörande kan Företaget omedelbart inaktivera Kundens konto. Personuppgifter raderas eller returneras i enlighet med personuppgiftsbiträdesavtalet (DPA).

14. Övriga bestämmelser

• a. Överlåtelse av rättigheter: Vi kan överlåta våra rättigheter under dessa Villkor till en annan organisation efter att ha meddelat Kunden i god tid. Kunden kan då säga upp avtalet med 30 dagars uppsägningstid.
• b. Överlåtelse av licens: Kundens rättigheter kan endast överlåtas efter skriftligt samtycke från Företaget.
• c. Tredjepartsrättigheter: Dessa Villkor kan endast göras gällande av parterna eller godkända rättsinnehavare.
• d. Ogiltighet: Om en domstol finner någon del av dessa Villkor ogiltig eller ogenomförbar ska övriga delar fortsätta att gälla i full kraft.
• e. Inget avstående: Om vi inte omedelbart vidtar åtgärder vid ett avtalsbrott behåller vi rätten att göra detta vid ett senare tillfälle.
• f. Tillämplig lag och domstol: Tvister i anslutning till dessa Villkor ska avgöras i Helsingfors tingsrätt. Finsk lag och den allmänna dataskyddsförordningen (GDPR) tillämpas.
• g. Datainfrastruktur (Security-komponenten): For Kunder som använder EDUDATA Security lagras data i ett Google Cloud-projekt som ägs av Kunden. Kunden ansvarar själv för alla tillhörande molnkostnader.

15. Ändringar av dessa Villkor

Vi förbehåller oss rätten att ändra dessa Villkor vid lagändringar, nya regler eller förbättringar av Tjänsten. Vi kommer att meddela dig i förväg om sådana ändringar sker.

Senast uppdaterad: 28 maj 2026 | Status: Aktiv

Denna cookiepolicy förklarar hur Cloudpoint Oy ("vi", "oss" och "vår") använder kakor (cookies) och liknande tekniker för att känna igen dig när du besöker våra webbplatser och applikationer. Den förklarar vad dessa tekniker är, varför vi använder dem och dina rättigheter att kontrollera vår användning av dem i enlighet med den allmänna dataskyddsförordningen (GDPR) och tillämpliga ePrivacy-direktiv.

1. Omfattning av denna policy

Denna policy gäller för följande EDUDATA.IO-domäner och deras respektive underdomäner:

• www.edudata.io: Vår offentliga företags- och marknadsföringswebbplats.
• compliance.edudata.io: Vår B2B-applikation för efterlevnadshantering för skoladministratörer och dataskyddsombud.
• transparency.edudata.io (och privacy.edudata.io): Våra elevinriktade transparensverktyg som gör det möjligt för slutanvändare att se sitt digitala fotavtryck.

2. Vad är kakor (cookies)?

Kakor (Cookies) är små datafiler som placeras på din dator eller mobila enhet när du besöker en webbplats. Webbplatsägare använder i stor utsträckning kakor (cookies) för att få sina webbplatser att fungera säkert och effektivt, samt för att ge rapporteringsinformation och personliga upplevelser.

3. Varför använder vi kakor (cookies)?

Vi använder förstaparts- och tredjepartskakor (cookies) av flera skäl. Vissa kakor (cookies) krävs av tekniska skäl för att våra webbplatser och applikationer ska fungera säkert ("strikt nödvändiga" kakor). Andra kakor (cookies) gör det möjligt för oss att spåra och rikta in oss på våra B2B-användares intressen för att förbättra upplevelsen på vår offentliga webbplats ("analys-" och "riktade" kakor).

4. Typer av kakor (cookies) som vi använder

Baserat på regelbundna granskningar av våra domäner använder vi följande kategorier av kakor (cookies):

A. Strikt nödvändiga (essential) kakor (cookies)

Dessa kakor (cookies) är strikt nödvändiga för att tillhandahålla dig tjänster som är tillgängliga via våra webbplatser och applikationer, för att säkerställa säkerhet (bot-skydd) och för att autentisera dina inloggningssessioner. Du kan inte vägra dessa kakor (cookies) utan att det påverkar funktionen av våra tjänster.

B. Analys- och prestandacookies

Dessa kakor (cookies) samlar in aggregerad information för att hjälpa oss att förstå hur vår offentliga webbplats och våra B2B-portaler används. Detta hjälper oss att förbättra användarupplevelsen och lösa tekniska problem. Dessa är inaktiverade som standard tills samtycke har getts.

C. Riktade kakor (cookies) och annonseringscookies

Dessa kakor (cookies) används för att göra reklambudskap mer relevanta för dig.

5. Hur kan jag kontrollera kakor (cookies)?

Du har rätt att välja om du vill acceptera eller avvisa icke-nödvändiga kakor (cookies):

• Samtyckesbanner för kakor: Du kan utöva dina cookierättigheter genom att ställa in dina inställningar i den samtyckesbanner för kakor (cookie consent banner) som visas när du först besöker www.edudata.io.
• Webbläsarkontroller: Du kan ställa in eller ändra dina webbläsarkontroller för att acceptera eller vägra kakor (cookies) helt.
• Inverkan av vägran: Om du väljer to avvisa strikt nödvändiga kakor (cookies) via dina webbläsarinställningar kommer din tillgång till kärnfunktionalitet — såsom att logga in på compliance.edudata.io-portalen eller se dina uppgifter på transparency.edudata.io — att vara allvarligt begränsad eller inte fungera.

6. Uppdateringar av denna policy

Vi kan uppdatera denna cookiepolicy från tid till tid för att återspegla ändringar i de kakor (cookies) vi använder eller av andra operationella, juridiska eller regulatoriska skäl. Vänligen återkom till denna cookiepolicy regelbundet för att hålla dig informerad om vår användning av kakor (cookies) och relaterade tekniker.

7. Kontakta oss

För mer information om hur vi skyddar dina uppgifter, vänligen läs vår integritetspolicy och vårt personuppgiftsbiträdesavtal (DPA).

Om du har några frågor om vår användning av kakor (cookies) eller andra tekniker, vänligen kontakta vårt dataskyddsteam på: privacy@cloudpoint.fi.

Senast uppdaterad: 15.12.2025

Detta är Edudata.io:s integritetspolicy i enlighet med EU:s allmänna dataskyddsförordning (GDPR), som beskriver principerna under vilka Edudata.io (hädanefter även "Edudata" eller "Personuppgiftsansvarig") behandlar personuppgifter när vi agerar som personuppgiftsansvarig i samband med Edudata.io-tjänsten ("Tjänsten"). Edudata följer finsk lag och EU:s allmänna dataskyddsförordning i all sin verksamhet.

1. Personuppgiftsansvarig och kontaktinformation

Personuppgiftsansvarig: Edudata.io
FO-nummer: 3460068-8
Adress: Malminkaari 17-19B, 00700 Helsingfors, Finland
Telefon: +358 9 4257 9280
Webbplats: www.edudata.io
Dataskyddsombud: Lauri Kaski, e-post: lauri.kaski@edudata.io

2. Registrets namn

Edudatas kund-, avtals- och marknadsföringsregister.

3. Edudatas roller och ändamål med behandlingen

Edudatas roll i behandlingen av personuppgifter i Edudata.io-tjänsten är tvåfaldig:

A. Edudata som personuppgiftsbiträde

I Tjänstens (Edudata.io) kärnverksamhet är Kunden (utbildningsanordnaren) Personuppgiftsansvarig och Edudata är Personuppgiftsbiträde. I detta fall fastställer Kunden ändamålen och medlen för behandlingen. Denna behandling sker i enlighet med ett separat personuppgiftsbiträdesavtal (DPA).

B. Edudata som personuppgiftsansvarig

Edudata behandlar personuppgifter som sin egen personuppgiftsansvarig för följande ändamål:

• Kundrelationshantering: Vi behandlar uppgifter för att hantera kundrelationen och uppfylla avtalsförpliktelser. Detta kan inkludera uppstart av kundrelationen, support, fakturering och rapportering.
  Rättslig grund: Berättigat intresse och fullgörande av avtal.
• Försäljning och marknadsföring: Vi behandlar uppgifter för försäljning och marknadsföring av våra tjänster, direktmarknadsföring och sändning av nyhetsbrev.
  Rättslig grund: Berättigat intresse och samtycke.
• Kundkommunikation: Vi behandlar personuppgifter för att hantera kundfeedback och supportärenden samt för att skicka aviseringar om tjänsterna.
  Rättslig grund: Berättigat intresse och fullgörande av avtal.
• Efterlevnad av lagstadgade skyldigheter: Vi kan behandla personuppgifter för att uppfylla lagstadgade skyldigheter, t.ex. gällande bokförings- och skattelagstiftning.
  Rättslig grund: Rättslig förpliktelse.
• Tjänsteutveckling: Företaget har rätt att använda data som lagts till i Tjänsten av Kunden, som inte klassificeras som personuppgifter, för att utveckla och förbättra Tjänsten.

4. Vilka personuppgifter behandlar och samlar vi in som personuppgiftsansvarig?

Vi samlar in personuppgifter relaterade till våra kunder huvudsakligen från personerna själva eller från offentliga källor. De uppgifter vi behandlar kan inkludera:

• Kontaktinformation: Förnamn, efternamn, e-postadress, telefonnummer, andra kontaktuppgifter (adress).
• Organisationsinformation: Yrkesroll, organisationens namn.
• Kundrelationsinformation: Information om beställda tjänster och ändringar i dem, faktureringsinformation, samt annan information relaterad till kundrelationen.
• Marknadsföringsinformation: Marknadsföringstillstånd och förbud.
• Webbplats- och kontaktinformation: Tekniska data (användningsdata, enhetsdata), kakor (cookies), innehåll i kontakten.

5. Säännönmukaiset tietolähteet (Källor för uppgifterna)

Vi behandlar och samlar in personuppgifter som användaren själv har gett eller lämnat till oss (t.ex. vid kontakter, avtal). Dessutom samlar vi in uppgifter från offentliga källor som offentliga register och handlingar, webbplatser och sociala medier.

6. Dela och lämna ut personuppgifter

Vi använder externa tjänsteleverantörer och underleverantörer som behandlar personuppgifter för Edudatas räkning. Dessa inkluderar till exempel:

• Google Ireland
• Hubspot Ireland
• Visma AB
• Cloudpoint Oy
• Online Partner AB

Underleverantörer behandlar personuppgifter för vår räkning och får inte använda dem för egna ändamål. Alla våra tjänsteleverantörer har förbundit sig att följa GDPR.

7. Överföring av personuppgifter utanför EU och EES

Personuppgifter kan överföras utanför EU eller EES, eftersom vissa av de tjänsteleverantörer vi använder finns utanför detta område (t.ex. molntjänster).

Om personuppgifter överförs till ett land som EU-kommissionen inte har fattat beslut om adekvat skyddsnivå för, sker överföringen i enlighet med standardavtalsklausuler (SCC) godkända av EU-kommissionen och andra nödvändiga skyddsåtgärder.

8. Lagring och radering av personuppgifter

Dina personuppgifter sparas inte längre än nödvändigt för att uppfylla ändamålet, kundrelationen eller avtalet. Uppgifterna raderas också om du återkallar ditt samtycke eller begär radering, förutsatt att det inte finns någon annan rättslig grund för behandlingen.

9. Hur vi skyddar dina personuppgifter

Vi vidtar lämpliga fysiska, tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot obehörig åtkomst eller skada:

• Anställda med tillgång till personuppgifter har ett separat sekretessavtal och tystnadsplikt.
• Åtkomst är begränsad till anställda som behöver behandla personuppgifter för sina arbetsuppgifter.
• Anställda använder tvåfaktorsautentisering.
• Vårt kontor har passerkontroll, är bevakat och har 24/7 kameraövervakning.

10. Vilka rättigheter har du?

Du har följande rättigheter enligt GDPR gällande dina personuppgifter: Rätt till tillgång, rätt till rättelse, rätt till radering (rätten att bli bortglömd), rätt till begränsning av behandling, rätt till invändning, rätt till dataportabilitet samt rätt att återkalla samtycke. Kontakta oss på info@edudata.io för att utöva dina rättigheter.

11. Rätt att klaga hos en tillsynsmyndighet

Du har rätt att lämna in ett klagomål till en tillsynsmyndighet (i Finland, Dataombudsmannens byrå; i Sverige, Integritetsskyddsmyndigheten IMY).

12. Åtgärder vid personuppgiftsincidenter

Vid en eventuell personuppgiftsincident följer vi de åtgärder och tidsramar som definieras i GDPR. Om det krävs underrättar vi tillsynsmyndigheten och de registrerade utan dröjsmål.

13. Kakor (Cookies)

Vi använder kakor (cookies) på vår webbplats för att ge bästa möjliga användarupplevelse. Användaren kan ge sitt samtycke eller tacka nej till kakor via en separat cookiebanner.

14. Ändringar

Vi förbehåller oss rätten att göra ändringar i denna integritetspolicy. Om vi gör väsentliga ändringar kommer vi att meddela dig i förväg.

Giltigt från: 23.7.2025

Detta personuppgiftsbiträdesavtal ("DPA") gäller för EDUDATA-tjänsten och utgör en integrerad del av huvudavtalet (inklusive användarvillkoren). Vid eventuella motstridigheter ska detta avtal äga företräde gällande personuppgiftsbehandling.

1. Definitioner

• Personuppgiftsansvarig: Den fysiska eller juridiska person som bestämmer ändamålen och medlen för behandlingen av personuppgifter (GDPR Art 4(7)).
• Personuppgiftsbiträde (Biträdet): Den fysiska eller juridiska person som behandlar personuppgifter för den personuppgiftsansvariges räkning (GDPR Art 4(8)).
• GDPR: Europaparlamentets och rådets förordning (EU) 2016/679 (allmän dataskyddsförordning).
• Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person (GDPR Art 4(1)).
• Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter, oavsett om det sker på automatisk väg eller inte.

2. Bakgrund och syfte

Kunden har valt biträdet (Cloudpoint Oy) att behandla personuppgifter för dess räkning i enlighet med artikel 28 i GDPR.

Biträdet kommer att behandla personuppgifter för den personuppgiftsansvariges räkning för att tillhandahålla Edudata-tjänsten (inklusive Edudata Compliance, Edudata Compliance Service, Edudata Privacy och Edudata Security). Detaljerade rutiner och åtgärder beskrivs i Bilaga 1 och 2.

Syftet med detta avtal är att reglera parternas rättigheter och skyldigheter vid behandling av personuppgifter i enlighet med GDPR och att säkerställa skyddet för de registrerades friheter och rättigheter.

3. Roller och ansvar

Biträdet ska behandla personuppgifter endast i enlighet med detta personuppgiftsbiträdesavtal och dokumenterade instruktioner från den personuppgiftsansvarige. Biträdet förbinder sig att inte använda personuppgifterna för några andra ändamål. Den personuppgiftsansvarige ansvarar för att det finns en laglig grund för behandlingen av personuppgifterna.

Om Biträdet upptäcker att en instruktion strider mot tillämplig lagstiftning ska Biträdet omedelbart informera den personuppgiftsansvarige om detta.

4. Tekniska och organisatoriska säkerhetsåtgärder

Biträdet ska vidta och upprätthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot obehörig behandling, förstöring eller förlust i enlighet med Bilaga 2.

5. Skyldighet att bistå

Biträdet ska bistå den personuppgiftsansvarige med att säkerställa att skyldigheterna enligt artikel 32–36 i GDPR uppfylls, med hänsyn till typen av behandling och den information som är tillgänglig för Biträdet.

Biträdet ska utan dröjsmål underrätta den personuppgiftsansvarige om förfrågningar från registrerade om att utöva sina rättigheter enligt GDPR, och bistå den personuppgiftsansvarige med lämpliga åtgärder för att svara på sådana förfrågningar.

6. Internationella överföringar

Vi behandlar personuppgifter på servrar som är belägna inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter överförs i regel inte utanför EES.

Om personuppgifter överförs utanför EES av ett underbiträde till ett land som inte omfattas av ett beslut om adekvat skyddsnivå från EU-kommissionen, ska Biträdet säkerställa lämpliga skyddsåtgärder (t.ex. genom EU-kommissionens standardavtalsklausuler, SCC).

7. Tystnadsplikt

Biträdet ska säkerställa att alla personer som har behörighet att behandla personuppgifter har åtagit sig att iaktta tystnadsplikt eller omfattas av en lämplig lagstadgad tystnadsplikt.

8. Rätt till revision

Den personuppgiftsansvarige har rätt att genomföra rimliga revisioner av Biträdets lokaler och processer för att verifiera efterlevnaden av detta avtal. Den personuppgiftsansvarige ansvarar för samtliga revisionskostnader och ska lämna ett skriftligt meddelande minst 30 arbetsdagar i förväg.

9. Underbiträden

Biträdet har rätt att anlita underbiträden för att tillhandahålla Tjänsten. Biträdet ska säkerställa att underbiträdet är bundet av ett skriftligt avtal som ålägger underbiträdet motsvarande skyldigheter som de som anges i detta avtal.

Biträdet ska informera den personuppgiftsansvarige om eventuella planer på att ändra underbiträden. Om den personuppgiftsansvarige motsätter sig detta har denne rätt att säga upp Tjänsten.

10. Personuppgiftsincidenter

Biträdet ska underrätta den personuppgiftsansvarige skriftligen utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident. Underrättelsen ska innehålla information om incidentens art, kontaktperson samt vidtagna eller rekommenderade åtgärder.

11. Radering av personuppgifter

Vid avtalets upphörande ska Biträdet, efter den personuppgiftsansvariges val, permanent radera eller återlämna alla personuppgifter inom 180 dagar, såvida inte tillämplig lag kräver fortsatt lagring.

12. Ansvarsbegränsning

Biträdet ansvarar inte för indirekta skador eller följdskador. Biträdets maximala skadeståndsansvar under detta avtal är begränsat till ett belopp motsvarande de avgifter som Kunden betalat under de föregående 12 månaderna för Tjänsten.

13. Giltighetstid

Detta DPA träder i kraft på dagen för undertecknandet och förblir i kraft så länge Biträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

14. Tvistlösning och jurisdiktion

Detta avtal ska vara underkastat villkoren för tvistlösning och jurisdiktion som anges i huvudavtalet (Helsingfors tingsrätt och finsk lag).

15. Ändringar

Ändringar av detta avtal träder i kraft först när de har godkänts skriftligen av båda parter.

---

BILAGA 1: Beskrivning av behandlingen

1. Ändamålet med behandlingen av personuppgifter

Biträdet ska behandla personuppgifter på uppdrag av den personuppgiftsansvarige för att tillhandahålla Tjänsten i enlighet med huvudavtalet och detta DPA.

2. Kategorier av registrerade

• Elever
• Lärare och annan personal hos Kunden som använder Tjänsten

3. Typer av personuppgifter

Biträdet kan behandla följande typer av personuppgifter inom ramen för Tjänsten:

• Förnamn
• Efternamn
• E-postadress
• IP-adress
• Inloggningsdata
• Webbläsarinformation
• Enhetsinformation
• Tredjepartsinloggning
• Edudata-ID
• Språk
• Konto skapat datum
• Senaste inloggning
• Profilbild
• Användarroll
• Organisationens namn och domän

4. Varaktighet för behandlingen av personuppgifter

Personuppgifter behandlas under avtalets giltighetstid. Efter att Tjänsten avslutats sparas uppgifterna i högst 180 dagar för att slutföra radering och överföring.

• Edudata-loggar: 30 dagar
• Radering av användardata: Raderas automatiskt från användardatabasen 366 dagar efter senaste inloggningsuppdateringen.
• Loggar för tredjepartstjänster: 18 månader
• Bedömningar, beslut och förfrågningar: Sparas i 3 år

5. Underbiträden

6. Internationella överföringar

Personuppgifter lagras på servrar inom EES. Överföringar utanför EES regleras av skyddsåtgärder enligt kapitel V i GDPR, till exempel genom standardavtalsklausuler godkända av EU-kommissionen.

---

BILAGA 2: Säkerhetsåtgärder

Biträdet ska vidta och upprätthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter.

• Vårt kontor har passerkontroll, är bevakat och har 24/7 kameraövervakning.
• All åtkomst till datamiljöer styrs av IAM och loggas.
• Alla inloggningar kräver tvåfaktorsautentisering (2FA) och starka säkerhetsnycklar (Yubico).

Säkerhetskontroller vid programvaruutveckling:

• Säkerhetsfrågor är en viktig del av introduktionen för nyanställda.
• Utvecklare erbjuds säkerhetsutbildning via Google Cloud-certifieringar.
• Åtkomst till kodarkiv kräver alltid godkännande av en senior utvecklare.
• Lokal utveckling sker endast på bärbara datorer med krypterade diskar.
• All kod genomgår peer review (kollegial granskning).

Version 1.0 | Giltig från: 10.7.2025

Denna AI-policy beskriver Edudata.io:s engagemang för en ansvarsfull och etisk användning av artificiell intelligens (AI) i syfte att skydda elevernas integritet och säkerställa GDPR-efterlevnad för skolor inom EU. Edudata.io använder AI för att effektivisera och förbättra riskbedömningar av digitala tjänster som används inom utbildning. Det är viktigt att förstå att dessa AI-assisterade bedömningar ger rekommendationer och inte utgör bindande beslut. Det slutliga ansvaret för beslut vilar helt hos Kunden och dess utsedda beslutsfattare.

1. Vårt engagemang för ansvarsfull AI

Hos Edudata.io är vi dedikerade till att utveckla och distribuera AI-tekniker som ligger i linje med våra kärnvärden – integritet, säkerhet, transparens och ansvarsskyldighet. Vi förstår den djupa inverkan som digitala tjänster och AI har på barns integritet. Vi strävar efter att säkerställa att AI används som ett verktyg för att främja, inte äventyra, elevernas grundläggande rättigheter i den föränderliga digitala miljön. Vårt tillvägagångssätt styrs av tillämpliga regler, inklusive GDPR, EU:s AI-förordning (EU AI Act) samt bästa praxis för etisk AI-utveckling.

2. Syftet med AI på Edudata.io

AI är en integrerad del av Edudata.io:s process för att skapa omfattande riskbedömningar av digitala tjänster från tredje part. Specifikt är våra AI-system utformade för att:

• Analysera dokumentation: Behandla och extrahera relevant information från olika dokumentationer, inklusive integritetspolicyer, användarvillkor, personuppgiftsbiträdesavtal (DPA), AI-policyer och säkerhetspolicyer.
• Inkorporera expertkunskap: Dra nytta av insikter från tidigare mänskliga (juridiska rådgivare) riskbedömningar för samma tjänst för att förbättra AI-analysen och ge kontinuerlig förbättring.
• Stödja riskbedömning för integritet (GDPR-efterlevnad): Analysera och utvärdera viktiga aspekter av personuppgiftsbehandling i enlighet med GDPR.
• Stödja riskbedömning för säkerhet: Identifiera och utvärdera säkerhetsnivån för tredjepartstjänsten genom att analysera tekniska och organisatoriska åtgärder (TOMs) samt kontrollåtgärder mot obehörig åtkomst.
• Stödja bedömning av lämplighet för utbildning & marknadsföring: Utvärdera pedagogisk lämplighet och kommersiell påverkan, inklusive förekomsten av reklam riktad till minderåriga.
• Stödja bedömning av AI-användning i tredjepartstjänsten: Analysera leverantörens egen AI-användning, inklusive riskkategorier och mänsklig tillsyn enligt EU:s AI-förordning.

Obs: Vi använder inte AI för att behandla våra kunders personuppgifter.

3. Principer för AI-användning

Vår AI-verksamhet styrs av följande nyckelprinciper:

• Inbyggt dataskydd (Privacy by Design): AI-system utvecklas med dataskydd och integritet inbyggt från början.
• Säkerhet: Robusta säkerhetsåtgärder implementeras för tolkning och skydd av alla data som behandlas av AI-modeller.
• Transparens: Vi strävar efter öppenhet kring AI:s roll i vår riskbedömningsmetod och de kriterier som utvärderas.
• Mänsklig tillsyn: AI fungerar som ett kraftfullt verktyg, men Kunder och deras användare, juridiska experter och rådgivare behåller tillsynen. Kunden har beslutsfattandet över alla riskbedömningar.
• Rättvisa och icke-diskriminering: Våra AI-system är utformade för att bedöma tjänster objektivt och utan partiskhet för att säkerställa rättvisa utvärderingar.
• Efterlevnad: All AI-verksamhet följer strikt GDPR, nationella dataskyddslagar och andra tillämpliga regelverk.

4. Datahantering och integritet

Edudata.io hanterar data som används av dess AI-system med största omsorg:

• Indata: AI behandlar offentligt tillgänglig dokumentation och interna, tidigare mänskliga riskbedömningar. Vi anger inte medvetet personuppgifter om elever eller annan känslig information som indata till AI-modellerna.
• Databehandling: Data som skickas till AI-funktioner hanteras säkert. Vi samarbetar med etablerade AI-tjänsteleverantörer som erbjuder robusta dataskyddsgarantier och inte använder våra data för att träna sina modeller.
• Konfidentialitet: Kunder rekommenderas att undvika att inkludera konfidentiell eller känslig information i tillhandahållen dokumentation om det inte är nödvändigt för riskbedömningen.
• Uppgiftsminimering: Vi följer principen om uppgiftsminimering och ser till att endast nödvändiga uppgifter behandlas.

5. Mänsklig tillsyn och ansvarsskyldighet

AI på Edudata.io fungerar som en assisterande teknik som förstärker våra mänskliga experters förmågor:

• Expertvalidering: Varje AI-genererad riskbedömning eller rekommendation genomgår noggrann granskning och validering av Kunden och/eller Edudata.io-teamet.
• Beslutsfattande: Det slutliga beslut gällande en digital tjänsts lämplighet och tillhörande risker vilar helt på Kunden och dess beslutsfattare.
• Ansvarsskyldighet: Eftersom AI-modeller kan innehålla fel ligger ansvaret för att implementera en tjänst och säkerställa dess efterlevnad helt hos Kunden. Vi betonar att kunder måste utöva sin egen due diligence när de granskar rekommendationer från Edudata.io.

6. Noggrannhet och tillförlitlighet

Vi är engagerade i noggrannheten och tillförlitligheten hos våra bedömningar:

• Kontinuerlig utvärdering: Våra AI-modeller och deras resultat utvärderas regelbundet för noggrannhet, relevans och konsistens mot nya datamängder.
• Kvalitetssäkring: Vi implementerar rigorösa processer för kvalitetssäkring för att identifiera och korrigera eventuella felaktigheter eller partiskhet som kan uppstå vid AI-analys.
• Användargranskning: Vi betonar vikten av att granska de AI-genererade delarna och uppmuntrar kunder att samarbeta med våra experter för förtydliganden.

7. Efterlevnad och etiska överväganden

Edudata.io säkerställer att dess AI-policy och praxis uppfyller alla regler:

• GDPR: Vår AI-användning stöder fullt ut GDPR-efterlevnad vid riskbedömningar.
• Utbildningslagstiftning: Vi säkerställer att AI hjälper till att bedöma efterlevnad av specifik lagstiftning för utbildning, som reklamfria miljöer.
• Etisk AI: Vi följer etiska riktlinjer för AI-utveckling som fokuserar på nytta, att förhindra skada och främja förtroende för AI-system.

8. Kontinuerlig förbättring och övervakning

AI-området, digitala hot och lagstiftning utvecklas ständigt. Edudata.io har åtagit sig att:

• Uppdateringar: Uppdatera AI-modeller, metoder och policyer baserat på den senaste tekniken och lagstiftningen.
• Prestandaövervakning: Övervaka systemen för att säkerställa att de levererar högkvalitativa och tillförlitliga riskbedömningar.
• Feedbackintegrering: Inkorporera feedback från juridiska team, kunder och integritetscommunityt för att förbättra plattformen.

9. Användaransvar (för Edudata.io:s kunder)

Kunden har också ett ansvar:

• Granskning och verifiering: Kunder bör noggrant verifiera innehållet i riskbedömningarna så att det stämmer med deras specifika behov och sammanhang.
• Noggrann indata: Tillhandahålla korrekt dokumentation om tredjepartstjänster för att göra AI-analysen effektiv.
• Efterlevnad av policyer: Säkerställa att interna rutiner stämmer överens med rekommendationerna från riskbedömningarna.

10. Kontaktinformation

För frågor om Edudata.io:s AI-policy eller praxis, kontakta oss på: info@edudata.io

Applikation: edudata.io | Version: 1.0 | Status: Aktiv

1. Sammanfattning

På edudata.io inser vi att vår plattform hanterar mycket känslig information. Att säkra denna information är vårt grundläggande åtagande till de skolor och kommuner vi betjänar. Denna hvitbok beskriver hur vi skyddar data genom Privacy by Design och ISO 27001-anpassning.

2. Anpassning till ISO 27001:2022-ramverket

Vårt ledningssystem för informationssäkerhet (ISMS) är utformat för att ligga i linje med de strikta, globalt erkända standarderna i ISO/IEC 27001:2022. Vi arbetar aktivt mot en formell certifiering.

För att uppnå och bibehålla denna säkerhetsnivå vilar vårt ISMS på följande pelare:

• Omfattande policyramverk: Vår säkerhetsnivå styrs av en strikt hierarki av interna policyer, inklusive vår informationssäkerhetspolicy, policy för åtkomstkontroll, datahanteringspolicy, policy för säker utveckling och policy för hantering av tredje part.
• Kontinuerlig övervakning av efterlevnad: Vi använder Vanta som vår automatiserade plattform för kontinuerlig övervakning för att aktivt spåra efterlevnad mot kontrollramverken för ISO 27001:2013 och ISO 27001:2022 i realtid.
• Hantering av tillgångars livscykel: Vi upprätthåller ett strikt register över alla informationsrelaterade och fysiska tillgångar. Alla organisationstillgångar genomgår obligatorisk spårning från driftsättning till avveckling och återlämnande (kontrollerna AST-4 till AST-9).
• Gemensamt ansvar: Informationssäkerhet är ett samarbete. Alla anställda och underentreprenörer genomgår säkerhetsutbildning och är bundna av strikta avtal om acceptabel användning och sekretess.

3. Infrastruktur- och nätverkssäkerhet

Vi använder en molnarkitektur av företagsklass för att säkerställa hög tillgänglighet, redundans og dataskydd.

• Molnhosting och fysisk säkerhet: Plattformen edudata.io hostas på Google Cloud Platform inom Europeiska ekonomiska samarbetsområdet (EES). Vi förlitar oss på vår molnleverantörs ISO 27001-certifierade datacenter för fysisk säkerhet i världsklass, inklusive biometriska åtkomstkontroller, 24/7-övervakning och skydd mot miljöhot.
• Nätverkssäkerhet och härdning: Vår understödjande infrastruktur uppdateras och härdas rutinmässigt mot säkerhetshot som en del av våra schemalagda underhållsprotokoll (kontroll VPM-38). Vi använder isolerade virtuella nätverk, säkerhetsgrupper och strikt konfigurerade brandväggar för att minimera vår externa attackyta.
• Datakryptering:
  • Under överföring (In Transit): Alla data som överförs mellan klientenheter och våra servrar, samt internt mellan mikrotjänster, krypteras med TLS 1.2 eller högre.
  • Vid vila (At Rest): Alla persistenta lagringsutrymmen, databaser och säkerhetskopior krypteras vid vila med AES-256. Dessutom är alla företagsutfärdade enheter som används av vår personal säkrade med fullständig hårddiskkryptering (Full Disk Encryption) för att eliminera risken för dataåterställning vid förlust eller stöld.
• Tillfällig lagring (Ephemeral Storage): Tillfälliga filer (t.ex. IaaS /tmp-lagring) förstörs automatiskt så snart den tillhörande beräkningsprocessen avslutats.

4. Åtkomstkontroll och identitetshantering

Att skydda åtkomsten till våra system hanteras genom en strikt Zero Trust-metod, vilket säkerställer att användare och intern personal endast har åtkomst till de data som är nödvändiga för deras roller.

• Rollbaserad behörighetskontroll (RBAC): Vi tillämpar principen om minsta möjliga behörighet (Principle of Least Privilege) i hela vår organisation. Som standard är all systemåtkomst förbjuden. Åtkomsträttigheter beviljas uteslutande baserat på legitima affärsbehov och utvärderas kontinuerligt.
• Identitetsverifiering och MFA: Administrativ åtkomst till produktionsmiljöer och root-konton kräver mycket komplexa, roterade lösenord tillsammans med obligatorisk multifaktorautentisering (MFA).
• Källkod och immateriella rättigheter: Åtkomst till programmets källkod, design och valideringsplaner är strikt kontrollerad, loggad och granskad. Detta förhindrar obehöriga funktionella ändringar och skyddar integriteten för vår livscykel för programvaruutveckling.
• Onboarding och offboarding av personal: Behörighetstilldelning kontrolleres strikt av HR och vår säkerhetsansvarige. Vid upphörande av anställning eller kontrakt måste alla fysiska tillgångar återlämnas, och all systemåtkomst återkallas omedelbart.

5. Datasekretess och datastyrning

För att effektivt skydda kunddata tillämpar vi en strikt datahanteringspolicy som styr hur information klassificeras, hanteras och kasseras på ett säkert sätt.

• Dataklassificering: Vi kategoriserar information i tre nivåer, där Kunddata och personuppgifter (PII) klassificeras som konfidentiella (Confidential). Konfidentiella data kräver högsta skyddsnivå, strikta åtkomstbegränsningar och godkännande av företagsledningen eller datagaranten före all extern delning.
• Fleranvändarsystem och logisk separation: Kundmiljöer och databaser är strikt separerade för att förhindra dataläckage mellan olika skoldistrikt. Firestore-databaserna är logiskt uppdelade genom Google Cloud-projektkonfigurationer, vilket säkerställer isolerade säkerhetsgränser.
• Datalagring och radering: Vi följer följande lagrings- och raderingsscheman för att efterleva GDPR-principen om dataminimering:
  • Kunddata: Raderas säkert inom 90 dagar efter att avtalet har upphört.
  • Säkerhets- och händelseloggar: Loggar för moln- och värdinstanser lagras i 1 år för att underlätta kriminalteknisk revision, medan lokala säkerhetsloggar lagras på obestämd tid.
  • Tillfälliga filer: Tillfälliga data raderas automatiskt när processen slutförts.

6. Hantering av sårbarheter och incidenter

Vi utgår från antagandet att hotbilden ständigt utvecklas. Därför har vi etablerat proaktiva övervaknings- och snabbinsatsmekanismer.

• Hantering av sårbarheter och uppdateringar: Vi samlar kontinuerligt in och utvärderar information om tekniska sårbarheter (kontroll VPM-3). Vår infrastruktur uppdateras rutinmässigt, och våra verktyg för sårbarhetshantering skannar aktivt våra miljöer. Sårbarhetsdata för värdar sparas tills den underliggande tillgången har tagits bort och raderats.
• Penetrationstestning: Vi genomför årligen strikta, oberoende säkerhetsbedömningar och penetrationstester tillsammans med betrodda, certifierade cybersäkerhetsföretag från tredje part.
• Incidenthanteringsplan: Vi upprätthåller en formaliserad incidenthanteringsplan (Incident Response Plan) som hanteras av vår säkerhetsansvarige.
  • Rapportering och prioritering: Säkerhetshändelser eskaleras omedelbart och kategoriseras efter allvarlighetsgrad.
  • Begränsning och åtgärdande: Vid en indikation på intrång (Indicator of Compromise, IOC) – såsom onormal kontoaktivitet eller inaktiverad loggning – följer vårt insatsteam strikta rutiner. Åtgärder inkluderar att omedelbart kontakta molnsupport, rotera root-lösenord/nycklar och återkalla skrivbehörigheter för att stoppa hotet ("stoppa blödningen").
  • Utvärdering efter incident (Post-Mortem): Varje säkerhetsincident avslutas med en grundlig rotkärnsanalys (Root-Cause Analysis). Vi dokumenterar resultaten, åtgärdar underliggande strukturella problem och uppdaterar våra rutiner för att förhindra framtida upprepningar.

Denna tillgänglighetsredogörelse omfattar endast tjänsten privacy.edudata.io (Edudata Privacy Application (PWA)) | Uppdaterad: 19/05/2026 | Mål: WCAG 2.1 Level AA / EN 301 549

1. Status för överensstämmelse

Denna redogörelse avser uteslutande den offentliga tjänsten privacy.edudata.io, vilken är plattformens enda slutanvändargränssnitt. Baserat på bedömningen den 23/12/2025 är denna applikation är partiellt kompatibel med WCAG 2.1 Level AA-standarderna.

2. Otillgängligt innehåll (Kända brister)

De funktioner som listas nedan är för närvarande inte tillgängliga, men åtgärder pågår eller är planerade:

• A. Möjlighet att uppfatta (Visuellt) - Kontrastbrist (WCAG 1.4.3): Platshållartext i formulärfält (inloggning, profil) låg tidigare under kontrastförhållandet 4.5:1 mot bakgrunden. Åtgärdad
• B. Hanterbarhet (Navigering) - Fokusstyrning (WCAG 2.4.3): Bekräftelsedialoger (modaler) låser för närvarande inte tangentbordsfokus. Detta gör att tangentbordsanvändare kan navigera bakom den öppna dialogen. Pågår
• C. Begriplighet (Kod & etiketter) - Anpassade reglage (WCAG 4.1.2): Reglagen för sekretessinställningar saknar attributen role="switch" och aria-checked. Skärmläsare kan för närvarande inte meddela om en inställning är "På" eller "Av". Planerad

3. Åtgärdsplan (Efterlevnadsplan 2026)

För att uppfylla kraven på universell utformning i den europeiska tillgänglighetslagen (EAA) har vi åtagit oss följande utvecklingstidslinje:

4. Strategi för verifiering & certifiering

• Nuvarande status: Självbedömning (teknisk & expertrevision).
• Framtida validering: För att anpassa oss till kommunala krav på oberoende verifiering har vi schemalagt en tillgänglighetsrevision av tredje part (VPAT/ACR) som ska utföras efter att åtgärdspunkterna ovan har slutförts.
• Måldatum för revision: Kv4 2026 (november).

5. Feedback och kontaktinformation

Om du stöter på tillgänglighetshinder eller behöver information i ett alternativt format för att utöva dina rättigheter enligt GDPR, vänligen kontakta oss:

E-post: info@edudata.io
Svarstid: Vi strävar efter att svara inom 7 arbetsdagar.

6. Tillsynsförfarande

Om du inte är nöjd med det svar du får från oss angående din tillgänglighetsbegäran kan du kontakta den relevanta tillsynsmyndigheten i din jurisdiktion:

• Finland: ESAVI
• Sverige: DIGG
• Norge: Uu-tilsynet