Personvern og datasikkerhet
Tjenesten er et trygt og sikkert alternativ til digital kommunikasjon mellom elever og skolens ressurspersoner. Vi er særlig opptatt personvern og databehandling, og følger strenge sikkerhetsmessige krav.
Strenge krav til personvern
Vi tar personvern og sikkerhet på alvor, derfor har vi utviklet en trygg applikasjon som oppfyller alle sikkerhetsmessige krav. Vår behandling av personopplysninger, er i overensstemmelse med et til enhver tid gjeldende personvernregelverk.
I dag vet vi at e-post og SMS er kommunikasjonskanaler som ikke gjør det mulig å ivareta elevenes og/eller hjelpernes personvernsikkerhet og datalagring på en tilfredsstillende måte – derfor trengs Elevtjenesten. Den er en trygg og sikker kommunikasjonskanal.
Tjenesten kan brukes både som applikasjon (på iPhone og Android) eller via nettleser/desktop. Vi er et norskeid selskap som derav også plikter til å følger strenge standarder blant annet innen krav til databehandling og sletterutiner for oppbevaring av data.
Vi gjør stadig omfattende risikovurderinger av tjenesten. Vi har også gjennomført en vurdering av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) som skal sikre at personvernet til de som er registrert i løsningen ivaretas.
Vi har fulgt Datatilsynet sin veileder og sjekkliste for DPIA, og gjort en omfattende analyse av tjenestens håndtering av følgende:
- Systematisk beskrivelse av behandlingen
- Nødvendighet og proporsjonalitet
- Risiko for de registrertes rettigheter og friheter
- Ledelsens validering av DPIA
For å ivareta kravene til god ivaretakelse av personvern og databehandling skal Kopling alltid sørge for å:
- Ha et bevisst forhold til virksomhetens sikkerhetsmål og målenes viktighet
- Vite hvilke typer av informasjon vi behandler og hvilke krav som stilles til deres egen informasjonsbehandling og bruk av IKT
- Etterleve krav, retningslinjer, prosedyrer, rutiner m.v. som gjelder for dem og det arbeidet vi utfører. Vi har tydelige kontrakter for avklaring av databehandling med våre kunder, og hvem som er ansvarlig eier for gitt data.
- Årlig revidere håndbok for internkontroll og ivaretakelse av personvern (DPIA) for å oppdatere og forsterke internsystemer og rutiner til det beste for våre brukeres personvernssikkerhet.
Tjenestens behandling av informasjon skal være i samsvar med regulatoriske, interne og avtalerettslige krav til informasjonssikkerhet. Personopplysninger og annen beskyttelsesverdig informasjon skal sikres på en betryggende måte gjennom fysiske, tekniske og organisatoriske tiltak.
Vi har klare retningslinjer for internkontroll og ivaretakelse av personvern, og forteller gjerne med om hvordan vi systematisk arbeider for å være en trygg og sikker tjeneste gjennom blant annet:
- Sletterutiner for datalagring
- Rutiner for kontroll/tilsyn
- Varslingsrutiner og beredskapsplan
- Behandlingsansvarlig og databehandler
- Taushetserklæring og oppfølging av ansatte
- Sikkerhetsrevisjon og egenkontroll
- Avvikshåndtering
- Fysisk sikkerhet og tiltak