Datasikkerhed

Vi tager ansvar

Som udbyder af en matematikportal til skoleverdenen påtager EduLab sig et ansvar for, at vores brugere trygt kan færdes på portalen og være sikre på, at vi passer på deres data.

Vi har gjort dataetik og datasikkerhed til et af vores flagskibe og påtager os dermed et ansvar. Det gælder, at alle dvs. både lærere, elever, skoleledere og forældre skal kunne føle sig trygge i MatematikFessors digitale læringsunivers. 

Vil du læse mere om vores privatlivspolitik for portalen, kan du finde den på MatematikFessor.dk.

Vi arbejder på at leve op til ansvaret ud fra vores dataetiske retningslinjer. Vi har desuden ladet os certificere af de statsautoriserede it-revisorer, REVI-IT, og har en ISAE 3000 erklæring på, at vi efterlever kravene i GDPR. 

Og mere end det faktisk.

Tjekliste til datasikkerhed i undervisningen

Hver gang en elev logger på en digital tjeneste, efterlades der en sti af dataspor. Det er data, der kan afsløre personlinge oplysninger om det enkelte barn.

Red Barnet og EduLabs tjekliste er til skoler, der vil sikre sig, at de kun bruger tjenester, som behandler elevernes data ansvarligt.

Hvis virksomheden bor i Europa, skal den efterleve GDPR og anden europæisk datalovgivning. Europa sætter traditionelt beskyttelsen af privatliv højere end resten af verden. Er du i tvivl om virksomhedens hjemland, kan du altid kontakte tjenestens support.

Koster det penge at bruge servicen? Nogle gange betaler du ikke med penge, men med elevernes data (fx lokation, kontakter, beskeder). Oplysningerne kan være værdifulde for virksomheden selv eller andre, der vil have adgang til eleverne for at sælge varer eller påvirke deres meninger.

Hvis tjenesten er gratis, så spørg dig selv, hvad virksomhedens motivation er for at forære sit produkt væk. Er tjenesten gratis og uden højere formål? Så er data om eleverne sandsynligvis din betaling – data, som kan sælges til fx firmaer.

Du kan være mere rolig, hvis du tilbydes undervisningsmateriale, der er finansieret af en almennyttig organisation med et samfundsansvarligt formål, fx Røde Kors.

Dataindsamling tjener mange gode formål. Dels kan data være nødvendige, for at lærere kan identificere deres elever og følge deres progression. Dels kan vi med afsæt i data blive klogere på fx børns læring og udvikling.

Det er vigtigt, at brugere af en tjeneste ved, hvad data bliver brugt til og er indforstået med formålet. Data til analyseformål behøver ikke at være personhenførbart.

Et eksempel: Det er i orden at måle tendenser, fx at 7. klasses elever på landsplan er blevet dårligere til procentregning. I den sammenhæng er det ikke vigtigt hvem det er. Data skal være anonymiseret, når man kigger på tendenser.

Du kan vurdere en virksomheds vilje til at beskytte persondata ved at stille følgende spørgsmål:
Gennemsigtighed: Fremgår det tydeligt, hvilke data der indsamles, og hvad data anvendes til?
Data til andre formål: Indsamles der data, der ikke er direkte nødvendige for formålet?
Adgang til data: Fremgår det, hvem der har adgang til det indsamlede data?
Videresalg af data: Giver du virksomheden ret til at videresælge elevernes data?
Adgang og sletning af data: Fremgår det, hvordan I gør, hvis eleven vil have indsigt i eller slette sine data?

Er der reklamer på tjenesten? Eller har virksomheden en dataetik, der blokerer reklamer? Anvendes cookies til at manipulere eleverne med, eller bruges de kun til tekniske formål? Anvendes der SoMe-plugins?

I så fald vil tjenesten dele sin data med fx Facebook eller Snapchat, og eleven kan derefter på sin profil møde reklamer, der er udløst af, at han har brugt tjenesten.

Når en skole anvender en tjeneste i undervisningen, skal dataejerskabet defineres: Er det skolen, der ejer elevernes data, eller er det tjenesten? Hvis skolen ikke ejer data, betyder det, at data overdrages til tjenesten. Det er fx tilfældet med Facebook, der ejer den data, som eleverne lægger op.

Hvis skolen ejer data, skal der tegnes en databehandleraftale med tjenesten. Databehandleraftalen er en aftale om, hvordan databehandleren (fx MatematikFessor) må behandle oplysninger på den dataansvarliges (skolens) vegne og til hvilke formål.

Med databehandleraftalen forpligter databehandleren sig bl.a. til at behandle personlige oplysninger efter nøje instrukser. Det sikrer, at databehandleren kan yde tilstrækkelig omhu og sikkerhed omkring behandlingen af de følsomme data.

Ligesom det kan være svært at vurdere hygiejnen på en restaurant, kan det også være vanskeligt at gennemskue en tjenestes datasikkerhed.

På restauranten kan du kontrollere Levnedsmiddelstyrelsens smileyordning. På IT-tjenester er du godt hjulpet, hvis tjenesten har fået lavet en uvildig sikkerhedserklæring uden kritiske anmærkninger.

Afspil video
Afspil video

Vores dataetiske retningslinjer

Vi arbejder løbende på at leve op til vores ansvar ud fra vores dataetiske retningslinjer, der lyder som følgende:

  • Vi forholder os kritisk til, at alle data skal tjene det formål at gøre skolebørn bedre til matematik.
  • Vi sælger under ingen omstændigheder personlige oplysninger til 3. part.
  • Vi deler kun data med vores sparringspartnere i det omfang, det er sikkert og relevant.
  • Vi arbejder sammen med forskningsverdenen, der dog kun får data fra os i pseudo-anonymiseret form. Alle aktive forskere underskriver en ”non-disclosure agreement” – dvs. at de skriver under på ikke at misbruge den fortrolige viden, de får adgang til.
  • Vi har dataansvars- og databehandleraftaler for at sikre din data bedst muligt.
  • Vi ønsker at skabe transparens omkring vores data – hvad vi gør med dem, hvor længe vi gemmer dem, og hvem der har adgang til dem, inkl. at oplyse vores brugere om, hvilke rettigheder og muligheder de har.
  • Vi lægger ikke reklamer på vores portal – hverken for egne eller andres produkter. Lærere får dog information via portalens digitale lærerværelse om nye tiltag og egne produkter i det omfang, det er relevant for deres undervisning.
  • Vi bruger ikke SoMe-plugins på MatematikFessor – dette for at sikre, at de sociale medier ikke kan få adgang til portalens data.
  • Vi behandler din data med stor omhu og sørger for, at du trygt kan navigere rundt på vores websites

Datasikkerhed

GDPR omhandler beskyttelse af individets data. Forordningen har til sigte at harmonisere reglerne på tværs af EU og skærpe de forpligtelser, der påligger databehandlere (producenter af digitale læremidler) og dataansvarlige (skoler og institutioner).

Det primære mål med GDPR er at sikre borgernes kontrol over deres persondata og forenkle lovgivningen vedrørende international handel ved at ensrette love og regelsæt.

Vores REVI-IT-certificering er netop en blåstempling af, at vi lever op til GDPR-forordningen.

Når skoler eller kommuner tegner abonnement på MatematikFessor, skal der samtidig indgås en lovpligtig databehandleraftale. Databehandleraftalen redegør for, hvordan EduLab behandler de persondata, der er på MatematikFessor. 

EduLabs Databehandleraftale er baseret på KOMBIT og KL skabelon men tilpasset, så den beskriver, hvordan EduLab behandler dataen.

I forlængelse af databehandleraftalerne har UNI-C skærpet adgangen til oplysninger om skoler og elever hos UNI-C.

For at benytte MatematikFessor skal skolens UNI-C administrator ved samme lejlighed via UNI-LOGIN godkende en dataaftale. Den giver EduLab tilladelse til at indsamle de nødvendige data om skolen, klassen og brugerne.

Medlem af DataEthics

Vi er medlem af DataEthics, en tænkehandletank, der arbejder for at fremme dataetiske produkter og tjenester. DataEthics skaber viden, samarbejder og rådgiver om dataetik og dataanvendelse.

Vil du vide mere?

Langt de fleste kommuner har rekvireret en Databehandleraftale med EduLab. Er du en af de få som mangler, kan du henvende dig til Hanne, som er klar til at hjælpe dig i mål.

Har du spørgsmål i forbindelse med Databehandleraftalen eller Dataaftalen, er det også Hanne, som du er velkommen til at kontakte.

HANNE MADSEN

Salgskoordinator