ENISA sikkerhedsforanstaltninger

Lindhardt og Ringhof (L&R) har et mål om organisatoriske og tekniske foranstaltninger der svarer til den samlede risikovurdering på Medium i forhold til ENISA metoden.

Følgende sikkerhedsforanstaltninger afviger fra målet, og der er iværksat nedenstående handlinger og specielle procedurer.


 Målkategori
 
ID ENISA Målbeskrivelse   Status og mitigerende handling


 Logning og overvågning


L.1


Logfiler skal aktiveres for hvert system / applikation, der bruges til behandling af personoplysninger. De bør omfatte alle typer adgang til data (visning, ændring, sletning).

 


Dette er kun delvist på plads i L&Rs ældre læremidler med persondata. Dette omfatter Stavevejen og Mitformat. Begge produkter har planlagt EOL (End-of-live) i 2024.


 Logning og overvågning


L.2


Logfiler skal være tidsstemplet og tilstrækkeligt beskyttet mod manipulation og uautoriseret adgang. Ure skal synkroniseres med en simpel referencetid

 


Dette er ikke på plads i L&Rs ældre læremidler med persondata. Dette omfatter Stavevejen og Mitformat. Begge produkter har planlagt EOL (End-of-live) i 2024.

 

 

Data og retention perioder i læremidler

Følgende læremidler er omfattet af databehandleraftalen med tilhørende data og retention perioder.


 Digitale læremidler
 
  Persondata   Data retention


Licenssystem og Single-Sign-On
Håndtering af brugere og adgange.


 


STILs lille datapakke: Navn, Klasse, Institution, Email, Type (Lærer, Elev)…

 


Data slettes efter max 6 mdr. når bruger ikke længere kommer fra STIL


Portaler
Alle Alineas portaler til alle klassetrin/fag med en række forskellige undervisningsforløb.


 


Data er pseudonymiseret. Kun et internt brugerID gemmes i databasen.
Elev input data: Validerbare og ikke-validerbare opgave-besvarelser.

 


Når bruger ikke længere sendes fra STIL slettes brugerID og data anonymiseres.


Onlineprøver
Alle Alineas onlineprøver til at teste elevernes færdigheder i lytning, læsning, sprog og sprogbrug og skriftlig fremstilling.


 


Data er pseudonymiseret. Kun et internt brugerID gemmes i databasen.
Elev input data: Validerbare opgavebesvarelser.

 


Når bruger ikke længere sendes fra STIL slettes brugerID og data anonymiseres.


Camp-produkter
Alineas træningsprodukter til dansk, matematik og sprog. Herunder CampMat, CampEngelsk og CampStavning.


 


Data er pseudonymiseret. Kun et internt brugerID gemmes i databasen.
Elev input data: Validerbare opgavebesvarelser.

 


Når bruger ikke længere sendes fra STIL slettes brugerID og data anonymiseres.


i-bog
Alm. ebøger til alle fag/klassetrin


 


Data er pseudonymiseret. Kun et Unilogin ID og IP-adresse gemmes i databasen.
Elev input data: Elever kan bogmærke, tegne og lave noter. Intet validerbart indhold.

 


Data slettes årligt på de brugere som ikke længere har adgang.


Træning: ”Den første læsning”
App med simple spil for indskoling.


 


Trin 0: Data er pseudonymiseret. Kun et bruger ID gemmes i databasen.
Trin 1+2: Navn, Klasse, Institution

 


Trin 0: Som ved ”Portaler”
Trin 1+2: Data på inaktive elever slettes årligt.


Træning: Matematikfessor
Matematiktræning til alle klassetrin


 


Data som gemmes: Unilogin ID, Navn, fødselsdato, e-mail, klasse og institution. STILs mellem datapakke. 
Elev input data: Validerbare og ikke-validerbare opgavebesvarelser.

 


Data anonymiseres én gang årligt på de brugere som ikke længere har adgang.


Træning: Diverse med EOL (end-of-life) planlagt
Stavevejen og Mitformat.dk


 


Data som gemmes: Unilogin ID, Navn, klasse og institution.
Elev input data: Validerbare og ikke-validerbare opgavebesvarelser.

 


Data slettes efter max 6 mdr. når bruger ikke har adgang længere.


Ressource sites til grundsystemer
Diverse websites til grundsystemer (“Har du bog, har du web!”) med diverse digitale ressourcer, fx format.alinea.dk, PraktiskSprog m.fl.


 


Data er pseudonymiseret. Kun et internt brugerID gemmes i databasen.
Elev input data: Validerbare og ikke-validerbare opgavebesvarelser.

 


Når bruger ikke længere sendes fra STIL slettes brugerID og data anonymiseres.

 

Underdatabehandlere

Følgende underdatabehandlere er omfattet af databehandleraftalen med tilhørende risikovurdering og databeskyttelse.


 Underdatabehandler
 
  Databehandling og persondata   Datalokation og beskyttelse


Sentia A/S
CVR: 10008123
Lyskær 3A, DK-2730 Herlev, Danmark


 


Hosting af digitale læremidler, herunder vedligehold af servere, backup, sikkerhed mv. Hosting sker i deres hostingcenter i Danmark.

Persondata: Elever og lærere: Navn, Unilogin brugernavn, email (ved servicepermission), klasse og institution.

 


Sentia hostingcenter i Danmark.


Microsoft Denmark ApS, (Azure West Europe Region)
CVR: 13612870
Microsoft Datacenter Holland, Agriport 601, Middenmeer, Netherlands


 


Hosting af digitale læremidler, herunder vedligehold af servere, backup, sikkerhed mv. 

Persondata: Elever og lærere: Navn, Unilogin brugernavn, email (ved servicepermission), klasse og institution.

 


Azure datacenter i EU (Amsterdam, Holland)

Data er krypterede fra det øjeblik de bliver afleveret til L&R, når de transmitteres, og når de lagres i L&Rs læremidler/brugerstyring og helt frem til brugerens browser eller app. Nøglerne til krypteringen er, hvor muligt, egne nøgler og kan dermed ikke tilgås af uvedkommende.

L&R benytter kun Core Online Services ifbm. persondata, hvilke kontraktuelt forpligter til at data forbliver i EU. Data at rest er placeret i EU og er krypteret med ”FIPS 140-2 validated cryptographic module”. Data in transit er krypteret ved brug af TLS.

Customer Lockbox er aktiveret for at sikre kontrol med hvilke lokationer der kan tilgå data i forbindelse med supportsager.

I relation til myndighedsanmodniner er der udarbejdet en risikovurdering som kan udleveres ved forespørgsel.


Egmont IT
CVR: 11456111
Vognmagergade 11, 1148 København K


 


Drift af Lindhardt og Ringhofs løsninger på Microsoft Azure, herunder administration af miljøer, overvågning, brugeradministration mv.

Persondata: Elever og lærere: Navn, Unilogin brugernavn, email (ved servicepermission), klasse og institution.

 


Azure datacenter i EU (Amsterdam, Holland)
Se beskrivelse ved "Microsoft Denmark ApS".


Dixa ApS
CVR: 36561009
Vimmelskaftet 41A, 1 Sal., 1161 Copenhagen S


 


Sagsstyringssystem til håndtering af kundehenvendelser.

Persondata: Brugerens kontaktinformationer ved henvendelse til kundeservice - typisk mail, navn og telefonnummer.

 


AWS datacenter i EU (Frankfurt, Tyskland)
Data er beskyttet med AWS Key Management Service (KMS) og krypteringsnøglen ligger hos Dixa.

AWS KMS er designet, så ingen, inklusive AWS-medarbejdere, kan hente nøgler fra tjenesten. Nøgler transmitteres aldrig uden for den AWS-region, hvor de blev oprettet, og kan kun bruges i den region, hvor de blev oprettet.


Sii Sp. z o.o 
CVR: 140381516
al. Niepodległości 69, 02-626 Warszawa, 3rd floor, Metron building


 


Udvikling og support af licenssystem.

Persondata: Leverandører får i perioder adgang til produktionsdata i forbindelse med vedligehold og fejlsøgning.

 


Azure datacenter i EU (Amsterdam, Holland)
Se beskrivelse ved "Microsoft Denmark ApS".



Version 3: 14-02-2022, LRITOL
Version 2: 16-12-2021, LRITOL (se tidligere version)
Version 1: 01-03-2021, LRITOL (se tidligere version)