Databehandleraftale (DPA)

Den dataansvarlige er den institution (skole, kommune, dagtilbud eller anden uddannelsesinstitution) der opretter en konto på Skolestarter og giver elever/børn adgang til platformen.

Databehandleren er:

Skolestarter
CVR-nr.: 33809328
Baltorpvej 245, st. 1
2750 Ballerup
Email: partnerskaber@skolestarter.dk

Databehandleren stiller en digital læringsplatform til rådighed for den dataansvarlige, så elever/børn kan løse opgaver tilpasset deres klassetrin og udviklingstrin. Som led heri behandler databehandleren personoplysninger om eleverne på vegne af den dataansvarlige.

Karakter: Indsamling, opbevaring, sammenstilling og analyse af læringsfremskridt med henblik på adaptiv tilpasning af opgaver og rapportering til lærer/pædagog.

Omfang: Begrænset til hvad der er nødvendigt for at levere tjenesten.

Varighed: Fra kontooprettelse til ophør af abonnementet. Data slettes senest 90 dage efter ophør, dog således at den dataansvarlige kan anmode om sletning eller eksport på ethvert tidspunkt.

Følgende almindelige personoplysninger behandles:

• Elevens fornavn (eller pseudonym)
• Klassetrin
• Valgt avatar
• Læringsdata (besvarelser, tidsforbrug, fremskridt)
• Lærerens/pædagogens navn og email-adresse (kontoinformationer)

Følsomme oplysninger: Behandles ikke. Platformen indsamler ikke oplysninger om religion, sundhedsmæssige forhold, etnisk oprindelse eller andre særlige kategorier af persondata iht. GDPR art. 9.

• Elever/børn i førskole til 3. klasse
• Lærere, pædagoger og administrativt personale
• Forældre der inviteres til at se barnets fremskridt

Databehandleren behandler alene personoplysninger efter dokumenteret instruks fra den dataansvarlige, jf. GDPR art. 28, stk. 3, litra a). Den dataansvarliges instruks fremgår af denne aftale og af brugen af platformens funktioner.

Hvis databehandleren mener en instruks er i strid med GDPR eller anden databeskyttelseslovgivning, underretter databehandleren straks den dataansvarlige.

Databehandleren implementerer passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger, jf. GDPR art. 32:

• HTTPS/TLS-kryptering på alle forbindelser
• Adgangskoder hashes med scrypt (memory-hard algoritme)
• PIN-koder hashes med PBKDF2-SHA256 (200.000 iterationer)
• HTTP-only signerede session-cookies
• Rate-limiting på login og følsomme handlinger
• Audit-log af alle sikkerhedsrelevante handlinger
• Automatisk soft-delete + permanent sletning efter 30 dages grace-periode
• Adgang til produktionsmiljøet er begrænset til navngivne personer med 2-faktor-autentifikation
• Backup af database (Postgres) gemmes EU-internt med 7 dages retention
• Sentry-fejlovervågning er konfigureret med sendDefaultPii: false — der sendes ikke email, IP eller andre identificerende oplysninger

Databehandleren anvender følgende underdatabehandlere. Den dataansvarlige giver hermed generel forhåndstilladelse til disse, jf. GDPR art. 28, stk. 2.

Ved ændring af underdatabehandlere underretter databehandleren den dataansvarlige skriftligt med mindst 30 dages varsel. Den dataansvarlige kan gøre indsigelse, og hvis indsigelsen ikke løses, kan den dataansvarlige opsige aftalen uden bindingsperiode.

For underdatabehandlere uden for EU/EØS sker overførsel på grundlag af EU-Kommissionens standardkontraktbestemmelser (Standard Contractual Clauses, SCC) suppleret med tekniske sikkerhedsforanstaltninger (kryptering i transit og hvile).

Persondata om elever opbevares primært i Neon's Frankfurt-region (EU). Stripe og Resend har EU-præference med fallback til USA. Ingen følsomme persondata sendes til tredjeland.

Databehandleren bistår den dataansvarlige med at opfylde sine forpligtelser efter GDPR art. 32-36, herunder ved:

• Besvarelse af anmodninger fra registrerede (indsigt, sletning, dataportabilitet osv.)
• Underretning om brud på persondatasikkerheden inden for 24 timer efter at databehandleren er blevet bekendt med bruddet
• Bistand med konsekvensanalyse (DPIA) hvis den dataansvarlige anmoder herom

Den dataansvarlige har ret til én gang årligt at få revideret databehandlerens overholdelse af denne aftale. Revisionen kan foretages på følgende måder:

• Skriftlige spørgsmål besvaret af databehandleren
• Tilsynsrapport fra anerkendt tredjepart (fx ISO 27001)
• Fysisk audit på databehandlerens lokation efter forudgående skriftlig aftale (rimelige omkostninger afholdes af den dataansvarlige)

Databehandleren underretter den dataansvarlige uden unødig forsinkelse og senest inden for 24 timer efter at være blevet bekendt med et brud på persondatasikkerheden. Underretningen indeholder:

• Karakteren af bruddet
• Hvilke data og registrerede der er berørt
• De sandsynlige konsekvenser
• De foranstaltninger der er truffet eller foreslås truffet

Ved aftalens ophør sletter eller tilbageleverer databehandleren alle personoplysninger til den dataansvarlige efter dennes valg. Sletning sker senest 90 dage efter ophør, medmindre opbevaring er påkrævet ved lov.

Den dataansvarlige kan til enhver tid anmode om eksport af alle data i maskinlæsbart format (JSON eller CSV).

Databehandlerens samlede erstatningsansvar over for den dataansvarlige er begrænset til det beløb den dataansvarlige har betalt for tjenesten i de seneste 12 måneder forud for hændelsen. Begrænsningen gælder ikke ved grov uagtsomhed eller forsæt.

Aftalen træder i kraft ved den dataansvarliges accept af erhvervsvilkårene og er gældende så længe abonnementet løber. Aftalen kan opsiges af den dataansvarlige med 30 dages varsel. Ved opsigelse af abonnementet bortfalder aftalen automatisk efter sletning af alle data.

Aftalen er underlagt dansk ret. Tvister afgøres ved Sælgers værneting i Danmark.