BILAGA 1 – UPPGIFTER SOM SKA LÄMNAS FÖRE ANSLUTNINGEN

bilagor


1 (9)






x.x.2021

OPH-xx-2021












BILAGA 1 – UPPGIFTER SOM SKA LÄMNAS FÖRE ANSLUTNINGEN



1.1 Utredning för anslutning som hemorganisation


Innan medlemmen kan börja verka som hemorganisation ska den lämna Utbildningsstyrelsen följande uppgifter:


Kontaktuppgifter

  • Den administrativa kontaktpersonens namn, telefonnummer och e-postadress

  • Den tekniska kontaktpersonens namn, telefonnummer och e-postadress

  • Dataskyddsombudets namn, telefonnummer och e-postadress


1.2 Utredning för anslutning som tjänsteleverantör


Innan medlemmen kan börja verka som tjänsteleverantör ska den lämna Utbildningsstyrelsen följande uppgifter:


Kontaktuppgifter

  • Den administrativa kontaktpersonens namn, telefonnummer och e-postadress

  • Den tekniska kontaktpersonens namn, telefonnummer och e-postadress

  • Dataskyddsombudets namn, telefonnummer och e-postadress


Tjänster som kopplas till identifieringstjänsten

  • Tjänster som slutanvändaren kommer att erbjudas via förtroendenätet

  • Specificerade enligt tjänst

    • Beskrivning av tjänsten och hur den stöder anordnandet av undervisning eller utbildning

    • Länk till tjänsteleverantörens sida

    • Beskrivning av behandlingen av personuppgifter i tjänsten

    • Åtgärder som behövs för att tjänsten ska kunna användas på behörigt sätt, vid behov

    • Länk till användarvillkor som binder slutanvändarna

  • Länk till offentligt tillgängliga registerbeskrivningar, dataskyddsbeskrivningar eller andra dokument där behandlingen av personuppgifter beskrivs












BILAGA 2 – MEDLEMS- OCH INFORMATIONSSÄKERHETSKRAV


I denna bilaga redogörs för informationssäkerhetskraven för medlemmarna i förtroendenätet.


2.1 Informationssäkerhetskrav som är gemensamma för alla


Ansvariga aktörer

  • Medlemmen har en ansvarsperson som ansvarar för informationssäkerhetsfrågor, såsom ett dataskyddsombud, som har både förmåga och befogenheter att lindra, dämpa eller begränsa konsekvenserna av kränkningar av informationssäkerheten i organisationen.

Att förebygga kränkningar av informationssäkerheten och uppdatering av programmen

  • Medlemmen har en effektiv process för att upptäcka och korrigera sårbarheter i programvaran och följer den.

  • Medlemmen säkerhetsuppdaterar kontinuerligt de operativsystem och applikationsprogram som den upprätthåller.

Förmåga att reagera på kränkningar av informationssäkerheten

  • Medlemmen har en/flera mekanismer för att upptäcka eventuella kränkningar av informationssäkerheten samt för att skydda informationssystemen mot hot.

  • Medlemmen har anvisningar för hur man reagerar på kränkningar av informationssäkerheten och följer dem.

  • Medlemmen sparar systemloggar, inklusive exakta tidsstämplar och koder för systemets komponenter och aktörer, för att göra det möjligt att reda ut kränkningar av informationssäkerheten. Logguppgifterna behandlas i enlighet med organisationens datasäkerhetsanvisningar och -praxis.

2.2 Krav som gäller hemorganisationen


Åtgärder och åtgärdsberedskap

  • Hemorganisationen informerar slutanvändarna om identifieringstjänsten och användarvillkoren och -reglerna för de tjänster som är tillgängliga i den.

  • Hemorganisationen har metoder att kontakta en viss slutanvändare.

  • Hemorganisationen strävar efter att säkerställa att slutanvändarna använder tjänsterna enligt god sed och i enlighet med lagen.

  • Användarnamn eller andra identifieringsverktyg som överlåts till slutanvändarna är tillräckligt skyddade med tanke på användningsändamålet.

  • Hemorganisationen har en mekanism med vilken den kan begränsa eller ändra slutanvändarens befogenheter eller avlägsna dem helt och hållet.

  • Hemorganisationen håller sin användarförvaltning kontinuerligt uppdaterad, också raderingen av föråldrade, bristfälliga eller felaktiga uppgifter.

  • Hemorganisationen har förutom en aktuell användarförvaltning en fungerande mekanism för att förhindra att personuppgifter om slutanvändare som lämnat organisationens verksamhet förmedlas till identifieringstjänsten och/eller tjänsteleverantörerna.

  • Slutanvändarnas förbjudna verksamhet (se nedan) är sanktionerad.



Användarregler

Hemorganisationen har utarbetat skriftliga användarregler för den informations- och kommunikationsteknik och de digitala tjänster som den tillhandahåller slutanvändaren och som uppfyller följande krav:

  • Användningsändamålet för informations- och kommunikationstekniken vid anordnandet av undervisning eller utbildning har fastställts.

  • Slutanvändaren ska behandla sitt personliga användarnamn och lösenord eller andra identifieringsverktyg omsorgsfullt.

  • Det är förbjudet att använda tjänster eller innehåll som finns tillgängliga via förtroendenätet för annat än lär- eller undervisningsändamål.

  • Slutanvändaren ska underrätta den instans som utbildningsanordnaren har fastställt om de missbruk som han eller hon observerat.

  • Slutanvändaren förbjuds klart och tydligt all sådan användning av förtroendenätet och de tjänster som är tillgängliga via det eller sådan verksamhet som bedrivs genom det som bryter mot lagen, kränker tredje parters rättigheter eller god sed eller annars kan äventyra förtroendenätets eller de tillgängliga tjänsternas funktionssäkerhet, informationssäkerhet eller dataskydd. Sådan förbjuden användning eller verksamhet är till exempel

    • Att deponera eller dela olagligt material eller kränka upphovsrätt eller andra immateriella rättigheter

    • Att skicka eller publicera kränkande eller störande meddelanden, såsom skräppost

    • Att använda eller sprida virus eller andra skadliga program

  • Slutanvändaren ska med sin underskrift intyga att han eller hon har bekantat sig med användarreglerna.

2.3 Krav som gäller tjänsteleverantörer

Förutsättningar för att godkännas som tjänsteleverantör

  • Tjänsteleverantören erbjuder utbildningsanordnarna digitala verktyg för att anordna undervisning eller utbildning.

  • Tjänsteleverantören vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa att slutanvändarnas personuppgifter behandlas lagenligt, säkert och konfidentiellt.

  • Tjänsteleverantören lämnar inte vidare mottagna personuppgifter eller kombinerar dem med andra personuppgifter som tjänsteleverantören förfogar över, om inget annat har avtalats mellan hemorganisationen och/eller slutanvändaren och tjänsteleverantören.

Krav på tjänster som ansluts till förtroendenätet

  • Tjänsten stöder anordnandet av undervisning eller utbildning.

  • Efter att den rättsliga grunden för behandling av personuppgifter har upphört raderas eller avlägsnas personuppgifterna om slutanvändaren från tjänsten utan dröjsmål, om inget annat har avtalats mellan hemorganisationen och/eller slutanvändaren och tjänsteleverantören.







BILAGA 3 – DATAMODELL



MPASSID-identifieringstjänsten förmedlar följande användaruppgifter (tekniskt SAML-attribut) om identifierade användare till tjänsterna. En mer detaljerad teknisk beskrivning har publicerats på adressen xxxxx://xxxx.xxxxxx.xx/xxxxxxx/XXXXXXXXXX/XXXXXxxxXxxx . Om adressen ändras meddelar Utbildningsstyrelsen detta till medlemmarna.

  • Efternamn (urn:oid:2.5.4.4)

  • Förnamn (urn:oid:2.5.4.42)

  • Unik identifikationskod (urn:xxxxx.xx:uid)

  • CryptID (urn:xxxxx.xx:legacyCryptId)

  • Stärkt CryptID (urn:xxxxx.xx:legacyCryptId)

  • Kommunkod (urn:xxxxx.xx:municipalityCode) tas ur bruk från och med början av år 2022.

  • Kommunens namn (urn:xxxxx.xx:municipality)tas ur bruk från och med början av år 2022.

  • Skolans kod (urn:xxxxx.xx:schoolCode)

  • Skolans namn (urn:xxxxx.xx:school)

  • Klass (urn:xxxxx.xx:class)

  • Årskurs (urn:xxxxx.xx:classLevel)

  • Roll (urn:xxxxx.xx:role)

  • Roll 1.1 (urn:xxxxx.xx:role_v1.1) – tas ur bruk i slutet av år 2022.

  • Studentnummer (urn:oid:1.3.6.1.4.1.16161.1.1.27)

  • Utbildningsanordnarens oid (urn:xxxxx.xx:educationProviderId)

  • Utbildningsanordnarens namn (urn:xxxxx.xx:educationProvider)



BILAGA 4 – Utbildningsstyrelsens servicenivå



4.1 Allmän servicenivå

  • Identifieringstjänstens kontaktpunkt är xxxxx@xxx.xx Om kontaktpunkten ändras meddelar Utbildningsstyrelsen detta till medlemmarna.

  • Utbildningsstyrelsens experter är med undantag av undantagssituationer anträffbara kl. 8.30–16.00.

  • Tjänsteförfrågan behandlas i angelägenhetsordning.

  • Utbildningsstyrelsen utvecklar och testar MPASSid-tjänsten och programkomponenterna, med hjälp av vilka medlemmarna kan ansluta sig till identifieringstjänsten.

  • Utbildningsstyrelsen ordnar rådgivningstjänster för medlemmarnas tekniska kontaktpersoner för att utreda störningar i funktionen.

  • Utbildningsstyrelsen meddelar medlemmarna om säkerhetsuppdateringar eller -lappningar samt strävar även i övrigt efter att hålla förtroendenätet tryggt.

  • Utbildningsstyrelsen sammanställer begäran om eller behov av ändringar i MPASSid-datamodellen och bereder utifrån dessa ändringar.

  • Utbildningsstyrelsen ger preciserande anvisningar om användningen av datamodellen samt om olika attributs syntax och semantik.

  • Utbildningsstyrelsens logg innehåller en unik identifikationskod för användarens hemkatalog, med hjälp av vilken användaren kan kopplas till tjänsteleverantörens tekniska identifikationskod. Dessutom sparas uppgiften om hemorganisationens användarkatalog.

4.2 Underhållsåtgärder och serviceavbrott

  • På förhand planerade serviceavbrott förläggs utanför den normala tjänstetiden för utbildningsanordnare.

  • Utbildningsstyrelsen meddelar på förhand om underhållsåtgärder, med undantag av situationer som förutsätter oväntade och omedelbara åtgärder.

  • Tillgången till tjänsten belastas inte av avbrott som anmälts minst en vecka på förhand, överenskomna månatliga eller veckovisa serviceavbrott eller avbrott som beror på kritiska informationssäkerhetsuppdateringar eller avbrott som beror på tredje part.

  • Utbildningsstyrelsens underhållsåtgärder i datacentralmiljön eller utrustningen kan orsaka störningar i identifieringstjänsten.

  • Utbildningsstyrelsen kan stänga av åtkomst till identifieringstjänsten omedelbart och utan förhandsanmälan efter att ha observerat eller fått misstanke om en informationssäkerhetsincident i tjänsten oberoende av vilken instans som har orsakat informationssäkerhetsincidenten.











BILAGA 5 – BEHANDLING AV PERSONUPPGIFTER


5.1 Parternas roller

  • Hemorganisationen sörjer för den personuppgiftsansvariges ansvar och skyldigheter enligt lagstiftningen om behandling av personuppgifter och dataskydd.

  • Utbildningsstyrelsen är personuppgiftsbiträde, som behandlar personuppgifter för hemorganisationens, som är personuppgiftsansvarig, räkning.

  • Utbildningsstyrelsen är personuppgiftsansvarig för identifieringstjänstens logguppgifter och kontaktinformationen för medlemmarna i förtroendenätet.

    • I egenskap av registeransvarig behandlar Utbildningsstyrelsen MPASSid:s logguppgifter för att utreda problemsituationer och kränkningar av informationssäkerheten.

    • I egenskap av personuppgiftsansvarig behandlar Utbildningsstyrelsen kontaktinformation för medlemmarna i förtroendenätet för verksamhet som gäller användningen av förtroendenätet och identifikationstjänsten.

5.2 Personuppgifter som behandlas och syftet med behandlingen

  • Utbildningsstyrelsen behandlar för hemorganisationens räkning endast personuppgifter enligt den MPASSid-datamodell som beskrivs i Bilaga 3 för förmedling av identifiering.

  • Utbildningsstyrelsen behandlar inte känsliga personuppgifter eller personuppgifter som hör till särskilda kategorier av personuppgifter.

  • Utbildningsstyrelsens servrar finns i Finland, i ett EU- eller EES-land.

  • Utbildningsstyrelsen behandlar inte uppgifter enligt datamodellen för andra ändamål än för tillhandahållande av identifieringstjänsten och Utbildningsstyrelsen sparar inte, säkerhetskopierar eller gör andra upptagningar av uppgifterna.


5.3 Utbildningsstyrelsens ansvar och skyldigheter

  • Utbildningsstyrelsen behandlar personuppgifter endast i enlighet med MPASSid-förtroendenätets medlemsavtal, denna bilaga eller hemorganisationens övriga anvisningar.

  • Utbildningsstyrelsen använder inte de personuppgifter som frågas efter i identifieringstjänstens hemorganisations katalog i sin övriga verksamhet, kombinerar dem med andra uppgifter som den förfogar över eller överlåter dem till andra än tjänsteleverantörer.

  • Hemorganisationen kan genom en anmälan till Utbildningsstyrelsen begränsa de tjänster och tjänsteleverantörer till vilka dess slutanvändares personuppgifter kan förmedlas.

  • Personer under Utbildningsstyrelsen har förbundit sig att iaktta tystnadsplikt samt att behandla personuppgifter endast i enlighet med MPASSid-förtroendenätets medlemsavtal och denna bilaga.

  • Utbildningsstyrelsen ser till att lämpliga tekniska och organisatoriska åtgärder genomförs så att behandlingen uppfyller kraven i EU:s allmänna dataskyddsförordning och säkerställer att den registrerades rättigheter skyddas.

  • Utbildningsstyrelsen genomför ändamålsenliga tekniska och organisatoriska åtgärder för att säkerställa en tillräcklig säkerhetsnivå för behandlingen. Vid bedömningen av en tillräcklig säkerhetsnivå beaktas den nyaste tekniken och kostnaderna för genomförandet, behandlingens omfattning, sammanhang och ändamål samt risker som till sin sannolikhet och allvarlighetsgrad varierar i fråga om fysiska personers rättigheter och friheter.

  • Utbildningsstyrelsen anlitar inte ett annat personuppgiftsbiträdes tjänster om detta inte har avtalats skriftligt och på förhand med hemorganisationen. Vid tidpunkten när avtalet undertecknas använder Utbildningsstyrelsen CSC - Tieteen Tietotekniikan keskus Oy för behandling av personuppgifter. Hemorganisationen godkänner användningen av denna underleverantör när den undertecknar avtalet.

  • Utbildningsstyrelsen hjälper i mån av möjlighet hemorganisationen att svara på begäran om utövande av den registrerades rättigheter. Utbildningsstyrelsen kan vid behov bistå hemorganisationen till exempel i informationen till registrerade, i kommunikationen med dem eller tillgodoseendet av tillträdesrätten.

  • Utbildningsstyrelsen hjälper hemorganisationen att säkerställa att skyldigheterna gällande säkerheten vid behandlingen, skyldigheten att anmäla kränkningar av informationssäkerheten, utarbetandet av konsekvensbedömningar och föregående samråd iakttas med beaktande av behandlingens karaktär och den information som Utbildningsstyrelsen har tillgång till.

  • Utbildningsstyrelsen är beredd att göra de uppgifter tillgängliga för hemorganisationen som behövs för att påvisa att dess lagstadgade skyldigheter uppfylls, och tillåter att hemorganisationen eller en av denne befullmäktigad auditör utför auditeringar och deltar i dem.

  • Utbildningsstyrelsen meddelar utan obefogat dröjsmål om kränkningar av informationssäkerheten som kommit till dess kännedom.

  • Utbildningsstyrelsen upprätthåller ett register över behandlingsåtgärder som Utbildningsstyrelsen utför för hemorganisationens räkning.









OPETUSHALLITUS

Xxxxxxxxxxxxxxx 0, XX 000

00000 Xxxxxxxx

puhelin 0295 331 000

xxx.xx


UTBILDNINGSSTYRELSEN

Xxxxxxxxxxx 0, XX 000

00000 Xxxxxxxxxxx

telefon 0000 000 000

xxx.xx


Document Metadata

Filed: May 12th, 2021