Subprocessors overview & TIA

Försättsblad

Datum för senaste översyn/uppdatering: 2024-02-21
‍
Innehållsbeskrivning
Del 1 Frågematris: Denna del syftar till att bl.a. beskriva den planerade behandlingen, dess syfte och proportionalitet.

Del 2 Säkerhetsåtgärder: Denna del syftar till att säkerställa och dokumentera hur de grundläggande principerna i art. 5 GDPR efterlevs.

Del 3 Exempel på risker och åtgärdsplan: Denna del syftar dels till att exemplifiera de risker som kan komma att identifieras för den registrerades fri- och rättigheter kopplade till den tänka behandlingen. Del 3 syftar även till att belysa de olika åtgärder som kan komma att behöva vidtas kopplat till de risker som identifieras för behandlingen. Denna del är endast som hjälp och information.

Del 4 Riskbedömning: Del 4 syftar till att beskriva de risker som identifierats för de registrerades fri- och rättigheter och dess potentiella konsekvenser. De risker som identifierats mäts sedan för att bedöma sannolikheten för dess inträffande och konsekvenserna för de registrerade. Kopplat till varje identifierad risk beskrivs sedan de åtgärder som planeras att vidtas för att antingen eliminera, reducera, undvika eller acceptera riskerna.

Del 5 Samlad bedömning och slutsats: Del 5 syftar till att beskriva resultatet av den genomförda TIAen. I denna del ska det framgå huruvida den genomförda TIAen anses ligga inom ramen för vad Bolaget kan godkänna och om behandlingen därmed kan genomföras eller om förhandssamråd måste inhämtas från Integritetsskyddsmyndigheten alternativt om Bolaget helt bör avstå från behandlingen.

1. Frågematris

Nedanstående frågematris syftar till att bl.a. beskriva överföringen och det bakomliggande syftet.

Övergripande allmän beskrivning av den tänkta behandlingen och arbetsprocessens flöde.

Learnster använder sig av Trembit som utvecklingspartner för utveckling och support av Learnsters LMS-plattform).

Till vem ska personuppgifterna överföras?

Trembit LCC

Var kommer behandlingen att ske (geografiskt)?

Behandlingen är begränsad till att ske endast i samband med av kund initierade supportärenden som behöver eskaleras till third line support och där utvecklingsteamet behöver hantera en misstänkt bugg eller liknande problem. Behandlingen är begränsad till ett fåtal utvalda nyckelmedarbetare I Ukraina. Behandligen är begränsad till att ske endast genom att en utvecklare har tillgång till att kunna visuellt granska användardata på en skärm. Ingen data laddas ner eller någonsin lagras eller behandlas maskinellt utanför EU. Data finns endast tillgänglig i en aktiv pågående SSH- eller adminsession och så fort SSH- eller adminsessionen avbryts finns datan inte längre tillgänglig för utvecklaren. Den pågående sessionen är alltid dubbelt krypterad via VPN samt TLS eller SSH beroende på sessionstyp vilket betyder att även om sessionen skulle vara avlyssnad av tredje part, kan informationen inte användas på grund av kryptering. All dataaccess loggas och spåras för att vid behov kunna granskas vid exempelvis en audit.

Vem/ vilka kommer att påverkas av behandlingen?
Dvs. vems personuppgifter kommer att behandlas och vilka personuppgifter kommer att omfattas av behandlingen?

Registrerade användare i Learnster, eg. Learnsters kunders medarbetare, kunder, partners, återförsäljare, kunders anställda, partners anställda, återförsäljares anställda osv.

Ange hur personuppgifterna kommer att överföras, samt hur länge de kommer att lagras.
(engångsöverföring eller löpande)

Behandligen är begränsad till att ske endast genom att en utvecklare har tillgång till att kunna visuellt granska användardata på en skärm. Ingen data laddas ner eller någonsin lagras eller behandlas maskinellt utanför EU. Data finns endast tillgänglig i en aktiv pågående SSH- eller adminsession och så fort SSH- eller adminsessionen avbryts finns datan inte längre tillgänglig för utvecklaren.

Kommer känsliga personuppgifter att överföras?

Nej.

Beskrivning av varför överföringen är att bedöma som proportionerlig och nödvändig.

Behandlingen sker I samband med av kund initierade supportärenden som behöver eskaleras till third line support och där utvecklingsteamet behöver hantera en misstänkt bugg eller liknande problem där det inte finns något annat sätt att gå vidare med ärendet än att utvecklare kopplas in för att kunna debugga det eventuella problemet.

Beskrivning av åtgärder som bidrar till att värna om registrerade rättigheter och säkerställer att registrerade kan utöva dessa.

Informationen är krypterad vid överföring och behandlingen sker endast genom att en utvecklare kan se datan på sin skärm under en pågående SSH- eller adminsession och så fort sessionen är klar försvinner all access till datan. Datan lagras utanför EU och är alltid krypterad vid överföring.

2. Säkerhetsåtgärder

a) Skulle det vara praktiskt, teknisk och ekonomiskt möjligt att dataexportören i stället överför personuppgifterna i fråga till en plats i ett vitlistat land?

Nej.

Bakgrund: Personuppgifterna lagras enbart inom EU och det är I dagsläget inte möjligt för Learnster att kunna tillhandahålla all typ av möjligen nödvändig support utan att involvera utvecklare.

b) Överförs personuppgifterna enligt något av undantagen i enighet med tillämplig dataskyddslag (t.ex. art. 49 GDPR)?

‍Nej.

c) Överförs de aktuella personuppgifterna till måljurisdiktionen i klartext (dvs. det finns ingen kryptering under transitering)?

‍Nej.

d) Är personuppgifterna i fråga tillgängliga i måljurisdiktionen i klartext av dataimportören/mottagaren eller en tredje part (dvs. uppgifterna är antingen inte krypterade eller åtkomst till nycklarna för att dekryptera)?

‍Nej.

e) Är personuppgifterna i fråga skyddade av en överföringsmekanism som godkänts av tillämplig dataskyddslag (t.ex. EU: s standardavtalsklausuler för GDPR, godkänd BCR eller - vid vidarebefordran - en back -to- efterkontrakt i enlighet med EU: s SCC), och kan du förvänta dig efterlevnad av det, i den mån målsjurisdiktionen tillåter det

Ja.

Bakgrund: Learnster och Trembit har relevanta avtal på plats och Trembit har implementerat relevanta SCC:er och har anpassat sin verksamhet utefter SCC:erna.

Baserat på svaren ovan är överföringen: GODKÄND

3. Riskbedömning

Beskrivning av risk (lagrum)

Då Ukraina i dagsläget inte är en del av EU, omfattas landet inte av den allmänna dataskyddsförordningen (förordning (EU) 2016/679) (”GDPR”). Ukraina har en pågående ansökningsprocess in till EU och beviljades status som kandidatland 23 juni 2022. Som en del av ansökningsprocessen arbetar Ukraina aktivt för att linjera landets lagar kring hantering av persondata med EUs lagstiftning. Enligt handlingsplanen för att uppfylla associeringsavtalet mellan EU och Ukraina, som godkändes av Ukrainas ministerkabinett den 25 oktober 2017 nr 1106 (endast tillgänglig på ukrainska här), har Ukraina åtagit sig att linjera sin dataskyddslagstiftning i överensstämmelse med GDPR.Ett första lagförslag avslogs i juni 2021 och ett nytt lagförslag om skydd av personuppgifter har lämnats in till Ukrainas ministerkabinett den 25 oktober 2022. En sammanställning av lagförslaget finns här (dock endast tillgänglig på ukrainska). Det nya lagförslaget omfattar bland annat skäl för behandling av persondata, registrerade rättigheter, ansvar samt krav på säkerhet för behandling och gränsöverskridande dataöverföring.

Beskrivning av möjlig konsekvens

Eftersom Ukraina inte är en EU-medlem finns det risker att behandling av personuppgifter för EU-medborgare I Ukraina inte är förenligt med GDPR.

Riskbedömning (1-4)

1. Sannolikhet: 1

2. Konsekvens: 3

3. Riskvärde: 3

Eventuella riskminimerande åtgärder

Det är osannolikt att den data som behandlas riskerar att behandlas på ett icke korrekt sätt genom att datan är krypterad vid överföring och behandlingen sker endast genom att en utvecklare kan se datan på sin skärm under en pågående SSH- eller adminsession och så fort sessionen är klar försvinner all access till datan. Datan lagras aldrig utanför EU och är alltid krypterad vid överföring.

4. Samlad bedömning

Samlad bedömning och slutsats.
Här lämnas en samlad bedömning av huruvida konsekvenserna av överföringen bedöms ligga inom ramen för vad  Bolaget kan godkänna och att överföringen därmed kan genomföras. Notera att om utfallet av riskvärdet överstiger värdet 6 vid genomföd riskbedömning i avsnitt 3 bör Bolaget överväga att avstå överföringen. En samlad bedömning av omständigheterna i det specifika fallet ska dock alltid göras. Nedan lämnas slutligen övriga kommentarer som kan vara bra att känna till gällande den aktuella överföringen.

Gällande Trembit LCC och den risk som förekommer med eventuell tredjelandsöverföring med stöd av SCC har Learnster gjort en riskbedömning och kommit fram till att vidtagna åtgärder är tillräckliga för att en eventuell överföring av data inom ramen för användning av Trembits tjänster har laglig grund. Vi gör bedömningen att risken för eventuell otillåten utlämning är i praktiken osannolik då data aldrig lagras utanför EU/EES och att datan är alltid krypterad, vilket innebär att den enda sättet som datan skulle kunna lämnas ut är genom en muntlig överföring från den part som under en begränsad period haft läsmöjlighet av datan. Vidare är data som Learnster lagrar inte av känslig karaktär och den potentiella skadan skulle därför vara begränsad. Vi gör även bedömningen att data som Learnster lagrar sannolikt aldrig kommer bli av intresse i en utredning eller liknande hos ukrainska myndigheter.

Learnsters samlade bedömning är att vi har tillräckliga skyddsmekanismer på plats för att använda Trembits tjänster.

Utlåtande DPO/dataskyddsansvarig:

Viktigt att vi följer utvecklingen av de här området och uppdaterar riskbedömning efter ev. nya regler/riktlinjer, om och när Ukraina blir medlem av EU/EES alternativt när Ukraina godtar regulativ för att anpassa sig efter de krav som ställts enligt GDPR och därefter att EU godkänner att deras krav lever upp till GDPR.

1. Introduction

Given the critical nature of our clients' data Learnster is fully committed tomaintaining the highest security standards. This document outlines the securitymeasures, processes and procedures implemented by Learnster to ensure theprotection of client data and environments.

2. Data security

Encryption

• Data at rest: All client data and content is stored on servers within the EU/EES using Amazon Web Services as Learnster’s cloud provider. Stored data is encrypted using industry-standard AES-256 encryption with keys issued and controlled by Learnster and not accessible by Amazon Web Services or any other third party.
• Data in transit: Data transmission utilizes TLS 1.3 for secure communication.

Access controls

• Least Privilege Procedures: Strict least privilege principles are enforced, minimizing access to only individuals that need access and limiting the level of access to necessary access only.
• Access Control: Access control mechanisms are implemented based on user roles and permissions.
• MFA: Multi-factor authentication (MFA) is mandatory for all user accounts accessing any system managing client data.
• Regular Access Reviews: System Access is managed continuously and reviewed quarterly making sure that no anomalies are present.

Data lifecycle management

• Data Retention: Clear data retention and deletion policies have been implemented into Learnster and can easily be managed by clients to fit their individual needs according to compliance regulations. Automated deletion policies are enforced and cannot be disabled making sure to comply with regulations.
• Secure Data Deletion: Automated permanent data deletion functionality has been implemented into Learnster and can easily be managed by clients to fit their individual needs according to compliance regulations. Automated deletion policies are enforced and cannot be disabled making sure to comply with regulations.

Data backup and recovery

• Backup: All Learnster backups are encrypted with AES-256 encryption. All content uploaded to Learnster is encrypted with AES-256 encryption and rely on Amazon S3’s internal mechanisms for redundancy and versioning. All at rest data is encrypted using encryption keys owned by Learnster and not accessible by AWS or any other third party.
  ‍
  Learnster does a full daily backup of all databases and point in time recovery backups in between full backups. Point in time snapshots are kept for 30 days which means that Learnster can recover data to any second (except for the latest 0-5 minutes period) for the last 30 days. After the 30 days period, full daily backups are kept for 365 days meaning that backups older than 30 days can be restored with a granularity of a day.

• Recovery: In the unlikely event that two Amazon availability zones have long-term service interruptions, Learnster has been designed to recover with limited service interruption and a target maximum of 1 hour of data loss.

Infrastructure security

• Secure Cloud Provider: We utilize Amazon Web Services which is a reputable cloud provider with robust security practices and certifications (e.g., SOC 2, ISO 27001).

• Best Practices: We leverage AWS’ built-in security features, best practices and recommendations according to AWS Well-Architected Framework.

3. Application security

Secure coding practices

• Secure Coding Practices: Developers follow secure coding practices and guidelines to minimize vulnerabilities in the application code.
• Code Analysis: Static and dynamic code analysis tools are integrated into our build pipelines to automatically identify and address potential coding errors and security flaws.
• Code Reviews: All code is always peer-reviewed before it’s accepted into a build branch.
• Security Code Reviews: Regular security code reviews are conducted to ensure adherence to secure coding principles.
• Security Training: All developers conduct regular security awareness and coding best practices training.

Regular penetration testing

• Independent Penetration Testing: We conduct regular, at least yearly, penetration testing by independent external security experts to identify and remediate vulnerabilities in our application.
• Penetration Test Actions: Penetration testing results are reviewed and addressed promptly to minimize security risks.

Dependency and vulnerability management

• Dependency inventory: We maintain an inventory of all software dependencies used in our application.
• Vulnerability scans: Regular vulnerability scans are conducted to identify known vulnerabilities in dependencies.
• Updates: Updates are applied promptly to address vulnerabilities and maintain a secure dependency ecosystem.

4. Security processes

Incident response

• Incident Response Plan: Incident response plans are established to effectively handle security incidents.
• Incident Training and Testing: Regular training and testing/simulations are conducted to verify and test incident response plans and to ensure team readiness.
• Transparency and Communication: Learnster is committed to being transparent about our security practices and communicating any security incidents with all relevant stakeholders promptly and responsibly.

Security audits and compliance

• ISO 27001 Certification: Learnster is currently working on implementing all necessary procedures and processes for acquiring an ISO 27001 certification. An external audit has been planned and booked for Q3 2024.

Security awareness training

• Security Awareness Training: Regular security awareness training is provided to all employees to promote cybersecurity best practices.

5. Continuous improvement

Continuous evaluation and improvements: We are both continuously and regularly (at a minimum quarterly) evaluating and improving our security measures to adapt to evolving threats and industry best practices.

• Feedback and improvements: We encourage both external and internal feedback on our security posture and welcome suggestions for improvement.
• Improvement loop and procedures: All established security procedures and processes have built-in evaluation and improvement procedures with regular reviews and evaluations. Furthermore, we also aim at having continuous improvement loops built into our processes.