Sådan håndterer vi jeres data.
Simulant bruges af danske handelsskoler. Det betyder, at vi behandler persondata på vegne af elever, undervisere og skoler. Her er en gennemgang af hvad det indebærer — og hvad I kan forvente af os.
Kort version: data ligger i EU, behandlingen følger GDPR, vi har en databehandleraftale klar til underskrift, og vores underdatabehandlere er listet nedenfor. Hvis I har spørgsmål, ring eller skriv.
GDPR
Vi behandler persondata efter dansk og europæisk lovgivning.
Når en skole bruger Simulant, opretter vi konti, gemmer elev-arbejde, og logger handlinger til audit. Det er persondata. Vi behandler det som databehandler på skolens vegne — og I forbliver dataansvarlig for jeres elevers data.
Behandlingen er beskrevet i vores databehandleraftale, som vi sender til underskrift i forbindelse med onboarding. Aftalen er bygget på Datatilsynets standard-skabelon, og kan tilpasses efter jeres skoles eksisterende politikker.
Hvor ligger data
Al elev-data ligger på servere i EU.
Databaserne for hver Simulant-app er hostet på servere i EU (Contabo, Frankrig). Det gælder elev-konti, deres arbejde i platformen, audit-log og uploadede filer. Backups gemmes også i EU.
Underdatabehandlere
Hvem vi bruger til at levere Simulant.
Vi bruger en håndfuld underdatabehandlere til at drive platformen. Hver enkelt har tegnet en databehandleraftale med os, og listen opdateres her hvis den ændrer sig. I bliver varslet hvis en ny underdatabehandler tilføjes.
Hvis I ønsker den fulde liste over underdatabehandlere med tilhørende databehandleraftaler, kan vi sende den som vedhæftning til jeres egen aftale.
Sikkerhed
Hvad vi gør for at beskytte data.
Krypteret transport
Al kommunikation mellem browseren og Simulant er krypteret (HTTPS/TLS). Ingen klar-tekst over netværket.
Krypteret hvile
Databaser og backup-snapshots er krypterede på serveren — også når de står stille.
Adgangskontrol
Hver bruger logger ind via Simulant Console (SSO). Roller styrer hvad den enkelte må se og ændre.
To-faktor godkendelse
Lærer- og admin-konti kan kræve SimID-godkendelse på telefonen for følsomme handlinger.
Audit-log
Hver væsentlig handling i platformen logges med tidspunkt og bruger — så I kan spore tilbage hvis noget ser forkert ud.
Daglige backups
Hver database backup'es nat over nat. Vi gemmer minimum 30 dage, så I kan rulle tilbage hvis det er nødvendigt.
Patching og opdateringer
Operativsystemer, runtime og afhængigheder opdateres løbende. Sårbarheder håndteres så hurtigt som muligt efter offentliggørelse.
Adskilte miljøer
Udvikling og produktion kører i adskilte miljøer. Ægte elev-data findes ikke i udviklings-databaserne.
Elever & skoler
Særligt om elev-data.
Det meste data i Simulant er elev-arbejde — kontering, kundesvar, kontrakter, indberetninger. Det er arbejde, eleven selv har udført, og som læreren bruger til vurdering. Det er ikke følsomme persondata i GDPR-forstand, men det er stadig persondata, og vi behandler det med samme omhu.
Eleven kan til enhver tid eksportere sine egne data via Simulant Console — eller bede skolen om det på sine vegne. Når eleven forlader skolen, kan I slette eller arkivere hendes konto fra Console.
Vi opretter ikke skygge-konti, sender ikke marketing-mails til elever, og deler ikke elev-data med tredjepart udover de underdatabehandlere, der er listet ovenfor. Eleven kan ikke kontaktes af os direkte uden om skolen.
Rettigheder
Hvad I og jeres elever altid kan kræve.
Indsigt
Få en kopi af alle persondata vi har om en elev eller en bruger — i et læsbart format.
Rettelse
Ret forkerte oplysninger med det samme via Simulant Console eller ved at kontakte os.
Sletning
Slet en bruger og hendes data permanent. Vi behandler anmodningen inden for rimelig tid.
Begrænsning
Begræns behandlingen mens en uenighed afklares. I kan fryse en konto uden at slette den.
Dataportabilitet
Eksportér data i et almindeligt maskinlæsbart format (CSV/JSON), så det kan bruges andre steder.
Indsigelse
Sig nej til specifik behandling — fx AI-evaluering — og vi finder en løsning der respekterer det.
Databehandleraftale (DPA)
Vi har en aftale klar til jeres underskrift.
Inden vi går i drift hos en ny skole, sender vi en databehandleraftale (DPA) til underskrift. Aftalen er bygget på Datatilsynets standard-skabelon, så den passer ind i jeres eksisterende GDPR-dokumentation.
Hvis I bruger en bestemt tilpasset DPA-skabelon i jeres kommune eller skole, kan vi tage stilling til den i stedet — bare send den til os.
Bed om DPA'enHvis der sker noget
Sådan håndterer vi sikkerhedshændelser.
Hvis vi opdager — eller bliver gjort opmærksomme på — at uautoriserede har fået adgang til data, en database er blevet eksponeret, eller en alvorlig sikkerhedsfejl er fundet, så følger vi en fast proces:
- 1 Begræns: vi lukker hullet og afbryder eventuel igangværende adgang.
- 2 Vurdér: vi finder ud af præcist hvad der er sket, hvilket data der er berørt, og hvor mange brugere det rammer.
- 3 Underret: vi kontakter berørte skoler inden for 72 timer fra opdagelse, sammen med en beskrivelse af hændelsen og hvad vi gør for at forhindre gentagelse.
- 4 Dokumentér: hver hændelse logges internt med en post-mortem, så vi løbende kan styrke vores sikkerhedsforanstaltninger.
Har I selv opdaget en sikkerhedsfejl? Skriv til hej@simulant.shop — vi tager den seriøst og svarer så hurtigt som vi kan.
Spørgsmål? Vi er ikke gemt bag et formular-lag.
Hvis jeres GDPR-ansvarlige eller IT-afdeling har konkrete spørgsmål til hvordan Simulant håndterer data, så ring eller skriv. Vi har som regel et svar samme dag.