__Liber behandlar personuppgifter konfidentiellt och med största omsorg. Genom behandling av personuppgifter kan vi på Liber säkra en bättre, mer personanpassad synkronisering mellan våra produkter och tjänster och vår användares behov. Behandlingen av personuppgifter medför ett ansvar att det sker på ett noggrant och säkert sätt. Rätten till personlig integritet är en grundläggande rättighet och vi gör vårt yttersta för att behandla personuppgifter konfidentiellt och med största omsorg.__

Personuppgifters säkerhet

--- # Introduktion Liber tar integritet på mycket stort allvar och kontrollerar kontinuerligt de tekniska och organisatoriska säkerhetsåtgärder som vi vidtar. Vi garanterar att endast behöriga anställda kan få åtkomst till personuppgifter och bara till uppgifter som är absolut nödvändigt för deras arbetsuppgifter. Utbildningsinstitutioner har och behåller i sin egenskap av personuppgiftsansvarig kontrollen över det data som behandlas i sina respektive digitala läromedelsplattformar. Det innebär att studieresultat endast behandlas för utbildningsändamål. ## Information på den här webbplatsen Under "Liber i sin egenskap av personuppgiftsansvarig" hittar du information om personuppgifter för vilka Liber är personuppgiftsansvarig. Ett exempel är då kund lägger en beställning direkt i vår webbshop. Under "Säkerhet" hittar du en beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtas av Liber för att skydda personuppgifter. Integritetsrelaterad information på den här webbplatsen uppdateras vid behov. Vid större ändringar informerar vi användarna via webbplatsen samt genom nyhetsbrev och andra kanaler om så erfordras. På de här sidorna hittar du alltid aktuell information. ## Dataskyddsombud Liber är ett helägt dotterbolag till Infinitas Learning. Infinitas Learning har en uppförandekod (pdf) som uttryckligen understryker vikten av integritet. På Liber finns ett dataskyddsombud som svarar på all korrespondens om integritetsrelaterade frågor och som du kan kontakta på privacy@liber.se. *Via post:* Liber AB Att: Dataskyddsombud 113 98 Stockholm

--- # Liber som personuppgiftsbiträde I allmänhet behandlas personuppgifter när Libers digitala läromedelsplattformar används. Detta medför till exempel att en lärare kan följa sina elevers studieresultat. Behandlingen av personuppgifter medför ett ansvar för att det sker på ett noggrant och säkert sätt. Liber respekterar uttryckligen sina användares integritet. Liber, i egenskap av utbildningsinstitution som enligt lag är ”personuppgiftsansvarig” vad gäller behandling av personuppgifter i förhållande till digitala läromedelsplattformar. Liber är ett ”personuppgiftsbiträde” som genomför de anvisningar som utfärdas av dessa personuppgiftsansvariga. I personuppgiftsbiträdesavtalet redovisas vilken anvisning som den personuppgiftsansvarige utfärdar till Liber för att behandla personuppgifter. 1. Personuppgiftsbiträdesavtalet tillämpas för relationen med Liber. I detta avtal ger en utbildningsinstitution Liber en anvisning för att behandla uppgifter. Personuppgiftsbiträdesavtalet innehåller information om våra tjänster, produktegenskaper, vilka kategorier av personuppgifter som behandlas och för vilka ändamål de behandlas. [Vårt personuppgiftsbiträdeavtal (dotx)](//assets.ctfassets.net/1v9ieufzsrqh/7KI6tvUOoZnkokdWtEXfnQ/ad6a1748765c9f7ac58b95aaf0dbf15a/liber-personuppgiftsbitradesavtal-v1-01.docx) Om din utbildningsinstitution använder Libers digitala läromedel bör ni teckna personuppgiftsbiträdesavtal med oss. Det gör du genom att ladda ner, fylla i och skriva ut avtalet i två exemplar. Signera båda exemplaren och skicka till: Liber AB 113 98 Stockholm Du kan även scanna in det påskrivna avtalet och skicka via e-post till [kundservice.liber@liber.se](mailto:kundservice.liber@liber.se "kundservice.liber@liber.se"). 2. Under Personuppgifters säkerhet nedan hittar du en beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtas av Liber för att skydda personuppgifter. Licensvillkoren för användning av våra läromedelsplattformar finns på sidan [Köpvillkor](/kopvillkor "köpvillkor"). I våra digitala läromedelsplattformar behandlas inga personuppgifter för reklamändamål eller för att tillhandahålla oönskade erbjudanden.

--- # Liber som personuppgiftsansvarig För behandling av personuppgifter i digitala läromedelsplattformar, agerar Liber i allmänhet som personuppgiftsbiträde och genomför en anvisning från de personuppgiftsansvariga. För annan specifik behandling fastställer Liber ändamålet med, och resurserna för, behandlingen av personuppgifter. Detta gäller till exempel när du beställer ett aktuellt utvärderingsexemplar eller annan publikation via vår webbshop eller när du använder våra tjänster (online) direkt (utan inblandning av en utbildningsinstitution). __Denna policy gäller uttryckligen inte för behandling av personuppgifter i digitala läromedelsplattformar som sker efter anvisning av utbildningsinstitutioner.__ ## Kontaktuppgifter Liber Aktiebolag Organisationsnummer 556000-1975 169 67 Solna Tel 08-690 90 00 Du kan också kontakta oss via kundservice.liber@liber.se. ## Kontaktuppgifter för dataskyddsombudet Liber är ett helägt dotterbolag till Infinitas Learning. Infinitas Learning har en uppförandekod![Uppförandekod Infinitas Learning](//assets.ctfassets.net/1v9ieufzsrqh/JH4CBkEEqaleHcugXBn9j/818155666265fdd76809875cd707f80f/liber_infinitaslearning_uppforandekod.pdf) (pdf) som uttryckligen understryker vikten av integritet. På Liber finns ett dataskyddsombud som svarar på all korrespondens om integritetsrelaterade frågor och som du kan kontakta på privacy@liber.se. ## Behandlingsändamål och rättslig grund för behandling När Liber behandlar dina personuppgifter gör vi det för att du har fyllt i ett formulär på vår webbplats, tagit del av ett specialerbjudande, kontaktat vår kundservice eller när du beställt produkter eller tjänster i din egenskap av slutanvändare eller när du har skickat spontanansökningar eller ansökningshandlingar till utannonserade lediga tjänster. I dessa fall behandlas dina personuppgifter för nedanstående ändamål. Under våra förfaranden anger vi vilka uppgifter vi behöver för att kunna ingå ett avtal. Personuppgifter behandlas för följande ändamål: 1. för att ge åtkomst till, tillhandahålla och använda våra produkter och tjänster (behandling som krävs för att ett avtal ska kunna verkställas), 2. för att lagra och bedöma uppgifter för att kunna erbjuda tjänster som är anpassade efter dina önskemål (behandling som krävs för att ett avtal ska kunna verkställas), 3. för att kunna sköta våra räkenskaper (behandling som krävs för att ett avtal ska kunna verkställas), 4. för att kunna skydda sig från, övervaka och förebygga missbruk av och inkonsekvens i, samt otillförlitlighet hos uppgifter vid till exempel genomförande av granskningar (krävs för att tillvarata den personuppgiftsansvariges berättigade intressen), 5. kontinuitet och korrekt funktion för produkter och tjänster, inklusive underhåll, säkerhetskopiering under begränsad tid, förbättringar efter fel och support (behandling som krävs för att ett avtal ska kunna verkställas), 6. för att förbättra våra tjänster (krävs för att tillvarata den personuppgiftsansvariges berättigade intressen (under vilket uppgifter anonymiseras och aggregeras och aldrig kan spåras tillbaka till enskilda individer), 7. för att ge information om relevanta produkter och tjänster från Liber (vi kommer att be om ditt samtycke till detta och du kan när som helst återkalla detta samtycke), 8. för att uppfylla lagstadgade skyldigheter som Liber omfattas av. ## Cookies och automatiserat beslutsfattande Cookies är små textfiler som kan användas av webbplatser för att göra en användares upplevelse mer effektiv. Lagen säger att vi får lagra cookies på din enhet om de är absolut nödvändiga för att kunna använda den här webbplatsen. För alla andra ändamål krävs ditt medgivande. I våra digitala läromedelsplattformar behandlas inga personuppgifter för reklamändamål eller för att tillhandahålla oönskade erbjudanden. Vi använder oss där endast av funktionella eller integritetsvänliga cookies för analys. Denna webbplats använder olika typer av cookies. Vissa cookies placeras ut av tredjepartstjänster som visas på våra sidor. Vi använder enhetsidentifierare för att anpassa innehållet och annonserna till användarna, tillhandahålla funktioner för sociala medier och analysera vår trafik. Vi vidarebefordrar även sådana identifierare och annan information från din enhet till de sociala medier och annons- och analysföretag som vi samarbetar med. Dessa kan i sin tur kombinera informationen med annan information som du har tillhandahållit eller som de har samlat in när du har använt deras tjänster. > Du godkänner våra cookies vid fortsatt användande av vår webbplats. (((Här kan du kan ändra eller dra tillbaka ditt samtycke till våra cookies. LÄNK SAKNAS))) På Libers webbplatser kan vi använda oss av retargeting för att visa besökare, som tidigare har visat intresse för våra produkter och/eller tjänster, annonser från Liber i våra partners digitala tjänster. När vi använder oss av retargeting, görs det endast efter att du har lämnat ditt uttryckliga samtycke till att vi placerar icke-nödvändiga cookies i din webbläsare, första gången du besöker vår webbplats. Den typen av cookies placeras i din webbläsare av tredje part. Dessa parter samlar till exempel in personlig data om dina besök på våra webbplatser samt din interaktion med annonser. I anslutning till att du godkänner dessa cookies beskriver vi vilken information vi samlar in. Liber tillämpar inte automatiserat beslutsfattande vid behandling av personuppgifter. ## Lagringsperiod När behandling är nödvändig för verkställandet av ett avtal, behandlas dina personuppgifter av oss under högst två år efter uppsägningen av avtalet. Längre lagringsperioder kan förekomma, till exempel relaterat till företags administrativa lagringsskyldighet enligt lag. Liber lagrar data från sina webbplatser i Google Analytics i 50 månader innan den raderas automatiskt. ## Inspektion Som registrerad har du rätt att be oss att kontrollera, korrigera eller radera dina personuppgifter, att begränsa behandling, att invända mot behandling och få dina uppgifter överförda i enlighet med gällande lagstiftning. Kontakta Kundservice om du vill utöva någon av dessa rättigheter. ## Klagomål Kontakta oss gärna när du har ett integritetsrelaterat klagomål eller problem relaterade till Libers webbplatser och produkter. Du har också rätt att lämna in ett klagomål till Datainspektionen. # Personuppgifters säkerhet Liber vidtar tekniska och organisatoriska åtgärder i både sin egenskap av personuppgiftsansvarig och i sin kapacitet som personuppgiftsbiträde, för att försäkra sig om en säkerhetsnivå som är anpassad efter riskerna. De säkerhetsåtgärder som vidtas av Liber redovisas nedan. ## Åtgärder för att säkerställa att endast behörig personal har åtkomst till personuppgifter Liber tillämpar en behörighetspolicy för att fastställa vem som behöver åtkomst till vilka uppgifter. Med detta system får de anställda inte åtkomst till mer uppgifter än vad som är absolut nödvändigt för deras arbetsuppgifter.

Åtkomst		Handlingar
Personal i kundservice och Libers integrationspartners beviljas åtkomst till licensinformation på en skolas begäran. Bland annat kan de kontrollera för vilka elever som digitala produkter och tjänster har aktiverats. Endast behörig personal i kundservice har åtkomst till elevernas studieresultat.		Administrativt arbete inom ramarna för hur digitala produkter och tjänster, beställningar och licenser fungerar. Support till slutanvändaren.
Analytiker/experter inom läromedelsutveckling har åtkomst till aggregerade resultat från användningen av digitala produkter och tjänster.		Analys av läromedlen med syfte att förbättra läromedel, utveckling och optimering av adaptiva läromedel, undersökning och förbättring av läromedlens kvalitet.
Systemadministratörer och utvecklare på IT-avdelningen har åtkomst till databaserna.		Systemadministratörer och utvecklare på IT-avdelningen har som mål att säkra kontinuitet och hantering av IKT-system (Informations-och kommunikationstekniksystem)

## Åtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig förstöring, förlust eller ändringar genom olyckshändelse, obehörig eller olaglig lagring, behandling, åtkomst eller röjande ## Organisation av informationssäkerhet och kommunikationsförfaranden Liber har antagit en integritets- och säkerhetspolicy som beskriver de olika rollerna. ## Nedanstående roller är av betydelse - Infinitas Learning har ett dataskyddsombud som huvudsakligen ansvarar för att informera och ge Liber råd om företagets skyldigheter enligt dataskyddsförordningen (GDPR) samt se till att vi uppfyller kraven i förordningen. Dataskyddsombudets ansvar redovisas i lämplig Infinitas-policy. - Koncernens dataskyddsombud (Group Data Protection Officer) ansvarar för Infinitas säkerhetspolicy. - Infinitas har för varje dotterbolag och jurisdiktion utsett en lokal dataskyddskontakt som instrueras av dotterbolagens styrelser att verkställa och utveckla integritetspolicyn och -förfarandena för enheten i samverkan med dataskyddsombudet. - Informationssäkerhetsincidenter dokumenteras och används för att optimera informationssäkerhetspolicyn. - Liber har tagit fram en process och en rutin för att hantera (och förmedla) informationssäkerhetsincidenter (förfarande för personuppgiftsincidenter). ## Personal - Liber vill uppmuntra till medvetenhet och utbildning om informationssäkerhet. - Tack vare vårt behörighetssystem har anställda inte åtkomst till mer uppgifter än vad som är absolut nödvändigt för deras arbetsuppgifter. ## Fysisk säkerhet och resurskontinuitet - Personuppgifter behandlas endast i en sluten, fysiskt säker miljö som skyddas mot yttre hot. Ett åtkomstprotokoll finns på plats. Dessutom registreras all åtkomst. - Personuppgifter behandlas endast på utrustning som är föremål för åtgärder för att fysiskt säkra sådan utrustning och för att garantera tjänsternas kontinuitet. - Säkerhetskopiering utförs regelbundet för att säkra tjänstekontinuiteten. Dessa säkerhetskopior behandlas konfidentiellt och lagras i en sluten miljö. - De platser där data behandlas säkras genom lås, larmsystem och videoövervakning och testas, underhålls och utvärderas regelbundet för säkerhetsrisker. Liber har infört planer för verksamhetskontinuitet som inkluderar katastrofåterställningsplatser. ## Säkerhet och underhåll för nätverk, servrar och applikationer - Nätverksmiljön där vi behandlar data har mycket hög säkerhet. Trafikflödena är separerade från varandra och åtgärder mot missbruk och attacker har vidtagits. - Miljön där personuppgifter behandlas övervakas. - De digitala produkter och tjänster som används för personuppgiftsbehandling, skapas baserat på systemplanering, säkerhetskontroll och acceptans (DTAP). Ändringar av applikationer testas för sårbarheter innan de tas i produktion. - Via patchhanteringen installeras de senaste patcharna (för säkerhet) i systemen med jämna mellanrum. - Uppgifter som behandlas i flera applikationer klassificeras utefter riskerna. - Penetrationstester och sårbarhetsbedömningar genomförs regelbundet. - Information som inte används, eller inte längre används, raderas. - Lösenord krypteras för att dessa uppgifter ska kunna lagras på ett säkert sätt. - Krypterade anslutningar används för inloggningsförfaranden. Utbyte av personuppgifter med tredje parter på instruktion av en utbildningsinstitution krypteras. ## Åtgärder för att identifiera systemsvagheter Säkerheten hos Libers system kontrolleras regelbundet. Dessutom tillämpar Liber i enlighet med sin säkerhetspolicy interna förfaranden för att identifiera sårbarheter, inklusive en policy om ansvarsfull sårbarhetsredovisning (se nedan). ## Anmälan om personuppgiftsincident Liber övervakar sina tjänster dygnet runt, alla dagar i veckan och har vidtagit åtgärder för att förhindra och identifiera obehörig och olaglig åtkomst till uppgifter. Signaler som pekar på en personuppgiftsincident bedöms av företagets säkerhetsansvarige och Libers dataskyddsombud, som analyserar om det kan röra sig om en personuppgiftsincident, typen av incident och om det rör sig om en incident som faller under företagets roll som personuppgiftsbiträde eller dess roll som personuppgiftsansvarig. Vid en personuppgiftsincident som rör personuppgifter som behandlas av Liber i sin egenskap av personuppgiftsbiträde, kommer Liber att underrätta den personuppgiftsansvarige via e-post inom 24 timmar efter att ha bekräftat incidenten. Beroende på situationen kan information också komma att delas via vår webbplats och officiella kanaler för sociala medier och/eller officiella distributörer och/eller kommersiella agenter. Liber delar följande information med personuppgiftsansvariga i händelse av en personuppgiftsincident: - Incidentens särdrag, såsom datum och tid för upptäckten, en sammanfattning av incidenten, incidentens egenskaper och art (vilken del det gäller, hur det gick till, handlar det om läsning, kopiering, redigering, borttagning/förstöring och/eller stöld av personuppgifter). - Orsaken till säkerhetsincidenten. - De åtgärder som vidtas för att förhindra eventuella/ytterligare skador. - Namnen på de registrerade som kan påverkas av incidenten och i vilken utsträckning de kan påverkas. - Storleken på gruppen av registrerade. - Den typ av personuppgifter som berörs av incidenten (särskilt speciella uppgifter eller uppgifter av känslig natur, inklusive åtkomst- eller identifikationsuppgifter, finansiella uppgifter eller studieresultat). Liber kan komma att meddela berörda myndigheter om en personuppgiftsincident i specifika situationer. Den personuppgiftsansvarige kommer att underrättas i enlighet därmed och det är den personuppgiftsansvarige som bär det slutgiltiga ansvaret för anmälan. Vid en personuppgiftsincident som rör personuppgifter som behandlas av Liber i sin egenskap som personuppgiftsansvarig: - Vid en personuppgiftsincident som rör personuppgifter som behandlas av Liber i sin egenskap av personuppgiftsansvarig, kommer Liber att underrätta den behöriga myndigheten inom 72 timmar efter att ha fått kännedom om incidenten, såvida inte personuppgiftsincidenten sannolikt inte kommer att utgör en risk för fysiska personers rättigheter och friheter. - När personuppgiftsincidenten sannolikt kommer att utgöra en hög risk för fysiska personers rättigheter och friheter, kommer Liber att underrätta den registrerade om personuppgiftsincidenten utan otillbörligt dröjsmål. ## Ansvarsfull sårbarhetsredovisning Svagheter i våra system kan rapporteras via securityofficer@infinitaslearning.com. Tänk på att rapportera sådana sårbarheter till oss innan du delar dem med andra. Detta gör det möjligt för oss att vidta åtgärder först. Det kallas ansvarsfull sårbarhetsredovisning. Om du rapporterar en svaghet i ett IKT-system, ska du tänka på följande: - Tillhandahåll tillräckligt med information så att problemet kan återskapas. Detta gör det möjligt för oss att lösa problemet snabbt. Vanligtvis räcker det med IP-adressen eller URL-adressen till det drabbade systemet och en beskrivning av sårbarheten. - Lämna dina kontaktuppgifter (e-postadress eller telefonnummer) så vi kan kontakta dig. - Rapportera ärendet så snart du har upptäckt sårbarheten. - Dela inte information om säkerhetsproblemet med andra förrän det är löst. - Använd din kunskap om säkerhetsproblemet på ett ansvarsfullt sätt. Gör inte något annat än vad som krävs för att demonstrera säkerhetsproblemet. - Om du upptäcker en sårbarhet får du inte missbruka detta genom att installera skadlig kod, kopiera, redigera eller radera systemdata, göra ändringar i systemet, upprepade gånger bereda dig åtkomst till systemet eller dela åtkomsten med andra, tillämpa systematiskt lösenordsintrång, DDOS-attacker eller social manipulering. Om din anmälan uppfyller dessa villkor kommer vi inte vidta några rättsliga åtgärder till följd av din anmälan. ## Vad händer efter en ansvarsfull sårbarhetsredovisning? Om du har rapporterat en svaghet i ett IKT-system, svarar vi inom tre arbetsdagar. Då du är anmälaren kommer vi att hålla dig uppdaterad om hur lösningen av problemet fortskrider och vi löser säkerhetsproblemet så snart som möjligt. Vi kommer tillsammans att avgöra om, och hur, vi ska anmäla problemet. Ett problem anmäls inte förrän det har lösts. Vi kommer också att ersätta dig för din hjälp och behandla din anmälan i förtroende. Vi delar inte dina uppgifter utan ditt samtycke, förutom när vi är skyldiga att göra så enligt lag. Om du vill kan vi avslöja ditt namn som den person som upptäckte sårbarheten.