Introduksjon
Generelt
Sikt – Kunnskapssektorens tjenesteleverandør er leverandør av Feide og har rolle både som behandlingsansvarlig og databehandler for denne tjenesten, jf. GDPR artikkel 4.
Som behandlingsansvarlig er vi ansvarlige for å sikre at personopplysningene vi behandler om deg blir brukt i samsvar med personvernlovgivningen, herunder EUs personvernforordning (GDPR) og personopplysningsloven. Denne personvernerklæringen gir informasjon om hvordan vi behandler, bruker, samler inn, deler og beskytter dine personopplysninger når du bruker Feide, samt dine rettigheter som registrert.
Personvernerklæringen gjelder kun behandling av personopplysninger i innloggingsløsningen Feide. For informasjon om hvordan personopplysninger behandles i tjenestene som bruker Feide som innloggingsløsning, må du ta direkte kontakt med den enkelte tjenesteleverandør.
Hva er Feide?
Feide (Felles Elektronisk IDEntitet) er den nasjonale fellesløsningen for trygg innlogging og datadeling i utdanningssektoren. Løsningen er mye brukt av universiteter, høgskoler, videregående skoler og grunnskoler. Med Feide får studenter og ansatte i kunnskapssektoren én digital identitet som gir tilgang til nettjenester innen kunnskapsfeltet.
Feide er teknologi- og plattformuavhengig. Det betyr at en Feide-identitet er gyldig i hele den norske kunnskapssektoren og kan brukes til å logge inn på alle Feide-tjenester en person har tilgang til. Feide-identiteten kan også brukes til én pålogging (single sign-on, SSO) til et økende antall tjenester som er koblet til den sentrale innloggingstjenesten som Feide opererer.
Feide administreres i samarbeid mellom Sikt og Utdanningsdirektoratet.
Definisjoner
Definisjoner av begreper som brukes i denne personvernerklæringen, følger av GDPR art. 4.
Andre definisjoner:
- Vertsorganisasjon: En utdanningsinstitusjon som bruker Feide som innloggingsløsning for sine systemer og tjenester. Universiteter, høgskoler, kommuner, fylkeskommuner, private skoleeiere og forskningsinstitutter kan bli vertsorganisasjoner
- Tjenesteleverandør: en leverandør som tilbyr en app, tjeneste eller et system i kunnskapssektoren som elever, studenter, lærere, forelesere og andre med tilknytning til behandlingsansvarlig kan logge seg inn på via Feide
Kategorier av registrerte
Behandlingen omfatter følgende kategorier av registrerte:
- Elever i grunnskolen og videregående skole
- Studenter i høyere utdanning
- Lærere og forelesere
- Øvrige med tilknytning til behandlingsansvarlig
Behandlingsansvarlig
Vertsorganisasjonene er behandlingsansvarlige for hoveddelen av personopplysningene som behandles i Feide.
Sikt er hovedsakelig databehandler, men har behandlingsansvar for behandlingen av følgende opplysninger:
| Brukere knyttet til en vertsorganisasjon* | Gjestebrukere |
| Brukernavn (feideID)** | Navn |
| Brukerprofil** | Fødselsnummer |
| E-postadresse** | IP-adresser |
| Hvilken vertsorganisasjon de er tilknyttet | Tekniske identifikatorer |
| IP-adresser | Nettleserinformasjon |
| Tekniske identifikatorer | Bruks- og aktivitetsdata |
| Nettleserinformasjon | |
| Bruks- og aktivitetsdata |
* Dette gjelder også utenlandske elever og studenter
** Behandles kun i forbindelse med administrasjon i Kundeportalen
Hvor henter vi opplysningene fra?
Opplysningene hentes fra ulike steder:
- Opplysninger om brukere tilknyttet en norsk vertsorganisasjon, er hentet fra vertsorganisasjonen
- Opplysninger om gjestebrukere er hentet fra ID-porten (fødselsnummer) og Folkeregisteret (navn)
- Opplysninger om brukere ved utenlandske institusjoner, er hentet fra institusjonene de er tilknyttet.
- Opplysninger brukeren velger å oppgi til oss når de registrer informasjon om seg selv i Kundeportalen
Formålet med behandlingen av opplysningene
Behandlingen har følgende hovedformål:
- Levere og administrere en sikker innloggings- og datadelingsløsning som gir enkel og trygg tilgang til digitale tjenester for studenter, forskere og ansatte i utdanning og forskning.
Behandlingen har følgende tilleggsformål:
- Sikkerhetsformål: For å kunne identifisere og avdekke sikkerhets- eller misbrukshendelser, med formål å utlevere hendelsesdata og logger ved behov
- Videreutvikling og forbedring av tjenesten: For å analysere aggregert bruksstatistikk med sikte på å forbedre Feides funksjonalitet og brukeropplevelse.
- Kundeoppfølging og administrasjon: For å behandle kontaktopplysninger og organisasjonsdata i forbindelse med administrasjon av kundeforholdet, inkludert utsendelse av driftsvarsler, endringsmeldinger og annen nødvendig informasjon relatert til tjenesten.
- Statistikk til sektorformål: For å utarbeide aggregert statistikk om bruk av Feide, til forskningsformål for nasjonale utdanningsmyndigheter og lovpålagte myndighetsoppgaver.
Behandlingsgrunnlag
Behandlingsgrunnlaget for å levere og administrere løsningen, er GDPR art. 6 nr. 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse dersom interessen veier tyngre enn hensynet til den enkeltes personvern.
Den berettigede interessen for behandling av personopplysninger i Feide, er å tilby en sikker og trygg innloggingsløsning for kunnskapssektoren. Behandlingen av opplysningene er avgjørende for å kunne tilby tjenesten, og vi vurderer at interessen av å kunne tilby denne veier tyngre enn personvernkonsekvensene for de registrerte- I vurderingen har vi vektlagt at selv om det gjelder et stort antall registrerte, herunder mindreårige, har Feide omfattende sikkerhetstiltak og deler ikke opplysningene med andre aktører utover i aggregert form for statistikkformål. Vi har også vektlagt fordelene for sektoren og de registrerte at vi tilbyr denne løsningen.
Behandlingsgrunnlaget for å dele aggregerte opplysninger til statistikk til sektorformål, er GDPR art. 6 nr. 1 bokstav e, som tillater oss å behandle opplysninger som er nødvendig for å utføre oppgaver i allmennhetens interesse. Det supplerende rettsgrunnlaget er personopplysningsloven § 9.
Deling av opplysninger med tredjeparter
Vi kan komme til å dele aggregert statistikk om bruk av Feide til forskningsformål for nasjonale utdanningsmyndigheter. I tillegg vil vi utlevere opplysninger ved lovpålagte myndighetsoppgaver. Dersom vi deler opplysninger vi har samlet inn i forbindelse med din bruk av Feide, vil disse dataene aggregeres slik at opplysningene som hovedregel ikke kan gjenkjennes som personopplysninger. I situasjoner der statistikken bygger på få personer eller små, avgrensede miljøer, vil det likevel være en viss mulighet for at konteksten opplysningene presenteres i kan knytte opplysningene til enkeltpersoner.
Overføring av opplysninger til land utenfor EU/EØS
Vi bruker Amazon Web Services (AWS) som teknisk skyinfrastruktur for drift av tjenester i Sikt, herunder Feide.. Sikt har vurdert bruken av AWS som forenelig med GDPR. Sikt sin fullstendige teknisk og juridiske overføringsvurdering av AWS kan leses her.
Sikkerhetstiltak
Vi benytter tekniske og organisatoriske tiltak for å beskytte personopplysningene dine, inkludert:
- Kryptering under dataoverføring
- Sikker lagring av autentiseringsdata
- Tilgangskontroll
- Regelmessige sikkerhetsrevisjoner og vurderinger
Dine rettigheter
Du har følgende rettigheter i henhold til GDPR:
- Innsyn i personopplysninger (artikkel 15):
Registrerte kan se de personopplysningene som er registrert om dem gjennom Feide "Innsyn"-tjenesten. - Rettelse av uriktige data (artikkel 16)
- Sletting av dine data (artikkel 17)
- Begrensning av behandling (artikkel 18)
- Dataportabilitet (artikkel 20)
- Protestere mot behandling (artikkel 21)
Hvis du har spørsmål eller ønsker å utøve dine rettigheter, finner du våre kontaktopplysninger nedenfor.
Spørsmål og klage
Vi oppfordrer deg til å kontakte oss dersom du har spørsmål, bekymringer eller klager angående behandlingen av dine personopplysninger. Du kan kontakte oss på kontakt@sikt.no eller kontakte vårt personvernombud direkte:
Marita Ådnanes Helleland
Postadresse: Abels gate 5A, NO-7030 Trondheim
Telefon: 73 98 40 40
E-post: personvernombud@sikt.no NB: E-posten er ikke sikker! Vennligst ikke send sensitive opplysninger.
Dersom du mener at dine personopplysninger er blitt behandlet i strid med GDPR, har du rett til å sende en klage til Datatilsynet:
Nettsted: https://www.datatilsynet.no
E-post: postkasse@datatilsynet.no
Telefon: +47 22 39 69 00
Sist oppdatert 19.12.25.
