For us, data protection isn’t a necessary evil. It’s a conscious choice.
Skillhive has been built from the ground up to ensure that customer and user data stays protected within the EU/EEA.
We don’t say this to sound good — we say it because we mean it.
We do not transfer data outside the EU/EEA. Period.
Many service providers claim that their servers are located “in Europe” — in Ireland or Frankfurt, for example. That may sound safe, but it doesn’t guarantee anything.
We don’t blur the lines. We stand by our words.
Skillhive offers a true alternative:
A European, human-first, and privacy-focused model for leading skills and learning.
How do we ensure data security?
- All servers and data processing are within the EU/EEA
- No subcontractors or service providers outside the EU/EEA — not even for analytics
- All communication with Skillhive’s servers is encrypted
- Servers are backed up daily; backups are stored in a separate fire zone
- Only essential data is collected — nothing unnecessary
- The customer organization retains full control over its data
GDPR Summary
Skillhive is fully compliant with the EU General Data Protection Regulation (GDPR):
The roles and responsibilities of the Data Controller (Customer) and Data Processor (Intunex Oy) are clearly defined in the service agreement and a separate Data Processing Agreement (DPA)
Skillhive includes features that enable the Data Controller to fulfill their responsibilities under GDPR — such as transparency, data access, correction, and data portability
Why can you trust us?
Skillhive is developed in Finland, and our services are maintained within the EU.
Our goal is to make learning and skill development safe, confidential, and responsible — not just efficient.
Human first. AI second. Data in Europe.
Questions?
Want more details about our data protection practices?
Reach out to us — or just talk to our team directly. We don’t hide behind forms.
What are your responsibilities as a Skillhive customer?
When providing the Skillhive service to a customer, Intunex typically acts as a data processor and processes personal data on behalf of the data controller, i.e. the customer, in accordance with the service agreement and the customer’s documented instructions.
As the data controller, the customer is responsible for defining the purpose of processing personal data, while Intunex’s role is to support the processing of that data in accordance with the defined purpose.
It is the data controller’s responsibility to ensure that personal data is processed in accordance with the GDPR. This includes having a valid legal basis for the processing, as defined in the regulation.
In addition, the controller must ensure:
- Transparency toward the data subjects
- Accuracy and confidentiality of the data
- Fulfillment of data subjects’ rights, such as the right to access, correct, or in some cases transfer their personal data.
As an Intunex customer and user of the Skillhive platform for processing personal data, you are required to:
- Define the purpose and means of processing personal data in accordance with GDPR requirements, and prepare a GDPR-compliant privacy policy (We provide a template that customers can use as a model)
- Sign a data processing agreement (DPA) with Intunex and any other processors you use (We provide a ready-made agreement template for this purpose)
- Ensure data subjects’ rights are fulfilled (We provide the necessary tools and guidance to support this within the Skillhive platform)
Miten Skillhive vastaa tietosuoja-asetuksen vaatimuksiin?
Sisäiset ja ulkoiset auditoinnit
Intunex on toteuttanut sisäisen arvioinnin henkilötietojen käsittelyn nykytilasta ja laatinut sen pohjalta tietotilinpäätöksen Tietosuojavaltuutetun toimiston ohjeiden mukaisesti. Tilinpäätöksen auttaa Intunexia, sen asiakkaita ja kumppaneita arvioimaan miten Intunex vastaa tietosuojan asettamiin vaatimuksiin. Lisäksi asiakkaat ovat toteuttaneet omia ulkoisia auditointeja koskien Skillhive-palvelun tietosuojaa.
Käyttö- ja pääsyoikeuksien hallinta
Skillhive-palvelussa asiakkaalla on käytössä kolme käyttäjätasoa, joilla käyttöoikeuksia voi rajata ja hallita: pääkäyttäjä (admin), tavallinen käyttäjä ja ulkopuoliset asiantuntijat (ext). Pääkäyttäjät voivat muun muassa poistaa, lisätä ja muokata käyttäjätietoja, ja määritellä millaisia käyttöoikeuksia muilla käyttäjillä on. Intunexilla on lisäksi käytössä järjestelmänvalojaoikeudet (superadmin). Skillhive-palvelun käyttäjätunnistus ja – hallinta noudattaa nykyaikaisia hyviä käytänteitä. Skillhive voidaan integroida myös ulkoisin käyttäjähallintajärjestelmiin kuten AD/LDAP ja ADFS. Skillhive-palvelun ohjelmistokehitys ja testaus on eriytetty omalle palvelimelle, jossa ei käsitellä oikeaa henkilötietoa.
Jäljitettävyyskirjaukset ja lokitiedot
Tietosuoja-asetuksen mukaista tietojen suojaamisvelvoitetta valvotaan Skillhivessa muun muassa jäljitettävyyskirjauksien eli ns. lokitietojen avulla. Näiden tietojen avulla voidaan jälkikäteen selvittää käyttäjien toimet: kuka on tehnyt, mitä on tehty ja milloin. Käyttäjän tunnistaminen lokitiedosta tapahtuu pseudonymisoidun tunnisteen avulla, jolloin pelkän lokitieton perusteella ei voida selvittää, kuka käyttäjä kyseisen toiminnon on tehnyt. Pseudonymisoitu tunniste voidaan jäljittää todelliseen käyttäjään, mutta tämä edellyttää pääsyä Skillhiven tietokantaan. Lokitiedot tallennetaan Skillhive-palvelimelle tekstitiedostoihin, ja niitä säilytetään kuusi (6) kuukautta.
Tietoturvatapahtumien seuranta, käsittely ja raportointi
Skillhive-palveluun ja sen toimintaympäristöön kohdistuvat tietoturvatapahtumat raportoidaan Intunexin tietoturvatapahtumalokiin. Tapahtumien arvioinnille on vastuuhenkilö, joka huolehtii tapahtuman käsittelystä ja raportoinnista.
Rekisteröityjen oikeudet
Skillhiveen on kehitetty toiminnallisuudet, joilla rekisterinpitäjä voi huolehtia rekisteröityjen oikeuksista tietosuoja-asetuksen mukaisesti kuten käsittelyn läpinäkyvyydestä ja tiedonsaantioikeudesta, oikeudesta tietojen oikaisuun ja oikeudesta tietojen siirtämiseen.
Tietojen käsittelysopimus
Laadimme asiakkaiden kanssa tietojenkäsittelysopimuksen, joka pitää sisällään rekisterin käsittelyohjeet. Edellytämme tämän sopimusosan allekirjoittamista kaikilta asiakkailtamme.
Salassapitovelvollisuus
Kaikki työntekijämme ovat salassapitovelvollisuuden alaisia asiakkaidemme tiedoista.
Kumppanit ja alihankkijat
Kuten asiakkaammekin, myös Intunex käyttää alihankkijoita ja kumppaneita palvelumme tarjoamiseksi. Tämä tarkoittaa, että henkilötietojen käsittelyyn osallistuu myös alihankkijoitamme. Osana tietojenkäsittelysopimusta asiakkaidemme tulee hyväksyä alihankkijoidemme käyttö henkilötietojen käsittelyssä. Varmistamme että alihankkijamme ja kumppanimme täyttävän samat vaativat tietoturvan ja tietosuojan kriteerit, joihin myös itse sitoudumme.
Tietoturva
Skillhive on rakennettu yleisesti käytössä olevilla nykyaikaisilla ja tietoturvallisiksi todetuilla teknologioilla. Skillhive-sovellukseen on sisäänrakennettuna useita erilaisia teknisiä ominaisuuksia, jotka vastaavat tyypillisimpiin tietoturvariskeihin. Skillhive toimii Debian Linux -käyttöjärjestelmää käyttävällä palvelimella konesalissa Suomessa, joiden turvajärjestelyt on auditoitu ISAE 3000 –standardin mukaisesti, varmistaen että vain oikeilla henkilöillä on pääsy järjestelmiin. Konesali on yksi pohjoismaiden suurimmista, ja ne on rakennettu suomalaiseen peruskallioon. Suomi on ilmastoltaan ja maaperältään ideaalinen maantieteellinen sijainti ilman riskiä luonnon katastrofeista. Yhteydet Skillhive-palvelimelle on tiukasti rajattu palomuurien taakse ja kaikki tietoliikenne Skillhive-palveluun on salattu. Palvelin varmuuskopioidaan päivittäin, ja varmuuskopiot säilytetään eri palotilassa. Myös pääsy Intunexin toimitiloihin on suojattu (kulunvalvonta ja lukitut tilat) ja tietokoneet on suojattu salasanoilla ja asianmukaisilla menetelmillä.
Tietojen siirto kansainvälisesti
Intunex ei siirrä asiakkaidensa Skillhive-palveluun syöttämää henkilötietoa Euroopan Unionin tai Euroopan talousalueen ulkopuolelle. Pidämme myös huolen siitä, että alihankkijamme myös sitoutuvat tähän käytäntöön.
Tietosuojan hallintamalli ja tietosuojan kehittäminen
Intunexissa on käynnistetty suunnittelutyö, jonka tavoitteena on luoda selkeä hallintamalli henkilötietojen ja -rekisterien kuvaamiseen, käsittelyyn ja hallinnoimiseen. Tätä työtä varten on perustettu tietosuojaorganisaatio, jossa tietosuojan valvonta ja kehittäminen on vastuutettu ja projektoitu. Intunex on laatinut yksityiskohtaisen toimenpidesuunnitelman, jolla varmistetaan, että Intunex toimii tietosuoja-asetuksen mukaisesti, kun asetusta aletaan soveltamaan toukokuussa 2018.
