Opplysninger og kommunikasjon som UiOs brukere legger inn i Canvas blir ikke videreformidlet til tredjeparter.
I databehandleravtalen mellom UiO og Instructure er det regulert at Instructure bare skal behandle personopplysninger på vegne av UiO for å oppfylle avtalen, og at de skal behandle personopplysningene som konfidensiell informasjon. Det fremgår i kontrakten med Instructure og i risikovurderingen av Canvas at personopplysninger ikke skal videreformidles. UiOs data lagres på servere som er plassert i Europa, selv om Instructure er et amerikansk firma. Dette gjelder også for alle sikkerhetskopier og backups som tas av UiOs data i Canvas.
Spørsmål om sikkerheten for UiOs data i Canvas ble reist, vurdert og avklart i prosjektfasen før UiO valgte Canvas som digital læringsplattform. USITs jurister og IT-sikkerhetssjef vurderte kontrakten og databehandleravtalen før UiO signerte, og dette ble også vurdert i selve anbudsprosessen i regi av UNIT (Direktoratet for IKT og fellestjenester i høyere utdanning og forskning). Det er også gjennomført risiko- og sårbarhetsanalyse i denne anbudsprosessen, og UiO gjorde i tillegg en egen risiko- og sårbarhetsvurdering sammen med IT-sikkerhet på USIT.
Deltakere i Canvasrom på UiO
Studieavdelingen har besluttet at man må være tilknyttet undervisningen som student eller fagperson for å kunne se andre personer i rommet og delta i undervisningen som tilbys der.