Personvernerklæring for oria.no

Personvernerklæringen følger kravene som fremgår av Lov om behandling av personopplysninger (“personopplysningsloven”) og gir informasjon om hvordan dine personopplysninger behandles når du bruker søketjenesten oria.no (”Oria”).

Oria er en tjeneste basert på produktet Primo fra Ex Libris og samspiller med biblioteksystemet som brukes av institusjonene. Registering og lagring av opplysninger som låntakerinformasjon, lån og bestillinger i biblioteksystemet er regulert gjennom databehandleravtalen mellom BIBSYS og hver enkelt institusjon om bruk av Biblioteksystemet og tilhørende søketjenester.

Bruk av oria.no uten innlogging

Oria kan brukes uten innlogging for å søke i tilgjengelig materiale. Det vil ikke være mulig å identifisere brukeren, men se også avsnittet om utveksling med tredjepart.

Se forøvrig avsnittet om «besøksstatistikk og informasjonskapsler».

Bruk av oria.no med innlogging

Behandlingsansvarlig

Institusjonen som den enkelte student eller ansatte tilhører, er behandlingsansvarlig og har hovedansvaret for persondata som innhentes og deretter overleveres BIBSYS som databehandler og ansvarlig for Oria og biblioteksystemet. Overfor en eventuell tredjepart som tar del i behandlingen, er BIBSYS behandlingsansvarlig.

Formålet med behandlingen

Via Oria kan brukere vedlikeholde lån og registrere/slette bestillinger på lån og kopier av dokumenter. Disse opplysningene sendes til, og lagres i biblioteksystemet. For å muliggjøre dette må en logge på tjenesten og autentiseres mot låntakerregisteret gjennom Feide. Det er kun Feide-ID som blir benyttet for autentisering.

Oria kan lagre opplysninger om akademisk grad og relevante fagfelt som ønskes dekket. Disse opplysningene brukes for å gi en bedre relevansrangert treffliste. Brukere kan også velge å registrere alternativt telefonnummer og epost-adresse som foretrukne kontaktpunkter ved utsendelse av epost/SMS fra Oria.

Oria legger til rette for å lagre metadataposter og søk. Disse blir knyttet til den påloggede brukeren, slik at disse kan gjenbrukes senere. Brukere kan selv slette disse når det er ønskelig.

Hvilke personopplysninger behandles

Ved pålogging mottar og presenterer Oria ikke-sensitive personopplysninger om denne brukeren fra det gjeldende biblioteksystemet. Disse opplysningene kan omfatte:

Opplysningstype Obligatorisk/valgfritt Kommentar
Navn Obligatorisk
Adresse Obligatorisk
Telefonnummer Obligatorisk
Epost-adresse Obligatorisk
Fødselsnummer Valgfritt Valgfritt Institusjonen skal ha innhentet evt. samtykke til bruk
Feide-ID Obligatorisk
Låntaker-ID Obligatorisk
Lånte dokumenter Obligatorisk Kun aktive lån
Ønskede dokumenter (reserveringer/bestillinger) Obligatorisk Kun aktive bestillinger/reserveringer

Disse opplysningene (med unntak av låntaker-ID) er ikke lagret i Oria, men hentes fra biblioteksystemet som igjen får opplysningene fra brukerinstitusjonene. For studenter overføres disse fra Felles Studentsystem mens det for ansatte enten overføres fra et av institusjonens øvrige datasystemer eller ved at bibliotekansatte manuelt oppdaterer brukerdata i biblioteksystemet.

Personlig informasjon og utlånsdata er ikke synlig for andre enn den autentiserte brukeren. Informasjonen kan bli delt med BIBSYS (og eventuelt underleverandører) for å kunne feilsøke systemet eller yte brukerstøtte.

Fødselsnummer benyttes ikke etter desember 2015.

Besøksstatistikk og informasjonskapsler

Oria lagrer metadataposter og søkehistorikk midlertidig i sesjonen i nettleseren. Hensikten er å gi bedre brukerfunksjonalitet og informasjonen blir slettet når nettleseren lukkes.

Ulike handlinger (søk, valg av fasett, søkefunksjon etc.) aggregeres og registreres med tanke på statistikk, men på en slik måte at ingen data kan spores tilbake til enkelte låntakere.

BIBSYS bruker verktøyet Google Analytics til å samle besøksstatistikk. Informasjonen som lagres i Google Analytics inneholder ikke hvilke søk som er foretatt og IP-anonymisering er aktivert. Innsamlingen går også via en ekstern server hos BIBSYS, samt at scriptet er lagret lokalt slik at det ikke er noen direkte kall til Google Analytics fra Oria.

Informasjonskapsler («cookies») er små tekstfiler som plasseres på din datamaskin når du besøker oria.no. Dette benyttes for besøksstatistikk samt hvis du søker i Oria fra en ukjent IP-adresse, til å lagre ønsket institusjon.

Lagring av personopplysninger

Ingen personopplysninger lagres i Oria utover låntaker-ID. Låntaker-ID brukes for å knytte lagrede søk og metadataposter til den påloggede bruker. Lagring av personopplysninger i låntakerregisteret i biblioteksystemet er behandlet i databehandleravtalen mellom institusjonen og BIBSYS og dataene blir lagret så lenge låntakeren har et brukerforhold til institusjonen/biblioteket. Det er opp til institusjonen å vedlikeholde låntakerregisteret.

Låne-/bestillingshistorikk, dvs. informasjon om en avsluttet lånetransaksjon kan bli lagret i en begrenset periode, men ikke lenger enn det som er nødvendig for å gjennomføre den administrative oppfølgingen av lånet/bestillingen jamfør Personopplysningsloven (POL) § 28.

Databehandleravtaler

Alle institusjoner som benytter Oria for å presentere lån/bestillinger og Min Side-funksjonalitet for sine primærbrukere, har inngått en databehandleravtale med BIBSYS om bruken av tjenestene Oria og biblioteksystemet.

Utveksling med tredjepart

BIBSYS har inngått avtaler med følgende databehandlere:

  • Ex Libris
  • Biblioteksystemer AS for Nasjonalt låneregister

BIBSYS har inngått en databehandleravtale med Ex Libris relatert til produktene Primo (Oria) og Alma (biblioteksystemet).

Utvekslingen av låntakerinformasjon med Nasjonalt låneregister muliggjør bruk av Nasjonalt lånekort. Med nasjonalt lånekort kan brukeren bruke det samme lånekortet i alle bibliotek i Norge. Behandling av personopplysninger i Nasjonalt Lånekort er beskrevet på denne siden: Om Lånekortet

Oria benytter informasjon fra tredjeparts aktører (som Google og Amazon) for å levere tilleggstjenester som øker verdien for sluttbruker. Eksempler på slike tjenester er innhenting av forsidebilder og innsamling av statistikk. Dette innebærer at noe informasjon fra nettleseren blir delt med leverandørene av dette/disse innholdet/tjenestene. Der det er teknisk/praktisk mulig har BIBSYS lagt inn mekanismer som i størst mulig grad reduserer omfanget av informasjonen som deles med tredjepart. Eksempelvis går innhenting av forsidebilder gjennom en lokal proxy, mens innsamling av statistikk går via en lokal server. Noen av disse mekanismene er avhengig av at din nettleser har støtte for dette. Det er tilfellet for de vanligste nettleserne med unntak av Internet Explorer og enkelte nettlesere på mobile enheter. I og med at Oria benytter HTTPS er informasjon ikke tilgjengelig for andre aktører.

Sikkerhetstiltak

Pålogging og autentisering

Oria benytter Feide som autentiseringsløsning og ved pålogging sendes opp til fire informasjonselementer (personnummer, Feide-ID, organisasjonsnummer og evnt låntaker-ID) til biblioteksystemet, eller tilhørende funksjoner, for å identifisere brukeren. Biblioteksystemet returnerer låntaker-ID til Oria.

Oria benytter låntaker-ID til å unikt identifisere en låntaker. Denne låntaker-ID blir lagret i Oria og brukes for å gjøre oppslag i biblioteksystemet for å hente ut person- og lånedata, samt ta vare på lagrede søk, metadataposter o.l.

Hvordan sikrer vi opplysningene

Oria er kun tilgjengelig via HTTPS, og sikkerheten i kommunikasjonen mellom Oria og biblioteksystemet ivaretas med kryptering over HTTPS.

Dine rettigheter

Innsyn

Du har krav på å få vite hvilke personopplysninger som er registrert om deg hos BIBSYS og hvordan disse opplysningene blir behandlet jf. bestemmelsen i personopplysningslovens § 18. Det er norsk lovverk som regulerer all behandling, også samspillet med tredjeparter.

Retting, sletting

Som registrert hos BIBSYS har du i visse tilfeller rett til å kreve retting og sletting av opplysninger om deg selv, jf. personopplysningslovens § 27 og § 28. Eksempelvis vil dette kunne gjelde opplysninger som er uriktige og / eller ufullstendige, eller opplysninger BIBSYS ikke har adgang til å behandle.

Krav fra deg som registrert skal besvares kostnadsfritt og senest innen 30 dager.

Hvem kan jeg kontakte?

Dersom du ønsker å få informasjon om hva slags type opplysninger som er registrert om deg, ønsker innsyn/retting/sletting i det som er registrert om deg, eller har generelle spørsmål om behandlinger av personopplysninger, kan du ta kontakt med biblioteket ved din institusjon.

Endringer i personvernerklæringen

BIBSYS forbeholder seg retten til når som helst å endre personvernerklæringen. En slik endring vil gjelde fra det tidspunktet en oppdatert personvernerklæring publiseres på dette nettstedet.

Sist oppdatert: 01.06.2017