Personvernerklæring for Oria

Personvernerklæringen følger kravene som fremgår av Lov om behandling av personopplysninger (“personopplysningsloven”) og gir informasjon om hvordan dine personopplysninger behandles når du bruker søketjenesten oria.no (”Oria”).

Oria er en tjeneste basert på produktet Primo fra Ex Libris og samspiller med biblioteksystemet som brukes av institusjonene. Registering og lagring av opplysninger som låntakerinformasjon, lån og bestillinger i biblioteksystemet er regulert gjennom databehandleravtalen mellom BIBSYS og hver enkelt institusjon om bruk av Biblioteksystemet og tilhørende søketjenester.

Bruk av oria.no uten innlogging

Oria kan brukes uten innlogging for å søke i tilgjengelig materiale. Det vil ikke være mulig å identifisere brukeren.

Se forøvrig avsnittet om «besøksstatistikk og informasjonskapsler».

Bruk av oria.no med innlogging

Behandlingsansvarlig

Institusjonen som den enkelte student eller ansatte tilhører, er behandlingsansvarlig og har hovedansvaret for persondata som innhentes og deretter overleveres BIBSYS som databehandler og ansvarlig for Oria og biblioteksystemet. Overfor en eventuell tredjepart som tar del i behandlingen, er BIBSYS behandlingsansvarlig. 

Formålet med behandlingen

Via Oria kan brukere vedlikeholde lån og registrere/slette bestillinger på lån og kopier av dokumenter. Disse opplysningene sendes til, og lagres i biblioteksystemet. For å muliggjøre dette må en logge på tjenesten og autentiseres mot låntakerregisteret gjennom Feide. Frem til desember 2015 er både fødselsnummer og Feide-ID brukt til å identifisere låntakeren i låntakerregisteret. Etter desember 2015 vil kun Feide-ID bli benyttet for autentisering.
Oria kan lagre opplysninger om akademisk grad og relevante fagfelt som ønskes dekket. Disse opplysningene brukes for å gi en bedre relevansrangert treffliste. Brukere kan også velge å registrere alternativt telefonnummer og epost-adresse som foretrukne kontaktpunkter ved utsendelse av epost/SMS fra Oria.

Oria legger til rette for å lagre metadataposter og søk. Disse blir knyttet til den påloggede brukeren, slik at disse kan gjenbrukes senere. Brukere kan selv slette disse når det er ønskelig. 

Hvilke personopplysninger behandles

Ved pålogging mottar og presenterer Oria ikke-sensitive personopplysninger om denne brukeren fra det gjeldende biblioteksystemet. Disse opplysningene kan omfatte:

 

Opplysningstype Obligatorisk/Valgfritt Kommentar
Navn Obligatorisk  
Adresse Obligatorisk  
Telefonnummer Obligatorisk  
Epost-adresse Obligatorisk  
Fødselsnummer Valgfritt Institusjonen skal ha innhentet evt. samtykke til bruk
Feide-ID Obligatorisk  
Låntaker-ID Obligatorisk  
Lånte dokumenter Obligatorisk Kun aktive lån
Ønskede dokumenter (reserveringer/bestillinger) Obligatorisk Kun aktive bestillinger/reserveringer

 

Disse opplysningene (med unntak av låntaker-ID) er ikke lagret i Oria, men hentes fra biblioteksystemet som igjen får opplysningene fra brukerinstitusjonene. For studenter overføres disse fra Felles Studentsystem mens det for ansatte enten overføres fra et av institusjonens øvrige datasystemer eller ved at bibliotekansatte manuelt oppdaterer brukerdata i biblioteksystemet.

Personlig informasjon og utlånsdata er ikke synlig for andre enn den autentiserte brukeren. Informasjonen kan bli delt med BIBSYS (og eventuelt underleverandører) for å kunne feilsøke systemet eller yte brukerstøtte. 

Fødselsnummer benyttes ikke etter desember 2015. 

Besøksstatistikk og informasjonskapsler

Oria lagrer metadataposter og søkehistorikk midlertidig i sesjonen i nettleseren. Hensikten er å gi bedre brukerfunksjonalitet og informasjonen blir slettet når nettleseren lukkes.

Ulike handlinger (søk, valg av fasett, søkefunksjon etc.) aggregeres og registreres med tanke på statistikk, men på en slik måte at ingen data kan spores tilbake til enkelte låntakere. 

BIBSYS bruker verktøyet Google Analytics til å samle besøksstatistikk. Informasjonen som sendes til Google Analytics inneholder ikke hvilke søk som er foretatt og IP-anonymisering er aktivert.

Informasjonskapsler («cookies») er små tekstfiler som plasseres på din datamaskin når du besøker oria.no. Dette benyttes for besøksstatistikk samt hvis du søker i Oria fra en ukjent IP-adresse, til å lagre ønsket institusjon.

Lagring av personopplysninger

Ingen personopplysninger lagres i Oria utover låntaker-ID. Låntaker-ID brukes for å knytte lagrede søk og metadataposter til den påloggede bruker. Lagring av personopplysninger i låntakerregisteret i biblioteksystemet er behandlet i databehandleravtalen mellom institusjonen og BIBSYS og dataene blir lagret så lenge låntakeren har et brukerforhold til institusjonen/biblioteket. Det er opp til institusjonen å vedlikeholde låntakerregisteret. 

Låne-/bestillingshistorikk, dvs. informasjon om en avsluttet lånetransaksjon, lagres ikke med mindre brukeren selv har gitt sitt eksplisitte samtykke til dette.

Databehandleravtaler

Alle institusjoner som benytter Oria for å presentere lån/bestillinger og Min Side-funksjonalitet for sine primærbrukere, har inngått en databehandleravtale med BIBSYS om bruken av tjenestene Oria og biblioteksystemet.

Utveksling med tredjepart

BIBSYS har inngått avtaler med følgende databehandlere:

  • Ex Libris
  • Biblioteksystemer AS for Nasjonalt låneregister 

BIBSYS har inngått en databehandleravtale med Ex Libris relatert til produktene Primo (Oria) og Alma (biblioteksystemet).

Utvekslingen av låntakerinformasjon med Nasjonalt låneregister muliggjør bruk av Nasjonalt lånekort. Med nasjonalt lånekort kan brukeren bruke det samme lånekortet i alle bibliotek i Norge. Behandling av personopplysninger i Nasjonalt Lånekort er beskrevet på denne siden:  Om Lånekortet

Sikkerhetstiltak

Pålogging og autentisering

Oria benytter Feide som autentiseringsløsning og ved pålogging sendes opp til fire informasjonselementer (personnummer, Feide-ID, organisasjonsnummer og evnt låntaker-ID) til biblioteksystemet, eller tilhørende funksjoner, for å identifisere brukeren. Biblioteksystemet returnerer låntaker-ID til Oria.
Oria benytter låntaker-ID til å unikt identifisere en låntaker. Denne låntaker-ID blir lagret i Oria og brukes for å gjøre oppslag i biblioteksystemet for å hente ut person- og lånedata, samt ta vare på lagrede søk, metadataposter o.l.

Hvordan sikrer vi opplysningene

Det arbeides med å øke sikkerheten for kommunikasjonen mellom Oria og biblioteksystemet. Første trinn vil komme på plass fra og med desember 2015. Målet er at all kommunikasjon, inkl. Oria-applikasjonen skal benytte kryptering over HTTPS.

Dine rettigheter

Innsyn

Du har krav på å få vite hvilke personopplysninger som er registrert om deg hos BIBSYS og hvordan disse opplysningene blir behandlet jf. bestemmelsen i personopplysningslovens § 18. Det er norsk lovverk som regulerer all behandling, også samspillet med tredjeparter.

Retting, sletting

Som registrert hos BIBSYS har du i visse tilfeller rett til å kreve retting og sletting av opplysninger om deg selv, jf. personopplysningslovens § 27 og § 28. Eksempelvis vil dette kunne gjelde opplysninger som er uriktige og / eller ufullstendige, eller opplysninger BIBSYS ikke har adgang til å behandle. 

Krav fra deg som registrert skal besvares kostnadsfritt og senest innen 30 dager.

Hvem kan jeg kontakte?

Dersom du ønsker å få informasjon om hva slags type opplysninger som er registrert om deg, ønsker innsyn/retting/sletting i det som er registrert om deg, eller har generelle spørsmål om behandlinger av personopplysninger, kan du ta kontakt med biblioteket ved din institusjon.

Endringer i personvernerklæringen

BIBSYS forbeholder seg retten til når som helst å endre personvernerklæringen. En slik endring vil gjelde fra det tidspunktet en oppdatert personvernerklæring publiseres på dette nettstedet.