Personvernerklæring for Alma

Denne personvernerklæringen beskriver hvordan behandlingsansvarlig håndterer dine personopplysninger i biblioteksystemet Alma.

Formålet med personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte.

Hva er personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson, jf. personopplysningsloven § 2 og GDPR artikkel 5 nr. 1. Det avgjørende for om en opplysning er en personopplysninger er om opplysningene kan knyttes til en konkret person.

Opplysninger, som alene ikke kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data utgjøre en personopplysning.

Kort om tjenesten

Alma er en applikasjon og en plattform for digitale bibliotektjenester. Alma definerer bibliotekregler, brukere og rettigheter, og støtter prosesser for akkvisisjon, utlån, administrasjon av beholdning og metadata, økonomistyring og rapportering. Alma er integrert med en rekke system for utveksling av data relatert til arbeidsprosessene ved biblioteket.

Tjenesten tillater ikke behandling av personsensitive opplysninger.

Formålet med behandling av personopplysninger i tjenesten

Tjenesten behandler ulike typer persondata med følgende formål:

TyperBeskrivelseFormål med behandling
Administrative brukereBibliotekarer og administrativt ansatte. BrukerstøtteAdministrasjon, konfigurasjon og daglig drift av tjenesten.
LånetakereAlle kategorier låntakere. Inkluderer studenter, ansatte, midlertidig ansatte, "walk-in-users" (midlertidige brukere og personer utenfor institusjonen).Bestiller materiell og konsumerer tjenester ved biblioteket.
KontaktpersonerKontaktpersoner for tjenester tilknyttet biblioteket, eksempelvis kontaktpunkt for leverandører (materiell), systemintegrasjoner og brukerstøtte.Drift av bibliotektjenestene.
Bibliografiske data - personer referert i metadataPersoner registrert i åpne bibliografiske data (metadata). Inkluderer opplysninger om forfatter og forfatters kobling til publikasjon.Bibliografiske metadata er nødvendig for katalogisering og gjenfinning av materiale.
Bibliografiske data - personer referert i innholdPersonopplysninger referert gjennom innhold, som i biografisk materiale.Tilby innhold til publikum.

Registrerte personopplysninger, rettslig grunnlag og lagringstid

Personopplysninger knyttet til brukerkonto i tjenesten krever samtykke som rettslig grunnlag, jamfør Lov om behandling av personopplysninger (personopplysningsloven), GDPR artikkel 6 nr. 1 bokstav a.

Registrerte personopplysninger om forfattere og kontaktpersoner dekkes av Lov om behandling av personopplysninger (personopplysningsloven), GDPR artikkel 6 nr. 1 bokstav f - å utføre en oppgave av berettiget interesse.

Tjenesten tillater ikke behandling av sensitive personopplysninger. I de tilfeller brukeren selv kan legge inn opplysninger i kommentarfelt og lignende, plikter brukeren å følge krav og og retningslinjer for tjenesten. Det er ikke tillatt å registrere sensitive opplysninger om seg selv eller andre, eller å benytte tjenesten til injurierende adferd.

Behandlingsansvarlig kan lagre opplysninger for statistiske formål, dersom dette er i samfunnets interesse, jf Personopplysningsloven §8 og GDPR artikkel 6 nr. 1 bokstav e.

Følgende persondata behandles i tjenesten.

Brukerdata

OpplysningstypeBeskrivelseKilde
Grunnleggende brukerdataInformasjon nødvendig for identifisering og administrasjon av brukere i Alma. (Fornavn, mellomnavn, etternavn, fødselsdato, utløpsdato, slettedato, stedfortreder for annen låntaker)Alma, Feide
Beskrivende informasjonInformasjon for å adressere brukere i tjenesten. Tittel, jobbeskrivelse, kjønn, foretrukket språk.Alma. Kan også komme fra andre kildesystem hos behandlingsansvarlig.
KontaktinformasjonKontaktinformasjon til brukere
Epost (type, adresse, preferert),
Telefon (type, nummer, preferert),
Preferert SMS-nummer,
Adresse (type, detaljer, preferert)
Alma. Kan også komme fra andre kildesystem hos behandlingsansvarlig.
NotaterNotat knyttet til bruker og lagt inn av bibliotekar, for bistand og oppfølging av bruker ved biblioteket. Skal ikke inneholde sensitive personopplysninger.Alma
VedleggSystemgenererte og manuelt komponerte meldinger til brukeren, som hentemeldinger og purringer. Lagres for å dokumentere dialog med brukeren. Som standard slettes ikke disse automatisk, men hvert enkelt bibliotek skal angi sletting etter en definert tidsgrense. Meldingene skal ikke inneholde personsensitiv informasjon.Alma
StatistikkAggregert statistikk relatert til bruk av systemet. Anonymisert lån- og søke-statistikk.Alma
BrukergrupperGruppering av brukere for bruk sammen med utlånsregler eller for tildeling av administrative privilegier.Alma
Informasjon om administrative brukereInformasjon om administrative brukere av tjenesten for tilpasning av funksjonalitet og utvidet tilgangsstyring. Cataloger level.Alma
Informasjon om låntakerInformasjon knyttet til låntakeren. Foretrukket fjernlånsbibliotek, preferanser ifbm brev og varsel,Alma
KravAktive bøter og purringer. Historikk. (Fine/Fee type, Comment, Fee owner, Title, Item Barcode, Original Amount)Alma
Bestilling/reservasjonBestilling og reservasjon av låneobjektAlma
BlokkeringerBibliotekansatt kan legge til blokkering på låntaker med årsakskode, kommentar og utløpsdato for å stoppe videre utlånsmulighet. Kan overstyres manuelt. Historikk.Alma
Lån, aktiv transaksjonAktive lån på låneobjekt. Lånehistorikk lagres ikke.Alma

Brukerdata av teknisk karakter 

OpplysningstypeBeskrivelseKilde
SystemidentiteterIdentiteter i tjenesten og i integrerte system. (type, verdi og notefelt).Alma, Feide og andre integrerte system.
Systemroller og tilhørighet til organisasjonBruker tildeles roller i systemet for å gi tilpasset funksjonalitet og tilgang til tjenesten.Alma. Roller kan tildeles i Alma basert på informasjon fra andre kildesystem som Feide.
Sesjonsinformasjon og informasjonskapslerInformasjon knyttet til brukers dialog med tjenesten. Nødvendig for å tilpasse funksjonalitet i tjenesten og for autentisering av brukere.Alma.
LoggLogg over bruk av systemet knyttet til innlogget bruker og/eller ip-adresse. Formålet med logg er å ivareta sikkerhet og integritet i systemet, yte brukerstøtte, samt å analysere bruk av tjenesten. Opplysningene som samles inn inkluderer tidspunkt, bruker-id, ip-adresse, informasjon om nettleser og maskinvare, sesjonsinformasjon og annen informasjon som nettleser normalt avleverer.Alma
Informasjon knyttet til autentisering av brukere Informasjon for sikker autentisering av brukere.  
- Passord for brukere opprettet direkte i Alma. 
- Pin-kode for bruk sammen med lånekort ved bruk av utlånsautomat eller lignende; gir to-faktor autentisering av låntaker. 
Alma. Kan også komme fra andre kildesystem hos behandlingsansvarlig.

Andre persondata

OpplysningstypeBeskrivelseKilde
KontaktopplysningerKontaktpersoner og kontaktpunkt for tjenester tilknyttet biblioteket, eksempelvis leverandører av materiell, utstyrsleverandører, brukerstøtte.Alma.
Bibliografiske data - personer referert i metadataOpplysninger om forfatter og forfatters kobling til publikasjon, eventuelt andre bidragsytere til publikasjon.Alma, nasjonalt autoritetsregister, eller eksterne kilder som forlag og andre bi
Bibliografiske data - personer referert i innholdPersonopplysninger referert gjennom innhold, eksempelvis i biografisk materiale.Alma eller eksterne innholdstjenester.

Informasjonen om din aktivitet lagres for å kunne gi deg brukerstøtte og for å kunne si noe om den generelle bruken av tjenesten.

Persondata blir lagret inntil en av følgende hendelser inntreffer:

  • Brukersamtykket trekkes tilbake
  • Formålet med behandling av personopplysninger er oppfylt
  • Behandlingsansvarlig beslutter å legge ned tjenesten.

Logg og backup av systemdata lagres inntil 1 år.

Automatisk saksbehandling

Personopplysningene dine vil ikke være gjenstand for profilering. Bibliotektjenesten har automatiserte rutiner for utlån, tilbakelevering, purring av lån og for innkreving av gebyr.

Utlevering av dine personopplysninger til andre

Utlevering eller eksport av data defineres som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne.

Dine personopplysninger blir utlevert til følgende land utenfor EU/EØS:

Dine personopplysninger blir utlevert til Sikt, som er leverandør av tjenesten, og til dennes underleverandører;

UnderleverandørFunksjon
ClarivateSkydrift og utvikling av Alma, Oria og relaterte bibliotekstjenester.
NTNULokaler til drift av servere for Sikts direkte tjenester
Blue Safespring ABSkydrift og backup for Sikts direkte tjenester

Ansatte hos underleverandørene, som har behov for det i sin jobb, vil ha tilpasset tilgang til dine persondata for å kunne utføre brukerstøtte og eventuell feilretting i tjenesten.

Ta kontakt med behandlingsansvarlig for en oppdatert oversikt over tjenestens integrasjoner.

Sikkerheten rundt dine personopplysninger

Personopplysninger i tjenesten er sikret med flere tiltak. Alle overføringer til og fra tjenesten er kryptert. Sikt utfører

regelmessig risiko- og sårbarhetsanalyser, og tester sikkerheten i tjenesten for å sikre dine personopplysninger. Sikkerhetstiltak hos underleverandør Clarivate er dokumentert her.

Ansatte som behandler dine persondata er underlagt taushetsplikt, og dette gjelder også ansatte hos underleverandører.

Dine rettigheter

Rett til informasjon og innsyn

Du har krav på å få informasjon om hvordan dine personopplysninger blir behandlet i tjenesten. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få. Du har også rett til å se/få innsyn i dine personopplysninger som er registrert i tjenesten, og også andre personopplysninger som blir innhentet etter aktiv pålogging fra deg. Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det.

Retten til innsyn ivaretas gjennom selvbetjening i tjenesten, hvor du etter pålogging får innsyn i egne opplysninger. Hvis tjenesten ikke gir fullstendige opplysninger via selvbetjeningsløsningen, må det rettes en skriftlig henvendelse til behandlingsansvarlig for å få tilgang til utfyllende opplysninger.

Rett til korrigering

Du har rett til å få uriktige personopplysninger om deg korrigert. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener tjenesten viser feil eller mangelfulle personopplysninger, ber vi deg om å ta kontakt med behandlingsansvarlig og at du begrunner hvorfor du mener personopplysningene er feil eller mangelfulle.

Rett til å begrense behandlingen

I enkelte tilfeller kan du ha rett til å kreve behandlingen av dine personopplysninger blir begrenset. Begrenset behandling vil si at personopplysningene fortsatt blir lagret, men at annen behandling i tjenesten begrenses. For å kunne kreve begrenset behandling av personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylt. Du kan kreve begrenset behandling

  • I påvente av at behandlingsansvarlig korrigerer feil eller mangelfulle personopplysninger
  • Dersom du har fremmet en innsigelse mot behandlingen (se mer om dette under)
  • Dersom personopplysningene er nødvendig for å opprette eller forsvare et rettslig krav

Blir begrenset behandling iverksatt, vil du varsles av behandlingsansvarlig før begrensningen oppheves.

Rett til sletting

Du har rett til å kreve at vi sletter personopplysninger om deg. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med behandlingsansvarlig eller anvende slettefunksjon i tjenesten. Ved henvendelse er det viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet.

Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi behandler personopplysningene for å oppfylle en lovpålagt oppgave, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.

Rett til å fremme innsigelse

Du har rett til å fremme innsigelse mot behandling av dine personopplysninger under visse vilkår, definert i GDPR artikkel 21. Dette gjelder dersom;

  • Rettslig grunnlag for behandling av personopplysninger er basert på legitime interesser, i allmenn interesse, eller ved utøvelse av offentlig myndighet.
  • Behandling av personopplysninger innebærer direkte markedsføring eller profilering
  • Behandling av personopplysninger skjer med tanke på vitenskapelig/historisk forskning eller statistikk.

Tjenesten tilfredsstiller generelt ikke disse vilkårene, med unntak for behandling av forfatteropplysninger og i de tilfeller hvor personopplysninger anvendes for statistikk. Ved bruk til statistikk vil persondata være anonymisert.

Vær imidlertid oppmerksom på følgende;

  • Dersom du har et særskilt behov for å få stanset behandlingen ber vi deg om å ta kontakt med behandlingsansvarlig - eksempelvis hvis du har et beskyttelsesbehov, fortrolig adresse, eller lignende.
  • Når det er gitt samtykke for behandling av personopplysninger, har du rett til å trekke samtykket.

Rett til å klage over behandlingen

Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. Se nederst for informasjon om hvordan du kan kontakte oss.

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og GDPR, ved behandling av personopplysninger.

Kontakt

Behandlingsansvarlig

Institusjonen er behandlingsansvarlig for personopplysninger i tjenesten og er primært kontaktpunkt for sluttbrukere.

Databehandler

Sikt utvikler og forvalter tjenesten på vegne av behandlingsansvarlig, og har rollen som databehandler.

Kontaktinformasjon til Sikt brukerstøtte: