Personvernerklæring for ITs katalogtjenester og brukeradministrasjon

Dette er en personvernerklæring for ITs katalogtjenester og brukeradministrasjon.  Den vil vise til generell personvernerklæring for IT-avdelingen ved Universitetet i Sørøst-Norge (USN) og spesielt omhandle bruken av personopplysninger knyttet til oppretting av brukerkontoer i ITs katalogtjenester.

Denne personvernerklæringen er sist endret 07.06.18 av IT-avdelingen, Seksjon for identitetsforvaltning og samhandlingssystemer.

Innhold:

  1. Kort om systemer/tjenester som er dekket av denne personvernerklæringen
  2. Hva er en personvernerklæring?
  3. Hva regnes som personopplysninger?
  4. Formålet med og rettslig grunnlag for behandling av personopplysninger i IT-avdelingens katalogtjenester
  5. Hvilke personopplysninger lagres, og hvor får ITs katalogtjenester personopplysningene om deg fra?
  6. Hva bruker katalogtjenestene dine personopplysninger til?
  7. Overføring av personopplysninger til systemer/tjenester IT-avdelingen ikke har ansvaret for
  8. Hvor lenge lagrer vi dine personopplysninger?
  9. Sikkerheten knyttet til dine personopplysninger
  10. Dine rettigheter
  11. Kontaktinformasjon

1. Kort om systemer/tjenester som er dekket av denne personvernerklæringen

Denne personvernerklæringen dekker ITs hovedkatalog for IT-brukerkonto (IDbank), Feide-katalogen, AD og integrasjonsløsninger (systemer for datautveksling) direkte mot en av disse tre katalogene.

2. Hva er en personvernerklæring?

Denne personvernerklæringen beskriver hvordan IT-avdelingen ved USN håndterer dine personopplysninger i sine katalogtjenester. Formålet med denne personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har, og hvem du kan kontakte.

3. Hva regnes som personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysninger, er om opplysningene kan identifisere en konkret person.

Opplysninger, som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data utgjøre en personopplysning.

4. Formålet med og rettslig grunnlag for behandling av personopplysninger i IT-avdelingens katalogtjenester

Formålet for IT-avdelingens behandling av personopplysninger i katalogtjenestene er å gi studenter og ansatte IT-brukerkonto og tilgang til de ulike systemene og tjenestene som de har bruk for.  Behandlingen av personopplysninger hjemles i Universitets- og høyskoleloven § 4-15 (studenter), arbeidsavtale og HTA (ansatte) og GDPR artikkel 6 pkt. 1b og i noen tilfeller 1e (både studenter og ansatte).

5. Hvilke personopplysninger lagres, og hvor får ITs katalogtjenester personopplysningene om deg fra?

ITs hovedkatalog for brukerkonto (IDbank) får personopplysninger fra studentregisteret (FS).  Dette gjelder både for studenter og ansatte siden ansatte opprettes som fagpersoner i FS. I tillegg legges det manuelt inn noen personopplysninger for ansatte når brukerkontoen opprettes (se nedenfor), og du kan også selv gi noen få opplysninger i ITs selvbetjeningsportal for brukerkonto (https://konto.usn.no).  Det er også tekniske systemlogger som inneholder litt informasjon om aktivitet (bl. a. kommunikasjon mot FS og når du var pålogget i katalogtjenestene).

Feide-katalogen og AD-katalogen får sine opplysninger fra brukerkatalogen i IDbank.  Det er derfor bare brukere som er aktive i IDbank, som vil finnes i AD- og Feide-katalogen.  Studenter blir ikke overført til AD-katalogen før etter at de har aktivert brukerkontoen sin i IDbank og opprettet passord på https://konto.usn.no.  Verken studenter eller ansatte blir overført til Feide-katalogen før etter at de har aktivert brukerkontoen i IDbank.

IDbank får følgende personopplysninger fra FS:

  • Navn registrert i Folkeregisteret
  • Fødselsnummer
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon)
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • Privat e-postadresse (bare studenter)
  • Privat gateadresse og poststed (bare studenter)
  • Mobiltelefon (studenter + ansatte med mobiltelefon betalt av USN)
  • Fødselsdato
  • Aktivstatus (brukes til å avgjøre om det skal opprettes brukerkonto eller ikke)
  • Studieprogram (bare studenter)
  • Tittel (Student for studenter)
  • Campus
  • Bygning og kontornummer (bare for ansatte med eget kontor)
  • FS-løpenummer (unik identifikasjon mellom FS og IDbank)

IDbank får følgende personopplysninger fra SAP:

  • Ansattnummer i SAP

Følgende personopplysninger genereres automatisk i IDbank:

  • Brukernavn (for studenter, settes manuelt for ansatte)
  • FeideID (genereres ved å sette @usn.no bak brukernavnet)
  • LåntakerID i Bibsys/Oria (biblioteksystemet)
  • E-postadresse USN (for studenter, settes manuelt for ansatte)

Følgende personopplysninger registreres via https://konto.usn.no:

  • Passord (er kryptert)
  • Tidspunkt for aktiveringen av brukerkontoen
  • Tidspunkt for siste endring av passord
  • Tidspunkt for innlogging på https://konto.usn.no
  • PIN-kode til nøkkelkort (valgfritt, gjelder ikke for alle campus)
  • Privat e-postadresse for ansatte (valgfritt)
  • Privat mobiltelefon for ansatte (valgfritt)

IT-support kan også ved henvendelse fra ansatte legge inn privat e-postadresse og privat mobiltellefon for ansatte som har glemt passordet sitt og dermed ikke kan registrere disse opplysningene selv på https://konto.usn.no.

Følgende personopplysninger registreres av PO-avdelingen når ansatte opprettes i IDbank:

  • Brukernavn
  • Visningsnavn (hvis dette ønskes endret fra navn i Folkeregisteret)
  • E-postadresse
  • Samhandlingstjenester (e-post, Skype, Skype inkl. telefoni)

Når studenter tar bilde i fotoautomat på campus eller laster det opp via x.usn.no blir bildet lagret i IDbank, og det blir derfra sendt til FS.

Feide-AT får følgende personopplysninger fra IDbank:

  • Navn registrert i Folkeregisteret
  • Fødselsnummer
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon)
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • E-postadresse USN
  • Telefonnummer USN (bare ansatte med eget kontor)
  • Mobiltelefon (studenter + ansatte med mobiltelefon betalt av USN)
  • Fødselsdato
  • Aktivstatus (om kontoen er sperret eller ikke)
  • Tittel (Student for studenter)
  • FeideID (brukernavn + @usn.no)
  • LåntakerID Bibsys
  • Ansattnummer i SAP

Følgende personopplysninger genereres automatisk i Feide-AT:

  • Tidspunkt for siste innlogging via Feide
  • Tidspunkt og antall innloggingsforsøk med galt passord i Feide

AD får følgende personopplysninger fra IDbank:

  • Visningsnavn (for de fleste er dette identisk med navn i Folkeregisteret)
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon)
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • E-postadresse USN
  • Tittel (Student for studenter)
  • Bilde
  • Aktivstatus (om kontoen er sperret eller ikke)
  • Mobiltelefon (bare ansatte med mobiltelefon betalt av USN)
  • Studieprogram (bare studenter)
  • Campus
  • Bygning og kontornummer (bare for ansatte med eget kontor)
  • FS-løpenummer
  • Ansattnummer i SAP

Følgende personopplysninger genereres automatisk i AD:

  • Telefonnummer USN (bare ansatte med eget kontor)
  • SIP-adresse (til bruk for Skype, er identisk med USN e-postadresse)
  • Tidspunkt for oppretting av AD-kontoen
  • Tidspunkt for siste endring av AD-kontoen
  • Tidspunkt for siste innlogging i AD
  • Tidspunkt for siste innlogging med galt passord i AD

6. Hva bruker vi dine personopplysninger til?

Som nevnt i pkt. 4, er hovedformålet med ITs bruk av personopplysninger i katalogtjenes­tene å gi deg som student eller ansatt brukerkonto og tilgang til alle systemer/tjenester du har bruk for, men samtidig ikke til systemer/tjenester som du ut fra din rolle ikke skal ha tilgang til.  Vi bruker da personopplysninger til unik identifisering av deg som person og til å styre tilganger og rettigheter.  Dette gjelder alle systemer/tjenester IT-tjenesten har ansvaret for selv, men også IT-systemer som andre enheter ved USN har ansvaret for.

7. Overføring av personopplysninger til systemer/tjenester IT-avdelingen ikke har ansvaret for

I tillegg til å forsyne IT-avdelingens egne IT-tjenester, leverer ITs katalogtjenester et utvalg av sine personopplysninger til systemer/tjenester som andre enheter i USN har ansvaret for.  Det gjelder bl. a. til systemer for produksjon av student- og ansattkort, adgangskontroll­systemene, databasen for kopi/utskrift og en mengde Feide-tjenester.  For Feide-tjenester er rutinene slik at du selv må akseptere listen med persondata som overføres til tjenesten første gang du logger inn på den.  Katalogtjenestene leverer ikke fra seg dine personopplysninger til tredjepart som vi ikke har skriftlig avtale med.  Det vil ikke være aktuelt å inngå skriftlig avtale om utlevering av personopplysninger hvis ikke formålet er å gi deg som student eller ansatt tilgang til systemer/tjenester du har behov for.  Unntaket vil være rettslig krav om utlevering i forbindelse med mistanke om straffbare handlinger.  Personopplysninger i katalogtjenestene lagres i IT-avdelingens datasenter.  Det vil være eksempler på at systemer/tjenester katalogtjenestene leverer data til, lagrer disse utenfor EØS.  Dette vil framgå av personvernerklæringen som dekker slike systemer/tjenester.

Personopplysninger som overføres til eksterne systemer/tjenester, er:

  • Navn
  • Fødselsnummer (svært få tjenester får dette)
  • E-postadresse (i de fleste tilfeller bare USN-adressen din)
  • SIP-adresse (til bruk for Skype)
  • Brukernavn/FeideID
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • Organisatorisk enhet (fakultet/institutt/avdeling/seksjon)
  • Campus
  • Bygning og kontornummer (bare for ansatte med eget kontor)
  • Fødselsdato (svært få tjenester får denne)
  • LåntakerID Bibsys  (bare til biblioteksystemer)
  • Tittel (Student for studenter)
  • Mobiltelefonnummer (for ansatte bare de med mobiltelefon betalt av USN)
  • Telefonnummer (kontortelefon for ansatte)
  • Aktivstatus (om brukerkontoen er aktiv eller i nedtelling for å bli automatisk sperret)

8. Hvor lenge lagrer vi dine personopplysninger?

I Feide-katalogen og AD vil alle opplysninger om deg bli slettet automatisk noen måneder etter at du har sluttet som student eller ansatt.  I IDbank vil brukerkontoen din også bli slettet samtidig som i AD og Feide, men IDbank har en egen metakatalog med nødvendige grunnlagsopplysninger fra FS (studentregisteret) for å kunne opprette brukerkontoen i IDbank.  Personopplysningene i metakatalogen blir per i dag ikke slettet når studenter og ansatte slutter.  Det er bare svært få IT-tilsatte som har tilgang til informasjonen i metakatalogen, og personopplysningene her blir kun brukt til å opprette brukerkontoer i IDbank.  Ingen data går direkte fra metakatalogen til andre systemer/tjenester.

9. Sikkerheten knyttet til dine personopplysninger

Det er gjennomført risiko- og sårbarhetsanalyser (ROS) for katalogtjenestene.  I forbindelse med ROS vurderes teknisk sikkerhet i USNs datasentre, tilgang til servere basert på aksesslister, hvem som har tilgang til nødvendige administratorkontoer for å kunne administrere katalogene og faren for at uvedkommende skal få tilgang til personopplys­ninger i katalogene eller integrasjonsløsningene.  Siden kilden for personopplysninger i hovedsak bare er FS, og FS også er kilde for andre systemer/tjenester enn IT sine, er vi rimelig trygge på at feil i personopplysninger vil bli oppdaget og rettet raskt slik at katalogtjenestene inneholder korrekte personopplysninger om deg.

10. Dine rettigheter

Du har mange rettigheter knyttet til innsyn, korrigering, begrensning av behandling, sletting (gjelder ikke for aktive studenter og ansatte da katalogtjenestene er en forutsetning for å kunne studere/arbeide ved USN) og klagemulighet.  Disse rettighetene er grundig beskrevet i generell personvernerklæring for IT-avdelingen.

11. Kontaktinformasjon

For alle henvendelser omtalt i pkt. 10 ovenfor og andre spørsmål knyttet til denne personvernerklæringen og IT-avdelingenes behandling av persondata i katalogtjenestene, er kontaktadressen it-support@usn.no

USN har også et eget personvernombud, og kontaktadressen til dette er personvernombud@usn.no.