Personvernerklæring for ITs katalogtjenester og brukeradministrasjon

Dette er en personvernerklæring for ITs katalogtjenester og brukeradministrasjon.  Den vil vise til generell personvernerklæring for IT-avdelingen ved Universitetet i Sørøst-Norge (USN) og spesielt omhandle bruken av personopplysninger knyttet til oppretting av brukerkontoer i ITs katalogtjenester.

Denne personvernerklæringen er sist endret 15.01.25 av DUIT-avdelingen, Seksjon for identitetsforvaltning og samhandlingssystemer.

Innhold:

  1. Kort om systemer/tjenester som er dekket av denne personvernerklæringen
  2. Hva er en personvernerklæring?
  3. Hva regnes som personopplysninger?
  4. Formålet med og rettslig grunnlag for behandling av personopplysninger i IT-avdelingens katalogtjenester
  5. Hvilke personopplysninger lagres, og hvor får ITs katalogtjenester personopplysningene om deg fra?
  6. Hva bruker katalogtjenestene dine personopplysninger til?
  7. Overføring av personopplysninger til systemer/tjenester IT-avdelingen ikke har ansvaret for
  8. Hvor lenge lagrer vi dine personopplysninger?
  9. Sikkerheten knyttet til dine personopplysninger
  10. Dine rettigheter
  11. Kontaktinformasjon

1. Kort om systemer/tjenester som er dekket av denne personvernerklæringen

Denne personvernerklæringen dekker ITs hovedkatalog for IT-brukerkonto (IDbank), Feide-katalogen, AD og integrasjonsløsninger (systemer for datautveksling) direkte mot en av disse tre katalogene.

2. Hva er en personvernerklæring?

Denne personvernerklæringen beskriver hvordan IT-avdelingen ved USN håndterer dine personopplysninger i sine katalogtjenester. Formålet med denne personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har, og hvem du kan kontakte.

3. Hva regnes som personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysninger, er om opplysningene kan identifisere en konkret person.

Opplysninger, som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data utgjøre en personopplysning.

4. Formålet med og rettslig grunnlag for behandling av personopplysninger i IT-avdelingens katalogtjenester

Formålet for IT-avdelingens behandling av personopplysninger i katalogtjenestene er å gi studenter og ansatte IT-brukerkonto og tilgang til de ulike systemene og tjenestene som de har bruk for.  Behandlingen av personopplysninger hjemles i Universitets- og høyskoleloven § 4-15 (studenter), arbeidsavtale og HTA (ansatte) og GDPR artikkel 6 pkt. 1b og i noen tilfeller 1e (både studenter og ansatte).

5. Hvilke personopplysninger lagres, og hvor får ITs katalogtjenester personopplysningene om deg fra?

ITs hovedkatalog for brukerkonto (RapidIdentity) får personopplysninger fra studentregisteret (FS) og lønnssystemet (SAP).  I tillegg kan du også selv gi noen få opplysninger i ITs selvbetjeningsportal for brukerkonto.  Det er også tekniske systemlogger som inneholder litt informasjon om aktivitet (bl. a. kommunikasjon mot FS og SAP og når du var pålogget i katalogtjenestene).

Feide-katalogen, AD-katalogen og Entra ID-katalogen får sine opplysninger fra brukerkatalogen i RapidIdentity.  Det er derfor bare brukere som er aktive i RapidIdentity som vil finnes i AD-, Feide- og Entra ID-katalogen.

RapidIdentity får følgende personopplysninger fra FS (studenter):

  • Navn registrert i Folkeregisteret
  • Fødselsnummer
  • Organisatorisk tilknytning i USN (fakultet/institutt)
  • Tilknytning til USN (student)
  • Privat e-postadresse
  • Privat gateadresse og poststed
  • Mobiltelefon 
  • Fødselsdato
  • Studierettperiode og aktivstatus 
  • Studieprogram 
  • FS-løpenummer (unik identifikasjon mellom FS og RapidIdentity)

RapidIdentity får følgende personopplysninger fra SAP (ansatte):

  • Navn registrert i Folkerigisteret/pass
  • Fødselsnummer
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon/ekstern) 
  • Tilknytning til USN (faculty/staff/affiliate)
  • Stillingstittel
  • Privat e-postadresse
  • Mobilnummer
  • Fødselsdato
  • Aktivstatus (brukes til å avgjøre om det skal opprettes brukerkonto eller ikke)
  • MG og MUG
  • Campus
  • Ansattnummer

Følgende personopplysninger genereres automatisk i RapidIdentity:

  • Brukernavn
  • FeideID (genereres ved å sette @usn.no bak brukernavnet)
  • LåntakerID i Bibsys/Oria (biblioteksystemet)
  • E-postadresse USN 

Følgende personopplysninger registreres via selvbetjeningsportalen https://konto.usn.no:

  • Passord (er kryptert)
  • Tidspunkt for aktiveringen av brukerkontoen
  • Tidspunkt for siste endring av passord
  • Tidspunkt for innlogging på https://konto.usn.no
  • PIN-kode til nøkkelkort 
  • Bilde

Feide-katalogen får følgende personopplysninger fra RapidIdentity:

  • Navn registrert i Folkeregisteret
  • Fødselsnummer
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon)
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • E-postadresse USN
  • Fødselsdato
  • Aktivstatus (om kontoen er sperret eller ikke)
  • Tittel (Student for studenter)
  • FeideID (brukernavn + @usn.no)
  • Ansattnummer i SAP for ansatte
  • Studentnummer i FS for studenter

Følgende personopplysninger genereres automatisk i Feide-katalogen:

  • Tidspunkt for siste innlogging via Feide

USN-AD får følgende personopplysninger fra RapidIdentity:

  • For- og etternavn (for de fleste er dette identisk med navn i Folkeregisteret)
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon)
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • E-postadresse USN
  • Tittel (Student for studenter)
  • Bilde
  • Aktivstatus (om kontoen er sperret eller ikke)
  • Studieprogram (bare studenter)
  • Campus (bare ansatte)
  • Bygning og kontornummer (bare for ansatte med eget kontor)
  • FS-løpenummer
  • Ansattnummer i SAP

Følgende personopplysninger genereres automatisk i USN-AD:

  • Telefonnummer USN (bare ansatte med telefoni i Teams)
  • SIP-adresse (til bruk for Teams, er identisk med USN e-postadresse)
  • Tidspunkt for oppretting av AD-kontoen
  • Tidspunkt for siste endring av AD-kontoen
  • Tidspunkt for siste innlogging i AD
  • Tidspunkt for siste innlogging med galt passord i AD

Entra ID får følgende personopplysninger fra USN-AD:

  • For- og etternavn (for de fleste er dette identisk med navn i Folkeregisteret)
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon)
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • E-postadresse USN
  • Tittel (Student for studenter)
  • Aktivstatus (om kontoen er sperret eller ikke)
  • Campus (bare ansatte)
  • Bygning og kontornummer (bare for ansatte med eget kontor)

6. Hva bruker vi dine personopplysninger til?

Som nevnt i pkt. 4, er hovedformålet med ITs bruk av personopplysninger i katalogtjenes­tene å gi deg som student eller ansatt brukerkonto og tilgang til alle systemer/tjenester du har bruk for, men samtidig ikke til systemer/tjenester som du ut fra din rolle ikke skal ha tilgang til.  Vi bruker da personopplysninger til unik identifisering av deg som person og til å styre tilganger og rettigheter.  Dette gjelder alle systemer/tjenester IT-tjenesten har ansvaret for selv, men også IT-systemer som andre enheter ved USN har ansvaret for.

7. Overføring av personopplysninger til systemer/tjenester IT-avdelingen ikke har ansvaret for

I tillegg til å forsyne IT-avdelingens egne IT-tjenester, leverer ITs katalogtjenester et utvalg av sine personopplysninger til systemer/tjenester som andre enheter i USN har ansvaret for.  Det gjelder bl. a. til systemer for produksjon av student- og ansattkort, adgangskontroll­systemene, databasen for kopi/utskrift og en mengde Feide-tjenester.  For Feide-tjenester er rutinene slik at du selv må akseptere listen med persondata som overføres til tjenesten første gang du logger inn på den.  Katalogtjenestene leverer ikke fra seg dine personopplysninger til tredjepart som vi ikke har skriftlig avtale med.  Det vil ikke være aktuelt å inngå skriftlig avtale om utlevering av personopplysninger hvis ikke formålet er å gi deg som student eller ansatt tilgang til systemer/tjenester du har behov for.  Unntaket vil være rettslig krav om utlevering i forbindelse med mistanke om straffbare handlinger.  Personopplysninger i katalogtjenestene lagres i IT-avdelingens datasenter, i Microsoft sin skytjeneste (datasenter i Norge) og i Amazon Webservices (datasenter i Stockholm).  Det vil være eksempler på at systemer/tjenester katalogtjenestene leverer data til, lagrer disse utenfor EØS.  Dette vil framgå av personvernerklæringen som dekker slike systemer/tjenester.

Personopplysninger som kan overføres til eksterne systemer/tjenester, er:

  • Navn
  • Fødselsnummer (svært få tjenester får dette)
  • E-postadresse (i de fleste tilfeller bare USN-adressen din)
  • SIP-adresse (til bruk for Teams)
  • Brukernavn/FeideID
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • Organisatorisk enhet (fakultet/institutt/avdeling/seksjon)
  • Campus (bare ansatte)
  • Bygning og kontornummer (bare for ansatte med eget kontor)
  • Fødselsdato (svært få tjenester får denne)
  • LåntakerID Bibsys (bare til biblioteksystemer)
  • Tittel (Student for studenter)
  • USN telefonnummer for ansatte
  • Aktivstatus (om brukerkontoen er aktiv eller sperret)

8. Hvor lenge lagrer vi dine personopplysninger?

I Feide-katalogen, USN-AD og Entra ID vil alle opplysninger om deg bli slettet automatisk seks måneder etter at du har sluttet som student eller ansatt.  I RapidIdentity vil brukerkontoen din også bli slettet etter seks måneder i USNs lokale database, men RapidIdentity har en egen metakatalog for hele UH-sektoren med nødvendige grunnlagsopplysninger for å kunne opprette brukerkontoen i RapidIdentity, enten ved USN eller en annen UH-institusjon som også bruker RapidIdentity.  I denne metakatalogen vil alle tilknytninger til USN bli fjernet etter seks måneder, og hvis personen ikke samtidig er aktiv ved en annen UH-institusjon som bruker RapidIdentity, vil alle opplysninger bli fjernet der også. 

9. Sikkerheten knyttet til dine personopplysninger

Det er gjennomført risiko- og sårbarhetsanalyser (ROS) for katalogtjenestene.  I forbindelse med ROS vurderes teknisk sikkerhet i USNs datasentre og skytjenestene, tilgang til servere basert på aksesslister, hvem som har tilgang til nødvendige administratorkontoer for å kunne administrere katalogene og faren for at uvedkommende skal få tilgang til personopplys­ninger i katalogene eller integrasjonsløsningene.  Siden kilden for personopplysninger i hovedsak bare er FS og SAP, og disse også er kilde for andre systemer/tjenester enn IT sine, er vi rimelig trygge på at feil i personopplysninger vil bli oppdaget og rettet raskt slik at katalogtjenestene inneholder korrekte personopplysninger om deg.

10. Dine rettigheter

Du har mange rettigheter knyttet til innsyn, korrigering, begrensning av behandling, sletting (gjelder ikke for aktive studenter og ansatte da katalogtjenestene er en forutsetning for å kunne studere/arbeide ved USN) og klagemulighet.  Disse rettighetene er grundig beskrevet i generell personvernerklæring for IT-avdelingen.

11. Kontaktinformasjon

For alle henvendelser omtalt i pkt. 10 ovenfor og andre spørsmål knyttet til denne personvernerklæringen og IT-avdelingenes behandling av persondata i katalogtjenestene, er kontaktadressen it-support@usn.no

USN har også et eget personvernombud, og kontaktadressen til dette er personvernombud@usn.no.