Personvernerklæring for ITs samhandlingssystemer

Dette er en personvernerklæring for ITs samhandlingssystemer. Den vil vise til generell personvernerklæring for IT-avdelingen ved Universitetet i Sørøst-Norge (USN) og spesielt omhandle bruken av personopplysninger i universitets samhandlingsløsninger.

Denne personvernerklæringen er sist endret 12.10.18 av IT-avdelingen, Seksjon for identitetsforvaltning og samhandlingssystemer.

Innhold:

  1. Kort om systemer/tjenester som er dekket av denne personvernerklæringen
  2. Hva er en personvernerklæring?
  3. Hva regnes som personopplysninger?
  4. Formålet med og rettslig grunnlag for behandling av personopplysninger i IT-avdelingens katalogtjenester
  5. Hvilke personopplysninger lagres, og hvor får ITs katalogtjenester personopplysningene om deg fra?
  6. Hva bruker katalogtjenestene dine personopplysninger til?
  7. Overføring av personopplysninger til systemer/tjenester IT-avdelingen ikke har ansvaret for
  8. Hvor lenge lagrer vi dine personopplysninger?
  9. Sikkerheten knyttet til dine personopplysninger
  10. Dine rettigheter
  11. Kontaktinformasjon

 

1. Kort om systemer/tjenester som er dekket av denne personvernerklæringen

Denne personvernerklæringen dekker universitetets samhandlingsløsninger for telefoni og Office 365 tjenester. Office 365 er Microsofts skyløsning som universitetet har valgt som leverandør for en rekke samhandlings- og lagringsverktøy. Dette inkluderer Exchange Online (epost), Skype for Business for studenter (audio- og videokonferanse), OneDrive (lagring) og Office Pro Plus (Officepakken i skyen og til nedlastning lokalt) både for ansatte og studenter.

Telefonitjenestene er tilgjengelige for ansatte og består av UH-Skype (telefon, audio- og videokonferanse), Uninett sanntid (knutepunkt mot sektorens telefonileverandør) og Competella (støttesystem for sentralbord).

2. Hva er en personvernerklæring?

Denne personvernerklæringen beskriver hvordan IT-avdelingen ved USN håndterer dine personopplysninger i sine katalogtjenester. Formålet med denne personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har, og hvem du kan kontakte.

3. Hva regnes som personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Det avgjørende for om en opplysning er en personopplysninger, er om opplysningene kan identifisere en konkret person.

Opplysninger, som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data utgjøre en personopplysning.

4. Formålet med og rettslig grunnlag for behandling av personopplysninger i IT-avdelingens samhandlingssystemer

Formålet for IT-avdelingens behandling av personopplysninger i samhandlingssystemene er å gi studenter og ansatte tilgang til de ulike systemene og tjenestene som de har bruk for i sitt virke som ansatt eller student ved universitetet.

Behandlingen av personopplysninger hjemles i Universitets- og høyskoleloven § 4-15 (studenter), arbeidsavtale og HTA (ansatte) og GDPR artikkel 6 pkt. 1b.

5. Hvilke personopplysninger lagres, og hvor får ITs samhandlingssystemer personopplysningene om deg fra?

ITs samhandlingssystemer får personopplysninger fra Active Directory (AD).  Dette gjelder både for studenter og ansatte.

AD-katalogen får sine opplysninger fra brukerkatalogen i IDbank.  Det er derfor bare brukere som er aktive i IDbank, som vil finnes i AD- katalogen, og som overføres videre inn i samhandlingssystemene.

Office 365 får følgende personopplysninger fra AD (ansatte og studenter):

  • Fornavn
  • Etternavn
  • Visningsnavn
  • Brukernavn
  • Epostadresse USN
  • SIP-adresse USN
  • Telefonnummer USN (gjelder kun ansatte)
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon – gjelder kun ansatte)
  • Tilknytning til USN (student/fagansatt/teknisk/administrativt ansatt)
  • Aktivstatus
  • Tittel (Student for studenter)
  • Campus (gjelder kun ansatte)
  • Bygning og kontornummer (bare for ansatte med eget kontor)

Følgende personopplysninger genereres automatisk i Office 365:

  • Tidspunkt for siste innlogging på en av tjenestene
  • Tidspunkt og antall innloggingsforsøk med galt passord
  • Tjenesten logger all brukeraktivitet som utføres. Loggene inneholder ip-adresse, maskinnavn og OS-versjoner.
  • Innholdet i loggene slettes etter 90 dager

UH-Skype får følgende personopplysninger fra AD (ansatte):

  • Fornavn
  • Etternavn
  • Visningsnavn
  • Brukernavn
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon)
  • Tilknytning til USN (fagansatt/teknisk/administrativt ansatt)
  • E-postadresse USN
  • SIP-adresse USN
  • Telefonnummer USN
  • Mobiltelefon (ansatte med mobiltelefon betalt av USN)
  • Tittel
  • Kontornummer
  • Samhandlingstjenester (attributt som viser om personen skal ha telefonitjenester)

Følgende personopplysninger genereres automatisk i UH-Skype (ansatte):

  • Tidspunkt for innlogging og utlogging.
  • Tidspunkt og antall innloggingsforsøk med galt passord.
  • samtaleaktivitet, tidspunkt, varighet, deltagere.

Competella får følgende personopplysninger fra AD:

  • Fornavn
  • Etternavn
  • Visningsnavn (for de fleste er dette identisk med navn i Folkeregisteret)
  • Organisatorisk tilknytning i USN (fakultet/institutt/avdeling/seksjon)
  • E-postadresse USN
  • SIP-adresse USN
  • Telefonnummer USN
  • Tittel
  • Mobiltelefon (bare ansatte med mobiltelefon betalt av USN)
  • Campus
  • Bygning og kontornummer (bare for ansatte med eget kontor)

Følgende personopplysninger genereres automatisk i Competella:

  • Tidspunkt for samtale
  • Varighet av samtale
  • Hvem en har kommunisert med

Uninett Sanntid får følgende personopplysninger fra AD:

  • Telefonnummer tilhørende USN

Følgende personopplysninger genereres automatisk i Uninett Sanntid:

  • Logg for all samtaletrafikk til og fra telefonnummer tilhørende USN, samt varighet på samtalen.  Innholdet i loggene anonymiseres etter 21 dager og beholdes for statistiske formål.

6. Hva bruker vi dine personopplysninger til?

Som nevnt i pkt. 4, er hovedformålet med ITs bruk av personopplysninger i samhandlingssystemene å gi deg som student eller ansatt tilgang til alle systemer/tjenester du har bruk for, men samtidig ikke til systemer/tjenester som du ut fra din rolle ikke skal ha tilgang til.  Vi bruker da personopplysninger til unik identifisering av deg som person og til å styre tilganger og rettigheter, samt å gi andre ansatte og studenter i organisasjonen mulighet til å søke opp og finne den enkelte i adressebøker for å kunne kommunisere via systemene.

Informasjon i tekniske logger benyttes kun til feilsøking og til å sikre forsvarlig drift av tjenestene.

7. Overføring av personopplysninger til systemer/tjenester IT-avdelingen ikke har ansvaret for

Det overføres ikke personopplysninger fra samhandlingssystemene til andre systemer eller tjenester.

8. Hvor lenge lagrer vi dine personopplysninger?

I samhandlingssystemene vil alle opplysninger om deg bli slettet automatisk noen måneder etter at du har sluttet som student eller ansatt.

9. Sikkerheten knyttet til dine personopplysninger

Det skal gjennomføres risiko- og sårbarhetsanalyser (ROS) for samhandlingssystemene, med unntak av OneDrive hvor ROS-analyse har blitt utført.  I forbindelse med ROS vurderes teknisk sikkerhet i USNs datasentre og i skytjenestene, tilgang til servere basert på aksesslister, hvem som har tilgang til nødvendige administratorkontoer for å kunne administrere katalogene og faren for at uvedkommende skal få tilgang til personopplys­ninger i samhandlingssystemene. All informasjon i samhandlingssystemene kommer fra AD, og dataene i AD er kvalitetssikret gjennom flere prosesser.

10. Dine rettigheter

Du har mange rettigheter knyttet til innsyn, korrigering, begrensning av behandling, sletting (gjelder ikke for aktive studenter og ansatte da katalogtjenestene er en forutsetning for å kunne studere/arbeide ved USN) og klagemulighet.  Disse rettighetene er grundig beskrevet i generell personvernerklæring for IT-avdelingen.

11. Kontaktinformasjon

For alle henvendelser omtalt i pkt. 10 ovenfor og andre spørsmål knyttet til denne personvernerklæringen og IT-avdelingenes behandling av persondata i katalogtjenestene, er kontaktadressen it-support@usn.no

USN har også et eget personvernombud, og kontaktadressen til dette er personvernombud@usn.no.