Hopp til hovedinnhold

Personvern og informasjonskapsler

Om denne personvernerklæringen

Denne personvernerklæringen beskriver hvordan behandlingsansvarlig håndterer dine personopplysninger i tjenesten. Formålet med denne personvernerklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte.

Hva er personopplysninger?

Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson, jf. personopplysningsloven § 2 og GDPR artikkel 5 nr. 1. Det avgjørende for om en opplysning er en personopplysning er om opplysningene kan knyttes til en konkret person. Opplysninger, som alene ikke kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen forekommer sammen med andre data utgjøre en personopplysning.

Kort om tjenesten

NVA er en tjeneste for å samle og gjøre tilgjengelig informasjon om, og resultater fra, norsk forskning. Institusjonen (den behandlingsansvarlige) registrerer og vedlikeholder eget innhold i tjenesten og konfigurerer distribusjonsregler for publiserte ressurser (artikler, rapporter, datasett, osv.). Tjenesten får også overført innhold tilhørende institusjonen fra andre datakilder. NVA tilgjengeliggjør institusjonens åpne innhold via åpne grensesnitt, med hensikt å gjøre dette kjent og søkbart for omverdenen og fremme indeksering i søkemotorer og søkeportaler.

NVA har støtte for utsatt publisering av ressurser. Det betyr at registreringen kan ferdigstilles slik at metadata om ressursen blir publisert, mens ressursen ikke blir åpent tilgjengelig før angitt dato.

Tjenesten tillater ikke behandling av sensitive personopplysninger.

Formålet med behandling av personopplysninger i tjenesten

Tjenesten behandler ulike persontyper med følgende formål:

Formålet med behandling av personopplysninger i tjenesten
TyperBeskrivelseFormål med registrering og behandling
Administrative brukereArkivadministrator, redaktør, kurator. Typisk ansatte ved institusjonen.Administrasjon av tjenesten herunder vedlikehold av innhold og konfigurering av tilgang til funksjoner og til innhold. Administrative brukere må være registrert med identitet for å få rettigheter i tjenesten.
Autentiserte brukereRegistrator. Personer med tilknytning til institusjonen som har logget på tjenesten.Registrering av innhold i tjenesten. Brukere må være registrert med identitet og kobling til autoritetsregister for forfatter for å få rettigheter i tjenesten.
Anonyme brukerePersoner eller tjenester som aksesserer tjenesten uten å logge på. IP-adresser vil registreres i logg.Anonyme brukere gis tilgang til åpne ressurser i tjenesten. Tjenesten loggfører nødvendig informasjon for å hindre misbruk samt for å generere aggregert statistikk over bruk av ressursene.
Bibliografiske data - personer knyttet til registrert ressursForfatter, redaktør, veileder eller annen opphavsperson eller bidragsyter til ressurs registrert i tjenesten.Katalogisering, kreditering og ansvarliggjøring av personene bak ressursen.
Bibliografiske data – personer referert i ressursenPersonopplysninger referert gjennom innhold i publisert ressursTilgjengeliggjøring av publisert ressurs. Innholdsansvarlig må sammen med behandlingsansvarlig sikre personvernet i ressursen før publisering i tjenesten.

Registrerte personopplysninger, rettslig grunnlag og lagringstid

Personopplysninger knyttet til brukerkonto i tjenesten krever samtykke som rettslig grunnlag, jamfør Lov om behandling av personopplysninger (personopplysningsloven), GDPR artikkel 6 nr. 1 bokstav a.

Registrerte personopplysninger om forfattere og andre personer knyttet til ressurs eller identifisert i ressurs dekkes av Lov om behandling av personopplysninger (personopplysningsloven), GDPR artikkel 6 nr. 1 bokstav f - å utføre en oppgave av berettiget interesse.

Tjenesten tillater ikke behandling av sensitive personopplysninger. I de tilfeller brukere selv kan legge inn opplysninger i kommentarfelt og lignende, plikter brukeren å følge krav og retningslinjer for tjenesten. Det er ikke tillatt å registrere sensitive opplysninger om seg selv eller andre, eller å benytte tjenesten til injurierende adferd.

Behandlingsansvarlig kan lagre opplysninger for statistiske formål, dersom dette er i samfunnets interesse, jf Personopplysningsloven §8 og GDPR artikkel 6 nr. 1 bokstav e.

Følgende persondata behandles i tjenesten:

Brukerdata

Brukerdata
OpplysningstypeBeskrivelseKilde
Grunnleggende brukerdataFullt navn.Feide
KontaktinformasjonE-postadresse tildelt ved egen institusjon.Feide
ProfilBrukers preferanser for bruk av tjenesten. Språkvalg, InstitusjonstilknytningInnstillinger i NVA

Brukerdata av teknisk karakter

Brukerdata av teknisk karakter
OpplysningstypeBeskrivelseKilde
SystemidentiteterIdentiteter i tjenesten og integrerte systemer. Feide-id, Forfatter-id, ORCID iDFeide, Felles autoritetsregister, ORCID
Systemroller og tilknytning til institusjonBruker tildeles roller i systemet for å gi tilpasset funksjonalitet og tilgang til tjenesten.Tildelt i NVA, Feide
Sesjonsinformasjon og informasjonskapslerInformasjon knyttet til brukers dialog med tjenesten. Nødvendig for å tilpasse funksjonalitet i tjenesten og for autentisering av brukere.NVA, Feide
LoggLogg over bruk av systemet knyttet til innlogget bruker og/eller ip-adresse. IP-adresse vil være registrert for anonyme brukere, noe som i enkelte tilfeller kan spores tilbake til en person. Formålet med logg er å ivareta sikkerhet og integritet i systemet, yte brukerstøtte, samt å analysere bruk av tjenesten. Opplysningene som samles inn inkluderer tidspunkt, bruker-id, ip-adresse, informasjon om nettleser og maskinvare, sesjonsinformasjon og annen informasjon som nettleser normalt avleverer.Opprettet i NVA

Andre persondata

Andre persondata
OpplysningstypeBeskrivelseKilde
Metadata for ressursFullt navn og rolle for forfatter, redaktør, veileder og annen opphavsperson eller bidragsyterOpprettet i NVA ved registrering eller overført fra ekstern datakilde
Persondata i selve ressursenPersoner identifisert i ressursen. Innhold i ressursen må kvalitetssikres av ansvarlig før publisering.Ressursen er lastet opp i NVA ved registrering eller overført fra ekstern kilde

Informasjonen om din aktivitet lagres for å kunne gi deg brukerstøtte og for å kunne si noe om den generelle bruken av tjenesten.

Persondata blir lagret inntil en av følgende hendelser inntreffer:

  • Brukersamtykket trekkes tilbake
  • Formålet med behandling av personopplysninger er oppfylt
  • Behandlingsansvarlig beslutter å legge ned tjenesten

Logg og backup av systemdata lagres inntil ett år.

Brukerinformasjon (unntatt logg) blir lagret i levetiden til en ressurs for brukere som registrerer innhold i NVA.

Automatisk saksbehandling

Personopplysningene knyttet til systembrukere vil ikke være gjenstand for automatisert saksbehandling eller profilering.

Åpne personopplysninger knyttet til ressurser registrert i tjenesten kan utsettes for profilering av andre tjenester som kopierer og/eller indekserer opplysninger i tjenesten, men profileres ikke som en del av tjenesten.

Utlevering av dine personopplysninger til andre

Utlevering eller eksport av data defineres som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne.

Personopplysninger knyttet til brukere overføres ikke til land utenfor EU/EØS.

Tjenesten er driftet på servere innenfor EU/EØS.

Dine personopplysninger blir utlevert til Sikt som er leverandør av tjenesten, og til dennes underleverandører:

Oversikt over underleverandører som kan motta personopplysninger
UnderleverandørFunksjon
Leverandør i rammeavtale for AWS gjennom GÉANT-samarbeidetSkydrift og backup for Sikts direkte tjenester
Blue Safespring ABSkydrift og backup for Sikts direkte tjenester
UNINETT ASLeverer Feide, for autentisering av brukere mot tjenestene

Ansatte hos underleverandørene, som har behov for det i sin jobb, vil ha tilpasset tilgang til dine persondata for å kunne utføre stedlig vedlikehold, brukerstøtte og eventuell feilretting i tjenesten.

Åpne personopplysninger knyttet til ressursene deles åpent med eksterne tjenester. Dette inkluderer søketjenester som Oria og OpenAIRE, samt søkemotorer som indekserer data via websidene - eksempelvis Google, Baidu, Bing med flere.

Se følgende tabell for tjenestens integrasjoner:

Oversikt over integrasjoner
IntegrasjonFormålTjeneste levert av
FeideInformasjon for sikker innlogging av brukere.UNINETT AS
Import av materiale til NVA fra eksterne tjenesterRegistrering og publisering i NVA.Kilder definert av behandlingsansvarlig
Eksport av metadata fra NVA til ekstern tjenesteEksport av metadata for ressurser til andre tjenester for presentasjon eller kryssregistrering. Eksempelvis Oria for å tilrettelegge for gjenfinning.Sikt for Oria. Kilder definert av behandlingsansvarlig.
DOI og DataCiteRegistrator kan be om tildeling av en Document Object Identifier (DOI) til en ressurs i NVA. Dette vil føre til at utvalgte metadata publiseres i DataCite - en kilde som regelmessig indekseres av søkemotorer.DataCite
Felles autoritetsregisterEtablere kobling til autoritetsregister for autorisering av forfatter, redaktør, veileder og annen opphavsperson eller bidragsyter som registreres i tjenesten. For å tilrettelegge for entydig registrering og gjenfinning.Sikt
ORCIDEtablere kobling til ORCID for autorisering av forfatter, redaktør, veileder og annen opphavsperson eller bidragsyter som registreres i tjenesten. For å tilrettelegge for entydig registrering og gjenfinning.ORCID

Sikkerheten rundt dine personopplysninger

Personopplysninger i tjenesten er sikret med flere tiltak. Alle overføringer til og fra tjenesten knyttet til brukerkonti er kryptert. Databehandler utfører regelmessig risiko- og sårbarhetsanalyser, og tester sikkerheten i tjenesten for å sikre dine personopplysninger.

Behandlingsansvarlig er ansvarlig for rutiner som ivaretar personvernet i forbindelse med publisering av innhold.

Dine rettigheter

Rett til informasjon og innsyn

Du har krav på å få informasjon om hvordan dine personopplysninger blir behandlet i tjenesten. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få. Du har også rett til å se/få innsyn i dine personopplysninger som er registrert i tjenesten, og også andre personopplysninger som blir innhentet etter aktiv pålogging fra deg. Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det.

Retten til innsyn ivaretas gjennom selvbetjening i tjenesten, hvor du etter pålogging får innsyn i egne opplysninger. Hvis tjenesten ikke gir fullstendige opplysninger via selvbetjeningsløsningen, må det rettes en skriftlig henvendelse til behandlingsansvarliges brukerstøtte for å få tilgang til utfyllende opplysninger.

Rett til korrigering

Du har rett til å få uriktige personopplysninger om deg korrigert. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener tjenesten viser feil eller mangelfulle personopplysninger, ber vi deg om å ta kontakt med behandlingsansvarlig og at du begrunner hvorfor du mener personopplysningene er feil eller mangelfulle.

Vær oppmerksom på at det er begrensede muligheter til å korrigere opplysninger som er distribuert via åpne grensesnitt.

Rett til å begrense behandlingen

I enkelte tilfeller kan du ha rett til å kreve at behandlingen av dine personopplysninger blir begrenset. Begrenset behandling vil si at personopplysningene fortsatt blir lagret, men at annen behandling i tjenesten begrenses. For å kunne kreve begrenset behandling av personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylt. Du kan kreve begrenset behandling:

  • I påvente av at behandlingsansvarlig korrigerer feil eller mangelfulle personopplysninger
  • Dersom du har fremmet en innsigelse mot behandlingen (se mer om dette under)
  • Dersom personopplysningene er nødvendig for å opprette eller forsvare et rettslig krav

Blir begrenset behandling iverksatt, vil du varsles av behandlingsansvarlig før begrensningen oppheves.

Rett til sletting

Du har rett til å kreve at vi sletter personopplysninger om deg. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med behandlingsansvarlig. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet.

Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi behandler personopplysningene for å oppfylle en lovpålagt oppgave, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk. Vi har ikke mulighet til å slette brukerinformasjon hvor brukeren selv har registrert innhold i NVA uten samtidig å slette det registrerte innholdet.

Vær også oppmerksom på at det er begrensede muligheter til å slette personopplysninger som er distribuert via åpne grensesnitt.

Rett til å fremme innsigelse

Du har rett til å fremme innsigelse mot behandling av dine personopplysninger under visse vilkår, definert i GDPR artikkel 21. Dette gjelder dersom;

  • Rettslig grunnlag for behandling av personopplysninger er basert på legitime interesser, i allmenn interesse, eller ved utøvelse av offentlig myndighet.
  • Behandling av personopplysninger innebærer direkte markedsføring eller profilering
  • Behandling av personopplysninger skjer med tanke på vitenskapelig/historisk forskning eller statistikk.

Tjenesten tilfredsstiller generelt ikke disse vilkårene, med unntak for behandling av forfatteropplysninger og i de tilfeller hvor personopplysninger anvendes for statistikk. Ved bruk til statistikk vil persondata være anonymisert.

Vær imidlertid oppmerksom på følgende:

  • Dersom du har et særskilt behov for å få stanset behandlingen ber vi deg om å ta kontakt med behandlingsansvarlig - eksempelvis hvis du har et beskyttelsesbehov, fortrolig adresse, eller lignende.
  • Når det er gitt samtykke for behandling av personopplysninger, har du rett til å trekke samtykket.

Rett til å klage over behandlingen

Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen. Se nederst for informasjon om hvordan du kan kontakte oss.

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og GDPR, ved behandling av personopplysninger.

Kontakt

Behandlingsansvarlig

Institusjonen er behandlingsansvarlig for personopplysninger i tjenesten og er primært kontaktpunkt for brukere.

Databehandler

Sikt utvikler og forvalter tjenesten på vegne av behandlingsansvarlig, og har rollen som databehandler.

Kontaktinformasjon til Sikt brukerstøtte:

https://support.bibsys.no

Telefon: +47 73 98 40 40

Epost: kontakt@sikt.no