Ref utsendt informasjon om forberedelser til GDPR ved Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning avdeling BIBSYS, datert 14.03.18.
BIBSYS lovte i tidligere kommunikasjon å ha personvernerklæringer og databehandleravtaler for prioriterte tjenester på plass innen 25.mai. Vi kom ikke i mål på dato og beklager sen kommunikasjon angående dette. Følgende epost redegjør for status og nye datoer.
Dato for ikrafttredelse av GDPR i Norge og EØS
Det har vært allment kjent at GDPR ikke ville tre i kraft innen 25.mai på grunn av forsinkelser i EØS. I siste melding https://www.regjeringen.no/no/tema/lov-og-rett/innsikt/ny-personopplysningslov-og-innlemmelse-i-eos-avtalen/id2592984/ fra Regjeringen, datert 23.mai, informeres det om at dette nå tidligst vil skje i juli, dato ikke spesifisert. Det ryktes også at det kan forskyves til august/september.
Vi legger til grunn 1.juli for vårt arbeid med personvernerklæringer og databehandleravtaler.
Status for databehandleravtale mellom institusjonene og Unit avd BIBSYS
Felles databehandleravtale for våre tjenester vil bli sendt ut til institusjonene for signering snarest mulig, og vil inneholde vedlegg som beskriver hver enkelt tjeneste. Vi inkluderer alle våre tjenester i avtalen, ikke et utvalg prioriterte tjenester som tidligere kommunisert.
Avtalen baserer seg på en GDPR-mal utviklet av Samarbeidsgruppen for GDPR i UH-sekoren, under ledelse av Sekretariatet for informasjonssikkerhet (en del av Unit, tidligere Uninett). Malen er således forankret i sektoren med bidrag fra flere institusjoner. Våre tilpasninger i forhold til opprinnelig mal er vurdert av jurist i Sekretariatet for informasjonssikkerhet.
Utkast til databehandleravtale er nå til gjennomsyn hos Rådgivende gruppe for biblioteksystemkonsortiet og til styringsgruppen for Bragekonsortiet, med kommentarfrist 6.juni. Avtaleteksten er så langt vurdert som tilfredstillende av UiB og NTNU, med enkelte kommentarer på tjenestebeskrivelsene.
Siste frist for utsending av avtale til institusjonene: mandag 18.juni.
Før databehandleravtalen mellom institusjonene og Unit avd BIBSYS legges ut for signering ønsker vi en viktig avklaring i forhold til egen avtale med Ex Libris, spesifikt angående lokasjon for databehandling. Se punkt 2) nedenfor.
Status for databehandleravtale mellom Unit avd BIBSYS og Ex Libris
1) Som tidligere kommunisert har Ex Libris sendt epost om GDPR til enkelte institusjoner angående signering av GDPR-tillegg, hvor bakgrunnen er at disse institusjonene har en direkte avtale om tjenester levert fra Ex Libris. Eposten må da følges opp av respektive institusjoner. Institusjonene skal i alle tilfeller signere egen databehandleravtale med Unit avd BIBSYS for de tjenester som leveres fra Unit avd BIBSYS (og hvor Ex Libris er underleverandør).
2) En gjennomgang av Ex Libris sitt forslag til ny databehandleravtale samt dialog senest datert 23.mai, viser at Ex Libris ønsker endring i eksisterende vilkår angående lokasjon for databehandling samt prosess for godkjenning av endringer knyttet til underleverandørene. Vi har forelagt saken for Rådgivende gruppe for biblioteksystemkonsortiet den 25.mai, og har fått tilråding om å eskalere saken ovenfor Ex Libris for å forsvare etablerte premiss. Per dags dato gjelder derfor eksisterende databehandleravtale med Ex Libris, og vi vil signere ny avtale når forhandlingene er i mål. Trekker denne saken ut i tid vil vi sende ut vår databehandleravtale med etablerte forutsetninger for signering, og justere vilkårene i denne med en endringsmelding i etterkant. Vi overholder derfor frist 18.juni nevnt ovenfor.
Status for personvernerklæringer
Unit avd BIBSYS har utformet standard personvernerklæringer for alle våre tjenester. Vi vil som tidligere meldt legge disse på våre hjemmesider og lenke til disse fra tjenestene. Personvernerklæringene har en mangel i form av at de ikke unikt adresser hver enkelt behandlingsansvarlig og deres kontaktpunkt. Erklæringene er ellers formet etter en felles mal slik at beskrivelsene vil være noe stereotypiske, og teksten adresserer flere kategorier brukere samtidig. Dette anser vi som ting vi må leve med inntil videre.
Personvernerklæringene legges ut til review for styringsgruppene for tjenestene, tilsvarende som for databehandleravtalen. På grunn av begrenset juridisk kapasitet hos styringsgruppene er det positivt om flere vil bidra med kvalitetssikring før vi publiserer.
Det er viktig at review av "malen" gjennomføres av juridiske ressurser med kompetanse på personvern og GDPR, og at den konkrete tjenestebeskrivelsen ettergås av ressurser som kjenner tjenestene. Vi ber om at review legger vekt på følgende utadrettede tjenester: Oria, MOOC og Pensumlistesystemet. Dokumentene er åpnet for anonyme kommentarer; så vennligst tilkjennegi institusjon og navn først i kommentaren.
Personvernerklæringene legges herved ut til kommentar med følgende lenker og kort kommentarfrist 6.juni.
Tjeneste
Dokumentlenke
Alma
https://docs.google.com/document/d/1amJ35DHznfrTkoZCdVDlVwd__CfM_aSJuPtkWakiVEg/edit?usp=sharing https://docs.google.com/document/d/1amJ35DHznfrTkoZCdVDlVwd__CfM_aSJuPtkWaki...
Oria (prioritert)
https://docs.google.com/document/d/1E3sOeeLB7H8W8HP5STTHzKYwMW-Ig99xYoqeAfPGGR0/edit?usp=sharing https://docs.google.com/document/d/1E3sOeeLB7H8W8HP5STTHzKYwMW-Ig99xYoqeAfPG...
Pensumliste (prioritert)
https://docs.google.com/document/d/11L2Re_chPkxicS6Gucv2jMk8xYkHYCP9FGKkZJu_4wE/edit?usp=sharing https://docs.google.com/document/d/11L2Re_chPkxicS6Gucv2jMk8xYkHYCP9FGKkZJu_...
Felles autoritetsregister
https://docs.google.com/document/d/1KKAIm1E3uRT8H8MB3RAhBOtMW5akiB5tSoIhn9AQBGg/edit?usp=sharing https://docs.google.com/document/d/1KKAIm1E3uRT8H8MB3RAhBOtMW5akiB5tSoIhn9AQ...
Brage
https://docs.google.com/document/d/1--s-3Qly80jvpF6yj953qcwjuQ_1my8rMYBxlQP027U/edit?usp=sharing https://docs.google.com/document/d/1--s-3Qly80jvpF6yj953qcwjuQ_1my8rMYBxlQP0...
DLR
https://docs.google.com/document/d/1vi7z2KJo9pCDHqvahIrBs61n3tewZAVOq8t-ST2Kccw/edit?usp=sharing https://docs.google.com/document/d/1vi7z2KJo9pCDHqvahIrBs61n3tewZAVOq8t-ST2K...
Bird
https://docs.google.com/document/d/1nS2wEuShMWZnJQ8jDJHE1l7pbl8g5b-2wU5VE0TjXOY/edit?usp=sharing https://docs.google.com/document/d/1nS2wEuShMWZnJQ8jDJHE1l7pbl8g5b-2wU5VE0Tj...
OJS
https://docs.google.com/document/d/1MQtVe263XfL2YMHm9Q9WPQ_ffwOrfth9KM6OM9QovL0/edit?usp=sharing https://docs.google.com/document/d/1MQtVe263XfL2YMHm9Q9WPQ_ffwOrfth9KM6OM9Qo...
MOOC (prioritert)
https://docs.google.com/document/d/1NzWHRUisWE0npnV42fk0yrkSp2rAdJBq8S8UdwKN7g0/edit?usp=sharing https://docs.google.com/document/d/1NzWHRUisWE0npnV42fk0yrkSp2rAdJBq8S8UdwKN...
(Publiserte personvernerklæringer vil sannsylig få ny lenke etter gjennomført kommentarrunde)
Tilbakemeldinger
Vi gjentar for øvrig at spørsmål eller henvendelser angående GDPR ønskes via sakssystemet til Unit/BIBSYS brukerstøtte mailto:support@bibsys.no . Dette gjelder også henvendelser angående den registrerte.
Vennlig hilsen
Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning avd. BIBSYS