Nasjonalt låneregister (Bibliotekkortet)

Innleiing

Du kan sjå og høyra kurset som blei halde 9. april 2024 her:

Opptak av webinar 9. april (arrangør: Rogaland fylkesbibliotek, kurshaldar: Aud Jorunn Hakestad, GRC Counsel AS

Det er ikkje feil å gjenta dette ofte. Biblioteket er ein kunnskapsorganisasjon og etter mitt syn er det naturlig at biblioteka tar sitt ansvar når det gjeld vern om personopplysingar. I denne leksjonen får du fiks ferdig dokumentasjon som du kan bruka i ditt arbeid.

Når du skal dokumentera at tenesta du tilbyr følgjer GDPR-regulativet, er det viktig at leverandøren av tenester (databehandlaren) har gjort ein god jobb i forkant. Her skal Nasjonalbiblioteket ha honnør for at dei la godt til rette slik at det blir mindre arbeid for deg som behandlingsansvarlig. I arbeidet med denne delen av kurset har eg hatt god hjelp av dei detaljerte vedlegga til databehandlaravtalen og Nasjonalbiblioteket sine eigne vurderingar (DPIA) av sine tenester. Nasjonalbibliotekets vurderingar (DPIA) kan sendast deg dersom du ynskjer det.  

Du skal likevel sjølv ha tenkt grundig gjennom kva konsekvensar denne behandlinga har for vernet av personopplysingane.

KVA ER NAUDSYNT DOKUMENTASJON?

I samband med ny løysing for bibliotekkortet og nasjonalt låneregister (våren 2024) har alle kommunar i Noreg mottatt ny databehandlaravtale til signering. Du finn databehandlaravtalen som skal signerast digitalt her: Kopien kan du lesa gjennom før signering.

• Om databehandlaravtalen
• Kopi av databehandlaravtalen

Bibliotekets oppgåveliste:

1. Finn ut kven som har rett til å signera i din kommune
2. Samarbeid med personvernansvarleg og/eller personvernombod og start dokumentasjonsprosessen.
3. Lag behandlingsprotokoll eller bruk den som er vedlagt til slutt i leksjonen. Legg eventuelt behandlingsprotokollen inn i det systemet din kommune brukar.
4. Lag risiko- og tryggingsanalyse (ROS) eller bruk den som er vedlagt til slutt i leksjonen.
5. Lag DPIA – vurdering av personvernkonsekvensar eller bruk den som er vedlagt til slutt i leksjonen.
6. Endra personvernerklæringa ved å leggja til tekst for denne behandlinga som gjeld Nasjonalt låneregister og Bibliotekkortet. Du kan bruka tekstforslaget som er vedlagt til slutt i leksjonen. (Dersom biblioteket ikkje har eigen personvernerklæring, kan du sjå bort frå dette. Men eg rår sterkt til at de lagar ein slik personvernerklæring.)

Behandlingsprotokoll

Når du går gjennom denne delen, kan det vera lurt å ha dokumentet behandlingsprotokoll åpen eller i utskrift slik at du kan følgja med på dokumentet.

Behandlingsprotokollen kan førast i eit excel-ark, men det finnast og eigne system som kommunen kan ha tatt i bruk. Til dømes Visma Draftit eller dokument frå Digiorden. Ein behandlingsprotokoll skal vera for alle behandlingar i ein kommune, det vil seia at alle behandlingar skal vera i ein behandlingsprotokoll. Bibliotekkortet blir då ein av mange behandlingar i dette dokumentet og ein av mange behandlingar som er i biblioteket. Kor mange behandlingar har eit bibliotek vanligvis? Det kan fort vera ca. 20-30 ulike behandlingar som høyrer til biblioteket.  

Be om hjelp av andre i kommunen til å skriva i behandlingsprotokollen. Det tar tid og du kan gjera det fortare ved å få hjelp av dei som sit med dette oftare. Allier deg og med personvernombodet.

Til dokumentet (sjå behandlingsprotokoll nederst i leksjonen)

Fyrst finn du ut kven som er ansvarleg i din kommune. Det kan vera til dømes IT-sjefen, personalsjefen eller kommunedirektøren.  

Kva er formålet med behandlinga? Du kan ikkje samla inn personopplysingar fordi det er «kjekt å ha». Du kan heller ikkje samla inn til eitt formål for så å bruka det til eit anna formål seinare.  

Formålet for denne behandlinga (nasjonalt lånekort og bibliotekkortet.no) er delt i tre:  

• bibliotektenester der du bor 
• tilgang til bøker fra andre bibliotek 
• informasjon i eitt bibliotek kan utvekslast med andre bibliotek. Det blir enklare å bli medlem i fleire bibliotek og for biblioteket blir registreringa lettare. Ein kan vera trygg på at låneregisteret blir riktig fordi det blir sjekka opp mot folkeregisteret.  

Kven blir registrert? Her registrerer du dei ulike kategoriane av brukarar; barn, vaksne, og tilsette. 

Kategorier av personopplysninger: Klipp og lim frå vedlegg 1 i databehandlaravtalen. Mykje av dokumentasjonsarbeidet går ut på å finlesa, klippa og lima og forstå det du les.  

Kvar kjem opplysingane frå? Den registrerte gjer det sjølv via biblioteksystemet og velgjer der nasjonalt lånekort. Alternativt registrerer biblioteket brukaren i biblioteksystemet og spør om brukaren vil ha nasjonalt kort.

For brukarar under 15 år gjeld at foreldre gir opplysingar og inngår avtale på vegne av barnet. Brukarar over 15 år reknast som vaksen og kan registrera seg sjølv. 

Kven kan motta opplysingar? 

Nasjonalbiblioteket er databehandler og du må ha ein databehandlaravtale for at overføring av personopplysingar skal vera lovleg. I denne samanhengen er biblioteksystema underdatabehandlarar og du treng ikkje databehandlaravtale med dei for akkurat denne behandlinga. Det er det nasjonalbiblioteket som tek seg av.  

Underdatabehandlar: Biblioteksystema, f.eks. Bibliofil.

Kva er behandlingsgrunnlaget?

Me skal her avgjera kva behandlingsgrunnlaget er. Dei ulike vala finn du i artikkel 6 (1) i forordninga (GDPR). Her er vald bokstav b) naudsynt for å oppfylla ein avtale.

Det er lett å tenka samtykke (bokstav a) fordi det står først, andre grunnlag vil ofte vera riktigare. Du finn ikkje ei enkel oppskrift når du skal vurdera behandlingsgrunnlag, men det må vurderast i kvart tilfelle. I dei tilfella dei ein inngår avtale med brukaren, kan det vera lurt å velgja 6 (1) b, naudsynt for å oppfylla ein avtale, slik det er gjort her. Same behandlingsgrunnlag har nasjonalbiblioteket vald.

Det lovlege behandlingsgrunnlaget

Ofte har offentleg myndigheit eit lovgrunnlag og biblioteket har også det. Når det gjeld bruken av biblioteksystemet og bruka eit bibliotek har me §1 i lov om folkebibliotek. Men for overføringar og samarbeid mellom bibliotek gjeld §3 i folkebibliotekloven. Bibliotekene skal altså følgja felles reglar om lånesamarbeid og for innhenting av statistikk. Når det er sagt, så må ein ikkje ha ein lovhjemmel for å driva lovlig. Det er mange private verksemder som ikkje har det. Men av og til ser ein at dei nyttar marknadsføringslova.  

Kva system nyttar personopplysingar? Bibliotekkortet.no bibsok.no nb.no, biblioteksystemet t.d. Bibliofil.

Korleis tar ein vare på personopplysingane? 

Når det gjeld sletting, har Nasjonalbiblioteket bestemt at personopplysingar skal slettast etter 3 år med inaktivitet. Lånar får eit varsel før sletting. Lånar kan også sletta sjølv og ved dødsfall blir slettinga gjort ved oppdatering frå Folkeregisteret.

Å setta ein tidsfrist for sletting i lokalt register, altså i dei tilfelle brukaren kun er lokal lånar, vil vera vanskeleg av di ein ikkje registrerer digitale lån. Det er ein mangel med systema som bør rettast opp i. Ordninga med single-sign-on kan bøta på dette (dette arbeidast det med frå nasjonalbiblioteket si side). Når det er på plass, vil det vera mogleg å setja ein tidsfrist ved inaktivitet for lokale lånarar i tillegg.

Tekniske og organisatorisk sikkerhetstiltak.

Sjå vedlegg 2 i databehandlaravtalen. Her har Nasjonalbiblioteket skrive utførlig om tekniske og organisatoriske sikkerhetstiltak. Vis til vedlegget eller lim inn teksten i behandlingsprotokollen. I tillegg er det lagt inn sikkerhetstiltak for biblioteket, som gjeld brukartilgang for tilsette og trygging av pc. Dei tilsette har tilgang via biblioteksystemet.

Døme:

Dersom ein lånar ønskjer at den tilsette lagar lånekortet, gjer den tilsette eit oppslag i det nasjonale registeret via biblioteksystemet. Tilgangen blir altså styrt frå biblioteksystemet. Hugs difor at skranke-PC blir låst når du ikkje er ved skranken.

Hvor høg er risikoen? I behandlingsprotokollen står det at risiko er så høg at ein må gjera ein DPIA. Før ein seier ja eller nei til dette må ein gjera ei risikovurdering. Her er konklusjonen frå risikovurderinga: Behandlinga er i stor skala og det blir også behandla opplysingar om barn.  

Er det i stor skala? Du vil kanske tenka at for ditt bibliotek er det ikkje så stor skala. Men ein skal også sjå på omfanget og samanhengen systemet er innført i. Det store bildet er alle innbyggere i Norge. Det er dei som har eller ønskjer å ha bibliotekkort. 37% har besøkt eit bibliotek i 2023. Det kan difor fort gjelda halve befolkninga. Konklusjon: Det er i stor skala sjølv om det er på «ditt lille bibliotek».  

Til slutt i behandlingsprotokollen skal ein skriva opp databehandlar. Nasjonalbiblioteket er databehandlaren og difor trengst databehandlaravtalen.

Når du er ferdig med behandlingsprotokollen er mykje av arbeidet gjort. Du er den som er best kvalifisert til å gjera den jobben fordi du har den sakskunnskapen som trengst. Bruk gjerne behandlingsprotokollen som ligg ved denne leksjonen. Den skal inn i kommunen sin samla oversikt (protokoll) over behandlingar. Den skal altså vera ein av dei mange behandlingar som kommunen har.

Risiko- og sikkerheitsanalyse (ROS)

Du kjenner kanskje til risiko- og sikkerheitsanalyser i andre samanhengar. Her er det risiko for personopplysingar ein skal sjå på. Kva kan henda som set tryggleiken i fare? Kva tiltak i sett i verk for at risikoen skal bli mindre?

Er brukaren sine rettar godt tatt vare på? Det gjeld brukarens rett til informasjon, innsyn, retting, sletting og avgrensing. I tillegg gjeld det retten til å protestera, rettar ved automatiserte avgjersler og rett til dataportabilitet. Alt dette skal med i ein slik risikoanalyse.

Når ein er ferdig med risikoanalysen og har bestemt tiltak som gjer risiko mindre, er ein klar for å vurdera om det er behov for ein DPIA (Data Protection Impact Assessment eller vurdering av personvernkonsekvensar).

Behov for DPIA – Når må DPIA gjennomførast? 

«Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» (GDPR art.35.1) 

Vurderingsspørsmål 

Avgjersla for om du skal gjennomføra ei konsekvensutgreiinga (DPIA) ligg kanskje hos andre i kommunen enn biblioteket. Dersom ein kjem til at det ikkje er naudsynt å gjennomføra ein DPIA, skal ein skriva kvifor. Du kan bruka vurderingsspørsmåla som er lista opp under. Normalt skal det vera meir enn eitt kriterium for at ei DPIA-vurdering skal vera naudsynt.  

Nr.	Vurderingsspørsmål	Ja/Nei
1.	Særlige kategorier av personopplysninger eller opplysninger av svært personlig karakter i følge med minst ett annet kriterium.	nei
2.	Behandling av biometriske opplysninger for å identifisere enkeltpersoner i følge med minst ett annet kriterium.	nei
3.	Behandling av genetiske opplysninger for å identifisere enkeltpersoner i følge med minst ett annet kriterium.	nei
4.	Innovativ bruk eller anvendelse av ny teknologi eller organisatorisk løsning i følge med minst ett annet kriterium.	nei
5.	Personopplysninger behandles i stor skala i følge med minst ett annet kriterium.  Stor skala kan bety: A) Antall registrerte som er berørte (mer enn 150), B) Mengden/spennvidden i personopplysningene som behandles, C) Mange ulike typer data, D) Databehandlingens varighet eller regelmessighet, E) Behandlingens geografiske utbredelse.	JA  A) Svært mange registrerte  B) Liten mengde data per person  C) Ikke mange ulike typer data  D) Behandlingen er varig og regelmessig  E) Geografisk utbredt i hele Norge
6.	Behandling av personopplysninger, uten samtykke, for vitenskapelige eller historiske formål i følge med minst ett annet kriterium.	nei
7.	Når behandlingen i seg selv forhindrer eller begrenser de registrertes mulighet til å utøve sine rettigheter etter loven eller avtale, eller bruke tjenester i følge med minst ett annet kriterium.	nei
8.	Evaluering eller poengsetting, inkludert jobbprestasjoner, økonomi, helse, personlige preferanser eller interesser, pålitelighet, adferd, lokasjon eller bevegelsesmønster i følge med minst ett annet kriterium.	nei
9.	Behandling av lokasjonsdata i følge med minst ett annet kriterium.	nei
10.	Behandling av personopplysninger for systematisk monitorering av ansatte i følge med minst ett annet kriterium.	nei
11.	Matching eller sammenstilling av datasett (ulike formål og/eller ulike behandlingsansvarlige) i følge med minst ett annet kriterium. Overstiger den registrertes forventninger.	nei
12.	Personopplysninger om sårbare grupper i følge med minst ett annet kriterium, f.eks. mindreårige, arbeidstaker i forhold til en arbeidsgiver (skjev maktbalanse), psykisk syke, sårbare befolkningsgrupper, pasienter, asylsøkere, eldre personer.	JA – behandlingen omfatter også barn
13.	Automatiske beslutninger med rettslig eller tilsvarende betydelig virkning for den registrerte i følge med minst ett annet kriterium.	nei
14.	Behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager.   Dette inkluderer alle utdanningsnivåer, fra barne- og ungdomsskole, videregående skoler og høyere utdanning. (Sårbare registrerte og evaluering/poengsetting eller monotorering.)	nei
15.	Systematisk monitorering, inkludert kameraovervåking, på offentlig tilgjengelige områder i stor skala. (Systematisk monitorering og stor skala.)	nei
16.	Behandling av særlige kategorier av personopplysninger eller svært personlige opplysninger i stor skala.	nei
17.	Behandling av personopplysninger ved å systematisk monitorere effektivitet, ferdigheter, kunnskap, mental helse og utvikling. (Svært personlige opplysninger og systematisk monitorering).	nei
18.	Behandling av personopplysninger der formålet er å forutsi jobbprestasjoner, økonomi, helse, personlige preferanser eller interesser, pålitelighet, adferd, lokasjon eller bevegelsesmønster. (Særlige kategorier av personopplysninger eller svært personlige opplysninger og evaluering/poengsetting).	nei
19.	Innsamling av personopplysninger i stor skala gjennom «tingenes internett» eller velferdsteknologi. (Stor skala og særlige kategorier av opplysninger eller svært personlige opplysninger.)	nei

Dersom du svarer ja til eitt av spørsmåla 1-13, i tillegg til eit ja til eitt av spørsmålene 1-19, eller det er et ja til spørsmål 14-17, kan det bety at det er behov for DPIA.  

I dette prosjektet/for denne behandlingen er det besluttet at det skal: 

X Gjennomføres en DPIA 

☐ Ikke gjennomføres en DPIA  

Men det er din organisasjon som skal ta ei sjølvstendig avgjersle om du treng å skriva ein DPIA. Spør difor andre i kommunen om du er i tvil.

DPIA – vurdering av personvernkonsekvensar

I forrige del skriv eg om innleiande vurderingar ein må gjera for å bestemma om det skal lagast ei vurdering av personvernkonsekvensane (DPIA). Sjekklista frå Datatilsynet (art. 35, punkt 1) gjeld om behandlingas art, omfang, formål og samanheng vil føra til høg risiko for den registrerte. Denne behandlinga gjeld ei teneste biblioteket tilbyr, der brukaren må avgi personopplysinger for å få bruka tenesta.  

Med nasjonalt lånekort (bibliotekkortet.no/Bibsok.no) vil det vera enklare å vera brukar av fleire bibliotek, dei kan låna på tvers av biblioteka. Formålet er altså klart, men me må også ta med i biletet arten, omfanget og samanhengen. Jeg nemnde at samanhengen gjer at det gjeld halve Noregs befolkning. Sjølv om biblioteket der du arbeider, er lite, så vil omfanget vera stort sidan det gjeld heile Noreg.  

Arten er ikkje inngripande, det blir samla inn få opplysingar om brukaren. Biblioteksystemet samlar inn fleire opplysingar enn det bibliotekkortet gjer. Formålet er begrensa. Det er ikkje andre formål som marknadsføring eller andre tenester som kommunen tilbyr. Lovlig heimel er lov om folkebibliotek §3.   

Den første delen av vurderingane gjeld altså behandlingas art, omfang, formål og samanheng. Ein førebels konklusjon er at omfanget er i stor skala.

Lenger nede i skjemaet finn du spørsmålet om behandlinga gjeld sårbare grupper. Til det svarer eg ja av di behandlinga også gjeld personopplysingar om barn. 

Vi har altså 2 JA i denne innledende runden og konklusjonen er at det skal gjerast ein DPIA.

Offentligheten bør bry seg om at biblioteket gjør det heilt riktig. Det er også ein god grunn til at me går gjennom ein DPIA.

Nasjonalbibliotket har gjort en god jobb på forhånd. I den vedlagde DPIA-en er det klippa og limt inn ganske mykje av det som NB har gjort. Dei veit betre enn oss om kva teknologi og system dei nyttar. Eg viser også til innebygd personvern. Både biblioteksystema og nasjonalbiblioteket må altså gjera ein jobb og så til slutt skal biblioteka gjera denne jobben med å dokumentare frå si side. Men hugs å dra nytte av den jobben som allereie er gjort.

Løysing, teneste og system 

Fyrst skal ein beskriva systemet slik at andre utanfrå skal forstå kva behandlinga går ut på. Her har eg limt inn teksten frå DPIA-en til nasjonalbiblioteket. Her er det skrive om lånekortet og korleis personopplysingane flyt.

Behandlingas formål, art, omfang og samanheng 

Eg har skrive om omfang ganske mange gonger. Kven lagrar me frå: vaksne og barn, geografisk; nasjonalt 

Formålet er klart definert og har lovleg heimel i §3 i lov om folkebibliotek. Det er utarbeidd nasjonale retningsliner for lånesamarbeid med heimel i denne lovparagrafen.

Konklusjon: Det er lovleg å behandla personopplysingar til dette formålet.

Korleis blir personopplysingar behandla? 

Lagring: Nasjonalbiblioteket lagrer hos sine underleverandørars servere (biblioteksystemene).

Innsamling: Eg har tidlegare skrive at låner kan registrera seg sjølv ved å logga seg på med ID-porten. Men ein kan også registrera seg på eit bibliotek. Hugs då alltid ID. Hvis dei ikkje har det, og du ønskjer å vera snill, kan du gi dei eit lokalt kort.  

Deling: Nasjonalt låneregisteret innlemmar brukaren i det lokale biblioteket via biblioteksystemet. Dei lokale lånarane blir ikkje med. Betrodde partar kan dela data: Bibliotektilsette, bibliotekkortet.no, teknisk support, underdatabehandlar. Utvekslinga skjer i kryptert form.  

Tilgang: Brukaren bestemmer tilgang ved å knytta seg til eit bibliotek. Biblioteket lastar ned personopplysingar frå det nasjonale låneregisteret. Brukaren kan dra nytte av digitale tenester utan å knytta seg til eit bibliotek.

Brukar kan retta og sletta opplysingar sjølv.  

Vurdering av innsamlingen 

Kva type personopplysingar samlast inn? Lim inn tekst frå vedlegg 1 i databehandleravtalen eller berre vis til vedlegg 1. Ta gjerne med innloggingsdata for bibliotektilsette i tillegg.  

Det samlast ikkje inn særlige kategoriar personopplysingar. Lånehistorikk er bevisst halde utanfor det nasjonale registeret. Det er kun det lokale biblioteket som har bruk for å vita kva lånaren låner. Prinsippet om dataminimering er altså brukt her.

Riktige opplysingar: Det nasjonale låneregisteret er knytta opp mot folkeregisteret og dette gir riktige opplysingar. I tillegg kan brukar legga inn midlertidig adresse.

Ikkje inngripande: Det blir ikkje samla inn fleire opplysingar enn naudsynt. Opplysingar om lån, purringar og erstatningar blir berre lagra i det lokale biblioteket.

Informasjon: Brukar har krav på informasjon om korleis personopplysingar blir behandla. Det inneber at det skal inn eit punkt i personvernerklæringa. De kan også ha ein kampanje i skranken der det informerer om bruken. Det er for så vidt ikkje eit krav om at biblioteket skal ha sin eigen personvernerklæring, men det er eit krav om at kommunen skal ha ei. Kommunen si erklæring vil vera altfor generell, så mange bibliotek har vald å ha sin eigen. Dei tenkjer at det er viktig at brukaren er informert.  Heimesider til bibliotek i Rogaland har ein mal for ei slik erklæring. Du får teksten til personvernerklæringa på kurset.

Neste punkt i hvordan personopp skal behandles det skal gå litt fort. Vi kommer inn på sletting og retting.  

Deling: Bibliotekkortet kan brukast til autentisering, til dømes ved bruk av Filmbib eller Pressreader. Når single-sign-on kommer for fleire tenester, vil denne autentiseringfunksjonen vera viktig. Det einaste ein tilbydar av digitale tenester vil trenga å vita, er at brukaren er lånar på eit bibliotek i Noreg.

Vi ser ikke så mye på tilgang. Heller ikke 3.land. Det har vi ikke.  

Samanhengen 

Innebygd personvern er systemleverandøren sitt ansvar. Teksten i DPIA-en er klippa og limt inn frå Nasjonalbibliotekets DPIA.

Ansvarstilhøve

Behandlingsansvarlig er kommunen. Du som biblioteksjef må i det minste sørga for at dei ansvarlege i kommunen veit det. Våre behandlingar er omfattande og gjeld ofte ca halvparten av innbyggjarane. Minn dei på at kommunen har ansvar for biblioteket også. Gå gjennom vurderingane saman med dei og vis med to strekar under at dette er lov.

Nb tar vare på våre brukarens data. Dei er databehandlar. Hugs difor databehandlaravtalen.   

Den registrerte sine rettar og friheiter

Den registrerte sin rett til informasjon, innsyn, retting og sletting er godt tatt vare på. Det same gjeld for retten til avgrensing, rett til å protestera og rett til portabilitet. Rettar ved automatiserte avgjersler gjeld ikkje.

Brukaren sine friheiter: Ikkje inngripande. Me legg tilhøva til rette for at det skal være ytrings- og informasjons-friheit.

Konklusjon: Me har konkludert med at me har lov til å behandla personopplysingar til dette formålet. Risikoen er minimert og er akseptabel. og risiko er minimert. Hugs å få personvernombodet med i gjennomgangen og få DPIA-en signert av rette person. 

Personvernerklæringa – del om nasjonalt lånekort

Du kan bruka teksten under (eller vedlegget) og oppdatera personvernerklæringa dykkar. Som eg skreiv i innleiinga til denne leksjonen, bør du ha ein personvernerklæring som er detaljert nok til at det gir meining.

«Formålet med nasjonalt låneregister og bibliotekkortet er å sikre lånere tilgangen til materiale i alle bibliotek i Norge og gi dem mulighet til å bestille dette for levering til ønsket bibliotek. Bibliotekene må ha mulighet til å verifisere lånerne slik at de får rett materiale.

Behandlingsgrunnlaget er artikkel 6 (1), b: “Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse.”

Lovhjemmel er Lov om folkebibliotek § 3 – “bibliotekene skal følge felles regler om lånesamarbeid og registrering”.

Personopplysninger som samles inn er: Navn, bostedsadresse, fødselsdato og personnummer, telefonnummer, e-postadresse samt hvilket bibliotek en er låner ved.

Det lokale biblioteket har bare tilgang til de opplysningene som er nødvendige for å oppfylle avtalen vi har med deg som låner.»

Vil du lese mer om personvernerklæringa?https://bibliotekutvikling.no/kompetansebank/wp-admin/post.php?post=709&action=edit

Liste over dokumenter for behandlingen:

• BEHANDLINGSPROTOKOLL VERSJON 1, 090424 (pdf)
• BEHANDLINGSPROTOKOLL VERSJON 1, 090424 (excel)
• RISIKOVURDERINGER – ROS-ANALYSE 100424 (pdf)
• RISIKOVURDERINGER – ROS-ANALYSE 100424 (docx)
• DPIA – VURDERING AV PERSONVERNKONSEKVENSER, VERSJON 1, 090424 (docx)
• DPIA – VURDERING AV PERSONVERNKONSEKVENSER VERSJON I, 090424 (pdf)
• TEKST TIL PERSONVERNERKLÆRING (pdf)
• TEKST TIL PERSONVERNERKLÆRING (docx)