KONSENTRAS PERSONVERNERKLÆRING

Denne personvernerklæringen forteller om hvordan Konsentra samler inn og bruker personopplysninger og er i samsvar med reglene i personopplysningsloven og EUs personvernforordning (GDPR).
Personopplysninger knyttet til kundedata behandles i tråd med Ruter sine retningslinjer, se www.Ruter.no/personvern.
Konsentra, ved administrerende direktør, er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Der det daglige ansvaret er delegert, kommer det fram under hvert enkelt punkt. Delegeringen omfatter kun oppgavene og ikke ansvaret. Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt og generell informasjon om hvordan vi behandler personopplysninger.

Behandling av personopplysninger på www.skoleskyss.no og www.konsentra.no

IT- og planleggingssjefen har det daglige ansvaret for Konsentras behandlinger av personopplysninger på skoleskyss.no og konsentra.no, med mindre annet er oppgitt under. Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel ved å registrere seg på Min Skoleskyss. Behandlingsgrunnlaget er samtykke fra den enkelte, med mindre annet er spesifisert.

Itera er Konsentras driftsleverandør for skoleskyss.no og konsentra.no og dermed databehandler for nettstedene.

Opplysninger som samles inn i forbindelse med drift av nettsted, lagres på egne servere som driftes av leverandøren. Det er kun Konsentra og Itera som har tilgang til opplysningene som samles inn. En egen databehandleravtale mellom Konsentra og Itera regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles.

Nettstatistikk

Konsentra samler inn avidentifiserte opplysninger om besøkende på skoleskyss.no og konsentra.no. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.

Vi bruker analyseverktøyet Google Analytics på vårt nettsted. Informasjon fra dette verktøyet utleveres ikke fra Konsentra til andre aktører.

Informasjonskapsler

Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside.
Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene.

Google Analytics er Googles analyseverktøy. Det hjelper innehavere av nettsteder og apper med å forstå hvordan besøkende bruker tjenestene deres.

Følgende informasjonskapsler brukes på skoleskyss.no og konsentra.no:

• Google Analytics kan bruke et sett med informasjonskapsler for å samle informasjon og rapportere statistikk om bruk av nettsteder, uten at enkelte besøkende identifiseres for Google. Hovedinformasjonskapselen som brukes av Google Analytics heter «__ga».
• MinSide bruker informasjonskapslen PHPSESSId for å huske innloggingen din. Denne slettes når du lukker nettleseren.

Slik administrerer du informasjonskapsler (nettvett.no)

Saksbehandling og arkiv

Konsentra bruker Ruters Public360 arkiv- og saksbehandlersystem og med elektronisk journalføring og elektronisk lagring av dokumenter, samt SharePoint som internt dokumenthåndteringssystem. Ruter er behandlingsansvarlig og Konsentra er databehandler. Public360 er et arkiv- og saksbehandlingssystem fra leverandøren Tieto som følger offentlige standarder (NOARK). Arkivleder er delegert det daglige ansvaret for systemet og manuelt arkiv, og det er utarbeidet nødvendige rutiner for bruk av systemet. Avdelingsleder følger opp at den faktiske saksbehandlingen er i samsvar med rutinene.

Konsentra behandler personopplysninger for å oppfylle Ruters lovpålagte oppgaver etter bl.a. personopplysningslov, EUs personvernforordning (GDPR), forvaltningslov, offentlighetslov og arkivlov.
Det registreres ulike typer personopplysninger i arkiv-, saksbehandlings- og dokumenthåndteringssystemet. Dette er opplysninger som navn, adresse, telefonnummer, epostadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Registrering, lagring og oppbevaring skjer i henhold til arkivlovgivningen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger. Som en del av den pålagte saksbehandlingen innhentes i noen tilfeller opplysninger på eget initiativ etter lovhjemmel (opplæringsloven).
Ved krav om innsyn utleveres personopplysninger i henhold til offentlighetsloven og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Ruter som forbereder saken for Akershus Fylkeskommune/Fylkesmannen i Oslo og Akershus, som er klageinstans.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger.
Ruter gjør sine offentlige postjournaler tilgjengelig for allmennheten på Internett. En journal er systematisk og fortløpende registrering av alle inngående og utgående saksdokumenter. Journalene gjøres tilgjengelig på https://ruter.no/om-ruter/offentlig-journal/.

I offentlighetsforskriften § 7, jf § 6 fjerde ledd, er det spesifisert en del opplysninger som ikke skal framgå av offentlig journal og journaler som legges ut på nettet. Videre er det fastsatt at personnavn ikke skal kunne søkes fram i journaler når innførselen er eldre enn ett år.
Vi gjør oppmerksom på at innsynsbegjæringer blir arkivert i 360° Online.

E-post og telefon

Konsentra benytter e-post og telefon som en del av det daglige arbeidet for å oppfylle Ruters lovpålagte oppgaver etter personopplysningslov, EUs personvernforordning (GDPR) og forvaltningslov. Avdelingsleder i avdelingen der e-posten eller telefonsamtalen mottas har det daglige ansvaret for behandlingen av personopplysninger i denne sammenheng. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av saksbehandling journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Saksbehandling og arkiv»).

Konsentras medarbeidere benytter i tillegg e-post i alminnelig dialog med interne og eksterne kontakter. Den enkelte er ansvarlig for å slette meldinger som ikke lenger er aktuelle. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster i virksomhetens navn vil normalt bli overført til kollegaer.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Telefonsamtaler (telefonnummer fra og til, samt tidspunkt for samtalen) logges i vår telefonsentral. Denne loggen er nødvendig for administrasjon og drift av systemet, samt at den benyttes som grunnlag for statistikk på aggregert nivå. Etter 1 år anonymiseres eksterne numre ved at de fire siste siffer slettes. I tillegg har ansatte en oversikt over de siste anropene på sine telefoner. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat etter samtalen som journalføres. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres.

Kamera i porttelefon

Ved inngangspartiet på gateplan hos Konsentra er det montert et kamera som aktiveres når man ringer på dørklokka. Bildet av inngangspartiet vises i sanntid og har ikke opptaksmulighet.

Personvernombudsordningen

Personvernansvarlig i Ruter er Konsentras personvernombud. Vedkommende kan kontaktes på personvernombud@ruter.no.
Prinsippene for håndtering av personopplysninger på e-post og telefon gjelder også for kommunikasjon med ombudene (se «E-post til Konsentra»).

Logging i Konsentras fagsystemer

Konsentra har alminnelige sikkerhet- og aktivitetslogger i sine fagsystemer, og sikkerhetsansvarlig har fått delegert ansvaret for dette. Det er de ansattes bruk av fagsystemet som blir registrert her.
Konsentras IT driftsleverandør benytter logger i driften av IT-systemene for å sikre tilstrekkelig tilgjengelighet og ytelse, og ikke for å aksessere data. Loggene brukes også for å sikre systemene mot dataangrep. Loggene inneholder teknisk informasjon om IP-adresse, type forespørsel, tidspunkt og type utstyr som har kommunisert. Loggene oppbevares opp til 3 måneder i produksjon, og som backup i 12 måneder. Konsentra kan ikke knytte informasjon i loggene til kunde uten tilleggsinformasjon fra teleoperatør og/eller kundens internett leverandør. Loggene utleveres kun ved lovlig pålegg eller dom. Backup av personopplysninger slettes etter 12 måneder.

Lagring og sletting

Se www.Ruter.no/personvern for nærmere informasjon rundt lagrings- og sletterutiner, for de ulike transportkategoriene.

Annen relevant lovgivning

I tillegg til personopplysningsloven har blant annet følgende lover betydning for Konsentras behandling av personopplysninger.
Offentlighetsloven med forskrifter inneholder reglene for når et dokument er offentlig tilgjengelig for allmennheten, og når et dokument kan unntas offentlighet. Forvaltningsloven inneholder saksbehandlingsregler for hvordan saken din vil bli behandlet i Konsentra. Som part i saken har du særskilte rettigheter, bl.a. om innsyn i sakens dokumenter.
Arkivloven gir regler om hvordan arkivskaper skal behandle og oppbevare saksdokumenter, samt avlevering til arkivinstitusjon.

Rettigheter

Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet. Konsentra har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. De som er registrert i en av Konsentras systemer har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger Konsentra ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt og senest innen 30 dager.