Personvern og databehandling

Nordisk Østforum utgis av Nordic Open Access Scholarly Publishing (NOASP). NOASP er en underavdeling av Cappelen Damm Akademisk, som er Cappelen Damm AS’ forlagsavdeling.

Tidsskriftet utgis på NOASP-plattformen, som er en tilpasset versjon av Open Journal Systems, utviklet av Public Knowledge Project.

Hvis du har spørsmål om disse retningslinjene for personvern og dataforvaltning, kan du kontakte redaksjonssjef i NOASP: Marte Ericsson Ryste, Marte.Ericsson.Ryste@cappelendamm.no

1. Behandlingsansvarlige

PKP Publishing Services (Simon Fraser University) og Nordic Open Access Scholarly Publishing (NOASP) (heretter omtalt som webadministrator») og tidsskriftene (heretter omtalt som «tidsskriftansvarlige) som bruker NOASP-plattformen (heretter omtalt som «Tjeneste»), er felles behandlingsansvarlige i samsvar med artikkel 26 i personvernforordningen.

Deres respektive ansvar for overholdelse av forpliktelsene i forordningen er angitt i dette dokumentet.

2. Kontaktpersoner

Redaktør og tidsskriftsansvarlig Katia Stieglitz: katia.stieglitz@cappelendamm.no

3. Registerets navn

Nordic Open Access Scholarly Publishing (NOASP).

4. Det rettslige grunnlaget for og formålet med behandling av personopplysninger

Opplysningene som samles inn fra brukerne av Tjenesten, faller inn under standardfunksjonene til fagfellevurderte tidsskrifter. De omfatter informasjon som legger til rette for kommunikasjon i det redaksjonelle arbeidet; de brukes til å informere leserne om forfatterskapet og redigering av innhold; de gjør det mulig å aggregere data om leseratferd og å spore geopolitiske og sosiale sider ved den faglige kommunikasjonen. De innsamlede dataene benyttes ikke til profilering eller automatiserte avgjørelser. Grunnlaget for behandling av personopplysninger er brukerinnhold.

5. Behandlede data

Programvaren Open Journal Systems, som benyttes i Tjenesten, behandler personopplysninger på flere måter. Personopplysninger i Tjenesten inkluderer a) brukerregistreringsdata, b) metadata om bidragsytere, c) arbeidsflytdata, d) generell informasjon om besøkende.

A) Brukerregistreringsdata

Brukerkontoene benyttes på tvers av hele Tjenesten. Brukeren kan registrere seg for flere tidsskrifter med samme konto ved å kjøpe eller velge en brukerrolle i et nytt tidsskrift. Følgende personopplysninger behandles og lagres når brukeren registrerer seg:

  • Fornavn
  • Mellomnavn
  • Etternavn
  • Tilknytning
  • Land
  • Passord (kryptert)
  • E-postadresse
  • Registrering av roller
  • Anmeldelsesinteresser

Ved å redigere brukerprofilen sin kan den registrerte brukeren også oppgi og/eller redigere:

  • Tiltaleform
  • Initialer
  • Suffiks
  • Brukernavn
  • Kjønn
  • E-postsignatur
  • ORCiD-ID
  • Nettsted
  • Postadresse
  • Telefonnummer
  • Faksnummer
  • Biografi
  • Lokalitet
  • Varslingsinnstillinger

Tjenesten lagrer automatisk:

  • Registreringsdato
  • Siste innloggingsdato

Feltene for brukernavn, fornavn, etternavn, e-postadresse og passord er obligatoriske. Webadministratoren og tidsskriftsansvarlige kan opprette nye brukerkontoer på forespørsel fra nye brukere.

LAGRING

Denne informasjonen lagres i applikasjonsdatabasen. Bare brukerpassordet blir kryptert.

TILGJENGELIGHET OG TILGANG

Denne informasjonen er tilgjengelig for brukeren via brukerprofilen (og alt unntatt brukernavnet og datoene kan redigeres). Webadministratoren kan få tilgang til og redigere dataene via en backend-applikasjon. Tidsskriftsansvarlige kan åpne og redigere data for brukere som bare er registrert i tidsskriftene deres. Dataene er for øvrig ikke offentlig tilgjengelige.

SLETTING

Dataene i brukerkontoer kan slettes. Man sender da en skriftlig anmodning om fjerning til Webadministratoren. Webadministratoren kan nekte å fjerne data dersom det fortsatt er behov for dem i henhold til det formålet de ble samlet inn for.

B) Metadata om bidragsytere

Det tas med informasjon om bidragsyteren når det sendes et manuskript til et tidsskrift. Bidragsyterne kan være forfattere, oversettere, bindredaktører osv. Denne informasjonen lagres som metadata om bidraget og oppgis som en del av en publisert manuskriptfortegnelse. Brukeren som sender inn manuskriptet, vil normalt oppgi opplysninger om bidragsyteren. Hvis andre bidragsytere er involvert, må brukeren som sender inn, ha deres tillatelse for å kunne oppgi personopplysningene deres til manuskript-metadataene. Tidsskriftets redaktører kan redigere og/eller legge til flere detaljer om bidragsyteren også etter innsending.

Følgende informasjon samles inn om bidragsyteren:

  • Tiltaleform
  • Fornavn*
  • Mellomnavn
  • Etternavn*
  • E-postadresse*
  • Suffiks
  • ORCiD-ID
  • Nettsted
  • Land*
  • Tilknytning
  • Biografi

Feltene for fornavn, etternavn, e-postadresse og land er obligatoriske.

Bidragsytere som deltar i andre transaksjoner med NOASP – for eksempel ved å betale offentlige avgifter – vil bli bedt om å oppgi mer informasjon, alt etter hva det er behov for: personopplysninger og økonomiske opplysninger som er nødvendige for å gjennomføre transaksjonene. I hvert tilfelle vil NOASP samle inn slik informasjon bare så langt det er nødvendig eller passende for å oppfylle formålet med den besøkendes kontakt med NOASP.

LAGRING

Denne informasjonen lagres i applikasjonsdatabasen.

TILGJENGELIGHET OG TILGANG

Denne informasjonen er tilgjengelig for nesten alle som medvirker til bidraget, med noen begrensninger for å bevare fagfellevurderingsprosessen. Kort fortalt: Forfattere, redaktører og redaksjonsassistenter som bidrar, kan se disse dataene. I de fleste tilfeller kan bare redaksjonspersonalet redigere dataene etter innsending. Når et bidrag er publisert, kan dataene bli gjort offentlig tilgjengelige på internett, og dataene kan bli overført til andre tjenester etter forespørsel fra tidsskriftet (se avsnitt 7).

SLETTING

Bidragsyterens data/opplysninger kan slettes. Man sender da en skriftlig anmodning om fjerning til Webadministratoren. Webadministratoren kan nekte å fjerne data dersom det fortsatt er behov for dem i henhold til det formålet de ble samlet inn for. Bidragsyterens data er en integrert del av manuskript-metadataene og vil bare bli slettet i spesielle tilfeller. Webadministratoren er ikke forpliktet til å slette data fra bidragsyteren som er blitt overført til andre tjenester.

C) Arbeidsflytdata

Tjenesten sporer informasjon om arbeidsflyten, for det meste i form av redaksjonell historikk relatert til bidraget. Systemet sporer:

  • Alle handlinger som utføres i forbindelse med et bidrag, og hvem som utfører dem
  • Alle varsler som sendes angående et bidrag (herunder hvem som sender og mottar dem)
  • Alle anbefalinger og rapporter fra anmeldere/fagfeller
  • Alle redaksjonelle avgjørelser
  • Alle filer som oppdateres som et ledd i innsendingsprosessen, herunder filer som kan inneholde personlig identifiserbare opplysninger i form av filmetadata eller filene selv

LAGRING

Denne informasjonen lagres i applikasjonsdatabasen, med unntak av eventuelle bidragsfiler som er lastet opp, og som lagres i applikasjonens katalog for bidragsfiler på webserveren.

TILGJENGELIGHET OG TILGANG

De som medvirker til bidraget, har tilgang til forskjellige mengder arbeidsflytdata, avhengig av hvilken rolle de har. Webadministratorene har tilgang til samtlige data. Tidsskriftsansvarlige og redaktører har tilgang til alle data om bidragene; seksjonsredaktører og redaksjonsassistenter har bare tilgang til data om de bidragene de er blitt tildelt ansvar for; forfatterne har begrenset tilgang til sine egne bidrag og kan bare se hvilke data de selv har sendt inn, eller som redaksjonspersonalet spesifikt har gjort tilgjengelig for dem. Anmelderne/fagfellene kan bare se de dataene som trengs til anmeldelsen.

SLETTING

Arbeidsflytdataene kan slettes. Man sender da en skriftlig anmodning om fjerning til Webadministratoren. Webadministratoren kan nekte å fjerne data dersom det fortsatt er behov for dem i henhold til det formålet de ble samlet inn for. Arbeidsflytdataene er en integrert del av tidsskriftets arkiv og vil bare bli slettet i spesielle tilfeller.

D) Generell informasjon om besøkende

Tjenesten samler også inn generelle brukerdata om besøkende, herunder:

  • Innholdet i informasjonskapsler, for å håndtere øktshistorikk. Informasjonskapsler er nødvendige for å gjøre det mulig å logge inn på Tjenesten. Selve informasjonskapselen inneholder ingen personopplysninger. Økten som lagres i databasen, inneholder IP-adressen og informasjon om brukerens nettleser.
  • Brukerloggdata (IP-adresse; besøkte sider; besøksdato og informasjon om nettleseren) I tillegg kan enkelte tidsskrifter samle inn informasjon om landet, regionen og byen, basert på IP-adressen.
  • Vi bruker Google Analytics til å analysere atferden og trafikken på nettstedet. Formålet er å forbedre funksjonaliteten, brukervennligheten og innholdet. Eksempler på statistiske opplysninger er nedlastinger, hvor mange som besøker en side, hvor lenge besøkene varer, og hvor brukerne kommer fra. Ingen av informasjonskapslene gjør det mulig for oss å knytte informasjon om brukerens bruk av nettstedet til brukerens personlige identitet. Dersom en bruker ikke ønsker at Google Analytics skal samle inn informasjon om besøket, kan han/hun installere Google Analytics opt-out.

Andre data kan bli sporet, enten på serveren eller via tredjeparter:

  • Skriptlastinger (script loads) fra CDN-servere
  • Informasjon fra IP-adressen (herunder dato, nettleser osv.) i webserverloggene

LAGRING

  • Informasjonskapsler: Det opprettes en informasjonskapsel som heter «OJSSID» på den besøkendes datamaskin den første gangen han/hun besøker Tjenesten. Detaljerte øktsdata lagres i applikasjonsdatabasen.
  • Bruksstatistikk: Tjenesten lagrer bruksstatistikk i loggfiler i filsystemet, og dataene overføres til applikasjonsdatabasen én gang per døgn.

Google Analytics:

Informasjonskapsel

Leverandør

Formål

Utløpsdato

_Go

Google

Brukes for å skille mellom brukerne. ID-en kan ikke spores til brukeren.

2 år

_gid

Google

Brukes for å skille mellom brukerne. ID-en kan ikke spores til brukeren.

1 døgn

_gat

Google

Brukes for å begrense antall forespørsler til nettstedet.

 1 minutt

TILGJENGELIGHET OG TILGANG

  • Informasjonskapsler: Brukeren kan få tilgang til informasjonskapselen via innstillingene i nettleseren. Tjenesten kan lese og skrive data til informasjonskapselen. Det er bare Webadministratoren som har tilgang til øktsdataene som lagres i databasen.
  • Bruksstatistikk: Det er bare Webadministratoren som har tilgang til loggfilene for bruksstatistikk.

Tidsskriftsansvarlige har bare tilgang til behandlet bruksstatistikk som er lagret i databasen. Enkeltbrukere kan ikke spores ved hjelp av disse dataene, heller ikke geolokaliseringsdata. Tidsskriftet kan publisere noe bruksstatistikk på internett, for eksempel antall nedlastinger av en artikkel. Enkeltbrukere kan ikke spores ved hjelp av slike data.

SLETTING

  • Informasjonskapsler: Brukeren kan når som helst slette informasjonskapsler. Det gjør man som regel via et menyvalg i nettleseren som heter «Innstillinger» eller «Verktøy». Her er noen instrukser for hvordan man velger bort informasjonskapsler:Chrome, >FirefoxSafariMicrosoft EdgeInternet Explorer 11
  • Øktsdataene som lagres i databasen, blir automatisk fjernet når økten er utløpt.
  • Bruksstatistikk-data kan slettes. Man sender da en skriftlig anmodning om fjerning til Webadministratoren. Webadministratoren kan nekte å fjerne dataene i anonymisert form.

6. Kilder til personopplysninger

Kildene til personopplysninger omfatter registreringsskjemaer og bidrags-metadataskjemaer. Brukerne av Tjenesten fyller inn slike skjemaer og gir sitt samtykke til at dataene (opplysningene) kan behandles. Webadministratoren og tidsskriftsansvarlige kan opprette nye brukerkontoer på forespørsel.

Informasjon om de besøkende samles inn automatisk ved hjelp av informasjonen som er synlig for nettleseren.

7. Dataoverføringer

Bidragsyterdata for publiserte manuskripter som er lagret i Tjenesten, overføres regelmessig til andre tjenester som er laget for å indeksere og spre vitenskapelige publikasjoner. Bidragsyterdata for publiserte manuskripter er også åpent tilgjengelige for innsamling via en OAI-PMH-tjeneste. Eksempler på slike tjenester er DOAJ og Crossref. Tidsskriftenes bruk av indekseringstjenester kan variere. Noen av tjenestene kan bli utført utenfor EU og EØS.

Data som skal brukes til å utvikle denne publiseringsplattformen, kan bli delt med utvikleren, Public Knowledge Project (PKP), i anonymisert og aggregert form med passende unntak, for eksempel metriske data om artiklene. Dataene vil ikke bli solgt av dette tidsskriftet eller PKP og vil ikke bli brukt til andre formål enn de som er angitt her.

Andre personopplysninger blir ikke overført til tredjeparter.

8. Prinsipper for vern av personopplysninger

Dataene samles inn til databaser og filsystemer som beskyttes med egnede tekniske midler. Serverne befinner seg i låste anlegg som bare utvalgte personer har tilgang til. De behandlingsansvarlige gir bare tilgang til dataene utvalgte databehandlere som deltar i redigeringen av tidsskriftene.

9. Rett til innsyn og retting

Enkeltpersoner har rett til å bli informert om innsamling og bruk av personopplysningene sine. Enkeltpersoner har også rett til å få uriktige eller ufullstendige personopplysninger rettet eller komplettert. De fleste personopplysningene som lagres i Tjenesten, er gjort tilgjengelige i redigerbar form for brukeren. Den redaksjonelle behandlingen er underlagt taushetsplikt, særlig ved bruk av fagfellevurderinger, noe som vil begrense brukerens rett til innsyn. Skriftlige forespørsler om retten til innsyn og retting bør sendes til Webadministratoren. Webadministratoren kan kreve å få forelagt identifikasjon. Svaret vil bli gitt innen 30 dager i tråd med den generelle personvernforordningen.

10. Andre rettigheter

Tjenestens brukere har rett til å få personopplysningene sine slettet («rett til å bli glemt»), med de unntakene som er nevnt i avsnitt 5. Brukerne har også de rettighetene som er nevnt i den generelle personvernforordningen. Skriftlige anmodninger bør sendes til Webadministratoren. Webadministratoren kan kreve å få forelagt identifikasjon. Svaret vil bli gitt innen 30 dager i tråd med den generelle personvernforordningen.

11. Endringer av retningslinjer for personvern

Retningslinjene vil bli endret ved at dette dokumentet oppdateres. Ved betydelige endringer vil vi informere brukerne ved å publisere et varsel eller ved å sende dem en e-post.