Oppgradering av nasjonalt lånekort

Etter en gjennomgang av tjenesten nasjonalt lånekort, og i tråd med nasjonal bibliotekstrategi arbeider Nasjonalbiblioteket med å oppgradere lånekortet. Her er en gjennomgang og oppdatering på hva som skjer på dette området.

Nasjonalt lånekort får nytt navn og nytt utseende

Nasjonalbiblioteket har besluttet å endre navnet på kortet til Bibliotekkortet. Et navnebytte gjør det klart at kortet er oppgradert og videreutviklet, og det nye navnet viser til at kortet er mye mer enn et lånekort.

De gamle nettsidene til lanekortet.no skal legges ned og erstattes med en ny side som får adressen bibliotekkortet.no. Denne siden skal utelukkende henvende seg til sluttbrukerne. All informasjon om kortet som angår bibliotekansatte vil flyttes til bibliotekutvikling.no.

Den nye nettsiden bibliotekkortet.no vil være på bokmål, nynorsk, nord-samisk og engelsk. Designet på siden vil henge sammen med nytt design for selve kortet. Selv om det kommer et nytt design på kortet betyr ikke det at alle gamle kort må byttes ut. Nummerserier vil fortsatt måtte reserveres av bibliotekene, men denne funksjonen blir flyttet over på bibliotekutvikling.no, og bibliotek må logge seg på for å hente ut nye nummerserier. Vi vil få til en løsning som hindrer bibliotek i å gi ut kort i nummerserier de ikke har reservert.

Ny databehandleravtale mellom bibliotek og Nasjonalbiblioteket må på plass

Det viktigste som må på plass er en databehandleravtale mellom hvert bibliotek og Nasjonalbiblioteket, hvor det er bibliotekene som er behandlingsansvarlige og Nasjonalbiblioteket som er databehandleren. For at dette ikke skal bli en for stor jobb for hvert enkelt bibliotek har våre jurister satt opp avtalen for bibliotekene. Alle bibliotek vil få beskjed når avtalen sendes ut.

For å sikre oss at vi får avtale med alle, vil vi gjøre en kopling mellom bibliotek og avtale opp mot Biblioteksøk. Dersom biblioteket ikke har inngått avtalen innen gitt frist vil de få en påminner ved bestilling av fjernlån. De får to påminnere før et siste varsel. Da stenger vi muligheten for å bestille fjernlån til avtalen er signert. Dette vil så klart ikke gjelde for bestillingene en sluttbruker gjør selv.

Det vil ikke være alle bibliotek som kan signere på en databehandleravtale selv. I mange tilfeller vil det være andre i kommunen som har ansvaret for å inngå avtaler. Men avtalen må uansett inngås om vi skal kunne operere innenfor GDPR, og det er bibliotekets ansvar å se til at det blir gjennomført.

Endringer i pålogging, beskyttelse av personopplysninger og utmelding

Vi legger til rette for både to-faktoridentifisering  og ID-porten ved pålogging. Brukerne vil altså kunne bruke ID-Porten på bibliotekkortet.no, og selv velge sikkerhetsnivå. Sikkerhetsnivå brukeren kan velge mellom er noe hvert enkelt biblioteksystem må støtte.

Endring av egne opplysninger skal kunne utføres på bare et sted, med oppdatering i sanntid.

Etter den nye oppgraderingen vil du som bibliotekansatt kun få opp en begrenset del av personopplysningene for en bruker ved oppslag. Du får først alle opplysninger når brukeren har samtykket til å bli lagt til.

Det blir også mulig for bruker å slette seg i registeret. Men siden brukerne kan ha utestående lån, purringer, erstatningskrav eller annet vil de fortsatt være lånere ved de ulike bibliotekene. Dette vil de få beskjed om ved utmelding, sammen med en liste over hvilke bibliotek de fortsatt er lånere ved. De vil i tillegg bli slettet ved inaktivitet over en viss periode, med et foregående varsel.

Vi tar sikte på en kobling mot Folkeregisteret. Den folkeregistrerte adressen blir primæradressen i bibliotekkortet, og den vil ikke kunne endres, men vi oppretter egne felt for midlertidige adresser. En forklaring av hva en gjestebruker er, blir lagt ut både på siden for sluttbruker, og for bibliotekansatte. Det vil si en bruker som er lagt til, men som ennå ikke har godkjent bibliotekets låneregler.

Autentisering

Kortet kan benyttes også til andre tjenester enn lån ved ulike bibliotek og bestilling av fjernlån.

Dette gjelder foreløpig disse tjenestene:

  • Filmbib
  • Filmoteket
  • Cineast
  • Allbok/Allvit

Autentisering i disse tilfellene betyr en verifisering av at lånernummer og pinkode/passord stemmer. For filmtjenestene betyr det også en sensursjekk mot en oppgitt alder. Det vil si en  ja/nei om låneren er eldre enn alderen de sender inn.

(BookBites bruker NCIP mot de enkelte bibliotek, så dette gjelder ikke for dem. Dette gjør de fordi de vil ha med lokale lånere også.)

Utviklingsoppgaver

Vi har brukt mye tid på møter og samtaler med bibliotekansatte i mange bibliotek, med de ulike biblioteksystemene, samt jobbet med brukerhistorier for å komme fram til det som skal utvikles og endres.

Dette er de endringene som allerede er på plass:

  • En Logg-ut knapp.
  • Et standard antall stjerner som skjuler brukerens opplysninger.
  • Begrensninger i antall prøvinger på pinkode.
  • Mulighet for å se hvilke bibliotek en er låner ved.

Testperiode opp mot ulike biblioteksystem

For at vi skal kunne gjennomføre disse endringene, må vi være sikre på at alle biblioteksystem takler dem. Derfor er vi nå midt oppe i en testperiode. Håpet er at om alle klarer å implementere disse endringene, så vil de være i stand til å klare de videre endringene. Vi ser at vi i denne omgang kanskje ikke klarer alt vi og dere kunne ønske dere, og dette er første skritt på veien.

Det som er under testing nå er følgende områder:

  1. Oppdatering av operativsystem og støtteprogrammer for  å sjekke at alle systemer nå har programvare som støtter nyere versjoner. Dette vil være viktig for sikkerheten.
  2. Innføring av feltet «sist_aktiv».  Dette for å lette bibliotekenes arbeid med å fjerne inaktive lånere og for at vi på sikt kan gjøre det samme i det nasjonale registeret.
  3. Innføring av en ny rask REST-service for å oppdatere «sist_aktiv» slik at man kan lage nattjobber som oppdaterer dette datostempelet uten å oppdatere hele låneren slik det gjøres i dag.
  4. Sletting av flere ubrukte felt i registeringen slik at vi får et mer ryddig register.

Testfasen avsluttes 15. november. Deretter går vi videre med resten av oppgraderingen.

Personvern og risiko

En vurdering av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) skal sikre at personvernet til de som er registrert i løsningen ivaretas. Vi jobber med en DPIA i samarbeid med to av juristene ved Nasjonalbiblioteket. Den er langt på vei ferdigstilt, men vi ønsker å ha mer på plass. Det samme gjelder for risiko og sårbarhetsanalysen (ROS-analysen).