Be om tilgang til data
Når du skal be om tilgang til data, må du ha klart for deg hvilke data du har behov for og om du har lov til å behandle dem.
Hva er det konkrete behovet?
Når virksomheten skal be om tilgang til data, er det viktig at dere konkretiserer databehovet. Les mer om dette i Kartlegge behov for data.
Det er viktig at formålet datatilbyder opprinnelig har samlet inn dataene for egner seg for å brukes videre i den konteksten dere har behov for.
Dere må også kunne vurdere om kvaliteten på dataene er god nok til det nye formålet, og om datagrunnlaget er godt nok.
Når du har avklart disse tingene, må du i detalj spesifisere hvilke konkrete datasett og/eller API-er det er behov for.
Felles datakatalog gir en oversikt over hvilke data de ulike offentlige virksomhetene har, hvordan de henger sammen og hva de betyr. Portalen inneholder beskrivelser av datasett, API'er, begreper, informasjonsmodeller, tjenester og hendelser.
Digitalarkivet og Arkivportalen gir en oversikt over hvilke historiske data de ulike bevaringsinstitusjonen i Norge forvalter, og hva slags skjermingshjemler som er knyttet til datasettene.
Du bør også avklare hvor mye data du trenger tilgang til ved hver overføring og hvor ofte du trenger tilgang til oppdaterte data. Hvilke krav du stiller til hyppighet ved overføring, altså om du har behov for at dataene skal oppdateres i sanntid eller ved gitte intervaller (synkron eller asynkron utveksling) er avgjørende for hvilket mønster for datautveksling som skal benyttes. Det vil si om dataene skal overføres via melding, direkteoppslag eller basert på hendelser.
Referansearkitektur for datautveksling beskriver mønster for datautveksling som melding eller ved forespørsel og svar.
Dersom behovet gjelder innsyn i dokumenter som offentlige virksomheter har publisert, kan dokumenter utleveres etter en innsynsbegjæring dersom de ikke er offentlig tilgjengelige.
Tilgang til offentlige dokumenter og data
Alle innbyggere kan gratis og anonymt søke i postjournalene til offentlige virksomheter og be om innsyn i dokumenter. Dokumentene som ikke er offentlig tilgjengelige utleveres etter en innsynsbegjæring.
En postjournal er et register over all arkivført post og korrespondanse i en offentlig virksomhet.
Be om innsyn
Innbyggere, næringsliv og sivilsamfunnet for øvrig har mulighet til å be om innsyn i informasjon som offentlige virksomheter forvalter. Vi vil utarbeide en enkel veileder som hjelper deg i gang med dette.
eInnsyn gir innbyggere mulighet til å søke og be om innsyn i dokumenter/postjournaler fra alle statlige, kommunale og fylkeskommunale organ som er publisert med eInnsyn.
På samme måte som du kan be om innsyn i offentlige dokumenter kan du søke om tilgang til offentlige data, datasett eller uttrekk fra datasett. Du søker om tilgang til datasett direkte fra tilbyder. Det er offentlighetsloven som gjelder også for tilgang til datasett.
Har dere behandlingsgrunnlag?
For å kunne motta data som ikke har allmenn tilgang må dere ha et behandlingsgrunnlag. Dette må dere legge frem for datatilbyder − se artikkel 6 i personvernforordningen.
All behandling av personopplysninger må ha et rettslig grunnlag for å være lov. Virksomheten må derfor ha identifisert om det finnes et behandlingsgrunnlag før opplysningene hentes inn. Les mer hos Datatilsynet
Dersom opplysningene skal brukes til nye formål, må gevinstene ved bruk veie tyngre enn taushetshensynet. I tillegg må krav til dataminimering ivaretas.
Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.
Deling av data krever ressurser og kompetanse både hos den som deler og hos den som mottar data. Før dere inngår en avtale med datatilbyder, bør de samfunnsøkonomiske gevinstene ved delingen synliggjøres. Utredningsinstruksen kan brukes til dette.
Hvis delingen skjer mellom to offentlige etater, må eier- departementene til tilbyder og konsument vurdere saken i felleskap hvis det oppstår uenighet om kostnadsfordelingen.
Nasjonalt ressurssenter for deling av data har spisskompetanse på sammenhengen mellom juss, teknologi, forretnings- og forvaltningsprosesser som læremiljø og kompetansebank.
Roller og ansvar skal avklares
Før din virksomhet kan få tilgang til data fra en annen virksomhet må roller og ansvar mellom virksomhetene avklares.
Helt generelt har datatilbyder behandlingsansvar for all behandling av opplysningene til og med deling (inkludert ‘transporten’ av opplysninger, men ikke etter mottak).
Som konsument har du har behandlingsansvar for all behandling fra og med mottak av opplysningene.
Når dere har avklart roller og ansvar, må du inngå nødvendige avtaler med dataleverandør og eventuell tredjepart (databehandler eller segmentansvarlig).
En databehandler er en som behandler data på vegne av andre. En segmentansvarlig er den som har det koordinerende ansvaret for en bransje, slik for eksempel Finans Norge har det for bankene.
Aktuelle avtaler er avtale for delingsvilkår, avtale for bruksvilkår for API, serviceavtale (SLA), avtale med tredjepart som behandler data på vegne av deg Databehandleravtale.
Databehandleravtale og sjekkliste (DFØ) Databehandleravtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket. Sjekklisten kan brukes for å sjekke at en leverandørs standard databehandleravtale tilfredsstiller norske krav.
Skatteetatens delingsvilkår og Skatteetatens bruksvilkår er gode eksempler på hvordan tilbyder kan sette vilkår for utlevering og bruk av opplysninger.
Hvis en spesifikk datautveksling må begrenses til utvalgte deler i organisasjonen, blir det viktig å tilby mekanismer som kan hindre at andre deler i organisasjonshierarkiet får tilgang til data de ikke skal ha tilgang til. Dere må derfor sørge for rett adressering av virksomheten og dere må bli enig med tilbyder om hvem som skal vedlikeholde adresseringsinformasjonen for eksempel ved organisasjonsendringer.
Veileder for virksomhetsautentisering skal bidra til gode og forutsigbare prosesser ved identifisering og adressering av rett mottaker ved deling av data på tvers av virksomheter og sektorer.