Få tilgang til data
Før data kan utveksles må dere etablere tekniske løsninger og operasjonalisere samarbeidet med tilbyder. Datautvekslingen kommer i stand gjennom de tekniske løsningene dere blir enige om i denne dialogen.
Få på plass tekniske løsninger
Når dere skal etablere tekniske løsninger for utveksling av data, må aktørene sørge for å benytte standardiserte tjenester og grensesnitt. Standardiserte grensesnitt bidrar til at løsningene følger beste praksis, er skalerbare og kjent for eventuelle samarbeidspartnere. Krav til innebygget personvern skal også ivaretas. Datatilsynet har utarbeidet en veileder for utvikling med innebygget personvern. Dessuten må utvekslingen av data skje på en måte som både ivaretar konfidensialitet, integritet og tilgjengelighet til informasjonen. NSM sine grunnprinsipper og veiledere vil være til god hjelp for å ivareta dette.
Veileder for innebygd personvern. Innebygd personvern er et sentralt krav i personopplysningsloven. Det betyr at det skal tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning.
NSMs grunnprinsipper for IKT-sikkerhet beskriver prinsipper og tiltak for å forvalte kritiske samfunnsfunksjoner og/eller kritisk infrastruktur. Prinsippene beskriver hvordan datautveksling bør beskyttes.
Selve datautvekslingen bør følge standardiserte mønstre. Referansearkitekturer for datautveksling vil sikre at virksomheter kan utveksle data uavhengig av hvilke tekniske løsninger motparten har. Fellesløsningene for datautveksling fra data.altinn.no og eFormidling kan brukes i den faktiske datautvekslingen. Fiks-plattformen kan også brukes, dersom datautvekslinger skjer med kommunal sektor.
Referansearkitektur for datautveksling beskriver mønster for datautveksling som melding eller ved forespørsel og svar.
Data.altinn.no tilbyr en sikker, autorisert og tilgjengelig mekanisme for å dele data med næringsliv og innbyggere, eller en kanal for å hente informasjon fra offentlige virksomheter. Med data.altinn.no kan man be om data som det offentlige allerede har, tilknyttet definerte sett med data fra ulike registre. Datasettene kan enkelt minimeres eller kombineres etter konsumentenes behov og gis separate autentiserings- og autorisasjonskrav. Løsningen er laget for å kunne forenkle utveksling av data med et formål om å gjenbruke informasjon som det offentlige allerede har (“kun en gang”) ved å tilby oppdaterte data direkte fra datatilbyder.
Maskinlesbare data muliggjør gjenbruk og maskinell validering av informasjon, det trengs mindre kontroll av dokumentene som mottas, og det blir vanskeligere å forfalske data – siden det alltid hentes sanntidsdata direkte fra datatilbyder.
eFormidling er en løsning for sikker og effektiv meldingsutveksling i offentlig sektor. Hovedkomponentene i løsningen er et integrasjonspunkt som installeres lokalt hos virksomhetene og et adresseregister som driftes av Digitaliseringsdirektoratet. eFormidling gjør det mulig å kommunisere på en enkel og sikker måte, uten å måtte ta hensyn til om mottakeren er privat eller offentlig virksomhet, eller innbygger.
Utveksling med kommunal sektor:
FINT skal sørge for bedre integrasjoner og dataflyt innen alle tjenesteområder i fylkeskommunene, gjennom en kombinasjon av en standardisert informasjonsmodell og tilgjengeliggjøring av informasjon over åpne programmerbare grensesnitt (API).
Fiks-plattformen tilbyr tjenester for deling av data mellom virksomheter. Teknisk er Fiks-plattformen en asynkron integrasjonsplattform mellom maskin-til-maskin eller maskin-til-menneske via et nettlesergrensesnitt. Sikkerhet er en sentral del av Fiks-plattformen hvor tiltak innenfor bruk, informasjonsinnhold, teknologi, drift og kvalitetssikring vurderes løpende. ROS-vurderinger og DPIA leveres med alle tjenestene.
Format og datakvalitet
Da du vurderte Behov for data, kartla du hvilke datasett som var aktuelle. Før dataene overføres må du finne ut om dataene som innhentes har rett format. Dette er avgjørende for at dere kan ta imot dataene og benytte dem i din virksomhets systemer. Dersom det er en sammenstilling av data, må dette ikke gå ut over det dere har behandlingsgrunnlag til å gjøre, og dataene må være i tråd med kravene til dataminimering. Teknisk kan Data.altinn.no benyttes til å hente informasjon fra flere offentlige registre, og dataene kan minimeres eller kombineres ut ifra behandlingsgrunnlag og behov. Se mer om behandlingsgrunnlag og dataminimering i Be om tilgang til data.
Felles Datakatalog gir en oversikt over hvilke data de ulike offentlige virksomhetene har, hvordan de henger sammen og hva de betyr. Videre tilbyr den en registeringsløsning for datasett, begreper og APIer.
Digitalarkivet og Arkivportalen gir en oversikt over hvilke historiske data de ulike bevaringsinstitusjonen i Norge forvalter, og hva slags skjermingshjemler som er knyttet til datasettene.
Tilgangsstyring
I enhver datautveksling stilles det krav til personvern og konfidensialitet. Du må derfor sørge for korrekt autorisasjon og tilgangsstyring til dataene. Ved maskinell utveksling av data vil ofte både hvilken virksomhet dere representerer og personidentiteten til de som skal behandle dataene etter mottak spille en viktig rolle. Identifisering av dere som riktig mottaker er en forutsetning for god tilgangsstyring. Maskinporten kan benyttes for maskinell tilgangsstyring, og ID-porten kan benyttes for tilgangsstyring på personnivå.
Maskinporten sørger for sikker autentisering og tilgangskontroll for datautveksling mellom virksomheter, maskin til maskin.
Altinn autorisasjon sjekker at bruker har de tilgangene som kreves for å ta i bruk aktuell tjeneste.
Dersom en privatperson skal ta i bruk en tjeneste på vegne av en virksomhet, gjøres det et oppslag mot Enhetsregisteret for å bekrefte at personen har en rolle på vegne av virksomheten.
ID-porten gjør det mulig for brukere å logge seg inn på offentlige tjenester med elektronisk identitet. ID-porten autentiserer personer på sikkerhetsnivå betydelig eller høyt.
I Altinn samtykke gir innbygger samtykke til at data som er avgitt til én offentlig virksomhet kan deles med andre offentlige eller private virksomheter. Samtykke brukes når de som skal motta data ikke har hjemmel til å innhente opplysningene.
eSignering håndterer dokumenter som krever signatur fra innbyggere. Den digitale prosessen ved eSignering gjør at virksomhetene slipper manuell håndtering ved utlevering og innhenting av dokumenter som skal signeres. Ved eSignering av dokumenter gjennomføres selve signeringen med elektronisk ID.
I veileder for virksomhetautentisering kan du få informasjon og hjelp til hvordan du best kan sørge for god sertifikatbehandling, logging og sporing.
Veileder for virksomhetsautentisering skal bidra til gode og forutsigbare prosesser ved identifisering og adressering av rett mottaker ved deling av data på tvers av virksomheter og sektorer.
Før datatilbyder kan gi tilgang, må dere godkjenne bruksvilkårene. Dette er en av de avtalene som må inngås før datautveksling kan skje, se Be om tilgang til data. Det er også viktig at dere i din virksomhet sikrer at ansatte er kjent med vilkårene for bruk av dataene slik at de behandler dataene etter gjeldende avtaler og regelverk.
Registre som benyttes i forbindelse med datautveksing:
ELMA er et register som inneholder aksesspunktadresser til virksomheten og hvilke dokumenttyper, som elektroniske fakturaer, ordre, kataloger m.fl. mottakersystemet kan ta imot. Aksesspunktet formidler meldinger til og fra andre aksesspunkter og til og fra avsender/mottaker maskin til maskin.
I Enhetsregisteret finner du samtlige norske foretak, så vel statlige som private.
Kontakt- og reservasjonsregisteret inneholder oversikt over mobilnummer og e-post, hvilken digital postkasse og eventuelle reservasjoner mot digital kommunikasjon innbyggerne i Norge har. Dette gjør at virksomheter kan sende post og varslinger til innbygger digitalt.