Kartlegge behov for data
Før du tar i bruk data fra andre, må du sørge for å ha oversikt over egen informasjon og egne data. Først da kan du være klar for å finne ut hvilke data dere trenger og hvorfor dere trenger dem.
Hvis du allerede har oversikt over egen informasjon og egen data, kan du starte arbeidet med å finne og vurdere data.
Hvilke data har dere?
Dere bør kartlegge hvilken informasjon som er viktig for dere, og få oversikt over informasjons- og dataflyt i egen virksomhet.
Gjennom dette kartleggingsarbeidet vil virksomheten få oversikt over:
- informasjon og datasett som finnes i virksomheten i dag
- hvem som har ansvaret for dataene og informasjonen
- hvem som er behandlingsansvarlig
Mange virksomheter har kartlagt behandling av personopplysninger i forbindelse med at vi fikk ny personvernlovgivning (GDPR), og dere bør kartlegge også annen viktig informasjon og dataflyt i virksomheten.
Dette vil bidra til riktig vurdering av hvilke data som skaper verdi i virksomheten, tydeliggjøre krav til kvalitet og forenkle vurderingen av hvilke data virksomheten har behov for. I tillegg vil kartleggingen bidra til bedre informasjonssikkerhet.
En god fremgangsmetode for å kartlegge datasett finner du i veileder for orden i eget hus. Se spesielt veilederens steg 3: Kartlegge og steg 4: Vurdere tilgangsnivå.
Orden i eget hus inngår som en del av rammeverk for informasjonsforvaltning og er en veileder som blant annet beskriver hvordan en virksomhet kan organisere arbeid med informasjonsforvaltning, rydde, beskrive og gjøre tilgjengelig sine beskrivelser av datasett, begreper.
Hvilke data trenger dere?
Når dere har oversikt over hvilke data dere har og hvordan disse dataene benyttes, må dere i virksomheten vurdere hva dere ønsker å oppnå, og hvilke data dere trenger for å oppnå dette.
Hvis du er usikker på hvordan du kan skape verdi av data, finner du kurs, artikler, tips og triks på DigitalNorways temaside for data. Du kan registrere deg gratis å komme i gang med kompetanseheving.
Dere må avklare hvilke formål dere har med dataene, og om de skal benyttes til for eksempel:
- forskning
- analyse
- saksbehandling
- nye eller forbedrede tjenester
Skisser krav til kvalitet på dataene og krav til oppdateringsfrekvens, altså om dataene skal overføres via filer, melding eller direkteoppslag, og om oppdatering skal baseres på hendelser.
Dere må også avklare om det er behov for å utrede spesielle krav til informasjonssikkerhet og personvern. Dersom formålet med behandling innebærer bruk av personopplysninger, må dere ha et behandlingsgrunnlag. Vurder om bruk av personopplysninger er nødvendig for å oppnå ønsket resultat.
I noen tilfeller kan det være behov for å sette i gang utredning av behov for regelverksendring. Nasjonalt ressurssenter for deling av data kan bistå med juridiske spørsmål.
All behandling av personopplysninger må ha et rettslig grunnlag for å være lov. Virksomheten må derfor ha identifisert om det finnes et behandlingsgrunnlag før opplysningene hentes inn. Les mer hos Datatilsynet
Veileder for innebygd personvern: Innebygd personvern er et sentralt krav i personopplysningsloven og betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning.
Nasjonalt ressurssenter for deling av data har spisskompetanse på sammenhengen mellom juss og teknologi, og har som oppgave å fremme deling og bruk av data ved å spre kunnskap og ved å utvikle regelverket på området.
I hvilke prosesser skal dataene behandles?
Som en del av kartleggingen bør dere lage en oversikt over hvilke prosesser dataene skal behandles i. Mange har kanskje et kvalitetssystem der prosessene allerede er beskrevet. Det bør komme tydelig frem hva som er manuell behandling og hva som er automatisert behandling av dataene.
Det finnes mange måter å gjennomføre en prosesskartlegging på. En anerkjent metode er Business Process Modeling Notation (BPMN).