Hopp til hovedinnhold

Vurdere tilgang til data

Når du skal vurdere om du kan gi tilgang til din virksomhets data, må du påse at du har lov til å dele dataene. Videre har du også ansvaret for å sikre at konsumenten har hjemmel til å behandle dataene før disse utleveres.

Dele data, prosess - Steg 3 Vurdere tilgang til data

    Har konsumenten behandlingsgrunnlag?

    Før dere gir tilgang til data er det viktig at konsumenten konkretiserer databehovet, og i detalj spesifisere hvilke konkrete datasett og/eller API-er det er behov for. Videre bør også krav til omfang og hyppighet av delingen avklares, og du bør gå i dialog med konsumenten.

    Når du vet om dataene konsumenten ber om bør oppdateres i sanntid eller ved gitte intervaller (synkron eller asynkron utveksling), kan dere bli enige om hvilket mønster for datautveksling som skal benyttes. Det vil si om dataene skal overføres via melding, direkteoppslag eller basert på hendelser.

    Referansearkitektur for datautveksling beskriver mønster for datautveksling som melding eller ved forespørsel og svar.

    For data uten allmenn tilgang må konsumenten fremlegge et behandlingsgrunnlag. Se artikkel 6 i personvernforordningen.

    All behandling av personopplysninger må ha et rettslig grunnlag for å være lov. Virksomheten må derfor ha identifisert om det finnes et behandlingsgrunnlag før opplysningene hentes inn. Les mer hos Datatilsynet

    Som tilbyder har du behandlingsansvaret for personopplysninger fram til utleveringen har skjedd. Dette inkluderer ansvar for at behandlingen er i tråd med personvernforordningens bestemmelser om blant annet lovlighet, dataminimering, samt å sørge for tilstrekkelige informasjonssikkerhetstiltak som sikrer personopplysningenes integritet, tilgjengelighet og konfidensialitet frem til utlevering. Tilbyder har ikke ansvar for behandling av opplysningene etter at datakonsumenten har mottatt opplysningene.

    Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.

    Dersom konsumentens behov ikke samsvarer med din virksomhets sine standardiserte APIer og grensesnitt bør konsumenten synliggjøre de samfunnsøkonomiske gevinstene ved delingen før eventuelle tilpasninger gjøres. Se mer om dette i prinsipp 5, Veileder for roller og ansvar.

    Statens vegvesen skal håndtere henvendelser fra eksterne effektivt, forutsigbart og i henhold til lovverk, regler og føringer. Dette ligger til grunn når tilgang til data skal vurderes. Statens vegvesen har utarbeidet en prosess for vurdering av tilgang til data. Denne gjelder både i de tilfeller der det er behov for tilrettelegging av dataene og der tilgang er regulert. Prosessen inkluderer blant annet innsynsbegjæringer i databaser etter offentleglova og partsinnsyn etter forvaltningsloven. Eksempler på henvendelser er forespørsler om data fra motorvognregisteret, PKK-registeret eller ulykkesdatabasen.

    Henvendelsene skal besvares på en slik måte at det sikres riktig gjenbruk og viderebruk av data, og muliggjør gevinster internt og eksternt.

    Prosessen omfatter også eventuell oppfølging av leveransen, behov for å informere og oppdatere leveransen og eventuelle vilkår.

    Roller og ansvar skal avklares

    Før du kan gi tilgang til data til konsumenten må roller og ansvar mellom virksomhetene avklares.

    • Helt generelt har du som datatilbyder behandlingsansvar for all behandling av opplysningene til og med deling (inkludert ‘transporten’ av opplysninger, men ikke etter mottak).
    • Konsumenten har behandlingsansvaret for all behandling fra og med mottak av opplysningene.

    Har du behov for hjelp til avklaringer rundt juridiske spørsmål, kan du kontakte Nasjonalt ressurssenter for deling av data.

    Nasjonalt ressurssenter for deling av data har spisskompetanse på sammenhengen mellom juss, teknologi, forretnings- og forvaltningsprosesser som læremiljø og kompetansebank.

    Adressering av mottaker

    Adressering av mottaker bør skje så detaljert som nødvendig slik at rett nivå i mottakerorganisasjonen får dataene. Dere må bli enig med datakonsument om hvem som skal vedlikeholde adresseringsinformasjonen for eksempel ved organisasjonsendringer. Se mer om dette i veileder for virksomhetsautentisering.

    Veileder for virksomhetsautentisering skal bidra til gode og forutsigbare prosesser ved identifisering og adressering av rett mottaker ved deling av data på tvers av virksomheter og sektorer.

    Inngå nødvendige avtaler

    Når dere har avklart roller og ansvar, må dere inngå nødvendige avtaler med datakonsumenten. Datakonsumenten har ansvaret for avtaler med eventuell tredjepart (databehandler eller segmentansvarlig). Aktuelle avtaler er

    • avtale for delingsvilkår
    • avtale for bruksvilkår for API
    • SLA
    • databehandleravtale

    Databehandleravtale og sjekkliste (DFØ) Databehandleravtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket. Sjekklisten kan brukes for å sjekke at en leverandørs standard databehandleravtale tilfredsstiller norske krav.

    Skatteetatens delingsvilkår og Skatteetatens bruksvilkår er gode eksempler på hvordan tilbyder kan sette vilkår for utlevering og bruk av opplysninger.