Be om tilgang til data

Når du skal be om tilgang til data, må du ha klart for deg hvilke data du har behov for og om du har lov til å behandle dem.

Behov for data, prosess - Steg 3 Be om tilgang til data

Innhold

    Hva er det konkrete behovet?

    Når virksomheten skal be om tilgang til data, er det viktig at dere konkretiserer databehovet. Les mer om dette i behov for data.

    Det er viktig at formålet datatilbyder opprinnelig har samlet inn dataene for egner seg for å brukes videre i den konteksten dere har behov for.

    Dere må også kunne vurdere om kvaliteten på dataene er god nok til det nye formålet, og om datagrunnlaget er godt nok.

    Når du har avklart disse tingene, må du i detalj spesifisere hvilke konkrete datasett og/eller API-er det er behov for.

    Du bør også avklare bør også krav til omfang og hyppighet av delingen avklares. Hvilke krav du stiller til hyppighet, altså om du har behov for at dataene skal oppdateres i sanntid eller ved gitte intervaller (synkron eller asynkron utveksling) er avgjørende for hvilket mønster for datautveksling som skal benyttes. Det vil si om dataene skal overføres via melding, direkteoppslag eller basert på hendelser.

    Dersom behovet gjelder innsyn i dokumenter som offentlige virksomheter har publisert, kan dokumenter utleveres etter en innsynsbegjæring dersom de ikke er offentlig tilgjengelige.

    Verktøy du kan bruke:

    Felles datakatalog gir en oversikt over hvilke data de ulike offentlige virksomhetene har, hvordan de henger sammen og hva de betyr. Videre tilbyr den en registeringsløsning for datasett, begreper og API.

    Digitalarkivet og Arkivportalen gir en oversikt over hvilke historiske data de ulike bevaringsinstitusjonen i Norge forvalter, og hva slags skjermingshjemler som er knyttet til datasettene.

    Referansearkitektur for datautveksling beskriver i detalj verdikjeden for datadeling. Videre beskriver rammeverket mønster for datautveksling og omfatter alle former for flyt av data og hendelser (eller notifikasjoner).

    eInnsyn gir innbyggere mulighet til å søke og be om innsyn i dokumenter/postjournaler fra alle statlige, kommunale og fylkeskommunale organ som er publisert med eInnsyn.

    Har dere behandlingsgrunnlag?

    For å få tilgang til skjermede data fra andre virksomheter må dere ha et behandlingsgrunnlag. Dette må dere legge frem for datatilbyder − se artikkel 6 i personvernforordningen.

    Dersom opplysningene skal brukes til nye formål, må gevinstene ved bruk veie tyngre enn taushetshensynet. I tillegg må krav til dataminimering ivaretas.

    Deling av data krever ressurser og kompetanse både hos den som deler og hos den som mottar data. Før dere inngår en avtale med datatilbyder, bør de samfunnsøkonomiske gevinstene ved delingen synliggjøres. Utredningsinstruksen kan brukes til dette.

    Hvis delingen skjer mellom to offentlige etater, må eier- departementene til tilbyder og konsument vurdere saken i felleskap hvis det oppstår uenighet om kostnadsfordelingen.

    Verktøy du kan bruke:

    Nasjonalt ressurssenter for deling av data har spisskompetanse på sammenhengen mellom juss, teknologi, forretnings- og forvaltningsprosesser som læremiljø og kompetansebank.

    Nyttig informasjon:

    For å behandle personopplysninger må dere ha et rettslig grunnlag. Dette kalles behandlingsgrunnlag. Hvis ikke er behandlingen ulovlig. Les mer hos Datatilsynet

    Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.

    Roller og ansvar skal avklares

    Før din virksomhet kan få tilgang til data fra en annen virksomhet må roller og ansvar mellom virksomhetene avklares. Prinsippene og retningslinjene i Veileder for roller og ansvar bør følges.

    Helt generelt har datatilbyder behandlingsansvar for all behandling av opplysningene til og med deling (inkludert ‘transporten’ av opplysninger, men ikke etter mottak).

    Som konsument har du har behandlingsansvar for all behandling fra og med mottak av opplysningene.

    Når dere har avklart roller og ansvar, må du inngå nødvendige avtaler med dataleverandør og eventuell tredjepart (databehandler eller segmentansvarlig).

    Aktuelle avtaler er

    • avtale for delingsvilkår
    • avtale for bruksvilkår for API
    • SLA
    • databehandleravtale

    Verktøy du kan bruke:

    Veileder for roller og ansvar ved deling av taushetsbelagte opplysninger i offentlig sektor gjelder både for tilbyder og konsument av data og skal sikre at delingsprosessene er skalerbare, profesjonelle og effektive – og i tråd med gjeldende rett.

    Databehandleravtale og sjekkliste Databehandleravtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket. Sjekklisten kan brukes for å sjekke at en leverandørs standard databehandleravtale tilfredsstiller norske krav.

    Nyttig informasjon:

    En databehandler er en som behandler data på vegne av andre. En segmentansvarlig er den som har det koordinerende ansvaret for en bransje, slik for eksempel Finans Norge har det for bankene.