Motta data
De tekniske løsningene for datautveksling er satt opp, og nødvendige avtaler med datatilbyder og eventuelle tredjeparter er på plass. Du er nå klar til å motta data.
God drift og forvaltning
Når løsningene for datautveksling er satt opp, må du i samarbeid med datatilbyder sørge for god drift og forvaltning av de tekniske løsningene. Etabler gode rutiner og god dialog med tilbyder. Det er godt å ha når dere skal håndtere endringer eller hendelser. Sørg for at de tekniske løsningene ivaretar krav til konfidensialitet, integritet og tilgjengelighet, også ved endringer. Sørg for at avtaler forvaltes og oppdateres i tråd med endrede driftsrutiner hos begge parter, eventuelt også hos tredjepart.
Veileder for innebygd personvern. Innebygd personvern er et sentralt krav i personopplysningsloven. Det betyr at det skal tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning.
NSMs grunnprinsipper for IKT-sikkerhet beskriver prinsipper og tiltak for å forvalte kritiske samfunnsfunksjoner og/eller kritisk infrastruktur. Prinsippene beskriver hvordan datautveksling bør beskyttes.
Tilgangsstyring og autentisering
For å sikre at du er den rette mottakeren av dataene må det settes opp løsninger for å verifisere identiteten til virksomheten og/eller personen som mottar dem. Denne kontrollen kalles autentisering. I veileder for virksomhetsautentisering finner du beste praksis for dette.
Veileder for virksomhetsautentisering skal bidra til gode og forutsigbare prosesser ved identifisering og adressering av rett mottaker ved deling av data på tvers av virksomheter og sektorer.
Kontinuerlig forbedring
Det er fornuftig å samarbeide tett med datakonsument om kontinuerlig forbedring av de tekniske løsningene. Dette bidrar til å sikre at de til enhver tid dekker behov og ivaretar krav knyttet til datautvekslingen. Sørg også for god forvaltning av dataene etter mottak – benytt deg av veilederen for orden i eget hus, se spesielt steg 7: Styring og forvaltning som beskriver hvordan du kan vedlikeholde orden i eget hus.
Orden i eget hus inngår som en del av rammeverk for informasjonsforvaltning og er en veileder som blant annet beskriver hvordan en virksomhet kan organisere arbeid med informasjonsforvaltning, rydde, beskrive og gjøre tilgjengelig sine beskrivelser av datasett, begreper osv.
Behandlingsansvar
Det er datatilbyder som har behandlingsansvaret for opplysningen frem til de er utlevert til din virksomhet direkte, eller eventuelt til din databehandler. Ved mottak av opplysningene overtar du behandlingsansvaret for opplysningene.
Veileder for roller og ansvar ved deling av taushetsbelagte opplysninger i offentlig sektor gjelder både for tilbyder og konsument av data og skal sikre at delingsprosessene er skalerbare, profesjonelle og effektive – og i tråd med gjeldende rett.
Offentlige virksomheter kan registrere behandlingsaktiviteter og generere protokoll i henhold til artikkel 30 i Personopplysningsloven i Felles datakatalog.
I tillegg kan du registrere informasjon om behandlingsaktiviteter i henhold til artikkel 6, artikkel 9 og artikkel 10 samt annen informasjon som kan være nyttig å registrere i sammenheng med behandlingsaktiviteter. Behandlingsoversikten er basert på datatilsynet sin «Mal for behandlingsansvarliges protokoll (XLSX)», men i Felles datakatalog kan du i tillegg knytte behandlingsaktiviteten til datasettbeskrivelsene. Virksomheten din får da oversikt over hvilke datasett behandlingsaktivitetene omhandler.
Behandlingsoversikt for registrering av behandlingsaktiviteter er tilgjengelig i Felles datakatalog via publiseringsløsningen under registrer data.