Vurdere tilgang til data

Når du skal vurdere om du kan gi tilgang til din virksomhets data, må du påse at du har lov til å dele dataene. Videre har du også ansvaret for å sikre at konsumenten har hjemmel til å behandle dataene før disse utleveres.

Dele data, prosess - Steg 3 Vurdere tilgang til data

Innhold

    Har konsumenten behandlingsgrunnlag?

    Før dere gir tilgang til data er det viktig at konsumenten konkretiserer databehovet, og i detalj spesifisere hvilke konkrete datasett og/eller API-er det er behov for. Videre bør også krav til omfang og hyppighet av delingen avklares, og du bør gå i dialog med konsumenten.

    Når du vet om dataene konsumenten ber om bør oppdateres i sanntid eller ved gitte intervaller (synkron eller asynkron utveksling), kan dere bli enige om hvilket mønster for datautveksling som skal benyttes. Det vil si om dataene skal overføres via melding, direkteoppslag eller basert på hendelser.

    Verktøy du kan bruke:

    Referansearkitektur for datautveksling beskriver i detalj verdikjeden for datadeling. Videre beskriver rammeverket mønster for datautveksling og omfatter alle former for flyt av data og hendelser (eller notifikasjoner).

    For å gi tilgang til skjermede data må konsumenten fremlegge et behandlingsgrunnlag. Se artikkel 6 i personvernforordningen.

    Som tilbyder har du ansvaret for at krav til dataminimering ivaretas før dataene overføres til konsumenten, og spørringer og APIer bør tilpasses dette.

    Nyttig informasjon:

    For å behandle personopplysninger må dere ha et rettslig grunnlag. Dette kalles behandlingsgrunnlag. Hvis ikke er behandlingen ulovlig. Les mer hos Datatilsynet

    Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.

    Dersom konsumentens behov ikke samsvarer med din virksomhets sine standardiserte APIer og grensesnitt bør konsumenten synliggjøre de samfunnsøkonomiske gevinstene ved delingen før eventuelle tilpasninger gjøres. Se mer om dette i prinsipp 5, Veileder for roller og ansvar.

    Verktøy du kan bruke:

    Nasjonalt ressurssenter for deling av data har spisskompetanse på sammenhengen mellom juss, teknologi, forretnings- og forvaltningsprosesser som læremiljø og kompetansebank.

    Statens vegvesen skal håndtere henvendelser fra eksterne effektivt, forutsigbart og i henhold til lovverk, regler og føringer. Dette ligger til grunn når tilgang til data skal vurderes. Statens vegvesen har utarbeidet en prosess for vurdering av tilgang til data. Denne gjelder både i de tilfeller der det er behov for tilrettelegging av dataene og der tilgang er regulert. Prosessen inkluderer blant annet innsynsbegjæringer i databaser etter offentleglova og partsinnsyn etter forvaltningsloven. Eksempler på henvendelser er forespørsler om data fra motorvognregisteret, PKK-registeret eller ulykkesdatabasen.

    Henvendelsene skal besvares på en slik måte at det sikres riktig gjenbruk og viderebruk av data, og muliggjør gevinster internt og eksternt.

    Prosessen omfatter også eventuell oppfølging av leveransen, behov for å informere og oppdatere leveransen og eventuelle vilkår.

    Roller og ansvar skal avklares

    Før du kan gi tilgang til data til konsumenten må roller og ansvar mellom virksomhetene avklares. Prinsippene og retningslinjene i Veileder for roller og ansvar ved deling av opplysninger bør følges.

    • Helt generelt har du som datatilbyder behandlingsansvar for all behandling av opplysningene til og med deling (inkludert ‘transporten’ av opplysninger, men ikke etter mottak).
    • Konsumenten har behandlingsansvaret for all behandling fra og med mottak av opplysningene.

    Verktøy du kan bruke:

    Veileder for roller og ansvar ved deling av taushetsbelagte opplysninger i offentlig sektor gjelder både for tilbyder og konsument av data og skal sikre at delingsprosessene er skalerbare, profesjonelle og effektive – og i tråd med gjeldende rett.

    Inngå nødvendige avtaler

    Når dere har avklart roller og ansvar, må du inngå nødvendige avtaler med datakonsumenten. Datakonsumenten har ansvaret for avtaler med eventuell tredjepart (databehandler eller segmentansvarlig). Aktuelle avtaler er

    • avtale for delingsvilkår
    • avtale for bruksvilkår for API
    • SLA
    • databehandleravtale

    Verktøy du kan bruke:

    Databehandleravtale og sjekkliste Databehandleravtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket. Sjekklisten kan brukes for å sjekke at en leverandørs standard databehandleravtale tilfredsstiller norske krav.