Initial oppdragsstruktur for Standard Online

Etablerer 9-mappe-arbeidsstruktur basert på Forte sitt
startklar-malverk (Salg/_mal/startklar-malverk/), kalibrert
for Nivå 1 (avgrenset strategisk, 6-8 uker).

Inkluderer skeletter for:
- 1. Oppdrag og kontekst (oppdragsbeskrivelse, leveranser, rammer,
  interessenter, møtelogg, møtenotat-mal)
- 2. Organisasjonsforståelse (struktur, roller, nøkkelpersoner)
- 3. System- og datalandskap (SuperOffice, Business Central,
  nopCommerce — fylles ut i Fase A-B)
- 4. Informasjonsarkitektur (begrepskatalog, masterdata-og-eierskap,
  Data Governance prinsipper) — kjernen for leveranse 03 og 07
- 5. Personvern og sikkerhet (GDPR, Privacy by Design)
- 6. AI-rammeverk (operasjonelle prinsipper — ny for Standard,
  bygger på Forte AI Accelerator)
- 7. Standardisering og handlingsplan (avvik, prioritering, tiltak)
- 8. Kontinuerlig læring (intervjuguider, åpne spørsmål, funn)
- 9. Leveranser (Executive Summary, sluttrapport, leveranseplan)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

5.personvern-og-sikkerhet/dataflyt-og-risiko.md

@@ -0,0 +1,47 @@
+---
+title: "Dataflyt og personvernrisiko — Standard Online"
+date: "YYYY-MM-DD"
+tags: ["dataflyt", "personvern", "risiko"]
+refs:
+  - "../3.system-og-datalandskap/integrasjoner-og-flyt.md"
+  - "sensitive-dataomrader.md"
+qa:
+  status: "draft"
+version: 1
+---
+
+# Dataflyt og personvernrisiko
+
+Personvernperspektiv på dataflyten kartlagt i [[../3.system-og-datalandskap/integrasjoner-og-flyt]].
+
+## Risikomatrise per integrasjon
+
+| Integrasjon | Personopplysninger? | Særskilt kategori? | Cross-border? | Logget? | Risikonivå | Tiltak |
+|---|---|---|---|---|---|---|
+
+*Risikonivå: Lav / Middels / Høy / Kritisk*
+
+## Spesielle risikopunkter
+
+### Cross-org dataoverføring
+
+*Hvis data deles med søsterselskap, partnere, eller eksterne leverandører — DPA på plass?*
+
+### Anonymisering / pseudonymisering
+
+*Hvor brukes anonymisering for å redusere risiko? Hvor burde det innføres?*
+
+### Skyggekopier og uplanlagt deling
+
+*Data som havner i Excel, BI-verktøy, e-postvedlegg — hvor er kontrolltap størst?*
+
+## DPIA-vurdering
+
+*Hvor er det behov for Data Protection Impact Assessment? Krav når behandling sannsynligvis medfører høy risiko (art. 35).*
+
+| Behandling | DPIA påkrevd? | Status | Plan |
+|---|---|---|---|
+
+---
+
+*Klassifisering: Begrenset*

5.personvern-og-sikkerhet/gdpr-oversikt.md

@@ -0,0 +1,68 @@
+---
+title: "GDPR-oversikt — Standard Online"
+date: "YYYY-MM-DD"
+tags: ["gdpr", "personvern", "compliance"]
+refs:
+  - "../4.informasjonsarkitektur/masterdata-og-eierskap.md"
+  - "tiltak-for-innebygd-personvern.md"
+qa:
+  status: "draft"
+version: 1
+---
+
+# GDPR-oversikt
+
+Overordnet vurdering av GDPR-etterlevelse hos Standard Online. Detaljer i de andre filene i denne mappen.
+
+## Rolledefinisjon
+
+| Rolle | Hvem hos Standard Online | Ansvar |
+|---|---|---|
+| Behandlingsansvarlig | | Bestemmer formål og midler for behandling |
+| Databehandler | | Behandler personopplysninger på vegne av behandlingsansvarlig |
+| Personvernombud (DPO) | | Rådgiver og kontaktpunkt for tilsyn |
+
+## Behandlingsoversikt
+
+Skal omfatte alle behandlinger av personopplysninger. Bygges ut i Fase B.
+
+| Behandling | Behandlingsgrunnlag | Formål | Kategorier personopplysninger | Mottakere | Lagringstid |
+|---|---|---|---|---|---|
+
+*Behandlingsgrunnlag: Samtykke / Avtale / Rettslig forpliktelse / Vitale interesser / Allmenn interesse / Berettiget interesse*
+
+## Sentrale GDPR-krav
+
+| Krav | Status | Kommentar |
+|---|---|---|
+| Behandlingsgrunnlag dokumentert | | |
+| Personvernerklæring publisert | | |
+| Databehandleravtaler (DPA) på plass | | |
+| Innsynsrett-prosess etablert | | |
+| Sletting/rettelse-prosess etablert | | |
+| Dataminimering vurdert | | |
+| Lagringstid definert per kategori | | |
+| Sikkerhetstiltak dokumentert | | |
+| Avvikshåndtering etablert (72-timersregel) | | |
+| DPIA gjennomført for høyrisiko-behandling | | |
+
+## Cross-border data transfers
+
+*Overføring av personopplysninger ut av EØS — er det relevant? Standard-/SCC-grunnlag på plass?*
+
+## AI-spesifikke aspekter
+
+- **Automatiserte beslutninger (art. 22):** Hvilke beslutninger tas helt eller delvis automatisert? Krever explicit consent eller annet grunnlag?
+- **Treningsdata:** Hvis AI-modeller trenes på persondata — hva er behandlingsgrunnlaget?
+- **Forklarbarhet:** Kan vi forklare hvordan en AI-beslutning er tatt? (jf. art. 13/14)
+- **Sletting:** Kan persondata slettes fra både operative systemer og trente modeller?
+
+Lenke til [[../6.ai-rammeverk/ai-prinsipper]].
+
+## Risikoer
+
+Lenke til [[../../artefakter/risikoregister]] for GDPR-relaterte risikoer.
+
+---
+
+*Klassifisering: Begrenset*

5.personvern-og-sikkerhet/roller-og-ansvar.md

@@ -0,0 +1,41 @@
+---
+title: "Personvernroller og -ansvar — Standard Online"
+date: "YYYY-MM-DD"
+tags: ["roller", "personvern", "ansvar"]
+qa:
+  status: "draft"
+version: 1
+---
+
+# Personvernroller og -ansvar
+
+## Hovedroller
+
+| Rolle | Person/funksjon | Hva omfatter ansvaret |
+|---|---|---|
+| Behandlingsansvarlig | | Bestemmer formål og midler |
+| Personvernombud (DPO) | | Uavhengig rådgiver, kontakt mot tilsyn |
+| Sikkerhetsleder / CISO | | Informasjonssikkerhet |
+| Systemeier per system | | Praktisk personvernforvaltning |
+| Domain Data Owner | | Per domene — personvernhensyn i datamodell |
+
+## Databehandlere
+
+| Databehandler | Hva de behandler | DPA på plass? | Underbehandlere godkjent? |
+|---|---|---|---|
+
+## RACI-matrise for personvern-aktiviteter
+
+| Aktivitet | DPO | CISO | Systemeier | Forretningseier |
+|---|---|---|---|---|
+| Behandlingsoversikt | R/A | C | R | I |
+| DPIA | A | C | R | C |
+| Avvikshåndtering | C | A | R | I |
+| Innsynsbegjæring | A | I | R | C |
+| Sletting | A | I | R | C |
+
+*R=Responsible, A=Accountable, C=Consulted, I=Informed*
+
+---
+
+*Klassifisering: Begrenset*

5.personvern-og-sikkerhet/sensitive-dataomrader.md

@@ -0,0 +1,59 @@
+---
+title: "Sensitive dataområder — Standard Online"
+date: "YYYY-MM-DD"
+tags: ["sensitivitet", "personvern", "særskilte-kategorier"]
+qa:
+  status: "draft"
+version: 1
+---
+
+# Sensitive dataområder
+
+Kartlegging av hvor sensitive personopplysninger befinner seg hos Standard Online.
+
+## Sensitivitetsnivåer
+
+Vi opererer med tre nivåer:
+
+| Nivå | Beskrivelse | Eksempler |
+|---|---|---|
+| Ikke-sensitiv | Generelle forretningsdata | Bedriftsnavn, leveranseadresse |
+| Personopplysning (alminnelig) | Identifiserer person uten å være særskilt sensitivt | Navn, e-post, telefon, kjøpshistorikk |
+| Spesielt sensitiv (særskilt kategori) | Art. 9-data — krever ekstra grunnlag | Helse, etnisitet, religion, fagforening, politisk syn, seksuell orientering |
+
+## Oversikt per system
+
+| System | Personopplysninger? | Særskilte kategorier? | Antall berørte personer | Lagringstid | Risiko |
+|---|---|---|---|---|---|
+
+## Per domene
+
+### <Domene>
+
+**Hvilke felter er personopplysninger?**
+
+**Hvilke felter er særskilte kategorier?** (Hvis noen — krever særlig grunnlag)
+
+**Sletteplikt:** Når slettes/anonymiseres data?
+
+**Aggregert vs. individnivå:** Brukes data også aggregert (mindre risiko)?
+
+---
+
+*Repeter for relevante domener.*
+
+## Datakart for personopplysninger
+
+*Visualisering — hvor flyter personopplysninger? Hvor lagres de? Hvor kopieres de?*
+
+```mermaid
+graph LR
+  Kunde[Kunde fyller ut skjema] --> Web[Nettbutikk]
+  Web --> CRM
+  CRM --> ERP
+  CRM --> Analyse[Analytics]
+```
+
+---
+
+*Klassifisering: Begrenset*

5.personvern-og-sikkerhet/tiltak-for-innebygd-personvern.md

@@ -0,0 +1,69 @@
+---
+title: "Tiltak for innebygd personvern — Standard Online"
+date: "YYYY-MM-DD"
+tags: ["privacy-by-design", "gdpr", "tiltak"]
+refs:
+  - "gdpr-oversikt.md"
+  - "../4.informasjonsarkitektur/masterdata-og-eierskap.md"
+qa:
+  status: "draft"
+version: 1
+---
+
+# Tiltak for innebygd personvern
+
+GDPR artikkel 25 krever **innebygd personvern (Privacy by Design)** og **personvern som standardinnstilling (Privacy by Default)**.
+
+## Privacy by Design — implementerte og pågående tiltak
+
+Struktur (basert på DNK-mønster):
+
+### 1. Identitet og tilgangsstyring (IAM)
+
+*Hvilket IAM-system brukes? Token-basert? Single sign-on? Hvordan styres tilganger til personopplysninger?*
+
+### 2. API-sikkerhet
+
+*Krever nye API-er autentisering? Hvilke gamle integrasjoner bruker basic auth eller åpne endepunkter?*
+
+### 3. Dataminimering
+
+*Hvilke API-er/views har versjoner med redusert personinformasjon for konsumenter som ikke trenger fullstendig data?*
+
+### 4. Tilgangsstyring per dataområde
+
+*Rollebasert? Per system? Per datadomene?*
+
+### 5. Logging og sporbarhet
+
+*Hva logges av hvem-gjorde-hva-når? Hvor lagres logger? Hvor lenge?*
+
+## Privacy by Default
+
+*Standardinnstillinger som beskytter personvern uten at brukeren må gjøre noe:*
+
+- **Identifikatorbruk:** Brukes personnummer kun der lov krever det? Bruk Person-ID/intern-ID som integrasjonsnøkkel.
+- **Innsamling:** Samles kun nødvendige opplysninger inn?
+- **Lagring:** Hva er standard lagringstid? Slettes automatisk når formålet opphører?
+- **Deling:** Er deling med tredjeparter opt-in?
+
+## Mangler og planlagte tiltak
+
+Følgende tiltak mangler eller bør prioriteres hos Standard Online:
+
+| Tiltak | Status | Begrunnelse | Prioritet |
+|---|---|---|---|
+| Samtykkeforvaltning | | | |
+| Dataportal med personvernklassifisering | | | |
+| DPIA-prosess for nye integrasjoner | | | |
+| Offboarding-rutiner for tilganger | | | |
+| Avvikshåndteringsprosess (72-timersregel) | | | |
+| Behandlingsoversikt | | | |
+
+## Anbefalinger
+
+*Lenke til [[../7.standardisering-og-handlingsplan/prioriteringsliste]] for prioriterte tiltak.*
+
+---
+
+*Klassifisering: Begrenset*