Initial oppdragsstruktur for Standard Online

Etablerer 9-mappe-arbeidsstruktur basert på Forte sitt startklar-malverk (Salg/_mal/startklar-malverk/), kalibrert for Nivå 1 (avgrenset strategisk, 6-8 uker). Inkluderer skeletter for: - 1. Oppdrag og kontekst (oppdragsbeskrivelse, leveranser, rammer, interessenter, møtelogg, møtenotat-mal) - 2. Organisasjonsforståelse (struktur, roller, nøkkelpersoner) - 3. System- og datalandskap (SuperOffice, Business Central, nopCommerce — fylles ut i Fase A-B) - 4. Informasjonsarkitektur (begrepskatalog, masterdata-og-eierskap, Data Governance prinsipper) — kjernen for leveranse 03 og 07 - 5. Personvern og sikkerhet (GDPR, Privacy by Design) - 6. AI-rammeverk (operasjonelle prinsipper — ny for Standard, bygger på Forte AI Accelerator) - 7. Standardisering og handlingsplan (avvik, prioritering, tiltak) - 8. Kontinuerlig læring (intervjuguider, åpne spørsmål, funn) - 9. Leveranser (Executive Summary, sluttrapport, leveranseplan) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-21 12:22:56 +02:00
commit 0c6bcb7782
46 changed files with 2773 additions and 0 deletions
--- a/5.personvern-og-sikkerhet/gdpr-oversikt.md
+++ b/5.personvern-og-sikkerhet/gdpr-oversikt.md
@@ -0,0 +1,68 @@
+---
+title: "GDPR-oversikt — Standard Online"
+date: "YYYY-MM-DD"
+tags: ["gdpr", "personvern", "compliance"]
+refs:
+  - "../4.informasjonsarkitektur/masterdata-og-eierskap.md"
+  - "tiltak-for-innebygd-personvern.md"
+qa:
+  status: "draft"
+version: 1
+---
+
+# GDPR-oversikt
+
+Overordnet vurdering av GDPR-etterlevelse hos Standard Online. Detaljer i de andre filene i denne mappen.
+
+## Rolledefinisjon
+
+| Rolle | Hvem hos Standard Online | Ansvar |
+|---|---|---|
+| Behandlingsansvarlig | | Bestemmer formål og midler for behandling |
+| Databehandler | | Behandler personopplysninger på vegne av behandlingsansvarlig |
+| Personvernombud (DPO) | | Rådgiver og kontaktpunkt for tilsyn |
+
+## Behandlingsoversikt
+
+Skal omfatte alle behandlinger av personopplysninger. Bygges ut i Fase B.
+
+| Behandling | Behandlingsgrunnlag | Formål | Kategorier personopplysninger | Mottakere | Lagringstid |
+|---|---|---|---|---|---|
+
+*Behandlingsgrunnlag: Samtykke / Avtale / Rettslig forpliktelse / Vitale interesser / Allmenn interesse / Berettiget interesse*
+
+## Sentrale GDPR-krav
+
+| Krav | Status | Kommentar |
+|---|---|---|
+| Behandlingsgrunnlag dokumentert | | |
+| Personvernerklæring publisert | | |
+| Databehandleravtaler (DPA) på plass | | |
+| Innsynsrett-prosess etablert | | |
+| Sletting/rettelse-prosess etablert | | |
+| Dataminimering vurdert | | |
+| Lagringstid definert per kategori | | |
+| Sikkerhetstiltak dokumentert | | |
+| Avvikshåndtering etablert (72-timersregel) | | |
+| DPIA gjennomført for høyrisiko-behandling | | |
+
+## Cross-border data transfers
+
+*Overføring av personopplysninger ut av EØS — er det relevant? Standard-/SCC-grunnlag på plass?*
+
+## AI-spesifikke aspekter
+
+- **Automatiserte beslutninger (art. 22):** Hvilke beslutninger tas helt eller delvis automatisert? Krever explicit consent eller annet grunnlag?
+- **Treningsdata:** Hvis AI-modeller trenes på persondata — hva er behandlingsgrunnlaget?
+- **Forklarbarhet:** Kan vi forklare hvordan en AI-beslutning er tatt? (jf. art. 13/14)
+- **Sletting:** Kan persondata slettes fra både operative systemer og trente modeller?
+
+Lenke til [[../6.ai-rammeverk/ai-prinsipper]].
+
+## Risikoer
+
+Lenke til [[../../artefakter/risikoregister]] for GDPR-relaterte risikoer.
+
+---
+
+*Klassifisering: Begrenset*