---
title: "Tiltak for innebygd personvern — Standard Online"
date: "YYYY-MM-DD"
tags: ["privacy-by-design", "gdpr", "tiltak"]
refs:
  - "gdpr-oversikt.md"
  - "../4.informasjonsarkitektur/masterdata-og-eierskap.md"
qa:
  status: "draft"
version: 1
---

# Tiltak for innebygd personvern

GDPR artikkel 25 krever **innebygd personvern (Privacy by Design)** og **personvern som standardinnstilling (Privacy by Default)**.

## Privacy by Design — implementerte og pågående tiltak

Struktur (basert på DNK-mønster):

### 1. Identitet og tilgangsstyring (IAM)

*Hvilket IAM-system brukes? Token-basert? Single sign-on? Hvordan styres tilganger til personopplysninger?*

### 2. API-sikkerhet

*Krever nye API-er autentisering? Hvilke gamle integrasjoner bruker basic auth eller åpne endepunkter?*

### 3. Dataminimering

*Hvilke API-er/views har versjoner med redusert personinformasjon for konsumenter som ikke trenger fullstendig data?*

### 4. Tilgangsstyring per dataområde

*Rollebasert? Per system? Per datadomene?*

### 5. Logging og sporbarhet

*Hva logges av hvem-gjorde-hva-når? Hvor lagres logger? Hvor lenge?*

## Privacy by Default

*Standardinnstillinger som beskytter personvern uten at brukeren må gjøre noe:*

- **Identifikatorbruk:** Brukes personnummer kun der lov krever det? Bruk Person-ID/intern-ID som integrasjonsnøkkel.
- **Innsamling:** Samles kun nødvendige opplysninger inn?
- **Lagring:** Hva er standard lagringstid? Slettes automatisk når formålet opphører?
- **Deling:** Er deling med tredjeparter opt-in?

## Mangler og planlagte tiltak

Følgende tiltak mangler eller bør prioriteres hos Standard Online:

| Tiltak | Status | Begrunnelse | Prioritet |
|---|---|---|---|
| Samtykkeforvaltning | | | |
| Dataportal med personvernklassifisering | | | |
| DPIA-prosess for nye integrasjoner | | | |
| Offboarding-rutiner for tilganger | | | |
| Avvikshåndteringsprosess (72-timersregel) | | | |
| Behandlingsoversikt | | | |

## Anbefalinger

*Lenke til [[../7.standardisering-og-handlingsplan/prioriteringsliste]] for prioriterte tiltak.*

---

*Klassifisering: Begrenset*