Petter Schultz
0c6bcb7782
Etablerer 9-mappe-arbeidsstruktur basert på Forte sitt startklar-malverk (Salg/_mal/startklar-malverk/), kalibrert for Nivå 1 (avgrenset strategisk, 6-8 uker). Inkluderer skeletter for: - 1. Oppdrag og kontekst (oppdragsbeskrivelse, leveranser, rammer, interessenter, møtelogg, møtenotat-mal) - 2. Organisasjonsforståelse (struktur, roller, nøkkelpersoner) - 3. System- og datalandskap (SuperOffice, Business Central, nopCommerce — fylles ut i Fase A-B) - 4. Informasjonsarkitektur (begrepskatalog, masterdata-og-eierskap, Data Governance prinsipper) — kjernen for leveranse 03 og 07 - 5. Personvern og sikkerhet (GDPR, Privacy by Design) - 6. AI-rammeverk (operasjonelle prinsipper — ny for Standard, bygger på Forte AI Accelerator) - 7. Standardisering og handlingsplan (avvik, prioritering, tiltak) - 8. Kontinuerlig læring (intervjuguider, åpne spørsmål, funn) - 9. Leveranser (Executive Summary, sluttrapport, leveranseplan) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2.2 KiB
2.2 KiB
title, date, tags, refs, qa, version
| title | date | tags | refs | qa | version | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| GDPR-oversikt — Standard Online | YYYY-MM-DD |
|
|
|
1 |
GDPR-oversikt
Overordnet vurdering av GDPR-etterlevelse hos Standard Online. Detaljer i de andre filene i denne mappen.
Rolledefinisjon
| Rolle | Hvem hos Standard Online | Ansvar |
|---|---|---|
| Behandlingsansvarlig | Bestemmer formål og midler for behandling | |
| Databehandler | Behandler personopplysninger på vegne av behandlingsansvarlig | |
| Personvernombud (DPO) | Rådgiver og kontaktpunkt for tilsyn |
Behandlingsoversikt
Skal omfatte alle behandlinger av personopplysninger. Bygges ut i Fase B.
| Behandling | Behandlingsgrunnlag | Formål | Kategorier personopplysninger | Mottakere | Lagringstid |
|---|
Behandlingsgrunnlag: Samtykke / Avtale / Rettslig forpliktelse / Vitale interesser / Allmenn interesse / Berettiget interesse
Sentrale GDPR-krav
| Krav | Status | Kommentar |
|---|---|---|
| Behandlingsgrunnlag dokumentert | ||
| Personvernerklæring publisert | ||
| Databehandleravtaler (DPA) på plass | ||
| Innsynsrett-prosess etablert | ||
| Sletting/rettelse-prosess etablert | ||
| Dataminimering vurdert | ||
| Lagringstid definert per kategori | ||
| Sikkerhetstiltak dokumentert | ||
| Avvikshåndtering etablert (72-timersregel) | ||
| DPIA gjennomført for høyrisiko-behandling |
Cross-border data transfers
Overføring av personopplysninger ut av EØS — er det relevant? Standard-/SCC-grunnlag på plass?
AI-spesifikke aspekter
- Automatiserte beslutninger (art. 22): Hvilke beslutninger tas helt eller delvis automatisert? Krever explicit consent eller annet grunnlag?
- Treningsdata: Hvis AI-modeller trenes på persondata — hva er behandlingsgrunnlaget?
- Forklarbarhet: Kan vi forklare hvordan en AI-beslutning er tatt? (jf. art. 13/14)
- Sletting: Kan persondata slettes fra både operative systemer og trente modeller?
Lenke til ../6.ai-rammeverk/ai-prinsipper.
Risikoer
Lenke til ../../artefakter/risikoregister for GDPR-relaterte risikoer.
Klassifisering: Begrenset