Petter Schultz
0c6bcb7782
Etablerer 9-mappe-arbeidsstruktur basert på Forte sitt startklar-malverk (Salg/_mal/startklar-malverk/), kalibrert for Nivå 1 (avgrenset strategisk, 6-8 uker). Inkluderer skeletter for: - 1. Oppdrag og kontekst (oppdragsbeskrivelse, leveranser, rammer, interessenter, møtelogg, møtenotat-mal) - 2. Organisasjonsforståelse (struktur, roller, nøkkelpersoner) - 3. System- og datalandskap (SuperOffice, Business Central, nopCommerce — fylles ut i Fase A-B) - 4. Informasjonsarkitektur (begrepskatalog, masterdata-og-eierskap, Data Governance prinsipper) — kjernen for leveranse 03 og 07 - 5. Personvern og sikkerhet (GDPR, Privacy by Design) - 6. AI-rammeverk (operasjonelle prinsipper — ny for Standard, bygger på Forte AI Accelerator) - 7. Standardisering og handlingsplan (avvik, prioritering, tiltak) - 8. Kontinuerlig læring (intervjuguider, åpne spørsmål, funn) - 9. Leveranser (Executive Summary, sluttrapport, leveranseplan) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
69 lines
2.2 KiB
Markdown
69 lines
2.2 KiB
Markdown
---
|
|
title: "GDPR-oversikt — Standard Online"
|
|
date: "YYYY-MM-DD"
|
|
tags: ["gdpr", "personvern", "compliance"]
|
|
refs:
|
|
- "../4.informasjonsarkitektur/masterdata-og-eierskap.md"
|
|
- "tiltak-for-innebygd-personvern.md"
|
|
qa:
|
|
status: "draft"
|
|
version: 1
|
|
---
|
|
|
|
# GDPR-oversikt
|
|
|
|
Overordnet vurdering av GDPR-etterlevelse hos Standard Online. Detaljer i de andre filene i denne mappen.
|
|
|
|
## Rolledefinisjon
|
|
|
|
| Rolle | Hvem hos Standard Online | Ansvar |
|
|
|---|---|---|
|
|
| Behandlingsansvarlig | | Bestemmer formål og midler for behandling |
|
|
| Databehandler | | Behandler personopplysninger på vegne av behandlingsansvarlig |
|
|
| Personvernombud (DPO) | | Rådgiver og kontaktpunkt for tilsyn |
|
|
|
|
## Behandlingsoversikt
|
|
|
|
Skal omfatte alle behandlinger av personopplysninger. Bygges ut i Fase B.
|
|
|
|
| Behandling | Behandlingsgrunnlag | Formål | Kategorier personopplysninger | Mottakere | Lagringstid |
|
|
|---|---|---|---|---|---|
|
|
|
|
*Behandlingsgrunnlag: Samtykke / Avtale / Rettslig forpliktelse / Vitale interesser / Allmenn interesse / Berettiget interesse*
|
|
|
|
## Sentrale GDPR-krav
|
|
|
|
| Krav | Status | Kommentar |
|
|
|---|---|---|
|
|
| Behandlingsgrunnlag dokumentert | | |
|
|
| Personvernerklæring publisert | | |
|
|
| Databehandleravtaler (DPA) på plass | | |
|
|
| Innsynsrett-prosess etablert | | |
|
|
| Sletting/rettelse-prosess etablert | | |
|
|
| Dataminimering vurdert | | |
|
|
| Lagringstid definert per kategori | | |
|
|
| Sikkerhetstiltak dokumentert | | |
|
|
| Avvikshåndtering etablert (72-timersregel) | | |
|
|
| DPIA gjennomført for høyrisiko-behandling | | |
|
|
|
|
## Cross-border data transfers
|
|
|
|
*Overføring av personopplysninger ut av EØS — er det relevant? Standard-/SCC-grunnlag på plass?*
|
|
|
|
## AI-spesifikke aspekter
|
|
|
|
- **Automatiserte beslutninger (art. 22):** Hvilke beslutninger tas helt eller delvis automatisert? Krever explicit consent eller annet grunnlag?
|
|
- **Treningsdata:** Hvis AI-modeller trenes på persondata — hva er behandlingsgrunnlaget?
|
|
- **Forklarbarhet:** Kan vi forklare hvordan en AI-beslutning er tatt? (jf. art. 13/14)
|
|
- **Sletting:** Kan persondata slettes fra både operative systemer og trente modeller?
|
|
|
|
Lenke til [[../6.ai-rammeverk/ai-prinsipper]].
|
|
|
|
## Risikoer
|
|
|
|
Lenke til [[../../artefakter/risikoregister]] for GDPR-relaterte risikoer.
|
|
|
|
---
|
|
|
|
*Klassifisering: Begrenset*
|