Petter Schultz
0c6bcb7782
Etablerer 9-mappe-arbeidsstruktur basert på Forte sitt startklar-malverk (Salg/_mal/startklar-malverk/), kalibrert for Nivå 1 (avgrenset strategisk, 6-8 uker). Inkluderer skeletter for: - 1. Oppdrag og kontekst (oppdragsbeskrivelse, leveranser, rammer, interessenter, møtelogg, møtenotat-mal) - 2. Organisasjonsforståelse (struktur, roller, nøkkelpersoner) - 3. System- og datalandskap (SuperOffice, Business Central, nopCommerce — fylles ut i Fase A-B) - 4. Informasjonsarkitektur (begrepskatalog, masterdata-og-eierskap, Data Governance prinsipper) — kjernen for leveranse 03 og 07 - 5. Personvern og sikkerhet (GDPR, Privacy by Design) - 6. AI-rammeverk (operasjonelle prinsipper — ny for Standard, bygger på Forte AI Accelerator) - 7. Standardisering og handlingsplan (avvik, prioritering, tiltak) - 8. Kontinuerlig læring (intervjuguider, åpne spørsmål, funn) - 9. Leveranser (Executive Summary, sluttrapport, leveranseplan) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2.1 KiB
title, date, tags, refs, qa, version
| title | date | tags | refs | qa | version | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Tiltak for innebygd personvern — Standard Online | YYYY-MM-DD |
|
|
|
1 |
Tiltak for innebygd personvern
GDPR artikkel 25 krever innebygd personvern (Privacy by Design) og personvern som standardinnstilling (Privacy by Default).
Privacy by Design — implementerte og pågående tiltak
Struktur (basert på DNK-mønster):
1. Identitet og tilgangsstyring (IAM)
Hvilket IAM-system brukes? Token-basert? Single sign-on? Hvordan styres tilganger til personopplysninger?
2. API-sikkerhet
Krever nye API-er autentisering? Hvilke gamle integrasjoner bruker basic auth eller åpne endepunkter?
3. Dataminimering
Hvilke API-er/views har versjoner med redusert personinformasjon for konsumenter som ikke trenger fullstendig data?
4. Tilgangsstyring per dataområde
Rollebasert? Per system? Per datadomene?
5. Logging og sporbarhet
Hva logges av hvem-gjorde-hva-når? Hvor lagres logger? Hvor lenge?
Privacy by Default
Standardinnstillinger som beskytter personvern uten at brukeren må gjøre noe:
- Identifikatorbruk: Brukes personnummer kun der lov krever det? Bruk Person-ID/intern-ID som integrasjonsnøkkel.
- Innsamling: Samles kun nødvendige opplysninger inn?
- Lagring: Hva er standard lagringstid? Slettes automatisk når formålet opphører?
- Deling: Er deling med tredjeparter opt-in?
Mangler og planlagte tiltak
Følgende tiltak mangler eller bør prioriteres hos Standard Online:
| Tiltak | Status | Begrunnelse | Prioritet |
|---|---|---|---|
| Samtykkeforvaltning | |||
| Dataportal med personvernklassifisering | |||
| DPIA-prosess for nye integrasjoner | |||
| Offboarding-rutiner for tilganger | |||
| Avvikshåndteringsprosess (72-timersregel) | |||
| Behandlingsoversikt |
Anbefalinger
Lenke til ../7.standardisering-og-handlingsplan/prioriteringsliste for prioriterte tiltak.
Klassifisering: Begrenset