Petter Schultz
0c6bcb7782
Etablerer 9-mappe-arbeidsstruktur basert på Forte sitt startklar-malverk (Salg/_mal/startklar-malverk/), kalibrert for Nivå 1 (avgrenset strategisk, 6-8 uker). Inkluderer skeletter for: - 1. Oppdrag og kontekst (oppdragsbeskrivelse, leveranser, rammer, interessenter, møtelogg, møtenotat-mal) - 2. Organisasjonsforståelse (struktur, roller, nøkkelpersoner) - 3. System- og datalandskap (SuperOffice, Business Central, nopCommerce — fylles ut i Fase A-B) - 4. Informasjonsarkitektur (begrepskatalog, masterdata-og-eierskap, Data Governance prinsipper) — kjernen for leveranse 03 og 07 - 5. Personvern og sikkerhet (GDPR, Privacy by Design) - 6. AI-rammeverk (operasjonelle prinsipper — ny for Standard, bygger på Forte AI Accelerator) - 7. Standardisering og handlingsplan (avvik, prioritering, tiltak) - 8. Kontinuerlig læring (intervjuguider, åpne spørsmål, funn) - 9. Leveranser (Executive Summary, sluttrapport, leveranseplan) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
70 lines
2.1 KiB
Markdown
70 lines
2.1 KiB
Markdown
---
|
|
title: "Tiltak for innebygd personvern — Standard Online"
|
|
date: "YYYY-MM-DD"
|
|
tags: ["privacy-by-design", "gdpr", "tiltak"]
|
|
refs:
|
|
- "gdpr-oversikt.md"
|
|
- "../4.informasjonsarkitektur/masterdata-og-eierskap.md"
|
|
qa:
|
|
status: "draft"
|
|
version: 1
|
|
---
|
|
|
|
# Tiltak for innebygd personvern
|
|
|
|
GDPR artikkel 25 krever **innebygd personvern (Privacy by Design)** og **personvern som standardinnstilling (Privacy by Default)**.
|
|
|
|
## Privacy by Design — implementerte og pågående tiltak
|
|
|
|
Struktur (basert på DNK-mønster):
|
|
|
|
### 1. Identitet og tilgangsstyring (IAM)
|
|
|
|
*Hvilket IAM-system brukes? Token-basert? Single sign-on? Hvordan styres tilganger til personopplysninger?*
|
|
|
|
### 2. API-sikkerhet
|
|
|
|
*Krever nye API-er autentisering? Hvilke gamle integrasjoner bruker basic auth eller åpne endepunkter?*
|
|
|
|
### 3. Dataminimering
|
|
|
|
*Hvilke API-er/views har versjoner med redusert personinformasjon for konsumenter som ikke trenger fullstendig data?*
|
|
|
|
### 4. Tilgangsstyring per dataområde
|
|
|
|
*Rollebasert? Per system? Per datadomene?*
|
|
|
|
### 5. Logging og sporbarhet
|
|
|
|
*Hva logges av hvem-gjorde-hva-når? Hvor lagres logger? Hvor lenge?*
|
|
|
|
## Privacy by Default
|
|
|
|
*Standardinnstillinger som beskytter personvern uten at brukeren må gjøre noe:*
|
|
|
|
- **Identifikatorbruk:** Brukes personnummer kun der lov krever det? Bruk Person-ID/intern-ID som integrasjonsnøkkel.
|
|
- **Innsamling:** Samles kun nødvendige opplysninger inn?
|
|
- **Lagring:** Hva er standard lagringstid? Slettes automatisk når formålet opphører?
|
|
- **Deling:** Er deling med tredjeparter opt-in?
|
|
|
|
## Mangler og planlagte tiltak
|
|
|
|
Følgende tiltak mangler eller bør prioriteres hos Standard Online:
|
|
|
|
| Tiltak | Status | Begrunnelse | Prioritet |
|
|
|---|---|---|---|
|
|
| Samtykkeforvaltning | | | |
|
|
| Dataportal med personvernklassifisering | | | |
|
|
| DPIA-prosess for nye integrasjoner | | | |
|
|
| Offboarding-rutiner for tilganger | | | |
|
|
| Avvikshåndteringsprosess (72-timersregel) | | | |
|
|
| Behandlingsoversikt | | | |
|
|
|
|
## Anbefalinger
|
|
|
|
*Lenke til [[../7.standardisering-og-handlingsplan/prioriteringsliste]] for prioriterte tiltak.*
|
|
|
|
---
|
|
|
|
*Klassifisering: Begrenset*
|