Vurderingstema

Denne oversikten fremhever hva virksomheten bør vurdere ved innføring, innkjøp eller implementering av et nytt system eller løsning.

Rettslige rammer

  • Kontrollere at formålet er klart definert
  • Kontrollere behandlingsgrunnlaget
  • Kontrollere relevansen av innsamlede personopplysninger

Alternativ behandling?

  • Kontrollere at formålet ikke kan oppnås på en mindre inngripende måte
  • Kontrollere hvorvidt anonyme alternativer foreligger

Registrering og autentisering av brukere

  • Sikre at personen opplysningene gjelder ("den registrerte") er tilstrekkelig informert om innsamling, behandling, sletting og sine rettigheter
  • Kontroll av identitet, ved registrering (hvis nødvendig, fysisk/online)
  • Autentisering av eksisterende brukere
  • Vern mot misbruk av kort eller andre opplysningsbærere (integritetsbeskyttelse)

Datafangst

(Vurderingen gjøres med utgangspunkt i formålet for behandlingen.)

  • Sikre tilstrekkelig datakvalitet, korrekte og oppdaterte opplysninger
  • Dataminimalisering

Systematisering og supplering av personopplysninger

  • Oversikt over datastruktur - dataflytkart
  • Sikre tilstrekkelig kvalitet ved supplering fra andre kilder
  • Supplering av opplysninger og informasjon ved utvidelse av eksisterende behandling om en bruker

Forvaltning av personopplysningene

  • Konfidensialitet, integritet, tilgjengeliget til data, herunder tilgangsstyring i virksomheten
  • Sporing av oppslag (logg)
  • Hvor mye informasjon er tilgjengelig for ansatte med tilgang til systemet
  • Tiden data er tilgjengelig for ansatten med tilgang til systemet
  • Rutiner for bruk av data
  • Rutiner for flytting av data
  • Fysisk sikring
  • Teknisk sikring

Beredskap ved sikkerhetsbrudd

  • Opprettelse av beredskap
  • Beredskapsplaner og beredskapstester

Samhandling internt og med andre virksomheter

  • Rutiner for intern overføring av personopplysninger
  • Rutiner for utlevering av personopplysninger eksternt
  • Rutiner for bruk av e-signaturer for interne og eksterne parter
  • Rutiner for å validere mottakere
  • Kryptering av filer eller overføring

Rutiner for sletting og avhending

  • Sletting av opplysninger
  • Destruering av lagringsmedium
  • Arkivering
  • Tilgang til arkivert materiale