Skip to content

Spilleregler

Spillereglene er laget for å hjelpe teamene å gjøre rett hva gjelder juss. Dette er ikke en uttømmende liste over regler, men heller en slags FAQ; spørsmål og svar om deling og bruk av data.

Hva må jeg som produsent dokumentere om dataene jeg behandler?

Produksjon av data dekker innlesing, bearbeiding og lagring av data på BigQuery før eventuell deling utenfor teamet. Denne behandlingen av personopplysninger dokumenteres sammen med eksisterende registrering i Behandlingskatalogen knyttet til systemet der data oppstår. I beskrivelsen av behandlingen må det fremkomme at data registreres på Datamarkedsplassen og til hvilket formål. Formålet med delingen av data kan her være tjenesteutvikling og/eller statistikkproduksjon. Om behandlingsgrunnlaget er forskjellig fra opprinnelig registrering, må dette oppgis. Informasjon om hvilke opplysningstyper som inngår i datasettet oppgis ved registrering på Datamarkedsplassen.

Er det begrensninger på hvilke data vi kan flytte til sky?

Nei.

Kan jeg dele data med fødselsnummer?

Ja, men det må foreligge et behandlingsgrunnlag, se Hva må jeg som produsent dokumentere om dataene jeg behandler?. Det er viktig at data beskrives slik at konsumenter vet hva de forholder seg til.

Hvordan fjerner jeg personopplysninger?

Det finnes teknikker for anonymisering av data. Ta kontakt med Team Ansvarlig Data og AI (TADA) på Slack for bistand. Metoden for anonymisering dokumenteres ved registrering av datasett.

Hvordan er ansvarsdelingen mellom produsent og konsument ved deling av data?

En typisk situasjon er slik: Team Sko har behov for tilgang til produksjonsdata med personopplysninger fra team Hanske

  1. Det forutsettes at team Sko har gjennomført GPA og evt. PVK, hvor de blant annet dokumenterer hjemmel og formål med analysen.
  2. Team Hanske, som eier produksjonsdata, mottar forespørsel om produksjonsdata og verifiserer at det foreligger GPA/PVK (referanse til PVK er registrert i behandlingskatalogen). En viktig presisering er at team Hanske kun skal verfisere at GPA/PVK samt behandlingsgrunnlag foreligger—ikke selve innholdet.
  3. Dersom team Hanske ikke har filtrert ut kode 6 og 7 fra datagrunnlaget, skal team Sko informeres om det.
  4. Team Sko overtar behandlingsansvaret for datasettet som er delt eller utlevert, og personidentifiserende informasjon i datagrunnlaget fjernes i den grad det er mulig.

Dersom konsumenten skal koble datasett med personopplysninger sammen med andre kilder, må konsumenten være spesielt oppmerksom på personvernrisikoen. Produsenten er ikke forventet å kunne hensynta dette ved vurdering av tilgangsforespørsel.

Har vi retningslinjer i forbindelse med Schrems II-dommen?

Svaret til dette spørsmålet må holdes internt, men du kan lese svaret på retningslinjer for Schrems II-dommen på Slack.

Må jeg arkivere data på nada?

Data arkiveres typisk fra teamenes egne databaser som er master. Denne arkiveringen skjer før data behandles på nada-plattformen.