PivoCore

Formål avanonymisering

5 min lesning

Formål avanonymisering

Strategidokument: Operasjonell speiling og forvaltning av personopplysninger i GCP (Hårfagre) Dato: 18. februar 2026 Status: Tidlig utkast — grunnlag for videre diskusjon Sendt til: Ivan Aase, Samuel Ransau, Ludwig Lahmeyer, Astrid Reinholdt Belsvik

1. Innledning og overordnet strategi

For å modernisere medlemsforvaltningen og sikre etterlevelse av GDPRs krav om datakvalitet, etableres en datainnsjø på Google Cloud Platform (GCP). Strategien innebærer en fullstendig operasjonell speiling av kildedatabaser fra Oracle til GCP. Dette dokumentet redegjør for hvorfor det er nødvendig å lagre personopplysninger i klartekst (direkte identifiserbare data) i datainnsjøens rådata-sone.

2. Arkitektur: Full speiling av klartekst-data

Datainnsjøen er ikke kun en lagringsplass, men en aktiv prosesseringsplattform. For å opprettholde systemets funksjonalitet synkroniseres komplette tabeller inkludert navn, adresse, fødselsnummer/D-nummer og unike identifikatorer.

Hvorfor full synkronisering i klartekst er nødvendig:

  • Relasjonell integritet: Oracle-databasene har komplekse avhengigheter. For at datamodellene i GCP skal fungere, må koblingsnøklene (som ofte er personopplysninger) forbli uendret. Anonymisering ved kilden vil bryte disse relasjonene og gjøre dataene ubrukelige for integrasjon.
  • Plattform-paritet: GCP fungerer som en operasjonell “shadow”-kopi for å avlaste Oracle-miljøet. For at analyser og tjenester skal være valide, må datagrunnlaget i GCP være 100 % identisk med kildesystemet.
  • Teknisk umuliggjøring av tidlig anonymisering: Formålene beskrevet under (vask og kobling) krever gjenkjennelse av enkeltindivider på tvers av systemer. Anonymisering på overføringstidspunktet vil eliminere muligheten for å utføre disse lovpålagte og forretningskritiske oppgavene.

3. Spesifikke behandlingsformål

FormålDetaljert beskrivelseRettslig grunnlag
1. Operasjonell speilingEtablering av en identisk kopi av Oracle-data i GCP for å sikre en moderne, sikker og stabil driftsplattform.Oppfyllelse av avtale (Art. 6.1 b)
2. Datavask & kvalitetKorrigering av feil i medlemsregisteret via deduplisering og vasking mot eksterne registre i klartekst.Berettiget interesse (Art. 6.1 f)
3. SystemintegrasjonKobling av data mellom Oracle, Lime CRM og andre kilder ved bruk av personidentifikatorer.Berettiget interesse (Art. 6.1 f)
4. Avansert analyseBruk av uanonymiserte data som grunnlag for å skape innsikt, som deretter anonymiseres for sluttbruker.Berettiget interesse (Art. 6.1 f)

4. Interesseavveining (LIA): Lagring i klartekst

Hvorfor veier våre interesser tyngre enn personvernet i rådata-sonen?

Ved overgang til en full speiling i skyen må følgende risikoer håndteres aktivt:

4.1 Juridisk risiko (Schrems II / Tredjelandsoverføring)

  • Risiko: Selv om data lagres i en EU-region (f.eks. europe-north1), er Google et amerikansk selskap.
  • Tiltak: Sikre at “Data Residency”-innstillinger er låst til EØS, og at Google Cloud-avtalen inneholder oppdaterte standard personvernbestemmelser (SCCs).

4.2 Tilgangsrisiko (Privileged Access)

  • Risiko: Siden vi lagrer en komplett kopi av Oracle-databasen i klartekst, vil en kompromittert administratorkonto i GCP gi tilgang til alt.
  • Tiltak:
    • Innføre “Just-In-Time” (JIT) tilgang
    • Multifaktorautentisering (MFA)
    • Detaljert overvåking av alle spørringer mot rådata-tabellene

4.3 Formålsutglidning (Purpose Creep)

  • Risiko: At dataene i klartekst begynner å bli brukt til andre ting enn vask og integrasjon (f.eks. uanmodet markedsføring eller uformell “snoking”).
  • Tiltak: Tekniske sperrer som hindrer eksport av data fra rådata-sonen til andre deler av organisasjonen uten godkjennelse.

4.4 Sletting og “Retten til å bli glemt”

  • Risiko: Når en person slettes i Oracle, må vi sikre at vedkommende også slettes i GCP-kopien.
  • Tiltak: Implementere automatiserte sletterutiner (Change Data Capture — CDC) som speiler slettinger i sanntid fra Oracle til GCP.

4.5 Risiko for felles behandlingsansvar

  • Risiko: Hvis dere som leverandør tar for mange selvstendige valg om hvordan dataene skal kobles, kan dere bli sett på som “Behandlingsansvarlig” med alt det ansvaret det medfører.
  • Tiltak: Sørg for at den behandlingsansvarlige (kunden) skriftlig godkjenner denne arkitekturen og formålene som en instruks til dere.

5. Utvikler-sjekkliste: Sikker og etterlevelsesdyktig datasynkronisering (Oracle → GCP)

Denne sjekklisten skal følges ved oppsett av datapipeliner for prosjekt Hårfagre.

5.1 Infrastruktur og datalokasjon

  • Er GCP-ressursene (BigQuery, Cloud Storage, etc.) låst til en EU-region? (Anbefalt: europe-north1 (Finland) eller europe-west3 (Belgia))
  • Er all dataoverføring fra Oracle til GCP sikret med TLS 1.2 eller høyere?
  • Er “Encryption at rest” aktivert? (Vurder om kunden krever CMEK for de mest sensitive tabellene)

5.2 Soneinndeling og tilgangsstyring (IAM)

  • Er det opprettet et eget datasett/prosjekt for rådataene som fungerer som “Persistent Raw Zone”?
  • Er tilgangen til Raw Zone begrenset til kun systembrukere (Service Accounts) og et minimum av navngitte administratorer?
  • Er det konfigurert slik at analytikere som standard ikke har tilgang til Raw Zone, men må bruke data fra Silver/Gold (anonymiserte/vaskede data)?
  • Er multifaktorautentisering påkrevd for alle brukere med tilgang til GCP-konsollen?

5.3 Synkronisering og sletting (Data Lifecycle)

  • Brukes Change Data Capture (f.eks. Oracle GoldenGate eller Datastream) for å sikre at slettinger i Oracle speiles umiddelbart i GCP?
  • Er det implementert en logikk som fjerner alle spor av et medlem i GCP-innsjøen dersom de slettes i kildesystemet?
  • Er det satt utløpsdato på midlertidige tabeller eller staging-filer som brukes under vaskeprosessen?

5.4 Logging og overvåking

  • Er detaljert logging aktivert for alle spørringer mot tabeller i Raw Zone?
  • Logges det hvem som ser på de faktiske personopplysningene i klartekst?
  • Er det satt opp varsling (alerts) ved uvanlig store dataeksport-operasjoner fra Raw Zone?

5.5 Privacy by Design i pipelinen

  • Er det bygget inn automatisk maskering eller hashing av PII-felt når data flyttes fra Raw til Silver/Gold-sonen?
  • Er personopplysnings-felt (navn, fødselsnr, etc.) merket som “Sensitive” eller “PII” i datakatalogen (f.eks. Data Catalog / Dataplex)?

Oppsummering

Husk at den tekniske “Landing Zone” i GCP er en direkte speiling av Oracle i klartekst. Dette er tillatt fordi vi har dokumentert at det er nødvendig for datavask og integrasjon.

Gullregelen: Data i klartekst skal kun finnes i Raw Zone. All analyse, maskinlæring og rapportering som skjer i andre soner skal bruke pseudonymiserte eller aggregerte data.