Avanonymisering Datainnsjøen
Prosjekt for å etablere juridisk grunnlag for operasjonell speiling av Oracle-data til GCP uten anonymisering.
Kort beskrivelse
Etablere formål for behandling som gir grunnlag for å kopiere hele Hårfagre-databasen til GCP i klartekst. Dette er nødvendig for datavask, systemintegrasjon og avansert analyse.
Bakgrunn: Datainnsjøen i GCP trenger tilgang til personopplysninger i klartekst for å utføre viktige oppgaver. Juridisk dokument (“Formål avanonymisering”) datert 18. februar 2026 gir det rettslige grunnlaget.
Status nå
🟡 Pågående — Formål for behandling avklart, kommunikasjonsstrategi gjenstår
🔑 Kjerneinformasjon fra Juridisk Dokument
📜 Generelle prinsipper
- Behandlingsgrunnlag: Samtykke eller avtale med bbl (dataansvarlig). Vi varsler ved persondata og krever bestilling.
- Minimering: Kun nødvendige data, pseudo-/avanonymisering der mulig.
- Sikkerhet: Tilgangsstyring, logging, risikovurdering (CRQ).
- Oppbevaring: Slettes ved utløp av formål.
4 Behandlingsformål
| Formål | Beskrivelse | Rettslig grunnlag |
|---|---|---|
| 1. Operasjonell speiling | Identisk kopi i GCP for moderne, sikker driftsplattform | Avtale (Art. 6.1 b) |
| 2. Datavask & Kvalitet | Korrigering av feil via deduplisering og vasking mot eksterne registre | Berettiget interesse (Art. 6.1 f) |
| 3. Systemintegrasjon | Kobling av data mellom Oracle, Lime CRM og andre kilder | Berettiget interesse (Art. 6.1 f) |
| 4. Avansert analyse | Uanonymiserte data som grunnlag for innsikt, anonymiseres for sluttbruker | Berettiget interesse (Art. 6.1 f) |
Interesseavveining (LIA)
- Klartekst-data lagres kun i “Persistent Raw Zone” med begrenset tilgang
- Tilgang kun for systemprosesser og autoriserte administratorer
- All videre bruk skjer på pseudonymiserte eller aggregerte data
🛡️ Risikoanalyse og Tiltak
| Risiko | Beskrivelse | Tiltak |
|---|---|---|
| Schrems II | Google er amerikansk selskap | Lås Data Residency til EØS, SCCs |
| Tilgangsrisiko | Kompromittert admin = tilgang til alt | JIT-tilgang, MFA, overvåking |
| Formålsutglidning | Data brukes til uønskede formål | Tekniske sperrer mot eksport |
| Sletting | Ved sletting i Oracle må GCP slettes | CDC for sanntids-synkronisering |
| Behandlingsansvar | Kan bli sett som behandlingsansvarlig | Kunden godkjenner skriftlig |
| Uautorisert tilgang | Rollebasert tilgang (RBAC), logging, ServiceNow-bekreftelse | |
| Feil avanonymisering | Juridisk avklaring (advokat), CRQ-vurdering | |
| Lang oppbevaring | Automatisk sletting ved inaktivitet; revurder formål årlig |
📋 Handlingspunkter
- Etablere juridisk grunnlag — AVKLART 2026-02-18
- Definere 4 behandlingsformål — AVKLART 2026-02-18
- Gjennomføre risikoanalyse — AVKLART 2026-02-18
- Kommunikasjonsstrategi til kunder
- Teknisk implementering av sikkerhetstiltak
- Sletting av utgåtte kunder (Bori, BOB)
📝 Neste steg (fra advokatforslag)
- Sende til advokat for vurdering/utvidelse
- Integrere i databehandleravtaler (bilag)
- Oppdatere protokoller for årlig revurdering
🔗 Kobling til Compliance
Dette prosjektet er tett koblet med 09 Compliance og Datasikkerhet:
- Datainnsjøen — Hoveddokument for datainnsjøen
- Risikovurderinger — Risikoanalyser
- Compliance Dashboard
📎 Referanser
- Formål avanonymisering — Juridisk hoveddokument (2026-02-18)
- Formål personopplysninger datainnsjø - Forslag til advokat — Forslag til formålserklæringer (2026-02-16)
- [Utvikler-sjekkliste: Sikker datasynkronisering](Formål avanonymisering#utvikler-sjekkliste-sikker-og-etterlevelsesdyktig-datasynkronisering-oracle-til-gcp)
Lenker:
- Tilbake til Compliance
- Tilbake til prosjektoversikt
Sist oppdatert: 2026-03-14