Tjenesteleverandørene skal legge til begrunnelser for brukerinformasjon
Alle tjenesteleverandører som bruker Feide, skal legge til begrunnelser for å ha mulighet til å hente noen typer brukerinformasjon. Det er obligatorisk å legge til begrunnelse for disse tre typene informasjonselement (attributter):
- Fødselsnummer (userid-nin)
- Gruppemedlemsidentifikatorer (groups-memberids)
- Informasjon utenfor innloggingssesjon (system-all-users)
Det er valgfritt å legge til begrunnelser for de andre typene informasjonselement, men vi oppfordrer til å legge til begrunnelser for alle.
Tjenesteleverandører har frist 16. september for å legge til begrunnelser for den obligatoriske brukerinformasjonen.
Legge til og se begrunnelser
- Hvordan legge til begrunnelse som tjenesteleverandør?
-
Slik legger dere som tjenesteleverandør til begrunnelser:
- Logg inn i kundeportalen til Feide (kunde.feide.no).
- Gå til den aktuelle tjenesten.
- Gå til fanen «Brukerinformasjon» og velg hvilken brukerinformasjon dere skal legge til begrunnelse på. Legg til begrunnelsen deres i feltet for begrunnelse.
Vertsorganisasjonene får ikke lengre e-post med informasjon om endringer i begrunnelsene.
- Hvor ser vertsorganisasjonene begrunnelsene?
-
Begrunnelsene som en tjenesteleverandør har lagt til, vises i listen over brukerinformasjon som tjenesten har.
Slik finner dere som vertsorganisasjon begrunnelsene:
- Logg inn i kundeportalen til Feide (kunde.feide.no).
- Gå til den aktuelle tjenesten.
- Se hvilken brukerinformasjon tjenesten henter under fanen “Om tjenesten”.
- Brukerinformasjon som har begrunnelse, er markert med «Begrunnelse lagt til». Brukerinformasjon uten begrunnelse har en tekst som beskriver at tjenesten ikke har lagt til en begrunnelse ennå.
Dere får ikke lengre tilsendt e-post med informasjon om endringer i begrunnelsene.
Hva skjer om tjenesteleverandørene ikke legger til begrunnelser?
Om tjenesteleverandørene ikke legger til begrunnelsene innen fristen 16. september, vil ikke tjenestene få den brukerinformasjonen den har bedt om.
Hva skal vertsorganisasjonene gjøre med begrunnelsene?
Vertsorganisasjonene bør se gjennom endringene i brukerinformasjonen. Ser endringene fra tjenesteleverandøren greie ut, trenger ikke vertsorganisasjonene gjøre noe.
Reagerer dere som vertsorganisasjon på endringene, bør dere vurdere om
- endringen er i samsvar med databehandleravtalen dere har med tjenesteleverandøren
- dere må gjøre en ny risikovurdering av tjenesten
- dere skal deaktivere tjenesten
- dere skal be tjenesteleverandøren skrive en bedre begrunnelse
Hvorfor skal tjenesteleverandørene legge til begrunnelser?
Tjenestene får personopplysninger gjennom brukerinformasjonen. Når en tjenesteleverandør behandler personopplysninger, gjelder personvernregelverket. Dette regelverket stiller blant annet krav om at tjenesteleverandørene ikke behandler flere personopplysninger enn det som er nødvendig.
Tjenesteleverandørene skal gi informasjon til vertsorganisasjonene om hvorfor en tjeneste skal ha tilgang til personopplysninger. Vertsorganisasjonene kan bruke begrunnelsen til å vurdere om de aksepterer at tjenesten skal få tilgang til opplysningene.
Begrunnelsene skal gjøre
- det lettere for vertsorganisasjonene å se hvorfor tjenestene trenger denne brukerinformasjonen
- at tjenesteleverandørene må vurdere konkret hva slags brukerinformasjon tjenesten trenger
- det lettere for vertsorganisasjonene å vurdere om endringene er i samsvar med databehandleravtalene de har med tjenesteleverandørene
Hva skal begrunnelsesfeltet erstatte?
Tidligere måtte tjenesteleverandørene ta kontakt med Sikt for å få ta i bruk brukerinformasjonen det nå er obligatorisk å legge til begrunnelse på. Kravet om å legge til begrunnelse erstatter nå dette. Det betyr at tjenesteleverandører ikke trenger å kontakte Sikt, men skal i stedet for legge til en begrunnelse.
