Hopp til slutten av metadata
Gå til begynnelsen av metadataene

Du ser på en gammel versjon av denne siden. Se den nye versjonen.

Sammenlign med nåværende Vis sidehistorikk

« Forrige Versjon 2 Gjeldende »

Vurderingene er basert på personvernforordningen, men omfatter også hensynet til skjermede opplysninger etter sikkerhetsloven.

Siden API-ene for saksbehandlingsdata vil kunne brukes av både kommuner og sektormyndigheter, omtales disse videre som “myndigheten”.

Innhold:

Opplysninger

Datafelt

Tabellen under viser hvilke deler av API-ene for saksbehandlingsdata vi har vurdert.

Datafelt

Type informasjon

Avsenders kontaktpunkt

Informasjon om kontaktpunktet hos myndigheten, inkludert navn og kontaktopplysninger.

Utgående dokument

Nedlastbar lenke til det utgående brevet fra myndigheten. I brevet kan det komme frem flere parter og personopplysninger, for eksempel kontaktinformasjon til ansvarlig søker og tiltakshaver, informasjon om naboer og informasjon om byggeprosjektet. I tillegg vil brevet typisk være underskrevet, slik at navn og rolle til den eller de som har underskrevet kommer frem.

Strukturerte opplysninger om byggesaken

Informasjon om byggesaken, for eksempel kvittering på mottatt søknad, mangler i byggesaken og status for vedtaket. Dette regnes som personopplysninger fordi de indirekte kan knyttes til partene i byggeprosjektet.

Kategorier av personopplysninger

Følgende kategorier av personopplysninger kan fremgå i API-ene for saksbehandlingsdata:

  • Navn

  • Adresse

  • E-post, telefonnummer og mobilnummer

  • Arbeidssted og rolle

  • Informasjon om byggesaken

Registrerte

Informasjon om følgende registrerte personer kan fremkomme av API-ene for saksbehandlingsdata:

  • Tiltakshaver eller dennes kontaktperson

  • Ansvarlig søkers kontaktperson

  • Naboer og gjenboere

  • Ansvarlig foretaks kontaktperson

  • Saksbehandler i kommunen

  • Saksbehandler i berørt sektormyndighet

Formål

Behandlingen har følgende formål:

  • Søker skal raskt og enkelt skal få tilgang til relevant informasjon i byggesaken, herunder status for søknaden og kontaktinformasjon til saksbehandler. Informasjonen vil være samlet i valgt søknadssystem, noe som letter arbeidet i søknadsprosessen.

  • API-ene skal sikre effektiv dataflyt mellom søker og bygningsmyndigheten. Strukturerte data vil spare tid både for søker/tiltakshaver og saksbehandler.

  • API-ene skal redusere mangler og sikre bedre og likere etterlevelse av plan- og bygningsloven hos myndigheten, ved at de kobles tett til Nasjonale sjekklister for byggesak.

Behandlingsgrunnlag

Sending av strukturerte data for kvittering, mangel og vedtak er gitt i følgende behandlingsgrunnlag:

  • Behandlingen er nødvendig for å oppfylle en avtale med kommunene, i henhold til Nasjonal produktspesifikasjon for byggesak.

  • Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse. API-ene vil sikre bedre etterlevelse av Nasjonale sjekklister for byggesak, som er et viktig virkemiddel for å oppfylle plan- og og bygningsloven § 1-4, 1. ledd. lovdata, pbl § 1-4

  • API-ene inneholder også øvrige opplysninger, som avsenders kontaktpunkt og utgående dokument. Vi vurderer at behandlingen er nødvendig for å ivareta legitime interesser. Avsnittet under beskriver interesseavveiningen som utgjør behandlingsgrunnlaget.

Interesseavveiing

DiBK mener det i utgangspunktet er uproblematisk å behandle opplysningene i verdikjeden Fellestjenester BYGG. Grunnen er at opplysningene ofte ligger åpent tilgjengelig på myndighetens offentlige postjournal, i tillegg til at dokumenter med informasjon er sendt til parter i saken via andre distribusjonskanaler. Videre går informasjonen kun tilbake til partene som allerede har sendt fra seg opplysninger i byggesaken. Avsenders kontaktpunkt og utgående dokument er dessuten frivillig for myndigheten å sende via Fellestjenester BYGG.

Samlet vurderer DiBK at fordelene for ansvarlig søker/tiltakshaver og myndigheten klart overstiger ulempene ved å behandle opplysningene. API-ene for saksbehandlingsdata er en forutsetning for å høste inn gevinstene ved digitale løsninger, mens sikkerhetsrisikoen anses som svært liten.

Interesseavveiingen forutsetter at myndigheten ikke sender personsensitiv eller skjermet/gradert informasjon. DiBK gir instrukser for å forhindre dette under “Ansvar og tiltak”.

Behandlingsansvar

Figuren under gir en oversikt over tekniske systemer og aktører, med fordeling av behandlingsansvar. I tillegg oppsummerer figuren hvem som er registrerte og personopplysningene som behandles.

Etter vår vurdering har de ulike systemene og aktørene følgende roller:

System/aktør

Vurdering av behandlingsansvar

Myndigheten

Har selvstendig behandlingsansvar for sine ansattes personopplysninger

eByggesak

Behandler opplysningene på vegne av Fellestjenester BYGG og myndigheten, og er databehandler

DiBK

Bestemmer, som eier av Fellestjenester BYGG, formålet og midlene med behandlingen, herunder hvilke opplysninger som skal behandles og hvordan. DiBK er behandlingsansvarlig for API-ene for saksbehandlingsdata

Søknadssystem

Mottar data fra Fellestjenester BYGG, og behandler dette på vegne av Fellestjenester BYGG og myndigheten. Søknadssystemene er databehandler

Ansvarlig søker eller tiltakshaver

Mottar opplysningene på vegne av blant annet tiltakshaver, og er databehandler. Dersom tiltakshaver søker om tillatelse selv, er tiltakshaver databehandler.

Instruks til databehandlere

Som behandlingsansvarlige har DiBK og myndigheten anledning til å instruere databehandlerne i behandlingen av personopplysninger i løsningen.

Selv om DiBKs vurdering er at informasjonen kan distribueres, er det likevel noen tiltak sluttbrukerleverandørene på begge sider av verdikjeden må iverksette i rollene som databehandlere.

Leverandørene skal kun behandle personopplysninger til formålene som er beskrevet i denne veiledningen, og kun for egne kunder. Vi viser videre til konsesjons- og bruksavtaler inngått med den enkelte leverandør.

Instruks til eByggesak

DiBK ber eByggesaksleverandørene gjøre følgende tiltak før API-ene for saksbehandlingsdata brukes:

  1. Tilrettelegge for at myndigheten oppfyller sine plikter som behandlingsansvarlig. Personvernansvarlig hos myndigheten bør være med på å sette opp integrasjonen.

  2. Informere de registrerte (ansatte hos myndigheten) om hvilke personopplysninger som sendes og hvordan disse blir tilgjengeliggjort i økosystemet.

  3. La myndigheten bestemme om den vil formidle ansattes navn og kontaktinformasjon gjennom API-ene for saksbehandlingsdata eller ikke.

  4. Sikre rutiner og informasjon for å hindre at sektormyndigheten sender skjermet/gradert informasjon gjennom API-ene for saksbehandlingsdata.

  5. Sikre rutiner og informasjon for å hindre at sektormyndigheten sender sensitive personopplysninger gjennom API-ene for saksbehandlingsdata.

Instruks til søknadsleverandør

Søknadsløsningene skal behandle personopplysningene til en eller flere nye parter (ansatte hos myndigheten). DiBK ber søknadsleverandørene gjøre følgende tiltak før behandling av informasjon fra API-ene for saksbehandlingsdata:

  1. Vurdere hvordan opplysningene skal behandles på en måte som ivaretar rettighetene til den registrerte.

Om retten til sletting

Vi vurderer at retten til sletting ikke er relevant i denne sammenhengen. Opplysninger om den registrerte blir tilgjengelig som følge av rollen som saksbehandler og representant for myndigheten. Informasjonen er del av en offentlig byggesak, og skal arkiveres. Dette er informasjon som er underlagt forvaltningsloven kap 1 §2 og arkivlovens kapittel 2.

  • Ingen etiketter

0 kommentarer

Du er ikke logget inn. Eventuelle endringer du gjør, vil bli merket med anonym. Hvis du allerede har en konto, ønsker du kanskje å logge på.