Unntakshåndtering i UH:IntArk

Unntak skal gjøres etter en helhetlig kost/nytte vurdering, og ikke kost/nytte for den enkelte tjeneste/systemeier. Institusjonen må ha oversikt over hvilken informasjon som flyter mellom IT-tjenester for å oppfylle lovpålagte krav. Derunder skal en person få vite all informasjon vi har om denne personen i alle våre IT-tjenester. Man må ta høyde for dette når man beregner merkostnaden av  unntak.

TBD: Er referansearkitektur og forvaltning konkretisert nok til å kunne beskrive dette? Kva er krava, lokalt og sentralt?

Unntak må dokumenteres og begrunnes

Systemeier er ansvarlig for unntak. Disse skal begrunnes og dokumenteres.

TODO: Oppdateres i Datadelingsprosjektet, da det muligens bør forvaltes sentralt: Vedtak og dokumentasjon skal lenkes opp fra tjenesteportefølje, hvilket i skrivende stund vil si Veikartet. Om kort tid vil unntak legges inn under personvern-tjenesten. Dette selv om dataene i integrasjonen ikke skulle være underlagt personvernlovgivning. Unntak vil således være underlagt samme livssyklushåndtering og revisjon som personopplysninger.

Det skal være et vedtak per integrasjon og det skal spesifiseres hvilke type data, hvilke lovgivninger dataene er underlagt, og hvorvidt det er behov og på plass en databehandleravtale.

Typiske unntakssituasjoner

Det vil være situasjoner hvor det ikke synes hensiktsmessig å integrere gjennom integrasjonsarkitekturens komponenter. Eksempler på unntak:

  • Der en systemeier overfører data mellom egne tjenester fordi dette er effektivt eller en ferdig levert integrasjon fra leverandør. (Eksempelvis fra fagsystsem til datavarehus)
  • Der tjenestene er laget for å hente fra gitte veletablerte katalogtjenester, som LDAP, AD eller Azure, og ikke lar seg mate med data gjennom API
  • Der systemeier integrerer punkt mot punkt med en tredjepart der overføringer er leverandørtilpasset eller på et spesialisert format. (Eks: AltInn eller Lånekassen)
Publisert 4. sep. 2020 14:19 - Sist endret 13. jan. 2021 08:51