Om unntakshåndtering

Unntak skal gjøres etter en helhetlig kost/nytte vurdering, og ikke kost/nytte for den enkelte tjeneste/systemeier. UiO må ha oversikt over hvilken informasjon som flyter mellom våre IT-tjenester for å oppfylle lovpålagte krav. Derunder skal en person få vite all informasjon vi har om denne personen i alle våre IT-tjenester. Man må ta høyde for dette når man beregner merkostnaden av  unntak.

Unntak må dokumenteres og begrunnes.
Systemeier er ansvarlig for unntak. Disse skal begrunnes og dokumenteres. Vedtak og dokumentasjon skal lenkes opp fra tjenesteportefølje, hvilket i skrivende stund vil si Veikartet. Om kort tid vil unntak legges inn under personvern-tjenesten. Dette selv om dataene i integrasjonen ikke skulle være underlagt personvernlovgivning. Unntak vil således være underlagt samme livssyklushåndtering og revisjon som personopplysninger.

Det skal være et vedtak per integrasjon og det skal spesifiseres hvilke type data, hvilke lovgivninger dataene er underlagt, og hvorvidt det er behov og på plass en databehandleravtale.

Typiske unntakssituasjoner
Det vil være situasjoner hvor det ikke synes hensiktsmessig å integrere gjennom integrasjonsarkitekturens komponenter. Eksempler på unntak:
•    Der en systemeier overfører data mellom egne tjenester fordi dette er effektivt eller en ferdig levert integrasjon fra leverandør. (Eksempelvis fra fagsystsem til datavarehus)
•    Der tjenestene er laget for å hente fra gitte veletablerte katalogtjenester, som LDAP, AD eller Azure, og ikke lar seg mate med data gjennom API
•    Der systemeier integrerer punkt mot punkt med en tredjepart der overføringer er leverandørtilpasset eller på et spesialisert format. (Eks: AltInn eller Lånekassen)

Publisert 3. apr. 2018 14:03 - Sist endret 9. mai 2018 13:25