Beskrive tekniske rammer for prosjektet
Prosjektet må kjenne eventuelle tekniske rammer før gjennomføringen starter. Formålet er ikke å detaljdesigne løsningen, men å sikre at prosjektet planlegges innenfor realistiske og riktige rammer.
Tekniske rammer kan være arkitekturprinsipper, integrasjoner, fellesløsninger, sikkerhetskrav, dataflyt, plattformvalg, avhengigheter til andre systemer, driftskrav eller krav til forvaltning.
Beskriv både interne og eksterne føringer. Vurder hvordan prosjektet skal forholde seg til eksisterende systemlandskap, nasjonale fellesløsninger, informasjonsforvaltning, teknisk gjeld, personvern og informasjonssikkerhet.
I planleggingsfasen skal behovene for informasjonssikkerhet og personvern konkretiseres for valgt konsept. Prosjektet må gjøre vurderingene detaljerte nok til å utforme krav, avklare risiko, planlegge nødvendige tiltak og sikre riktig kompetanse.
Avklar om prosjektet krever en vurdering av personvernkonsekvenser, ofte kalt DPIA (Data Protection Impact Assessment – vurdering av personvernkonsekvenser). Dersom behandlingen av personopplysninger trolig innebærer høy risiko for de registrertes rettigheter og friheter, er DPIA obligatorisk. Vurderingen skal ha særlig fokus på hvilke personvernkonsekvenser løsningen kan få, og hvilke tiltak som må gjennomføres for å redusere risiko. Datatilsynet beskriver DPIA som en plikt etter personvernregelverket, og som særlig relevant der planlagt behandling sannsynligvis innebærer høy risiko for enkeltpersoners rettigheter og friheter.
Prosjektet bør også vurdere krav til innebygd personvern, for at personvernprinsipper og de registrertes rettigheter bygges inn i løsningen fra starten av, og ikke legges til mot slutten.
I smidige prosjekter bør de tekniske rammene gi tydelig retning uten å låse unødvendige løsningsvalg for tidlig. Teamene må ha handlingsrom til å lære og forbedre løsningen, samtidig som de følger virksomhetens krav til arkitektur, sikkerhet, drift og forvaltning.
De tekniske rammene bør avklare:
- relevante arkitektur- og teknologiføringer
- krav til integrasjoner og grensesnitt
- krav til informasjonssikkerhet og personvern
- avhengigheter til andre systemer eller prosjekter
- behov for drift, forvaltning og videreutvikling
- hvilke tekniske spørsmål som må avklares i gjennomføringen
- hvilke behov prosjektet har for konfidensialitet, integritet og tilgjengelighet
- om det må gjennomføres DPIA eller andre risikovurderinger
- hvilke tiltak, kompetanse og avklaringer som må planlegges før gjennomføring