For skytjenester (generelt løsninger som kjører i nettleseren og ikke krever at programvare installeres lokalt på maskinen) må vi ha en del dokumentasjon på plass før vi kan ta i bruk løsningen.
Risiko- og sårbarhetsanalyse (ROS-analyse), som skal være et dynamisk levende dokument som oppdateres og revideres på oppsatte tidspunkt. Eksempelvis 2 ganger i året.
Databehandleravtale med leverandør av løsningen. Om leverandør ikke har dette på plass kan Trondheim kommune sin mal for databehandleravtale benyttes. De fleste av dagens leverandører har en digitalt signerbar databehandleravtale for sine kunder som benyttes.
Revisjon av databehandleren, såkalt 3.parts revisjon. Revisjonen bekrefter at leverandør oppfyller kravene som settes i databehandleravtalen. Dette er noe de fleste store skyleverandører gjennomfører selv med hjelp av 3.part, og sertifiseres på. Man må da i dette dokumentet peke til plassen der leverandørens godkjente sertifisering ligger. Eksempel på hvordan Google presenterer sin sertifisering.
Internkontrollrutiner. Kort fortalt en del av dette ROS-analysen som beskriver hvordan vi som bruker/eier av løsningen vil føre årlig kontroll med at vi bruker løsningen som tiltenkt, har kontroll på data vi legger i løsningen samt brukere av løsningen.
Vi må ha denne dokumentasjonen på plass med bruk av løsningen i tilfelle vi får tilsyn eller spørsmål om løsningen (revisjon, spørsmål rundt GDPR fra brukere etc).
Kort om løsningen. Funksjonalitet og bruksområde.
Personopplysninger. Beskrive om og i så fall hvilke personopplysninger som behandles i løsningen.
Sikkerheten i løsningen. Hvilke tjenester er tilknyttet, hvor lagres data, hvordan behandles personopplysningene, hvilke påloggingsmekanismer brukes.
Vilkår for bruk av løsningen. Her beskriver man blant annet hvilken databehandleravtale som er gjeldende, hvilke sertifiseringer leverandør besitter og eventuelt hvilke underleverandører som vil benyttes av leverandør.
Risiko og sårbarhetsvurdering. Man definerer og finner risikomomenter som beskrives og vurderes, samt hvilke tiltak som kan iverksettes for å redusere risiko. Til slutt oppsummerer man og konkluderer basert på summen av risikoelementer og tilhørende risikoreduserende tiltak.
Informasjon og opplæring. Beskrivelse og plan for hvordan man skal gi relevant støtte og opplæring i bruk av løsning.
Etablering av tjenesteforvalter. Beskrivelse av hvem som har hvilke ansvarsområder tilknyttet løsningen.