Traq leverer «kontrakten» som må etableres mot sluttbruker, eksempelvis ved å spore strømmålere, flytte data (om man ikke har hjemmel) eller etablere smartby-løsning med data fra ulike kilder og organisasjoner.

Eksempel samtykke:

Et samtykke må anses på som en kontrakt og den kontrakten har et spesifikt innhold. Kontrakten styrer hvem du kan dele data med og hvem man ikke kan dele data med. Et samtykke (kontrakten) har minimum disse bestanddelene:

Hvis ett eller flere elementer endres, må samtykket innhentes på nytt fra brukeren for at kontrakten skal være gyldig (det er her mange feiler i dag, det er fristende å gjøre noe mer eller annet med dataene). Traq håndterer dette, inkludert versjonering av samtykkeerklæringer og sanntidskontroll av samtykkets gyldighet.

Innhenting av samtykker er første steg - og det enkleste. Traq ivaretar god forvaltning av samtykkene (kontraktene) gjennom hele deres livsløp; fra de inngås til de ikke lenger bærer noen verdi for noen av partene. I tillegg kan Traq bidra til å eliminere manuelle prosesser når samtykker trekkes tilbake. I de tilfellene kan Traq maskinelt initiere jobben med sletting, avpublisering, pseudonymisering og overlate videre orkestrering til de enkelte back-end systemer.

Offentlig sektor har i alle år fokusert på å bygge/etterspørre systemer som er compliant til myndighetenes og rettsapparatenes krav, dette for å sikre dokumentasjonsplikten. Samtykker er en type records og må behandles deretter. Traq er bygget rundt en rekke standarder som utgangspunkt, nettopp for å møte fremtidige krav som retter seg mot selve forvaltningen av samtykkene. Disse standardene er ISO 30300, ISO15489, ISO 16175, ISO 23081 og ISO27001. I tillegg har vi ivaretatt krav til langtidsbevaring/arkivering gjennom Noark- og MoReq-standardene.

Med disse standardene og retningslinjene sørger vi for at Smart Data kan overholde den (lovpålagte) dokumentasjonsplikten og at nye krav også blir ivaretatt på en formålstjenlig måte.

Hva kan Traq gjøre for Smart Data?

Det BankID er for pålogging, det er Traq for samtykke. Vi er en uavhengig, stand alone-løsning som kan integreres på ulike måter (widgets/API) på tvers av kundene sin informasjonsinfrastruktur. Med mulighet for å integreres enkelt inn i dagens løsninger og morgendagens løsninger. Vi bygger videre på eksisterende infrastruktur, på samme måte som man har en felles id for pålogging offentlig sektor, kan man en felles samtykkeløsning - eller en samtykkeløsning for de ønskene/behovene dere har. Løsningen vil være enkel å integrere, få opp og samle samtykker for å få kontroll over hvilke data man kan hente, bruke og avlevere basert på brukernes samtykker.

Traq opptrer som en white label-aktør som gir en samlet oversikt på tvers av innsamlingspunkter med sluttbruker. Målbildet til prosjektet har (og vil ha kobling mot mange produkter), mange kontaktpunkter/brukerflater hvor man møter kundene - men man har fremdeles ikke en plass hvor brukerne kan se alle sine samtykker (den kan vi presentere på ulike måter ut). Datainnsamlingen gjør man i dag, men det å vise sammenhenger mellom dataene, avtalen og personopplysninger. Større transparens vil gi økt tillitsforhold mellom sluttbrukeren over tid.

Eksempel - brukerhistorie

Kari Nordmann er kunde hos Lillevik bank gjennom et mangeårig forhold som bank- og kortkunde. Nå har Virksomhet B, som også er en del av konsernet, etablert et nytt produkt. Produktet lanseres for kundene og de oppfordres til å bruke en egen, nyutviklet app for å etablere og ivareta det nye forholdet.

Kari logger seg inn i den nye appen vha Vipps, slik at appen vet hvem hun er. For å kunne bruke appen til sitt fulle trengs en del personopplysninger. Lillevik bank har disse dataene allerede og fått samtykke til å behandle dem, men da for et annet formål.

Appen kan forhåndsutfylle denne informasjonen for Kari, men Lillevik bank trenger først hennes samtykke til å hente de aktuelle opplysningene, siden formålet med behandlingen nå er et annet.

Traq-widgeten, som er bygget inn i appen, henter den aktuelle samtykkeerklæringen. Widgeten og API-ene bruker egne tokens og kommunikasjonen mellom appen, Traq og eventuelle backend-systemer er kryptert.

Kari samtykker ved å klikke «Jeg samtykker» - etter å ha lest hele teksten nøye.

Samtykket («kontrakten») skrives tilbake til Traq og lagres i databasen (kryptert) for Virksomhet B. Selve recorden eksporteres fra APIet som XML til ev. lagringssystemer backend.

Samtykket knyttes også til hennes fødselsnummer, som vi fikk gjennom Vipps-påloggingen. Dette gjør også at Kari senere kan hente opp en oversikt over alle sine samtykker som er knyttet til hennes fødselsnummer, og eventuelt trekke tilbake ett eller flere, hvis hun ønsker det.

Neste gang Kari logger inn i appen, sjekker den med Traq (gjennom API-kall) om det finnes et gyldig samtykke angående Karis personopplysninger. Hvis ja, så merker Kari ingenting, men hvis ikke, så blir Kari bedt om å samtykke på nytt.

Virksomhet B bestemmer seg senere for å utvide behandlingsformålet til også å omfatte noe mer, så de lager en ny versjon av samtykkeerklæringen for appen. Da skjer én av to ting; enten kan Lillevik bank aktivt pushe spørsmål om nytt samtykke til de aktuelle brukerne, eller Kari blir bedt om å samtykke til det nye formålet neste gang hun logger inn. Det «gamle» samtykket finnes fortsatt, og det nye samtykket blir en ny record.

Til slutt har Kari bestemt seg for å trekke tilbake samtykket hun ga for bruk av sine personopplysninger i denne appen. Hun går til sin «Mine samtykker»-side som finnes under hennes brukerprofil hos Lillevik bank, finner det aktuelle samtykket og trekker det tilbake. Traq markerer samtykket som «tilbaketrukket». Neste gang appen spør Traq om Karis samtykke er gyldig, vil den få negativt svar, og kan således ikke (lovlig) behandle hennes personopplysninger videre.