Startside til skatteetaten
Startside til skatteetaten

Deling av data

Tilbake

Data om inntekt, skatt og avgift

Kartlegge din virksomhets behov for data

Du må kartlegge behovet til virksomheten din for å forstå hva du behøver av data. Virksomheten din må gjøre en del forberedelser før dere kan motta data fra oss. 

Du kan også lese veilederen fra Digdir som forklarer hvordan du bruker data fra andre.

Du må forstå behovet for data

Det første du må gjøre er å forstå hvilket behov virksomheten din har for data. Du må kartlegge hvilken informasjon som er nødvendig for virksomheten, og forstå informasjons- og dataflyt i egen virksomhet. En fin start er å finne tips og veiledning fra Digdir sin veileder.

Videre må virksomheten finne hvilke av de dataene vi tilbyr. Kanskje må dere innhente data fra flere tilbydere. Dere kan finne en oversikt over mange av de offentlige dataene som er tilgjengelig i Felles datakatalog.  

Du må beskrive hva du skal bruke dataene til

Når du ber om tilgang til data fra Skatteetaten må formålet med bruken av dataene beskrives i søknaden du sender. Skal du for eksempel utvikle nye eller forbedrede tjenester eller bruke dataene i saksbehandling?

Du kan bare benytte dataene til det formålet som er avtalt.

Forberedelser

Ressurser til å utvikle og tilpasse tjenestene

Når virksomheten ønsker å motta data fra oss, må du ha ressurser på plass til å utvikle og tilpasse tjenester som kan motta data til bruk i deres systemer. Du kan ha behov for faglige, tekniske og juridiske ressurser i perioden frem til virksomheten får tilgang til data.

Du trenger rutiner og ressurspersoner

For å kunne motta data fra oss skal du sørge for å ha rutiner og nødvendige ressurspersoner for å kunne forvalte dataene. Du skal ha rutiner for å kunne håndtere endringer eller hendelser som oppstår. Virksomheten skal ha egne kontaktpersoner både fra teknisk og faglig side som tar ansvar for forvaltningen.

Du skal også kunne håndtere henvendelser, forespørsler og ønske om innsyn fra sluttbrukere og eksterne brukere.

Når du ønsker å motta data fra Skatteetaten, må du ha et rettslig grunnlag for å innhente og behandle dataene. Dette må du ha for at vi skal være sikre på at dataene blir behandlet på tiltenkt måte og at dataene ikke kommer på avveie.

Vi har to krav som må være oppfylt for at du skal få tilgang til data:

  • Virksomheten må ha behandlingsgrunnlag for data som skal innhentes
  • Virksomheten må ha rettslig grunnlag som fritar Skatteetaten fra sin taushetsplikt

Du har et behandlingsansvar

Når du mottar data fra Skatteetaten, mottar du personopplysninger som krever riktig behandling med et rettslig grunnlag. For å motta og behandle personopplysninger må virksomheten din ha et behandlingsgrunnlag.

Virksomheten din blir behandlingsansvarlig når dataene mottas og har ansvaret for å etterleve pliktene etter personopplysningsloven. Dette bekrefter dere i avtalen som underskrives med Skatteetaten før dere mottar dataene.

Virksomheten har ansvar for å sikre at dataene ikke brukes til andre formål enn virksomheten har hjemmel til eller at det ikke brukes flere opplysninger enn nødvendig. Bruker du systemleverandør må du ha en databehandleravtale med systemleverandøren du bruker.

Skal du bruke en systemleverandør som mottar og behandler dataene, får de rollen som databehandler. Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. Det er fremdeles din virksomhet som har det overordnede ansvaret for behandlingen av dataene. I tillegg vil databehandlere få egne plikter som må etterfølges.

Du kan lese mer om retningslinjene våre i Policy for deling, eller lese mer om behandlingsgrunnlag hos Datatilsynet.

Du må ta hensyn til informasjonssikkerhet og personvern

Du må selv avklare om det er behov for spesielle krav til informasjonssikkerhet og personvern. Eksempelvis å gjøre tiltak for informasjonssikkerheten med hensyn til konfidensialitet, integritet og tilgjengelighet. Du må også se til at personopplysninger du behandler er oppdaterte og korrekte, ikke blir lagret lenger enn nødvendig og sørge for sletting av opplysninger som ikke lenger benyttes.

Du kan lese mer i bruksvilkårene til Folkeregisteret eller Inntekt, skatt og avgift.

Du har taushetsplikt

Når vi deler data med virksomheten din, har dere taushetsplikt om opplysningene vi deler med dere. Dette bekrefter dere i avtalen som underskrives med Skatteetaten før dere mottar dataene.

I tillegg til et rettslig behandlingsgrunnlag må virksomheten din ha grunnlag for å få utlevert taushetsbelagte opplysninger fra Skatteetaten.

Virksomheten skal behandle alle opplysninger i henhold til lovregulert taushetsplikt. Hvis din virksomhet ikke har lovregulert taushetsplikt, kan virksomheten fortsatt bli forpliktet av Skatteetatens taushetsplikt.

Taushetsplikten gjelder også etter at delingssamarbeidet er avsluttet.

Mulige behov for lovendringer

I enkelte tilfeller er det behov for lovendringer for å dele data med virksomheten. Disse endringene kan være tidkrevende, og krever at virksomheten, i samarbeid med Skatteetaten, beskriver behovet for lovendringen.

Ta kontakt med oss om dette er aktuelt for din virksomhet.

 

Slik henter du data

Din virksomhet henter data gjennom standardiserte maskin-til-maskin-grensesnitt (APIer) ved å gjøre oppslag basert på fødselsnummer eller organisasjonsnummer. I noen tilfeller kan det være aktuelt å gjøre oppslag i kombinasjon med bruk av våre hendelseslister. Hendelseslister brukes til å hente informasjon om endringer for å sikre at virksomheten alltid har tilgang til siste tilgjengelige data. 

Du må tenkte på hvor ofte virksomheten behøver oppdaterte data, og til hvilken kvalitet. Du skal kun hente data når virksomheten har et behov. Dette er for å redusere datatrafikken til tjenestene.

Vi bruker Maskinporten for tilgangsstyring i våre tjenester. Du kan lese mer om Maskinporten på Digdir sine sider.

Du kan koble opp direkte på Skatteetatens tjenester eller bruke en systemleverandør.

Du må kunne tilpasse tjenestene til egen virksomhet

Når du mottar data fra oss, må virksomheten selv gjøre tilpasninger i egne løsninger. Vi sikrer på vår side at APIene er tilgjengelige for dere.

Vi tilbyr delingstjenestene gjennom APIer uten noen form for betaling. Virksomheten din må dekke egne kostnader til utvikling og drift.

Vi standardiserer og minimerer dataene

Vi har standardiserte løsninger og grensesnitt for at flere virksomheter kan benytte seg av delingstjenestene våre. APIene er begrenset og tilpasset hensikten med delingen.

Vi dataminimerer informasjon basert på virksomhetens hjemmelsgrunnlag. Dette betyr at virksomheten bare mottar de data det er behov for.

Tegning av prosessen: Skatteetaten deler data fra Folkeregisteret, inntekt, skatt og avgift m.m. Deretter gir Skatteetaten virksomheten tilgang til data gjennom autentisering. Skatteetaten lager pakker med data og minimerer dataene til virksomheten. Til slutt mottar virksomheten data.

Dataene skal ikke brukes til andre formål enn avtalt eller lagres lengre enn det som er nødvendig. Data som ikke lengre er nødvendige skal enten slettes eller anonymiseres.

Tegning av prosess: Virksomheten mottar data fra Skatteetaten. Deretter minimerer virksomheten dataene til egne tjenester. Tjenestene bruker minimerte data.
Du må selv minimere dataene til bruk i din virksomhets tjenester.

 

Sikker håndtering av data

Ved overlevering av dataene vil virksomheten din være ansvarlig for at dataene blir behandlet på en måte som samsvarer med god informasjonssikkerhet. Informasjonssikkerhet innebærer å sikre dataene sin konfidensialitet, integritet og tilgjengelighet.

Dataene skal kun være tilgjengelige for autoriserte personer og skal ikke endres på en måte som fører til at dataene blir ukorrekte.

Din virksomhet har selv ansvar for sikkerheten i egne systemer. Din virksomhet må ha en rutine for å håndtere sikkerhetsbrudd som for eksempel om data havner hos noen som ikke skal ha tilgang til de.

 

Informasjonsmodeller for å beskrive innhold

Vi bruker blant annet informasjonsmodeller til å beskrive innholdet eller verdier du mottar gjennom APIene våre.

I tilknytning til informasjonsmodellene finner du oversikt over hvilke koder som kan inngå i dataene vi deler. Ved at vi har en felles forståelse for kodene, vil du som bruker dataene være sikre på at dataene vi deler blir oppfattet på tiltenkt måte.

Du finner informasjonsmodeller under API-navnene på GitHub: Skatteetatens delingstjenester for inntekt, skatt og avgift.

 

Virksomheter med samme behov

Om din virksomhet har samme behov for data som andre virksomheter, ønsker vi at dere oppretter et samarbeid som gruppe, segmentsamarbeid, med Skatteetaten. Vi har i dag segmentsamarbeid med virksomheter innen finans, kommune, helse og kraft.

Med et segmentsamarbeid vil Skatteetaten opprette felles delingstjenester for virksomheter i segmentet. Du får data på samme lovgrunnlag som andre i samme segment. Et segmentsamarbeid forenkler samarbeidet og effektiviserer prosessen for deg og for oss.

Gruppen koordineres av en segmentansvarlig som opptrer som en representant for gruppen i dialogen med Skatteetaten.

Du kan lese mer om segmentsamarbeid her.

 

 

Steg 2: Finne og vurdere data