It-sikkerhed handler om at beskytte aktiver, herunder information, der er vigtig for organisationen. De fleste af de applikationer som STAR udvikler behandler personhenførbare data i et eller andet omfang.
Udviklingsleverandøren skal følge offentlige anbefalinger for it-sikkerhed, der omhandler sikkerhed i forhold til eksterne parter. Sikkerhed bliver et vigtigere og vigtigere element i takt med, at systemerne åbnes op til fx borgerrettede selvbetjeningsløsninger. Til systemer, der indeholder personhenførbare data, stilles der højere krav til sikkerhed.
STAR stiller følgende krav til arbejde med personhenførbare data:
| Krav | Beskrivelse |
|---|---|
Anvendelse af data | Data må kun anvendes til brug for løsning af Opgaven. |
Behandling af personoplysninger | Behandling af personoplysninger må kun foretages på foranledning af STAR. |
Kendskab til krav om behandling af personoplysninger | Alle, der deltager i behandlingen af personoplysninger, skal være bekendt med disse krav. |
Udviklingsleverandørens lokaler | I det omfang Udviklingsleverandøren anvender andre lokaler ende de fælles Lokaler til opbevaring og anden behandling af oplysninger, skal disse være indrettet således, at uvedkommende ikke kan få adgang. |
Opbevaring af data | Oplysninger må ikke opbevares uden for STAR’s produktions- og testmiljøer på en måde, der giver mulighed for at identificere de personer, der behandles oplysninger om, længere end det, der er nødvendigt af hensyn til Opgavens gennemførelse. Udtagelige lagringsmedier, sikkerhedskopier af data mv. skal opbevares forsvarligt aflåst og således, at uvedkommende ikke kan få adgang til oplysningerne. |
Scrambling | Offentliggørelse af resultater fra Opgaven skal ske på en sådan måde, at det ikke er muligt at identificere enkeltpersoner. |
Behandling af data | Anden lovgivning med krav til behandling af oplysninger i forbindelse med Opgaven forudsættes overholdt. |
Scrambling | Hvis der ved skabelse af testdata tages udgangspunkt i produktionsdata, skal data forvanskes på en måde at det ikke er muligt at kæde de faktiske data sammen med fysiske personer. |
Sikring af Konsulentens Arbejdsstation | Adgang til personhenførbare data fra en arbejdsstation skal sikres via password eller brugercertifikat og skal logges. |
Datasikkerhed | Ved overførsel af personhenførbare oplysninger via internettet eller andet eksternt netværk skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Herunder skal der anvendes kryptering, hvis følsomme personoplysninger overføres via internettet (eller andre åbne net), og sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) skal ske i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger. Ved anvendelse af interne net skal det sikres, at uvedkommende ikke kan få adgang til oplysningerne. |
Papirkopier | Manuelt ”papir” materiale, herunder udskrifter, fejl- og kontrollister mv. med oplysninger, der direkte eller indirekte kan henføres til bestemte personer, skal opbevares forsvarligt aflåst og på en sådan måde, at uvedkommende ikke kan gøre sig bekendt med indholdet. Generelt bør papirudskrifter undgås, og destrueret så snart anvendelse har fundet sted. |
Videregivelse | Personhenførbare oplysninger må kun videregives til 3. part, efter godkendelse af STAR. |
Sletning og arkivering | Oplysninger skal slettes eller tilintetgøres senest ved Opgavens afslutning, medmindre en fortsat opbevaring kræves efter anden gældende lovgivning. Alternativt kan oplysningerne overføres til arkiv efter arkivlovens regler. |
Sletning af oplysninger fra elektroniske medier | Sletning af oplysninger fra elektroniske medier skal ske på en sådan måde, at oplysningerne ikke kan genetableres. |