Krav til sikkerhed for personoplysninger
It-sikkerhed handler om at beskytte aktiver, herunder information, der er vigtig for organisationen. De fleste af de applikationer som STAR udvikler behandler personhenførbare data i et eller andet omfang.
Udviklingsleverandøren skal følge offentlige anbefalinger for it-sikkerhed, der omhandler sikkerhed i forhold til eksterne parter. Sikkerhed bliver et vigtigere og vigtigere element i takt med, at systemerne åbnes op til fx borgerrettede selvbetjeningsløsninger. Til systemer, der indeholder personhenførbare data, stilles der højere krav til sikkerhed, se databeskyttelse https://starwiki.atlassian.net/wiki/spaces/CITY/pages/3783524473 og sikkerhedspolitik https://starwiki.atlassian.net/wiki/spaces/CITY/pages/3779166267.
STAR stiller følgende krav til arbejde med personhenførbare data:
Krav | Beskrivelse |
|---|---|
Anvendelse af data | Data må kun anvendes til brug for løsning af Opgaven. Se også databeskyttelse https://starwiki.atlassian.net/wiki/spaces/CITY/pages/3783458852. |
Behandling af personoplysninger | Behandling af personoplysninger må kun foretages på foranledning af STAR. |
Kendskab til krav om behandling af personoplysninger | Alle, der deltager i behandlingen af personoplysninger, skal være bekendt med disse krav. |
Udviklingsleverandørens lokaler | I det omfang Udviklingsleverandøren anvender andre lokaler ende de fælles Lokaler til opbevaring og anden behandling af oplysninger, skal disse være indrettet således, at uvedkommende ikke kan få adgang. Se også sikkerhedspolitik . |
Opbevaring af data | Oplysninger må ikke opbevares uden for STAR’s produktions- og testmiljøer på en måde, der giver mulighed for at identificere de personer, der behandles oplysninger om, længere end det, der er nødvendigt af hensyn til Opgavens gennemførelse. Se Udtagelige lagringsmedier, sikkerhedskopier af data mv. skal opbevares forsvarligt aflåst og således, at uvedkommende ikke kan få adgang til oplysningerne. Se også sikkerhedspolitik . |
Scrambling | Offentliggørelse af resultater fra Opgaven skal ske på en sådan måde, at det ikke er muligt at identificere enkeltpersoner. |
Behandling af data | Anden lovgivning med krav til behandling af oplysninger i forbindelse med Opgaven forudsættes overholdt. |
Scrambling | Hvis der ved skabelse af testdata tages udgangspunkt i produktionsdata, skal data forvanskes på en måde at det ikke er muligt at kæde de faktiske data sammen med fysiske personer. Se også databeskyttelse og sikkerhedspolitik og . |
Sikring af Konsulentens Arbejdsstation | Adgang til personhenførbare data skal sikres med passende sikkerhedsforanstaltninger fx brugercertifikat og skal logges. Se også sikkerhedspolitik . |
Datasikkerhed ved transmission | Ved overførsel af personhenførbare oplysninger via internettet eller andet eksternt netværk skal der træffes passende sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Herunder skal der anvendes kryptering, hvis følsomme personoplysninger overføres via internettet (eller andre usikre net), og sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) skal ske i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger. Ved anvendelse af interne net skal det sikres, at uvedkommende ikke kan få adgang til oplysningerne. Se også sikkerhedspolitik |
Papirkopier | Manuelt ”papir” materiale, herunder udskrifter, fejl- og kontrollister mv. med oplysninger, der direkte eller indirekte kan henføres til bestemte personer bør undgås. Skulle der være behov for udskrifter skal disse opbevares forsvarligt aflåst og på en sådan måde, at uvedkommende ikke kan gøre sig bekendt med indholdet. Udskrifter skal destrueret så snart anvendelse har fundet sted. |
Videregivelse | Personhenførbare oplysninger må kun videregives til 3. part, efter skriftlig godkendelse af STAR. Se også databeskyttelse |
Sletning og arkivering | Oplysninger skal slettes eller tilintetgøres senest ved Opgavens afslutning, medmindre en fortsat opbevaring kræves efter anden gældende lovgivning. Bemærk at oplysningerne eventuelt skal overføres til arkiv efter arkivlovens regler. Se også databeskyttelse |
Sletning af oplysninger fra elektroniske medier | Sletning af oplysninger fra elektroniske medier skal ske på en sådan måde, at oplysningerne ikke kan genetableres. Se også sikkerhedspolitik . |