AR 4.1: Opfyld krav til informationssikkerhed og privatlivsbeskyttelse

Fra Den Fælleskommunale Rammearkitektur
Skift til: Navigation, Søgning
Status for AR 4.1: Opfyld krav til informationssikkerhed og privatlivsbeskyttelse
En del af Statusboks-optaget-label.png
Status for INFO-side Klar, senest opdateret 20-02-2019
Status ift. Rammearkitekturen Optaget
Gyldighed Godkendt af Kommunernes It-Arkitekturråd27. møde d. 7. december 2017
Kontakt Peter Thrane og Peter Falkenberg, Digitalisering og Teknologi, KL
Princip 4: Sikkerhed, privatliv og tillid sikres

Tillid er centralt i anvendelsen af digitale løsninger. Borgere og virksomheder skal have tillid til, at anvendte informationer behandles på betryggende vis og i henhold til gældende ret.

Læs mere om Arkitekturprincipper og -regler

Arkitekturregel

Når der etableres digital understøttelse af tværgående processer og deling af data sker det på baggrund af en gennemarbejdet og fyldestgørende sikkerhedsmodel. Informationssikkerhed skal være et integreret element lige fra udbudsproces til go-live af systemer.

Det betyder at:

  • Projekter foretager tidligt en risikovurdering og en vurdering af konsekvenserne for privatlivets fred og informationssikkerheden i overensstemmelse med de lovgivningsmæssige og fællesoffentligt aftalte krav hertil.
  • Hvis cloud computing er en del af projektet tages højde for de særlige krav hertil.
  • Den digitale løsning designes således, at privatlivsbeskyttelse og sikkerhed sikres, herunder at kun nødvendige følsomme data udveksles og opbevares.

Uddybning

Fortrolighed og it-sikkerhed er særdeles vigtig for den kommunale forretning. Hvis privatlivsbeskyttelse og it-sikkerhed tænkes ind for sent i processen, får det ofte karakter af en “skal”, der lægges uden om it-systemet. I stedet bør it-sikkerhed og privatlivsbeskyttelse være en integreret del af løsningen og imødekomme både brugernes og lovgivningens behov.

For at kunne udarbejde det rigtige design, kræves indsigt i alle aspekter af en løsning, herunder it-sikkerhed og privatlivsbeskyttelse. Når it-sikkerhed og privatlivsbeskyttelse er en naturlig del af analysearbejdet, på lige fod med andre funktionelle behov, udfordres løsningen i forhold til den krævede sikkerhed, og sikkerhedskravene udfordres i forhold til forretningsbehovene.

Derfor skal it-sikkerhed og privatlivsbeskyttelse sættes på agendaen allerede i analysefasen og der bør være en it-sikkerhedsekspert og juridisk ekspertise tilgængelig for projekterne. Risikovurdering bør foretages tidligt og løbende.

Vejledning/Metode

Eksempler

Noter