Vi kommer sandsynligvis til inden længe at stå med en sag hvor vi skal håndtere CPR-numre i et webbaseret system.
Kan nogen oplyse om de evt. regler på området?
Må man overhovedet? Eller skal man have en speciel tilladelse eller lignende?
Hvis man må, stilles der så nogen særlige krav til det tekniske setup for den maskine der hoster databasen hvor CPR-numrene gemmes? Dvs. fysisk og virtuel adgang, firewalls, osv
Hvis man må, hvad så med datatransporten af CPR-numrene? Jeg går næsten ud fra at al kommunikation mellem server og klient skal være SSL-krypteret, men er der nogen der kan oplyse om mere præcise regler her?
Måske det hører under "jura" og ikke "teknik", men jeg prøver lykken :)
Du skal overholde DS-484 (el. en af de internationale ækvivalenter), det var ihvertfald det en af vores tidligere kunder fik at vide.
Det vil primært sige at maskinen skal følge best-practice for åbne porte mv. ligesom alle afvigelser herfra skal dokumenteres, derudover skal sikkerheden på serveren ligeledes dokumenteres.
Hvis i har behov for det kan vi godt assistere med sikkerheden på jeres eksisterende driftsmiljø, eller alternativt levere et hosted miljø til jer.
Du skal have fat i datatilsynet. Der er hysterisk mange regler (med god grund), og i det hele taget kan det blive svært at overbevise dem om at du har behov for at opbevare CPR numre. Hvad private virksomheder angår (jeg formoder du ikke er en offentlig instans) må man som udgangspunkt kun håndtere CPR hvis det er som følge af en lov. Hvis du så får lov, er der yderligere regler om eksempelvis logning af hvem der har haft adgang til data og præcist hvilke data de har set. Det skulle ikke undre mig om der også skal en eller anden clearing af enkeltpersoner ind over.. jeg mener jeg var gennem noget i den stil da jeg for år tilbage arbejdede på systemer for Arbejdsmarkedsstyrelsen. De rent hardware/tekniske krav var jeg ikke inde over, men der var også en hel del der skulle være i orden.
Bliv gratis medlem
Opret bruger