mboost-dp1

Beskyttelse af CPR-numre


Gå til bund
Gravatar #1 - rackbox
5. aug. 2012 15:07
jeg er ved at udvikle en webapp, hvor det er nødvendigt at gemme og udveksle personfølsomme data - CPR-nummer, lægeoplysninger, etc. Er der nogen, der kender de specifikke regler for opbevaring og udveksling af disse?

Kan det klares uden ssl/https?
Gravatar #2 - Dr_Mo
5. aug. 2012 15:23
http://www.datatilsynet.dk/offentlig/sikkerhed/transmission-over-internettet/ skrev:
Hvis der er tale om følsomme oplysninger omfattet af persondatalovens § 7 og § 8 (f.eks. oplysninger om fagforeningsmæssige tilhørsforhold, helbredsforhold eller strafbare forhold), skal der som minimum anvendes en stærk kryptering, baseret på en anerkendt algoritme.
Det er således Datatilsynets opfattelse, at persondatalovens § 41, stk. 3, medfører, at der som udgangspunkt må stilles samme krav til datasikkerheden i private virksomheder m.v. som i den offentlige forvaltning.

Så du kan ikke gøre det uden kryptering.
Gravatar #3 - rackbox
5. aug. 2012 15:25
#2 tak - jeg viste godt at kryptering var nødvendig... men implementationen er jeg i tvivl om...
Gravatar #4 - Dr_Mo
5. aug. 2012 15:28
Ok, du kan vist finde vejledninger på datatilsynets hjemmeside. Men da det er ikke noget jeg rigtig kender til, så ved jeg ikke om det er det du har brug for :)
http://www.datatilsynet.dk/erhverv/internettet/krav-og-anbefalinger-ifm-overfoersel-af-personoplysninger-via-internettet/ skrev:
Kommunikationen via hjemmesider kan sikres ved hjælp af SSL kryptering e.l. Der er mulighed for at implementere forskellige grader af kryptering, herunder også det, der betegnes som ”stærk kryptering” (128 bit SSL/TLS-forbindelse).
Gravatar #5 - arne_v
8. aug. 2012 03:50
Det første er vel at sørge for at der kun kan bruges HTTPS til transport (bemærk forskellen i forhold til at tilbyde HTTPS).

Men der er mange andre ting som bør overvejes:
- høj sikkerhed i web app inkl. beskyttelse mod SQL injection og andre grimme ting
- kryptering af felter i databasen
- streng kontrol af personer med admin adgang til systemet
etc.
Gravatar #6 - Saxov
8. aug. 2012 19:18
Husk at CPR Numre, o.l ikke må gemmes i skyen, så hvis du skal have en sky-app der skal bruge cpr-numre, eller anden personfølsom data, skal du have en database server stående på et ikke-sky sted, som indeholder disse informationer og mapper dem til en unique key som du kan bruge i skyen.

Dette skyldes reglerne om at, gemmer du personfølsom data, skal du have styr på hvilket servere de er gemt på, osv.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login