Dataansvar og sikkerhed

Dataansvar

Dataansvaret ligger hos de myndigheder, der distribuerer data via datafordeleren. Det betyder, at den enkelte datamyndighed er ansvarlig for at håndtere forvaltningsmæssige, lovgivningsmæssige og øvrige problemstillinger, som følger af distributionen af data via Datafordeleren. Datamyndighederne er desuden ansvarlige for indholdet, kvaliteten og ajourføringen af data.

Datafordeler-operatøren er ansvarlig for at sikre en samlet distribution af de fællesoffentlige grunddata. Datafordeler-operatøren er også ansvarlig for at sikre, at drift og support af datafordeleren foregår i overensstemmelse med de driftsmål, der er fastsat i kontrakten med driftsleverandøren, KMD.

Hvis data, der distribueres via Datafordeleren, indeholder personoplysninger, fungerer datafordeler-operatøren som såkaldt databehandler for datamyndighederne. Datafordeler-operatøren må ikke behandle personoplysninger til andre formål end dem, som den dataansvarlige myndighed har fastsat, og må ikke behandle personoplysningerne efter instruks fra andre end datamyndigheden.

Datafordeler-operatøren er forpligtet til at sikre, at dansk persondatalovgivning overholdes. Det indebærer, at datafordeler-operatøren træffer de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre, at oplysninger ulovligt slettes, forringes, misbruges eller på anden måde behandles i strid med dansk persondatalovgivning.

For at sikre, at dansk persondatalovgivning overholdes, udfører en uafhængig tredjepart årligt en revision om de sikkerhedsmæssige forhold hos datafordeler-operatøren til datamyndighederne.

Sikkerhedsmodel

Når platformen er i fuld drift, udstilles både offentlige og følsomme data via Datafordeleren. Det stiller store krav til sikkerheden at undgå, at følsomme oplysninger falder i de forkerte hænder. Derfor har sikkerhed haft høj prioritet i designet af løsningen. Samtidig er der fastlagt sikkerhedsprocedurer og -aktiviteter, der vil være en integreret del af Datafordelerens drift.

Forskellige data i forskellige sikkerhedszoner

Datafordeleren er inddelt i sikkerhedszoner, der netværksmæssigt er adskilt fra hinanden. Det er den dataansvarlige registermyndighed, der bestemmer sikkerhedsniveauet – og dermed sikkerhedszonen – for de enkelte datasæt.
For at få adgang til følsomme data skal en bruger autentificeres via et sikkerheds-setup, der svarer til digital signatur, som er anerkendt af Datatilsynet.

Sikkerhed som proces

Sikkerhed er en proces, ikke et produkt. For Datafordeleren betyder det, at der er kontinuerligt fokus på sikkerhed under drift, forvaltning og videreudvikling. Derfor indeholder kontrakten med leverandøren, KMD, også en række krav med henblik på at fastholde et højt sikkerhedsniveau. Kontrakten forpligter KMD til at sikre Datafordeleren mod brud på fortrolighed, tilgængelighed og integritet.

KMD er forpligtet til kontinuerligt at overvåge, skanne, evaluere og optimere systemets sikkerhedsniveau, så alle forudseelige trusler imødegås.

Det er SDFEs opgave at sikre, at KMD lever op til kravene, og at der løbende gennemføres sårbarhedsanalyser og risikovurderinger, som inddrager konkrete cases og ny viden, så sikkerheden i løsningen hele tiden udvikler sig i takt med teknologi og trusselsbillede.