Fase 3.7
Kravspecifikation - Persondatasikkerhed m.v.
3.1
Udbud eller indkøb?
Udbud eller indkøb?
3.2
Udbudsmateriale
Udbudsmateriale
3.3
Datakilder
Datakilder
3.4
Kravspecifikation – Funktionelleog ikke -funktionelle krav
Kravspecifikation – Funktionelleog ikke -funktionelle krav
3.5
Kravspecifikation – Sensordata
Kravspecifikation – Sensordata
3.6
Kravspecifikation – Bæredygtighed
Kravspecifikation – Bæredygtighed
3.7
Kravspecifikation- Persondatasikkerhedm.v.
Kravspecifikation- Persondatasikkerhedm.v.
3.8
Interoperabilitet
Interoperabilitet
3.9
Krav til IT-arkitektur
Krav til IT-arkitektur
3.10
Udviklingsmetode og proces
Udviklingsmetode og proces
3.11
Datavalidering
Datavalidering
3.12
Datalagring og deling
Datalagring og deling
3.13
Refleksion og næste skridt
Refleksion og næste skridt
Nulstil tidslinje
Foruden krav om dataejerskab, er det også vigtigt at sikre, at den kommende løsning er GDPR-compliant og overholder regler for beskyttelse af persondata samt cybersecurity.
Databeskyttelse:
- Indeholder løsningen følsomme personoplysninger – skal der stilles krav til, hvordan databeskyttelse (Privacy-by-Design) bliver tænkt ind i løsningen fra start af.
- Er de følsomme personoplysninger anonymiserede, er de ikke omfattet af databeskyttelseslovgivningen.
- For følsomme data, der skal opbevares i over 10 år og stadig vil være følsomme (f.eks. personoplysninger), skal man på bedst mulig vis fremtidssikre dem mod dekryptering.
Databehandleraftale:
Er der følsomme personoplysninger i de data, der indgår i en løsning, skal der altid indgås databehandleraftaler.
Hertil kommer, at I som dataansvarlig også er forpligtet til at føre et passende tilsyn med jeres databehandlere for at sikre overholdelsen af de sikredes rettigheder.
IT:
Stil krav om, at løsningen er stabil og kvalitativ også under stor belastning fra mange samtidige brugere.
Handling
- Afklar om løsningen indeholder følsomme personoplysninger.
- Hvis der er følsomme person data, er de da anonymiseret?
- Se på ”9 gode råd om GDPR og sikkerhed” under Værktøj. Er der krav, der skal stilles til denne løsning?
- Kontakt IT-afdelingen og definer sammen med dem, hvilke sikkerhedsmæssige krav der ellers skal stilles.
- Skriv de identificerede krav ind i skabelonen, der ligger under Værktøj.
- Husk også konkrete krav, hvis løsningen vil gøre brug af IoT-sensorer. Se under Værktøjer ”Kriterier og krav ved indkøb af devices”.
Databehandleraftaler:
Dette punkt er vigtigt for både udviklings- og indkøbsprojekter.
- Tal med din databeskyttelsesrådgiver (DPO) i kommunen om databehandleraftale og, hvordan I kan føre tilsyn med jeres databehandlere.
- Indgå databehandleraftaler med de leverandører, der behandler data påvegne af kommunen.
- Når databehandleraftalerne er underskrevet, gem dem et centralt sted, så andre kan tilgå dem.
- Få et bud fra leverandøren på en risiko- og konsekvensanalyse af, hvad det vil betyde, hvis der sker et datalæk.
- Gennemfør informationsklassifikationer for alle data som I selv ejer og vil dele.
Værktøjer
Skabelon til krav.
Noter jeres krav til projektet og få et samlet overblik.
9 gode råd om GDPR og sikkerhed.
Vigtige GDPR- og sikkerhedsråd udpeget af InnoTech - TaskForce projektet.
Fiware guidelines.
Tjek standarder og datamodeller tilpasset dit arbejdsområde.
Tekniske minimumskrav – KL/ Kombit.
Oversigt over tekniske krav til sikkerhed og databeskyttelse.
Skabelon til databehandleraftale 2025.
Standard skabelon fra Det fælleskommunale databehandlersekretariat til databehandleraftaler for kommuner.
Datatilsynets skabeloner til databehandleraftaler.
Officielle skabeloner og vejledninger fra Datatilsynet til databehandleraftaler.
Vejledning om tilsyn med databehandlere - Datatilsynet.
Hvordan kommuner kan føre tilsyn med databehandlere.
EU’s guidelines og roadmap for hvordan man bør forholde sig til post-quantum kryptografi
Vejledning