Phone icon +45 45 34 44 00
Book møde

Documentation

5. Valg af arkitektur

Når du designer arkitekturen for din applikation, skal du identificere de persondata, der indsamles, og definere en proces samt en livscyklus for hver af dem. Valget af lagringsmetode (lokal lagring, server, cloud-tjeneste) er en kritisk beslutning, der skal tilpasses både dine behov og din tekniske viden. Registrering og gennemførelse af en privacy impact assessment (PIA) kan hjælpe dig med at træffe det rette valg.

Gennemgang af data- og proceslivscyklus, fra indsamling til sletning

  • Skitsér og beskriv, hvordan produktet generelt fungerer, inden du starter dit projekt, med et diagram over dataflows samt en detaljeret beskrivelse af de udførte processer.

  • Når data kun opbevares på brugerens enhed (lokal lagring) eller forbliver inden for netværk, som brugeren kontrollerer (f.eks. Wi-Fi eller andre lokale netværk), er hovedfokus datasikkerhed. Brugerne skal have mulighed for at bestemme lagringsperioden og sletningen af deres data.

  • Når data sendes via onlinetjenester, skal du vælge mellem selv at hoste dataene eller bruge en tjenesteudbyder, afhængigt af din sikkerhedsviden og den ønskede servicekvalitet. Anerkendte cloud-løsninger kan tilbyde højere sikkerhedsniveauer, men de introducerer også nye risici, der skal håndteres. Anbefalinger til virksomheder, der planlægger at bruge cloud-tjenester kan hjælpe dig i denne beslutningsproces.

Hvis du benytter ekstern hosting

  • Vælg en tjenesteudbyder, der garanterer passende sikkerheds- og fortrolighedsforanstaltninger samt tilstrækkelig gennemsigtighed.

  • Sørg for at kende servernes geografiske placering. Du kan være forpligtet til at overføre data uden for EU/EØS. Mens data frit kan bevæge sig inden for EU/EØS, kræver overførsler uden for dette område, at der sikres et tilstrækkeligt niveau af databeskyttelse. CNIL tilbyder et online kort, der viser forskellige niveauer af databeskyttelse i lande verden over.

  • Hvis du skal hoste sundhedsdata, skal du sikre dig, at udbyderen er certificeret eller godkendt til denne aktivitet.

  • Andre vigtige aspekter at være opmærksom på:

    • Eksistensen af en tilgængelig sikkerhedspolitik;
    • Fysiske sikkerhedsforanstaltninger på hostingstedet;
    • Kryptering af data samt andre mekanismer, der sikrer, at udbyderen ikke har adgang til de betroede data;
    • Håndtering af opdateringer, rettighedsstyring, autentifikation af personale og sikkerhed i forbindelse med applikationsudvikling;
    • Let og fleksibel reversibilitet/portabilitet af data i et struktureret og almindeligt anvendt format, som kan rekvireres når som helst.

Har du brug for en penetrationstest?

Kontakt os for en uforpligtende snak om dine sikkerhedsbehov.

Kontakt os