Guide til udvikling af mobile løsninger i det offentlige

6 - Sikkerhed og privacy

Efterhånden som de mobile enheder giver adgang til flere og flere typer tjenester og indhold, øges vigtigheden af at sikkerheden er i orden og at privacy tænkes ind i de mobile løsninger.

Dette afsnit vil ikke indeholde en komplet guide til at håndtere sikkerhed og privacy på mobile løsninger, men der peges på en række opmærksomhedspunkter, som myndigheder bør forholde sig i forbindelse med udvikling af mobile løsninger. Desuden henvises til DS 484 om datasikkerhed i statenhttp://digitaliser.dk/resource/230670 og ISO/IEC 27001http://digitaliser.dk/resource/524579 som relevante referencer.

6.1 - Dataklassificering

Foretag en analyse og klassificering a, hvilke typer data, løsningen skal anvende og behandle for at tjene sit formål. Formålet er at identificere om der behandles data, som kræver særlig beskyttelse. Samtidig kan dette hjælpe til at identificere om fx visse data kan undværes, således at løsningen kan laves mere enkel, samtidig med at den primære funktionalitet bibeholdes.

6.2 - Adgang til data i en mobil løsning

Det skal afklares, hvilket sikkerhedsniveau løsningen skal understøtte. Det afgøres på baggrund af den type data, løsningen skal håndtere. Hvis løsningen fx håndterer personfølsomme oplysninger vil det være nødvendigt med sikker login og krypteret dataudveksling, mens en løsning, der blot kan sende et gps-opmærket fotografi til en myndighed, i de fleste tilfælde kan tilbydes uden login og kryptering.

6.3 - Sikkerhedsniveau

Det skal afklares, hvilket sikkerhedsniveau løsningen skal understøtte. Det afgøres på baggrund af den type data, løsningen skal håndtere. Hvis løsningen fx håndterer personfølsomme oplysninger vil det være nødvendigt med sikker login og krypteret dataudveksling, mens en løsning, der blot kan sende et gps-opmærket fotografi til en myndighed, i de fleste tilfælde kan tilbydes uden login og kryptering.

6.4 - Konsekvenser ved sikkerhedsbrud

Man skal forholde sig til, hvilke konsekvenser det vil det have for brugeren og den ansvarlige myndighed, hvis sikkerheden brydes på den ene eller den anden måde.

6.5 - Autentifikationsmetoder

Hvilke autentifikationsmetoder er til rådighed på den mobile platform, og understøtter de det nødvendige sikkerhedsniveau?

Der findes endnu ikke NemID og NemLog-in som kan anvendes på mobile enheder, men der arbejdes på at tilbyde dette. Myndigheder der ønsker at udvikle mobile løsinger, som kræver sikker identifikation ved login og/eller kryptering af dataudveksling, bør derfor sigte efter at anvende den fællesoffentlige sikre login-infrastruktur (NemID og NemLog-in), når den bliver tilgængelig på mobile enheder.