6/2024

Digital sikkerhed og databeskyttelse

1. Indbygget databeskyttelse
Design

I arbejdet med digitale løsninger, som tilbyder login (brugeradgang), skal der tænkes databeskyttelse ind fra starten. Løsninger med login kræver brugeroplysninger, hvoraf nogle kan være defineret som “personfølsom data”, som defineres sådan: enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person.

I sådanne løsninger bør databeskyttelse være en integreret del af projektforløbet og produktet. Det kaldes også “privacy-by-design”.  Det er den dataansvarliges (kundens) ansvar at designe og indrette sin it-mæssige og organisatoriske forretningsunderstøttelse af behandlinger sådan, at databeskyttelsesforordningens krav og beskyttelseshensyn varetages som en integreret del i hele projektforløbet.

Datatilsynet har, sammen med Justitsministeriet og Digitaliseringsstyrelsen udgivet en vejledning om behandlingssikkerhed, som kan hentes her:

Vejledning om datasikkerhed

2. Databehandleraftale
Design

Når Codemakers designer og udvikler digitale løsninger med personfølsomdata betyder det, at Codemakers er databehandler. Der bør indgåes en databehandler aftale, som sikrer at persondataforordningen efterleves. Det er den dataansvarliges ansvar at fremsende en databehandleraftale. Codemakers har erfaring med at arbejde med personfølsom data og har udviklet en databehandlerskabelon, som kan anvendes.

3. Driftorienteret udviklingsproces
Udvikling

Codemakers udvikler web løsninger i WordPress. WordPress er verdens mest udbredte CMS-system med en markedsandel på ca. 43% som sikrer, at koden kontinuerligt vedligeholdes og forbedres. Codemakers prioriterer udviklingen af skræddersyede funktioner som giver mere kontrol over kodekvalitet, reducerer risiko for sårbarheder og følger til mere stabil drift. De følsomme områder identificeres inden udviklingen og beskyttes yderligere. Alle løsninger er beskyttet med SSL kryptering. Løsninger beskyttes yderlige med (hvor det giver mening):

 • 2-faktor login.
 • Google Captcha.
 • Avanceret adgangskontrol til filer som indeholder følsomme oplysninger.
 • Periodisk / automatisk sletning af filer som indeholder personlige oplysninger.
 • Opsætning af unikke brugerroller med begrænset adgang.

4. Cookies og privatlivspolitik
Udvikling

Alle løsninger integreres med en GDPR gyldigt samtykke til cookies. Vi anbefaler cookieinformation.com som sikrer at cookie samtykke løsningen er up-to-date med Databeskyttelseslove rundt omkring i verden.

Løsningen består af:

 • Opsætning af Cookie samtykke.
 • Undersiden om persondatapolitik.
 • Redigering af Cookie indstillinger.
 • Oversigt over Cookies inkl. formål, privatlivspolitik, udløb og udbyder.

Læs mere om CookieInformation

5. Sikkerhedstest
Udvikling

De statslig kunder eller kunder i den kritiske infrastruktur kan få en sikkerhedstest (pentest) hos Center For Cybersikkerhed – Forsvarets Efterretningstjeneste (CFCS). CFCS pentest er den ultimativ sikkerhedstest af de kritiske web løsninger. Codemakers kan optimere løsningen så den overholder CFCS anbefalinger som er et bevis på den højeste sikkerhedsniveau.

Hvis CFCS ikke kan tilbyde testen findes der også diverse private organisationer som tilbyder lignende sikkerhedstests.

6. Sikkerhedsrevision
Udvikling

Alle driftsaftaler indeholder sikkerhedsrevision som minimum to gange om året som består af følgende opgaver:

 • Der fortages de nødvendige sikkerhedsopdateringer.
 • Vi sørger for at tage en back-up af din hjemmeside, når der skal foretages opdateringer. På den måde er der intet, der går tabt under opdateringen. Back-up kopier gemmes i en ekstern fysisk harddisk som er yderligere beskyttet med adgangskoden.
 • Gennemgang af plugins.
 • Fejlsøgning og diverse UX tests.

Læs mere om WordPress Support

7. Adgang til data
Udvikling

Hos Codemakers er adgang til data (login informationer) begrænset til de medarbejdere som arbejder på projektet. Det vil oftest være en ansvarlig udvikler og en projektleder. Systemet hvor disse adgangskoder gemmes i krypteret format er beskyttet med flere sikkerhedslag. Når en medarbejder starter på en opgave skal start og slut tid registreres inkl. beskrivelsen af de ændringer som blev lavet som giver et overblik (log) over hvem fik adgang til systemet, hvornår og de ændringer som blev foretaget.

8. Databehandling
Drift

Personlig data er enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person. I de situationer hvor løsningen kan indeholde personlig data (kundedata) er det nødvendigt at underskrive databehandleraftalen.

Hent databehandleraftalen (skabelon)

9. GDPR Incident Responsplan
Drift

Trin til GDPR-incidentrespons:

Identifikation:
– Hurtigt identificer og bekræft eventuelle brud på persondatasikkerheden.
– Notér detaljerne omkring hændelsen, herunder tidspunkt, dato, involverede systemer og persondatakategorier.

Eskalering:
– Rapportér hændelsen til ansvarlig person for databeskyttelse.
– Indberet hændelsen til de relevante myndigheder inden for de fastsatte tidsfrister (72 timer).

Respons:
– Sørg for, at hændelsen bliver prioriteret og håndteret af et dedikeret team.
– Stop yderligere datatab eller -deling, hvis det er muligt og nødvendigt.
– Foretag en indledende vurdering af hændelsens omfang og potentielle konsekvenser for de berørte personer.
– Iværksæt passende foranstaltninger for at begrænse skaden og genoprette datasikkerheden.

Undersøgelse:
– Gennemfør en grundig undersøgelse af hændelsen for at identificere årsagen og omfanget af databruddet.
– Samarbejd med relevante interne og eksterne interessenter, f.eks. juridisk afdeling eller eksterne specialister, hvis det er nødvendigt.

Meddelelse:
– Underret berørte personer, hvis det vurderes, at databruddet udgør en høj risiko for deres rettigheder og frihedsrettigheder.
– Udarbejd en klar og præcis meddelelse, der inkluderer detaljer om hændelsen, de berørte datakategorier og de trufne foranstaltninger for at imødegå konsekvenserne.

Efterfølgende handlinger:
– Implementer forbedringer i IT-systemerne, procedurerne og politikkerne for at forhindre fremtidige hændelser.
– Evaluer effektiviteten af de trufne foranstaltninger og justér incidentresponsplanen efter behov.

Dokumentation:
– Før nøjagtige optegnelser over hændelsen, de trufne foranstaltninger og kommunikationen i forbindelse hermed.

10. ISAE erklæring
Hosting

Vi anbefaler Copenhost til hosting. Copenhost A/S udfører ISAE 3402 revision hvert år.

Copenhost har grundlæggende høj sikkerhed i deres løsninger som indeholder bland andet:
– DDOS filter,
– Packet inspection firewalls,
– Backup hver nat 100 dage tilbage,
– Automatisk patching af server,
– Løbende overvågning,
– Redundant datacenter med spejlet servere for failover osv.

ISAE 3402-erklæring
Hosting miljø

11. GDPR
Hosting

Når jeres virksomheds løsning og data hostes hos Copenhost betyder det at Copenhost er Databehandler og der indgås en databehandler aftale der sikre at Copenhost efterlever persondataforordningen. Denne aftale er påkrævet for at efterleve Copenhosts revisionspåtegnede sikkerhedserklæring ISAE 3402 og indeholder bla.

 • at databehandleren kun må handle inden for den dataansvarliges instruks
 • at de personer, der konkret skal foretage behandlingen har tavshedspligt (eller er underlagt dette ved lov)
 • passende sikkerhedsforanstaltninger, herunder anmeldelse ved sikkerhedsbrud
 • at databehandleren kun benytter sig af underdatabehandlere, når kravene herfor i persondataforordningen er opfyldt
 • at databehandleren skal hjælpe den dataansvarlige med at opfylde sine forpligtelser
 • at databehandleren sletter eller tilbageleverer oplysninger, når behandlingen er færdig
 • at databehandleren stiller dokumentation til rådighed for den dataansvarlige

Læs mere om GDPR