Sikkerhedskrav for MerCator Software
 

MerCator Software opfylder Datatilsynets sikkerhedskrav i henhold til Datatilsynets Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger m.v.

Adgang til databaserne kan kun skaffes via Institutionslederens adgangsgivning til det af ham/hende udvalgte personale.
Adgangsmuligheden sker altid via et individuelt brugernavn og en individuel adgangskode, som giver adgangbegrænsning i forhold til  de af Institutionslederen  angivne beføjelser. D.v.s. at f.eks. CPR-numre ikke vil være tilgængelige for de personer, hvor denne tilladelse ikke er givet.
Databaserne er krypteret med en nøglelængde på 128 bit og overholder Data Encryption Standard og vil altid følge de af Datatilsynets sidste anvisninger.
Kryptering og adgangsmuligheden er gældende for såvel MerCator XP Institution, MerCator XP Gateway og MerCator XP Dagbehandling og er opbygget i henhold til it-sikkerhedsbranchens bestemmelser om sikkerhed ved programmer og netinstallationer.

Nærværende Web-side hos Plettner-Data I/S til brug for opgraderinger m.v. er løbende SSL certicifiseret (Secure Sockets Layer).

DATATILSYNET

I "Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning" (Sikkerhedsbekendtgørelsen) fremgår det af § 14, at "der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger."

I Datatilsynets vejledning til sikkerhedsbekendtgørelsen (vejledning nr. 37 af 2. april 2001) er der i tilknytning til sikkerhedsbekendtgørelsens § 14 bl.a. formuleret nogle generelle krav til kryptering. Der stilles herunder særlige krav ved transmission af følsomme oplysninger over det åbne internet: "Hvis de transmitterede oplysninger er af følsom karakter (omfattet af persondatalovens § 7 stk. 1, og § 8, stk. 1), skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme."

Datatilsynet har modtaget flere konkrete forespørgsler om definitionen på en stærk kryptering. Ved stærk kryptering forstår Datatilsynet en kryptering, der på det givne tidspunkt i it-sikkerhedsbranchen i almindelighed anerkendes som værende stærk. For tiden anses en kryptering at være stærk, hvis den svarer til en symmetrisk kryptering med en nøglelængde på 128 bit eller mere.

Tilsvarende forstår Datatilsynet ved en anerkendt algoritme en algoritme, som er almindelig anerkendt i it-sikkerhedsbranchen eller certificeret f.eks. i overensstemmelse med ITSEC (Information Technology Security Evaluation and Certification). Eksempler på anerkendte algoritmer (symmetriske) til sikring af fortrolighed er DES (Data Encryption Standard), Triple-DES, AES (Advanced Encryption Standard) og RC4 (Rivest Cipher 4).