Ladeport for nye Se & Hør-skandaler skal lukkes - Opinion - LIVE:
Det kan være vanskeligt at lukke helt af for misbrug og kriminelle handlinger, især fra egne rækker, da nogen jo skal have adgang til virksomhedens data (og dermed data om kunder, samarbejdspartnere og kollegaer).
Misbrug af lokalitetsoplysninger og kreditkort brug er en ting, men helvede bryder løs når en ansat i sundhedssektoren pludselig for ussel mamon, hævn eller opmærksomhed, viderebringer andre borgeres (og vel nok mest sandsynligt kendte borgeres) dybt fortrolige sundhedsoplysninger, patientjournaler, medicinforbrug. Vi må håbe at de danske medier vil takke pænt nej tak, men også her kan man blive overrasket og et medie kan ligesom Se & Hør, eller Politiken i PET sagen, formentlig skrue en egen historie og opfattelse af egen rolle, op til at man gør de i "samfundets interesse".
Det afgørende bliver at få lukket ned for adgangen. Ganske enkelt. Altså indrette systemet med "security and pricacy as a default" og "Security by design". Altså at alt som udgangspunkt eller lukket ned, og der skal være helt konkrete grunde til at bestemte jobfunktioner skal have adgang til oplysningerne, og de skal lagdeles, så man kan tildele rettigheder til bestemte data for bestemte personer. Samtidig så skal det hele tiden overvejes om der virkelig skal gives adgang til data om X, Y og Z. Hvorfor skal visse jobfunktioner have adgang til CPR-nr, navn, adresse eller medicinforbrug, hvis de bare skal kunne se om X er indlagt på et hospital. Samtidig skal der tænkes sikkerhed ind i systemet fra A-Z, og det er helt afgørende for at få en tilstrækkelig sikkerhed. Man kan ikke lave et færdigt system for derefter så at overveje sikkerheden og begynde at lægge sikkerhed ovenpå.
Endelig så skal al adgang logges, så det klart signaleres til de ansatte der har adgang; Vi logger ALT, og vi kan altid afsløre at det er dig data'ene kommer fra, hvis du forsøger at tilgå data der ikke tilkommer dig eller du giver dem videre.
Ingen kommentarer:
Send en kommentar