Om Danmarks Datavindue
Danmarks Statistik har udviklet en ny applikation, der skal give en let, effektiv og sikker adgang til danske samfundsdata til forskning, analyse og styring. Vi kalder den Danmarks Datavindue.
Danske samfundsdata har stor betydning for udvikling af det danske samfund. Derfor har Danmarks Statistik etableret et Datavindue, der skal give forskere, analytikere og danske virksomheder et bedre overblik over det danske datagrundlag og dermed smidiggøre den samlede proces fra ansøgning til data. Projektet vil med andre ord etablere Ét vindue, én adgang, én sikker løsning til at servicere alle behov for data til statistik, forskning, styring og analyse.
Datavinduet bygger, i samarbejde med andre dataejere, videre på de services, der allerede findes i Danmarks Statistik og vi arbejder hele tiden videre med at gøre vores services og Danmarks Datavindue endnu bedre.
Samarbejdsbaseret løsning
Datavinduet er tænkt som en tværgående, samarbejdsbaseret national løsning til fordel for både forskningsinstitutioner, private virksomheder og offentlige myndigheder – helt i tråd med intentionerne i Danmarks nationale offentlige digitaliseringsstrategi.
Brugerne får et overskueligt overblik over udbuddet af data, der vil være dokumenterede og kvalitetssikrede. Brugerne får desuden støtte til at finde de bedst egnede data til formålene. Sagsbehandling og godkendelse af projektansøgninger sker automatisk på en måde, der giver hurtig og brugerstyret adgang ved opfyldelse af de krav, der findes til datasikkerhed og datafortrolighed – med mulighed for rådgivning og bistand undervejs.
Datasikkerhed
I Danmarks Datavindue er der et stort fokus på datasikkerhed og informationssikkerhed. Data i Danmarks Datavindue er bygget i et særligt system, som er baseret på processer med høj sikkerhed, sikker styring og sikre arbejdsgange.
I Danmarks Statistik følger vi forvaltningslovens krav om ligebehandling. Det betyder, at alle regler og sikkerhedskrav gælder samtlige brugere og samarbejdspartnere. Der er med andre ord ingen, som får lempeligere vilkår eller skal opfylde en lavere grad af sikkerhed end andre.
Danmarks Statistiks arbejdsgange opfylder den gældende lovgivning med særligt hensyn til GDPR, hvilket efterprøves via ekstern revision, samt standarden ISO 27001, som er sikkerhedsstandarden for statslige myndigheder. Sikkerheden efterprøves årligt som følge af Danmarks Statistiks ISO 27001-certificering.
Danmarks Statistik har udarbejdet et sæt retningslinjer for brug af forskermaskiner, der gælder for samtlige forsknings- og analyseprojekter, der gennemføres inden for rammerne af Danmarks Datavindue og Forskningsservice. I retningslinjerne finder man bl.a. kravet om, at der skal arbejdes på pseudonymiserede data, samt at Danmarks Statistiks metoder for diskretionering skal benyttes. Andre eksempler er principperne om dataminimering samt krav om en tydeligt defineret beredskabsorganisation og beslutningsveje i forbindelse med håndtering af databrud og sikkerhedshændelser.
Download Danmarks Statistiks Forskningsservice datasikkerhedsregler
Der samarbejdes pt. med de danske HPC-centre, dvs. High Performance Computing-centrene for ekstern it-kapacitet, om at tilføre ekstern beregningskapacitet til forsknings- og analyseprojekterne. Samarbejdet sker i regi af det Koordinerende Organ for Registerforskning (KOR) og Danish e-infrastructure Cooperation (DeiC) og der arbejdes pt. på, at retningslinjerne gælder for samtlige interessenter, samarbejdspartnere og HPC-faciliteter.
I Danmarks Datavindue benyttes der altid to-faktor login på applikationen og forskermaskinen, ligesom der er krav til sikkerheden i nettrafikken og krav om sikre netprotokoller jf. Center for Cybersikkerheds krav og anbefalinger.
Applikationen gennemtestes løbende for angrebsmuligheder udefra – se nærmere under ”Certificering og ekstern kontrol”.
Der foreligger aftaler mellem samtlige forsknings- og analyseinstitutioner og Danmarks Statistik, der bl.a. fokuserer på klarhed over roller og ansvar og sikrer, at forsknings- og analyseinstitutioners medarbejdere varetager deres administration af den enkelte institution på den mest hensigtsmæssige måde. Der er jævnligt kontakt via brugerudvalg, udsendelse af awareness-kampagner og brugerundersøgelser. Forskere og analytikere bliver certificeret i et særligt modul med fokus på overholdelse af reglerne for databehandling og datasikkerhed. Det betyder, at enhver bruger med jævne mellemrum skal gennemgå en række spørgsmål vedr. databehandling og GDPR for at opretholde deres adgang til Danmarks Datavindue og Forskningsservice.
Arbejdsgangene for såvel forskere og analytikere, som de administrative medarbejdere i Danmarks Statistik, gennemgås årligt i det interne tilsyn og vurderes af arkitekter, it-chefer og informationssikkerhedskoordinator mhp. på at sikre, at der ikke er huller eller oversete muligheder for snyd, utilsigtet adgang og misbrug af brugerroller. Det detaljerede autorisationssystem i Danmarks Datavindue er gennemgået specifikt med henblik på at verificere, at der er etableret en fler-personers systematik for godkendelse og opdatering, som sikrer, at enkeltpersoner ikke kan udnytte eller misbruge systemet.
Der udføres en systematisk systemkontrol for at sikre, at forskningsresultater til hjemtagning ikke indeholder personhenførbare eller individdata, ligesom der foretages randomiserede stikprøvekontroller og ledelsesinitierede stikprøver baseret på risikovurderinger.
Sikkerheden bliver løbende overvåget både ved Danmarks Statistiks eget interne tilsyn og ved eksterne tilsyn og revisioner. Danmarks Statistik har løbende kontakt med uvildige, eksterne eksperter, der vurderer, tester og trykprøver sikkerheden i systemerne, i kildekoden og i arbejdsgangene. Sikkerheden i vores pseudonymiseringsalgoritme er kontrolleret gennem et eksternt review fra cybersikkerhedsafdelingen, og et executive summary herom kan udleveres på anmodning til relevante interessenter. Ligeledes er den såkaldte hjemsendelseskontrol blevet efterprøvet af eksterne eksperter.
Ekstern revision:
Danmarks Statistiks Forskningsservice får årligt udarbejdet en ekstern revisionserklæring af typen ISAE3000, der kan udleveres til relevante interessenter. Revisionserklæringen, der følges med en tilsvarende ISAE3000-erklæring for det generelle it-miljø og it-arbejdsgange, beskriver bl.a. en række kontrolområder vedr. sikkerheden herunder tekniske sikringsforanstaltninger, opbevaring og behandling af personoplysninger mv.
ISO 27001-certificering:
Danmarks Statistik gennemgår årligt en proces for at opretholde den opnåede certificering efter en ISO-certificering ISO/IEC 27001:2013. Auditprocessen gennemføres af den internationale og uafhængige certificeringsvirksomhed DNV-GL.
Scopet, dvs. det område, der er kontrolleret og certificeret efter ISO 27001 er "It- og forretningsprocesser i statistikproduktionen, herunder dataindsamling, i overensstemmelse med Statement of Applicability".
Penetrationstests:
Danmarks Statistik får hvert år udført en række penetrationstests, hvor eksterne eksperter forsøger at finde huller i den tekniske skal-sikring af systemer og adgange. Dette medfører en kontinuerlig fokus på opdatering til nyeste versioner af webvendte teknologier og sikkerhed i firewallen. Der monitoreres dagligt for forsøg på angreb udefra og der sker en løbende overvågning af nettrafikken i firewallen og tilhørende systemer.