Udvalgte love med krav til informationssikkerhed

Lovgivningen om informationssikkerhed handler blandt andet om beskyttelse af den enkelte borger, informationer, der er vigtige for landets sikkerhed og samfundets værdier, samt informationer, der er interessante for eftertiden og for offentligheden.

Hver lov omhandler særlige områder bl.a. med bestemte sikkerhedsmæssige krav, man skal forholde sig til, og som man skal se efter, når man sætter sig ind i loven.

Informationssikkerhed i lovgivningen tilgodeser tre overordnede krav om beskyttelse af informationer:

  • Tilgængelighed af informationer
  • Integritet/pålidelighed af informationer
  • Fortrolighed.

Hensynet vil normalt være personsikkerhed, personfølsomme informationer, landets sikkerhed eller beskyttelse af andre værdier.

Love og bestemmelser vedr. informationssikkerhed

Hele lovgivningen understreger behovet for informationssikkerhed og har indvirkning på, hvorledes it-politik, -strategi og -sikkerhed udformes i den enkelte institution. Nedenfor er en ikke-udtømmende liste over love, der indeholder regler for informationssikkerhed (For samtlige links gælder, at de linker til den relevante side på Retsinformation eller Eur-Lex, og at man fra disse link kan komme til evt. nyere versioner af den pågældende lov):

  • Cirkulære vedrørende sikkerhedsbeskyttelse af informationer af fælles interesse for landene i Nato, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt (Sikkerhedscirkulæret) – CIS nr 10338 af 17/12/2014 (Statsministeriet). https://www.retsinformation.dk/Forms/R0710.aspx?id=166206.

Vedrørende NATO- og EU-information skal man være opmærksom på, at de bagvedliggende internationale aftaler er lovstiftende i Danmark og derfor ikke kan fraviges, som man jo ellers i nogen omfang kan med cirkulærer. De bagvedliggende aftaler er:

NATO:  "Security Within the North Atlantic Treaty Organisation", CM(2002)49 1th, der detaljeret beskriver kravene til håndtering af NATO information.

EU: "Rådets afgørelse af 19.marts 2001, 2001/264/EF" om Rådets Sikkerhedsforskrifter (se EFT L101 af 11.4.2001).

  • Lov om behandling af personoplysninger (Persondataloven) – LOV nr. 429 af 31. maj 2000 som ændret senest ved LOV nr. 519 af 6. juni 2007 (Justitsministeriet/Datatilsynet). https://www.retsinformation.dk/Forms/R0710.aspx?id=828
  • Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen) – BEK nr. 528 af 15. juni 2000 som ændret ved BEK nr. 201 af 22. marts 2001 (Justitsministeriet/Datatilsynet). https://www.retsinformation.dk/Forms/R0710.aspx?id=842.

Persondataloven gælder både for private, virksomheder og den offentlige forvaltning. Bekendtgørelsen gælder specielt for den offentlige forvaltnings behandling af personoplysninger.

Som eksempel på konsekvenser for informationssikkerhed kan nævnes, at persondataloven bl.a. indeholder regler for udformning af kontroller, regler for it-anvendelse, procedurer og sikringsforanstaltninger i forbindelse med personfølsomme data. Dette har bl.a. indvirkning ved udarbejdelse af de overordnede retningslinjer for it-politik og på det konkrete plan i forbindelse med udarbejdelse af risikovurdering og informationssikkerhedsinstrukser for den enkelte institution. Bestemmelserne får dermed betydning for opbygningen af it-systemer og it-anvendelsen som helhed.

Loven gælder for al virksomhed, der udøves af den offentlige forvaltning, men ikke for sager inden for strafferetsplejen. I bestemmelserne indgår retten til og undtagelser fra retten til aktindsigt, hvilket i stigende grad har fået konsekvenser for it-anvendelsen ved overgangen til den digitale forvaltning, hvor digitale data i større omfang end tidligere er blevet omfattet af offentlighedsloven.

Arkivlovgivningen gælder for al virksomhed, der udøves af den offentlige forvaltning og domstolene, og omhandler det regelgrundlag, som regulerer forholdet mellem myndigheder og Statens Arkiver.

Bekendtgørelsen gælder for offentlige myndigheder og domstolene og omhandler overførsel af data fra alle former for elektroniske arkivsystemer, herunder databaser, registre, journalsystemer, ESDH- og EDH-systemer, til systemuafhængige arkiveringsversioner i forbindelse med aflevering til Rigsarkivet. Denne bestemmelse har konsekvenser for de tiltag, der er beskrevet i ISO27001, Anneks A.14 om anskaffelse, udvikling og vedligehold af systemer.

Bekendtgørelsen gælder for offentlige myndigheder og omhandler det regelgrundlag, der sikrer myndighedernes varetagelse af arkivmæssige hensyn i forbindelse med bevaring og kassation af offentlige arkivalier.

Cirkulæret gælder for statslige myndigheder og domstolene, og omhandler forpligtelsen til at anmelde alle systemer, som anvendes til opsamling og arkivering af oplysninger, forinden disse tages i brug. Denne bestemmelse har konsekvenser for de tiltag, der er beskrevet i ISO27001 Anneks A.14 om anskaffelse og udvikling af informationsbehandlingssystemer.

  • Cirkulære om anmeldelse og godkendelse af elektroniske journaler og elektroniske dokumenthåndteringssystemer (Anmeldelsescirkulære for e-journaler & edb) – CIR nr. 24 af 8. marts 2002. (Kulturministeriet/Rigsarkivet). https://www.retsinformation.dk/Forms/R0710.aspx?id=11829.

Cirkulæret gælder for statslige myndigheder og domstolene. Statens Arkiver skal godkende journal- og ESDH-systemer, før de må tages i brug, bl.a. for at sikre, at systemerne er indrettet på en sådan måde, at det sikrer præcis fremfinding af dokumenter, og således at borgere og forskning efter aflevering til arkiv stadig kan genfinde præcis de dokumenter, der dokumenterer et forvaltningsmæssigt hændelsesforløb.

Bekendtgørelsen fastlægger de nærmere retningslinjer for tilrettelæggelsen af det statslige regnskabsvæsen. Af bekendtgørelsen fremgår det, at it-anvendelsen skal være understøttende for aflæggelse af regnskaber, og at departementerne har en tilsynsforpligtelse i forhold til it-anvendelsen på eget ministerområde.

Ud over det regnskabsmæssige omhandler vejledningen tillige i kapitel 3 de overordnede retningslinjer for it-anvendelsen og -sikkerheden i forbindelse med regnskabsføringen. Disse retningslinjer har f.eks. betydning for udformning af en it-sikkerhedspolitik og den efterfølgende håndtering af sikkerhedsimplementeringen, herunder styring, drift, fysisk sikkerhed, adgangsstyring, m.v.

Ophavsretsloven er medtaget i oversigten, selv om den ikke direkte omhandler informationssikkerhed for at pege på vigtigheden af lovlig anvendelse af it-programmer. Ophavsretsloven fastslår bl.a., at man ikke uden videre kan anvende programmer, men at man skal købe programmer/licenser af rettighedshaveren for dermed at få det juridiske grundlag i orden over for denne før ibrugtagning. Baggrunden er, at den, som har udviklet et it-program, har ophavsretten hertil. Det er derfor ifølge loven heller ikke lovligt at kopiere programmer uden samtykke fra den, der indehaver ophavsretten.

Der er en række andre ophavsretmæssige problemstillinger knyttet til informationssikkerhed, fx distribution af ophavsretligt beskyttet materiale, herunder bøger, musik, film etc. Institutioner skal sikre sig på passende vis, at der ikke sker ulovlig distribution heraf.

Loven indeholder krav om at eksempelvis sammenligningsinformationer skal være korrekte, samt at erhvervshemmeligheder skal beskyttes. Det kan fx være relevant for institutioner, der udgiver publikationer til forbrugere eller har forbrugerinformation på nettet (informationen skal være opdateret).

Loven indeholder i §27 bestemmelser om tavshedspligt for offentligt ansatte samt i §28 bestemmelser om videregivelse af oplysninger til en anden forvaltningsmyndighed. Endvidere i §§9-10 bestemmelser om aktindsigt.

Loven indeholder bestemmelser om ret til beskyttet adresse, videregivelse af oplysninger samt behandling af personnumre.

Loven indeholder bestemmelser om nøglecentrenes behandling af personoplysninger samt beskriver den sikkerhed, der skal være knyttet til signaturgenereringssystemet.

Bekendtgørelsen omhandler al behandling af personoplysninger, som skal behandles elektronisk, inklusive international overførsel af personoplysninger.

Forordningens indhold svarer til Persondataloven og omhandler EU-institutioner og -organers behandling af personoplysninger

Loven beskriver Europols arbejdsopgaver, som bl.a. omhandler indsamling, kombination og analyse af oplysninger og efterretninger samt etablering og drift af edb-baserede datasamlinger.

Lovens kapitel 9 omhandler videregivelse af fortrolige oplysninger. 

Loven gælder for informationsdatabaser, der er massemedier, eller som drives i tilknytning til en eller flere virksomheder, der udgiver massemedier. Loven fastsætter bestemmelser om oprettelse af, adgang til og benyttelse af såvel redaktionelle informationsdatabaser som offentligt tilgængelige informationsdatabaser.

Loven indeholder bestemmelser om strafansvar og erstatningsansvar for mediernes indhold.

Loven indeholder i kapitel 9 bestemmelser om tavshedspligt og videregivelse af oplysninger og i kapitel 8 bestemmelser om aktindsigt.

Lovene indeholder bestemmelser angående immaterielle rettigheder, herunder om registre og offentliggørelse. 

Loven indeholder bestemmelser om tilgang til oplysninger om registrerede selskaber og deres regnskaber.

Loven indeholder bestemmelser om NemKonti – oprettelse, brug, m.v., herunder  bl.a. en bestemmelse om et register for alle NemKonti.