Autorisation og adgangsstyring

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende autorisation og adgangsstyring. 

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle kontrakter, der regulerer behandling af information, herunder personoplysninger. Det afhænger af den konkrete aftale, hvilken information der skal være genstand for autorisation og adgangssyring.  

Det kan eksempelvis være oplysninger, der er undtaget fra aktindsigt, interne dokumenter eller andre typer oplysninger, der er kritiske for myndigheden. Hvis en offentlig myndighed behandler personoplysninger, skal myndigheden som hovedregel fastsætte særlige regler om autorisation og adgangskontrol for at sikre beskyttelse af oplysningerne.

Punkterne 1, 3 og 4 i nærværende forslag til bestemmelse afspejler de minimumskrav, der generelt stilles til autorisation og adgangskontrol i sikkerhedsbekendtgørelsen i forbindelse med behandling af personoplysninger. Punkterne 2 samt 5–7 afspejler de yderligere minimumskrav, der stilles, hvor behandlingen af de pågældende personoplysninger skal anmeldes til Datatilsynet i henhold til de gældende regler. 

Udover hvad der følger af gældende lovgivning, vil det være op til myndighedens ledelse at fastlægge niveauet for tekniske og organisatoriske sikkerhedsforanstaltninger vedrørende autorisation og adgangsstyring, selvom der ikke behandles personoplysninger. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel, at myndigheden får mulighed for at sikre, at der førers kontrol med, hvem der kan tilgå konkret information og i hvilket omfang.
Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav. 

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i forbundne omkostninger.

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden i udgangspunktet retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1. I aftaler, der regulerer behandling af personoplysninger, kan det derfor som minimum være relevant at modtage dokumentation for, at leverandøren har opfyldt sin forpligtelse på myndighedens anmodning og ellers i overensstemmelse med myndighedens årlige interne risikovurdering. 

Foretages der anmeldelsespligtig behandling af personoplysninger, er der krav om opfølgning minimum hver 6. måned i forhold til sikring af, at kun autoriserede personer har adgang til de pågældende personoplysninger, jf. sikkerhedsbekendtgørelsens § 17. Det er derudover op til ledelsen i den enkelte myndighed på baggrund af sin overordnede risikovurdering samt risikovurderingen af den konkrete løsning, at fastlægge i hvilket omfang, der skal foretages opfølgning.

Bod/bonus

Manglende styring med autorisation og adgangskontrol kan have alvorlige konsekvenser, som det var tilfældet i Se og Hør-sagen. 
Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Der lægges op til, at rapporteringen tager udgangspunkt i konkrete faktorer, som er udtryk for myndighedens risikovurdering. Disse faktorer er eksempelvis antal mislykkede log-in-forsøg i en given periode. 

Den enkelte myndighed kan selv fastsætte yderligere faktorer såsom geografisk placering eller bestemte tidspunkter på døgnet med henblik på at afgøre, om log-in forsøges fra andre lokationer end leverandørens eller kundens eller på tidspunkter, hvor det ikke med rette kan forventes, at de ansatte tilgår systemerne. 

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have. 

Myndigheden bør i forbindelse med fastlæggelse af foranstaltningerne vedrørende autorisation og adgangsstyring gøre sig en række overvejelser, om  eksempelvis:

  • Retningslinjer for de kriterier, der skal lægges til grund i forbindelse med en vurdering af, hvilke rettigheder en bruger skal tildeles, herunder om der skal ske ledelsesmæssig godkendelse eller brugere af et system kan tildele andre adgang. 
  • Rammerne for tilbagetrækning af rettigheder, herunder hvem der skal forestå opgaven og hvor hurtigt tilbagetrækning af rettigheder skal ske. 
  • Krav til adgangsstyringen, herunder om der skal anvendes to-faktor-autentifikation, længden og indholdet af adgangskoder og hvor ofte disse skal skiftes ud.  
Der lægges overordnet op til, at forhold, som myndigheden vurderer, det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Det kan eksempelvis være en liste over hvilke medarbejdere, der har rettigheder til at tildele andre brugere adgang til systemer, der ellers er lukkede.

De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.