Eksterne kommunikationsforbindelser

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende beskyttelse af information i forbindelse med brug af eksterne kommunikationsforbindelser. 

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle kontrakter, der regulerer behandling af information, herunder personoplysninger. Det afhænger af den konkrete aftale, hvilke informationer der skal være genstand for særlige foranstaltninger i forbindelse med etablering af eksterne kommunikationsforbindelser.

Hvis en offentlig myndighed behandler personoplysninger, skal myndigheden som hovedregel træffe særlige foranstaltninger for at sikre beskyttelse af oplysningerne ved etablering af eksterne kommunikationsforbindelser.

Udover hvad der konkret følger af gældende lovgivning, vil det være op til ledelsen i den enkelte myndighed at fastlægge niveauet for tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med anvendelse af eksterne kommunikationsforbindelser, hvor der sker behandling af information. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel, at myndigheden får mulighed for at sikre sig, at der træffes foranstaltninger med henblik på, at information ikke kommer til uvedkommendes kendskab i forbindelse med anvendelse af eksterne kommunikationsforbindelser. Eventuelle specifikke myndighedskrav til særlige foranstaltninger kan stilles til leverandøren ved at inkludere sådanne krav i [bilag X]. 

Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i forbundne omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden i udgangspunktet retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1. I aftaler, der regulerer behandling af personoplysninger, kan det derfor som minimum være relevant at modtage dokumentation for, at leverandøren har opfyldt sin forpligtelse på myndighedens anmodning og ellers i overensstemmelse med myndighedens årlige interne risikovurdering. 

Det er dog op til ledelsen i den enkelte myndighed på baggrund af sin overordnede risikovurdering samt risikovurderingen af den konkrete løsning at fastlægge, i hvilket omfang der skal foretages opfølgning. Det kan være relevant at revidere de foranstaltninger, der træffes årligt, med henblik på at sikre, at de fortsat afspejler myndighedens behov og er tidssvarende. 

Bod/bonus

Træffer leverandøren ikke særlige foranstaltninger i forbindelse med etablering og anvendelse af eksterne kommunikationsforbindelser, kan det medføre kompromittering af informationssikkerheden, herunder informationers integritet, fortrolighed og tilgængelighed. Det kan for eksempel ske i form af man-in-the-middle-angreb eller ved, at uvedkommende opsnapper information i klar tekst. 

Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Se klausul om revision og tilsyn. Det vil være op til myndighedens ledelse at fastlægge niveauet for rapportering med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning. Behandles der personoplysninger, skal der tillige tages højde for de persondataretlige anmeldelses- og underretningsforpligtelser. Det er hensigtsmæssigt, at myndigheden underrettes uden unødig forsinkelse i forbindelse med misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser, herunder i tilfælde hvor en ekstern kommunikationsforbindelse kompromitteres. Det kan eksempelvis være i tilfælde af, at den anvendte kryptering viser sig at være for svag.

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have.

Myndigheden bør i forbindelse med fastlæggelse af foranstaltninger for anvendelse af eksterne kommunikationsforbindelser gøre sig en række overvejelser om eksempelvis:

  • Retningslinjer for kryptering, herunder hvor stærk krypteringen skal være, og om krypteringen skal følge en internationalt anerkendt standard. 
  • Rammerne for styring af krypteringsnøgler, herunder fornyelse og opbevaring af disse. 
  • Krav til krypteringsmodel, herunder om der skal anvendes ”point-to-point”- kryptering eller ”end-to-end”-kryptering. 
Der lægges overordnet op til, at ubekendte, som myndigheden vurderer det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Det kan eksempelvis være skemaer over, hvilken information der altid skal sendes via krypterede forbindelser. De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.