Fjernarbejdspladser

Formål

Bestemmelsen har til formål at sikre, at myndigheden har stillet kontraktkrav vedrørende fastsættelse af særlige retningslinjer for brug af fjernarbejdspladser for derigennem at opretholde det fornødne informationssikkerhedsniveau uanset, hvorfra der behandles information. 

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelserne kan anvendes i alle kontrakter, der regulerer behandling af information, herunder personoplysninger. Hvilke informationer, der skal være genstand for bestemmelsen, afhænger af den konkrete aftale, herunder hvilken type information der behandles.
Hvis en offentlig myndighed behandler personoplysninger, skal myndigheden som hovedregel fastsætte særlige retningslinjer for iagttagelse af sikkerhedsforanstaltninger i relation til behandling af personoplysninger ved brug af fjernarbejdspladser.

Udover hvad der konkret følger af gældende lovgivning, vil det være op til myndighedens ledelse at fastlægge niveauet for de tekniske og organisatoriske sikkerhedsforanstaltninger. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel at myndigheden får mulighed for at sikre sig, at sikkerheden ikke varierer afhængigt af, hvor i verden behandlingen af information sker. 

Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette kan have indflydelse på de forbundne omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden i udgangspunktet retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1.

For anvendelse af fjernarbejdspladser i forbindelse med behandling af personoplysninger i relation til Aftalen skal der som minimum ske opfølgning én gang årligt. 
Er der ikke tale om behandling af personoplysninger, vil det være op til myndighedens ledelse at fastlægge niveauet med udgangspunkt i myndighedens egen overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Anvender myndighed selv fjernarbejdspladser, kan de krav, der stilles i bilag X, med fordel tage udgangspunkt i disse. Opfølgningen hos leverandøren kan i det tilfælde også ske i takt med, at myndigheden opdaterer sine egne retningslinjer. 

Anvender myndigheden ikke selv fjernarbejdspladser, bør myndigheden alligevel selv foretage en overordnet selvstændig risikovurdering af anvendelsen af fjernarbejdspladser. Myndigheden vil på den baggrund være i stand til at følge op på, hvorvidt leverandørens retningslinjer er tilstrækkelige i forhold til myndighedens behov. 

Bod/Bonus

Anvendelsen af fjernarbejdspladser medfører en række særegne risici for kompromittering af informationssikkerheden, herunder informationens fortrolighed, tilgængelighed og integritet. Eksempelvis udgør opkobling på usikre netværk, via sårbare browsere eller inficerede maskiner væsentlige risici. 
Det anbefales, at de i bestemmelsen indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Se klausul om revision og tilsyn.

Det vil være op til myndighedens ledelse at fastlægge niveauet for rapportering med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning. 

Behandles der personoplysninger, skal der tillige tages højde for de persondataretlige anmeldelses- og underretningsforpligtelser. Det er hensigtsmæssigt, at kunden underrettes uden unødig forsinkelse i forbindelse med misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser. Det kan eksempelvis være i tilfælde, hvor mobilt udstyr er blevet stjålet på en udenlandsrejse.

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have. 

Myndigheden bør i forbindelse med fastlæggelse af retningslinjerne for brug af fjernarbejdspladser gøre sig en række overvejelser om eksempelvis:

  • Rammerne for fjernarbejdspladsernes fysiske miljø, herunder om der må arbejdes fra offentligt tilgængelige områder så som lufthavne, caféer og i offentlig transport. 
  • Regler for privat anvendelse af arbejdsudstyr, eksempelvis anvendelse af apps fra autoriserede og uautoriserede app-butikker, samt synkronisering af mail og kalender. 
  • Krav om anvendelse af virtuel desktop, for derigennem at undgå at der behandles og lagres information på udstyret. 

Der lægges overordnet op til, at ubekendte som myndigheden vurderer, det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Der kan eksempelvis være tale om white-lists over godkendte app-butikker, netværk eller stater, der må arbejdes fra.
De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.