Fysisk sikring

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende fysisk sikring i forbindelse med behandling af information.

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle kontrakter, der regulerer behandling af information, herunder personoplysninger. Det afhænger af den konkrete aftale i forhold til, hvilke informationer der skal træffes sikkerhedsforanstaltninger omkring med henblik på fysisk sikring. 

Bestemmelsen retter sig mod lokaliteter, hvor behandling af information finder sted og mod den fysiske sikkerhed på disse lokaliteter. Forholdsreglerne, som træffes efter denne bestemmelse, kan ses som et supplement til andre bestemmelser om adgang til information, herunder fjernarbejdspladser.

Hvis en offentlig myndighed behandler personoplysninger, skal myndigheden som hovedregel træffe sikkerhedsforanstaltninger om fysisk sikring for at sikre beskyttelse af disse personoplysninger.

Udover hvad der konkret følger af gældende lovgivning, vil det være op til myndighedens ledelse at fastlægge niveauet for tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med fysisk sikring, selvom der ikke behandles personoplysninger. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel for myndigheden, at der føres kontrol med den fysiske sikkerhed på lokaliteter, hvor myndigheden får behandlet information. Dette er essentielt i forhold til at opretholde et passende niveau for informationssikkerhed, herunder beskyttelse af informationers fortrolighed, integritet og tilgængelighed. 

Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i forbundne omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden i udgangspunktet retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1. I aftaler, der regulerer behandling af personoplysninger, er det derfor som minimum relevant at modtage dokumentation for, at leverandøren har opfyldt sin forpligtelse på myndighedens anmodning og ellers i overensstemmelse med myndighedens årlige interne risikovurdering. 

Det er derudover op til ledelsen i den enkelte myndighed på baggrund af sin overordnede risikovurdering samt risikovurderingen af den konkrete løsning at fastlægge, i hvilket omfang der skal foretages opfølgning. 

Skifter leverandøren lokation, eller anvender leverandøren nye lokationer, er det hensigtsmæssigt, at myndigheden underrettes herom. Nærværende forslag til bestemmelsen omfatter ikke et krav herom, hvorfor et sådant krav skal aftales særskilt. 

Regulerer aftalen behandling af personoplysninger, og skifter leverandøren til en lokation uden for Danmark eller EU, kan situationen blive underlagt en række særregler, herunder ”krigsreglen” i persondatalovens § 41, stk. 4, særregler om sikkerhedsforanstaltninger efter persondatalovens § 42, stk. 2, 3. pkt. og persondatalovens kapitel 7 om overførsel af oplysninger til tredjelande.

Bod/bonus

Manglende fysisk sikring kan medføre, at informationers tilgængelighed, fortrolighed og integritet kompromitteres. Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Se klausul om revision og tilsyn.

Det vil være op til myndighedens ledelse at fastlægge niveauet for rapportering med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning. Behandles der personoplysninger, skal der tillige tages højde for de persondataretlige anmeldelses- og underretningsforpligtelser. Det er hensigtsmæssigt, at kunden underrettes uden unødig forsinkelse i forbindelse med misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser. Det kan eksempelvis være i tilfælde, hvor leverandøren har været udsat for indbrud.

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have.

Myndigheden bør i forbindelse med fastlæggelse af foranstaltningerne til fysisk sikring gøre sig en række overvejelser, herunder om eksempelvis:

  • Regler for fysisk adgang til leverandørens bygninger, herunder om der skal anvendes elektroniske adgangskort, føres manuelle besøgslogs eller fremvisning af billedlegitimation. 
  • Retningslinjer for eksternes ophold hos leverandøren, herunder om eksterne må færdes på egen hånd eller skal eskorteres, og om det skal synliggøres, at de er eksterne ved hjælp af badges, klistermærker eller lignende. 
  • Rammerne for indbrudssikring, herunder om der skal være overvågningskamera, alarmer og vagtordninger. 
Der lægges overordnet op til, at ubekendte, som myndigheden vurderer det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Det kan eksempelvis være krav til, hvor meget information en besøgslog som minimum skal indeholde. 

De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.