ISO27001-certificering

Formål

Formålet med bestemmelsen er at sikre, at leverandøren kan dokumentere opfyldelsen af kontraktens krav til leverandørens ledelsessystem for informationssikkerhedsstyring. Dette vil blandt andet indebære, at leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre myndighedens data og information mod tab af fortrolighed, tilgængelighed og integritet. Med andre ord forpligtes leverandøren til blandt andet at sikre: 

  • At data og information kun kan tilgås af det personel, som har et arbejdsrelateret behov for dette.
  • At relevant data og information kan genfindes efter behov, eksempelvis i sammenhæng med revision eller anmodning om aktindsigt.
  • At data og information er pålideligt, så det kan danne basis for beslutningsgrundlag.

Kontrakttyper, hvor bestemmelserne kan bruges

For så vidt angår samfundsvigtige ydelser er det essentielt, at informationssikkerheden er særligt i fokus, hvilket tillige fremgår af rapporten Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift fra 2014, som blev udarbejdet af Center for Cybersikkerhed og Digitaliseringsstyrelsen i kølvandet på CSC-sagen. Sagen handlede om at hackere fra april til august 2012 havde haft adgang til data fra kørekort-registeret og efterlyste personer på Rigspolitiets server hos CSC. 

Bestemmelsens anvendelse i forhold til behandling af personoplysninger bunder i de lovmæssige krav, der stilles i persondatalovens kapitel 11, sikkerhedsbekendtgørelsens kapitel 2 og persondataforordningen.

Klausulens anvendelse er ingen garanti for god sikkerhed, og det er derfor vigtigt, at den enkelte myndighed ser klausulen i sin kontekst og anvender den som inspiration.

Fordele og ulemper ved brug af bestemmelserne

Anvendelse af bestemmelserne kan i flere tilfælde bidrage til, at illustrere og dokumentere, at leverandøren har gjort sig en række sikkerhedsmæssige overvejelser. Myndigheden skal dog være opmærksom på, at certificeringen vil være udtryk for, om leverandørens egen sikkerhed stemmer overens med leverandørens interne forhold. Bestemmelsen er således ingen garanti for total sikkerhed, da der kan være uoverensstemmelser mellem leverandørens sikkerhedsbehov og kundens.

Opfølgning i driftsfasen

Bestemmelsen indeholder krav om dokumentation for opfyldelsen af kontraktens krav til leverandørens ledelsessystem for informationssikkerhedsstyring både ved indgåelse og løbende i kontraktens levetid. Der kan være behov for at kombinere bestemmelsen med en tilsynsklausul i det omfang, myndigheden ønsker mulighed for at føre et sådant hos leverandøren.

Bod/Bonus

Bestemmelsen indeholder mulighed for at kræve bod. Denne mulighed skal ses som et incitament til, at leverandøren opfylder sine forpligtelser.

Det anbefales således, at misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder fx bod eller ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger som skyldes manglende overholdelse af gældende ret og skade på omdømme. Endvidere bør vurderingen omfatte en stillingtagen til, i hvilket omfang boden vurderes at være prisdrivende i den konkrete kontrakt.

Rapportering

Bestemmelsen indeholder ikke krav om, at leverandøren skal rapportere efter en fast proces.

Ubekendte

Bestemmelsen indeholder en række ubekendte, markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en forhandling med leverandøren om, hvilket indhold bestemmelsen skal have.