Inddatamateriale

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende beskyttelse af information i inddatamateriale. 

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle aftaler, der regulerer behandling af information, herunder personoplysninger i ”inddatamateriale”. Inddatamateriale forstås hér som det grundmateriale (papirbaseret eller elektronisk), hvorfra der hentes oplysninger til videre elektronisk databehandling. Det kan eksempelvis være information, der er tilvejebragt i forbindelse med udfyldelse af ansøgningsblanketter, spørgeskemaundersøgelser eller interviews. 

Indeholder inddatamaterialet personoplysninger, skal myndigheden som hovedregel fastsætte retningslinjer for at sikre, at inddatamateriale kun behandles af personer, som er beskæftiget med inddatering.

Udover hvad der konkret følger af gældende lovgivning, vil det være op til myndighedens ledelse at fastlægge niveauet for de tekniske og organisatoriske sikkerhedsforanstaltninger vedrørende beskyttelse af inddatamateriale. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel at myndigheden får mulighed for at sikre sig, at leverandøren kontrollerer, hvem der får adgang til inddatamateriale. Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i forbundne omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden i udgangspunktet retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1. I aftaler, der regulerer behandling af personoplysninger, er det derfor som minimum relevant at modtage dokumentation for, at leverandøren har opfyldt sin forpligtelse på myndighedens anmodning og i overensstemmelse med myndighedens årlige interne risikovurdering. 

Det er dog op til ledelsen i den enkelte myndighed på baggrund af sin overordnede risikovurdering samt risikovurderingen af den konkrete løsning at fastlægge i hvilket omfang, der skal foretages opfølgning. 

Regulerer aftalen behandling af inddatamateriale i et større omfang, er det relevant med jævnlig opfølgning for at påse, at inddatamaterialets tilgængelighed, fortrolighed og integritet ikke kompromitteres.

Bod/bonus

Manglende påsyn med hvem, der får adgang til hvilke data i forbindelse med indtastning af disse, kan i værste fald føre til datalæk. Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer af direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Det er hensigtsmæssigt, at kunden underrettes uden unødig forsinkelse i forbindelse med misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser, herunder i tilfælde hvor personer, der ikke beskæftiger sig med inddatering, får adgang til inddatamateriale.

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have.

Myndigheden bør i forbindelse med fastlæggelse af retningslinjerne for brug af inddatamateriale gøre sig en række overvejelser, herunder om eksempelvis:

  • En specificering af, hvordan aflåsnings-forpligtelsen opfyldes, om det er tilstrækkeligt et lokale eller en afdeling er aflåst, eller om der er skal stilles særlige krav til hvilke skabe og låse, der anvendes. 
  • Retningslinjer til sikring mod uvedkommendes kendskab, herunder om der er behov for ”clean-desk”- og ”face-down”-politikker for papirbaseret inddatamateriale, eller om inddatering skal ske i separate systemer, der er afskåret fra det øvrige miljø. 
  • Rammerne for sletning af inddatamateriale, herunder hvorvidt der er behov for at anvende specialister til at forestå opgaven, eller om regulær makulering er tilstrækkeligt. 
Der lægges overordnet op til, at ubekendte, som myndigheden vurderer det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Der kan eksempelvis være tale om de tekniske krav til, hvilken type skabe og låse der må anvendes.