Interne sikkerhedsbestemmelser

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende interne sikkerhedsbestemmelser i forbindelse med behandling af information.

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle kontrakter, hvor leverandøren behandler information, herunder personoplysninger. Hvilken information, der skal være genstand for foranstaltninger, afhænger af den konkrete aftale, herunder hvilken type information der behandles.

Hvis en offentlig myndighed behandler personoplysninger, skal myndigheden som hovedregel fastsætte interne sikkerhedsbestemmer om sikkerhedsforanstaltninger til uddybning af de regler, der fremgår af sikkerhedsbekendtgørelsen.

Udover hvad der konkret følger af gældende lovgivning, vil det være op til ledelsen at fastlægge niveauet for tekniske og organisatoriske sikkerhedsforanstaltninger, som skal udgøre interne sikkerhedsbestemmelser hos leverandøren, selvom der ikke behandles personoplysninger. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel, at myndigheden får mulighed for, at sikre sig, at sikkerhedsniveauet i forbindelse med behandlingen af information hos leverandøren er tilstrækkeligt.

Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i forbundne omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden i udgangspunktet retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1.
Derudover følger det af sikkerhedsbekendtgørelsens § 5, stk. 2, at der for interne sikkerhedsbestemmelser skal ske opfølgning mindst én gang årligt med henblik på at sikre, at de interne sikkerhedsbestemmelser er fyldestgørende og afspejler de faktiske forhold. 
Er der ikke tale om behandling af personoplysninger, vil det være op til myndighedens ledelse at fastlægge behovet med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning. Myndighedens vurdering af leverandørens interne sikkerhedsbestemmelser bør tage udgangspunkt i de behov, myndigheden selv har identificeret på baggrund af myndighedens overordnede risikovurdering samt risikovurderingen af den konkrete løsning.
Uanset hvilken type data aftalen regulerer, kan myndigheden tage afsæt i sine egne interne sikkerhedsbestemmelser, dog med det forbehold at de bør tilpasses de faktiske forhold hos leverandøren, herunder geografisk placering, fysisk indretning og lignende. 

Bod/Bonus

Manglende bevidsthed om informationssikkerhed hos medarbejderne udgør en af de primære trusler i den private såvel som den offentlige sektor. Det kan i sidste ende resultere i, at informationernes fortrolighed, integritet og tilgængelighed kompromitteres. 

Det anbefales, at de i bestemmelsen indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Se klausul om revision og tilsyn.

Det vil være op til myndighedens ledelse at fastlægge niveauet for rapportering med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning. 

Behandles der personoplysninger skal der tillige tages højde for de persondataretlige anmeldelses- og underretningsforpligtelser. Det er hensigtsmæssigt, at kunden underrettes uden unødig forsinkelse i forbindelse med misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser. Det kan eksempelvis være i tilfælde, hvor leverandøren ikke gennemgår sikkerhedsbestemmelserne, hvilket kan medføre at de er utidssvarende.

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige regler om, hvilket indhold bestemmelsen skal have.

Myndigheden bør i forbindelse med fastlæggelse af interne sikkerhedsbestemmelser eksempelvis gøre sig en række overvejelser, herunder om:

  • Rammer for instruktion af medarbejdere, herunder om det er tilstrækkeligt, at disse skriver under på at have gjort sig bekendt med instrukserne ved ansættelse, eller om der er behov for løbende kompetenceudvikling. 
  • Krav om hvilket vidensniveau de enkelte personalegrupper skal have, herunder hvordan man sikrer sig, at de reelt besidder dette. 
  • Retningslinjer for vedligeholdelse af de interne sikkerhedsbestemmelser, herunder hvor ofte og i hvilket omfang de skal opdateres, samt hvordan dette kommunikeres ud til personalet.  
Der lægges overordnet op til, at forhold, som myndigheden vurderer, det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Det kan eksempelvis være opgørelser over, hvilke kvalifikationer de enkelte personalegrupper skal besidde for at kunne behandle en bestemt type information.

Myndighedens vurdering af tilstrækkeligheden af leverandørens interne sikkerhedsbestemmelser bør i øvrigt tage udgangspunkt i de behov, myndigheden selv har identificeret på baggrund af myndighedens overordnede risikovurdering samt risikovurderingen af den konkrete løsning. 

Derudover bør myndigheden vurdere leverandørens interne sikkerhedsbestemmelser på baggrund af de minimumskrav, der følger af gældende ret, herunder persondataloven og sikkerhedsbekendtgørelsen. De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.