Logning

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende logning med henblik på beskyttelse af informationer og som støtte i en potentiel efterforskningssituation.

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle kontrakter, der regulerer anvendelse af informationer, herunder personoplysninger. Det afhænger af den konkrete aftale, hvilke informationer der skal være genstand for logning. 

Hvis en offentlig myndighed behandler personoplysninger, hvor behandlingen af de pågældende personoplysninger skal anmeldes til Datatilsynet i henhold til de gældende regler, skal myndigheden som hovedregel foretage logning af alle anvendelser af personoplysninger, jf. sikkerhedsbekendtgørelsens § 19, stk. 1.

Dette er imidlertid ikke tilfældet, hvis der er tale om behandling af personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist, jf. sikkerhedsbekendtgørelsens § 19, stk. 2.

Dette er desuden ikke tilfældet, hvis der er tale om behandling af personoplysninger, der udelukkende sker ved afvikling af programmer, som foretager en foruddefineret massebehandling af personoplysninger (»batch»-kørsler), jf. sikkerhedsbekendtgørelsens § 19, stk. 3.

Hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller pseudonymiseret (erstattet med et kodenummer eller lignende), er der alene krav om logning af bruger og tidspunkt for behandlingen, jf. sikkerhedsbekendtgørelsens § 19, stk. 4.

Endelig er der ikke krav om, at der foretages logning af behandling af personoplysninger, som i form af måle- eller analyseresultater automatisk lagres i medicoteknisk udstyr, eller personoplysninger, som manuelt registreres i medicoteknisk udstyr til supplering af automatisk lagrede oplysninger, jf. sikkerhedsbekendtgørelsens § 19, stk. 5.

I henhold til ”Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning” (Vejledning nr. 37 af 02/04/2001) er den behandling, der skal logges, i udgangspunktet begrænset til egentlig anvendelse, hvorved forstås, at en bruger af systemet anvender oplysningerne i arbejdsmæssig sammenhæng. Der er i henhold til vejledningen ikke krav om, at der sker logning af aktiviteter i forbindelse med driftsafvikling, som indebærer overvågning af og indgriben i systemerne af drifts- og systemmedarbejdere.  

Udover hvad der følger af gældende lovgivning, vil det være op til myndighedens ledelse at fastlægge niveauet for tekniske og organisatoriske foranstaltninger til beskyttelse af informationer, herunder iværksættelse af logning. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel, at myndigheden får mulighed for at sikre sig, at der foretages tilstrækkelig kontrol og logning i forbindelse med anvendelse af informationer hos leverandøren. 

Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Derudover kan logning skabe fundamentet for efterforskning og opfølgning på baggrund af et informationssikkerhedsbrud.

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i forbundne omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden i udgangspunktet retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1. 

I aftaler, der regulerer behandling af personoplysninger, kan det derfor som minimum være relevant at modtage dokumentation for, at leverandøren har opfyldt sin forpligtelse på myndighedens anmodning og ellers i overensstemmelse med myndighedens årlige interne risikovurdering.

Det er derudover op til ledelsen i den enkelte myndighed på baggrund af sin overordnede risikovurdering samt risikovurderingen af den konkrete løsning at fastlægge i hvilket omfang, der skal foretages opfølgning. Det forhold, at logning bl.a. anvendes i forbindelse med konkrete sikkerhedshændelser eller til stikprøver, bevirker, at det vil være hensigtsmæssigt for myndigheden at kunne få udskrifter af logs efter behov. 

Derudover kan det være relevant for myndigheden at sikre sig, at der bliver logget på baggrund af relevante kriterier, og at der ikke logges mere, end der er behov for under hensyntagen til det konkrete formål med logningen. Eksempelvis kan ressortomlægning give anledning til et skift i arbejdsopgaver, som kan resultere i en ændring af de oprindelige logningsbehov. 

Udover at sikre at personoplysninger behandles lovligt, kan logning endvidere være anvendes til at dokumentere, at medarbejdere ikke uberettiget håndterer information.  

Bod/Bonus

Logning kan være afgørende for, om myndigheden er i stand til at påvise overholdelse af gældende ret, indgå i konkrete personalesager og bidrage til, at sikkerhedshændelser opdages så tidligt som muligt, løses og udbedres. Logning kan endvidere være et lovkrav.

Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. I tilfælde hvor leverandørens opgave med logning, foruden hvad der følger af nærværende forslag til bestemmelsen, også rummer en proaktiv forpligtelse til at underrette om eksempelvis ualmindelig netværkstrafik, kan der være et behov for afrapportering. Dette er ikke understøttet i bestemmelsen. 

Er der alene tale om logning med henblik på reaktivt at kunne efterforske identificerede sikkerhedshændelser, kan det være tilstrækkeligt, at leverandøren rapporterer på anmodning fra kunden. Det vil være op til myndighedens ledelse at fastlægge niveauet for rapportering med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have.

Myndigheden bør i forbindelse med fastlæggelse af retningslinjerne for logning gøre sig en række overvejelser, herunder om eksempelvis:

  • Regler for hvad der logges, herunder om der skal indgå oplysninger om geografisk position, MAC-adresser og eventuelt ændring af systemkonfigurationer. 
  • Rammerne for gennemgang af loggen, herunder hvem der autoriseres hertil, hvor ofte gennemgangen skal finde sted og om vedkommende skal have både læse og skrive adgang til loggen. 
  • Retningslinjer for håndtering af identificerede hændelser i loggen, herunder ansvarsfordeling, egentlig hændelseshåndtering og -underretning. 
Der lægges overordnet op til, at ubekendte, som myndigheden vurderer det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. 

Regulerer aftalen behandling af personoplysninger, hvor behandlingen af de pågældende personoplysninger skal anmeldes til Datatilsynet i henhold til de gældende regler, skal logningen som minimum indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium, jf. sikkerhedsbekendtgørelsens § 19, stk. 1.

Opbevaringsperioden skal fastlægges på baggrund af de konkrete oplysninger, der logges, og myndighedernes konkrete behov i relation hertil. Er der eksempelvis tale om anmeldelsespligtig behandling af personoplysninger, skal logningen som udgangspunkt opbevares i 6 måneder, hvorefter den skal slettes, jf. sikkerhedsbekendtgørelsens § 19, stk. 1. På baggrund af en konkret vurdering vil det dog være lovligt for myndigheden at opbevare logningen i op til 5 år.

Eksempelvis har Datatilsynet accepteret, at Statens Serum Institut først slettede log-data, som angav anvendelser af data fra Lægemiddelstatistikregisteret, efter 5 år.
De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.