Revision og tilsyn

Formål

Bestemmelsens formål er at give myndigheden mulighed for at sikre, at leverandøren opfyldeler kundens krav til leverandørens ledelsessystem for informationssikkerhedsstyring.

Kontrakttyper, hvor bestemmelserne kan bruges

Bestemmelsen kan anvendes til inspiration forudsat, at myndigheden i kontrakten stiller krav til leverandørens ledelsessystem for informationssikkerhedsstyring. Det er således denne kravsætning, der henvises til i bestemmelsens punkt 1.1 ved angivelsen af ”bilag [x], krav [xx] til punkt [xx]”.  

Bestemmelsernes anvendelse afhænger endvidere af en konkret vurdering af myndighedernes behov for indsigt i og kontrol med leverandørens opfyldelse af kontrakten. Der bør i denne vurdering tages højde for myndighedens behov for at løsningens tilgængelighed, integritet og fortrolighed bevares, samt hvilke ressourcetræk bestemmelsen kan medføre. Endelig bør der tages højde for lovmæssige krav, herunder blandt andet persondata- og offentligretlige.

Klausulens anvendelse er ingen garanti for god sikkerhed, og det er derfor vigtigt, at den enkelte myndighed ser klausulen i sin kontekst og anvender den som inspiration.

Fordele og ulemper ved brug af bestemmelserne

Bestemmelsernes anvendelse kan hjælpe myndigheden til at opfylde et dokumentationskrav eller et en eventuel bevisbyrde. Der kan dog forekomme tilfælde, hvor dokumentationskrav imødekommes alene ved revision og tilsyn udført af tredjemand.

Opfølgning i driftsfasen

Det anbefales, at myndigheden følger op på eventuelle bemærkninger i revisions-og tilsynsrapporten for at sikre, at leverandøren opfylder sine forpligtigelser i henhold til kontrakten. 

Bod/bonus

Det anbefales, at misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder f.eks. bod eller ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger som skyldes manglende overholdelse af gældende ret og skade på omdømme. Endvidere bør vurderingen omfatte en stillingtagen til, i hvilket omfang boden vurderes at være prisdrivende i den konkrete kontrakt.

Er der bemærkninger i tilsynsrapporten, som fastslår, at leverandøren ikke lever op til sine forpligtelser, skal disse håndteres ved hjælp af særskilte bestemmelser.

Standarder og ubekendte

Bestemmelsen henviser til en internationalt anerkendt standard. I nærværende tilfælde kan det være relevant at overveje ISAE 3402.

Bestemmelsen indeholder en række ubekendte, markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en forhandling med leverandøren om, hvilket indhold bestemmelsen skal have.