Uddatamateriale

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende beskyttelse af uddatamateriale.

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle kontrakter, der regulerer behandling af information, herunder personoplysninger i ”Uddatamateriale”. Uddatamateriale forstås hér som resultatet af en elektronisk databehandling, som foreligger på papirbaseret eller elektronisk form. Det kan eksempelvis være statistik, gevinstmålinger, virksomheds- eller personprofiler. Hvis en offentlig myndighed behandler personoplysninger, skal myndigheden som hovedregel fastsætte særlige retningslinjer for at sikre beskyttelse af uddatamateriale, der indeholder personoplysninger.

Udover hvad der konkret følger af gældende lovgivning, vil det være op til myndighedens ledelse at fastlægge niveauet for tekniske og organisatoriske sikkerhedsforanstaltninger vedrørende beskyttelse af uddatamateriale. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel, at myndigheden får mulighed for at sikre sig, at leverandøren kontrollerer, hvem der får adgang til uddatamateriale.

Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Det kan umiddelbart virke som en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Imidlertid medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i lavere omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden i udgangspunktet retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1. I aftaler, der regulerer behandling af personoplysninger, er det derfor som minimum relevant at modtage dokumentation for, at leverandøren har opfyldt sin forpligtelse på myndighedens anmodning og ellers i overensstemmelse med myndighedens årlige interne risikovurdering. Det er derudover op til ledelsen i den enkelte myndighed på baggrund af sin overordnede risikovurdering samt risikovurderingen af den konkrete løsning at fastlægge, i hvilket omfang der skal foretages opfølgning.

Bod/bonus

Uddatamateriale kan eksempelvis være resultatet af en penetrationstest, en myndigheds sårbarhedsvurdering eller en rapport, der ligger til grund for myndighedens omorganisering. Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Se klausul om revision og tilsyn.

Det vil være op til myndighedens ledelse at fastlægge niveauet for rapportering med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning. Behandles der personoplysninger skal der tillige tages højde for de persondataretlige anmeldelses- og underretningsforpligtelser. Det er hensigtsmæssigt, at kunden underrettes uden unødig forsinkelse i forbindelse med misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser. Det kan eksempelvis være i tilfælde, hvor en konsulent får stjålet eller på anden måde mister en mappe med rapporter om myndighedens interne sikkerhedsforanstaltninger. Et andet eksempel kan være, hvis en leverandør flytter uddatamateriale ved brug af uautoriserede transportører. 

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde, hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have.

Myndigheden bør i forbindelse med fastlæggelse af foranstaltninger vedrørende uddatamateriale gøre sig en række overvejelser, herunder om eksempelvis:

  • Retningslinjer for autorisation af hvilket personale, der må beskæftige sig med uddatamateriale, herunder hvordan materialet skal håndteres. 
  • Rammer for sikring mod uvedkommendes kendskab, herunder om der er behov for ”clean-desk”- og ”face-down”-politikker for papirbaseret uddatamateriale, eller om håndtering skal ske i separate afdelinger, der er afskåret fra de øvrige afdelinger.
  • Regler for sletning af uddatamateriale, herunder hvorvidt der er behov for at anvende specialister til at forestå opgaven eller om regulær makulering er tilstrækkeligt. 
Der lægges overordnet op til, at ubekendte, som myndigheden vurderer, det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Det kan eksempelvis være lister over hvilket personale, der må håndtere uddatamaterialet. De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.