Vedligeholdelse af udstyr

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende beskyttelse i forbindelse med vedligeholdelse af udstyr, herunder krav der gælder for reparation og service af udstyr.

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle kontrakter, der regulerer behandling af informationer, herunder personoplysninger. Hvilket udstyr, der skal være genstand for foranstaltningerne, afhænger af den konkrete aftale, herunder hvilken type information der behandles. 

Hvis en offentlig myndighed behandler personoplysninger, skal myndigheden som hovedregel træffe de fornødne foranstaltninger for at sikre beskyttelse af disse personoplysninger i forbindelse med vedligeholdelse af det udstyr, der anvendes til behandlingen af personoplysninger.

Udover hvad der følger af gældende lovgivning, vil det være op til myndighedens ledelse at fastlægge niveauet for tekniske og organisatoriske sikkerhedsforanstaltninger vedrørende vedligeholdelse af udstyr. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel, at myndigheden får mulighed for at sikre sig, at der føres kontrol med, at informationer ikke går tabt eller kommer til uvedkommendes kendskab i forbindelse med vedligehold af udstyr. 

Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i de forbundne omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden som udgangspunkt retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1. 

I aftaler, der regulerer behandling af personoplysninger, er det derfor som minimum relevant at modtage dokumentation for, at leverandøren har opfyldt sin forpligtelse på myndighedens anmodning og ellers i overensstemmelse med myndighedens årlige interne risikovurdering. 

Det er derudover op til ledelsen i den enkelte myndighed på baggrund af sin overordnede risikovurdering samt risikovurderingen af den konkrete løsning at fastlægge, i hvilket omfang der skal foretages opfølgning. 

Bod/bonus

Utilstrækkelig vedligeholdelse og service af udstyr kan have alvorlige konsekvenser, idet informationer på misvedligeholdt eller defekt udstyr kan komme til uvedkommendes kendskab. Derudover kan det overlade eller tilgængeliggøre udstyr med information i sig selv udgøre en risikofaktor. 

Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Det vil være op til myndighedens ledelse at fastlægge niveauet med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.  

Behandles der personoplysninger skal der tillige tages højde for de persondataretlige anmeldelses- og underretningsforpligtelser. Det er hensigtsmæssigt, at kunden underrettes uden unødig forsinkelse i forbindelse med misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser. Det kan eksempelvis være i tilfælde, hvor information er gået tabt i forbindelse med vedligeholdelse.

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have.

Myndigheden bør i forbindelse med fastlæggelse af foranstaltninger vedrørende vedligeholdelse af udstyr gøre sig en række overvejelser om eksempelvis:

  • Krav om anvendelse af bestemte reparatører, herunder om disse skal være autoriserede, og om de skal være interne eller eksterne. 
  • Rammerne for reparation og service af udstyr, hvor informationer ikke kan fjernes fra udstyret, herunder om det er relevant at sikre sig, at reparations- og servicepersonalet behandler enhver information, som de måtte blive bekendt med under deres arbejde, som fortroligt materiale, der under ingen omstændigheder må videregives eller anvendes. 
  • Retningslinjer for en reparationscyklus, herunder hvor ofte udstyr skal serviceres, og hvilket udstyr der må anvende som erstatning i mellemtiden. 
Der lægges overordnet op til, at ubekendte, som myndigheden vurderer det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Det kan eksempelvis være lister over, hvilke kriterier der skal lægges til grund, når der skal vælges en reparatør. De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.