Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Vejledning om krigsreglen i høring

Bird & Bird
29/07/2019
Vejledning om krigsreglen i høring
Bird & Bird logo
Få et overblik over krigsregelbekendtgørelsen og vejledningen herom, som den 11. juli 2019 blev sendt i høring. Der sker knap 14 måneder efter, at reglerne i Databeskyttelsesforordningen og Databeskyttelsesloven blev indført.


Den nye krigsregel


Krigsreglen fremgår af Databeskyttelseslovens § 3, stk. 9 og foreskriver, at Justitsministeren, efter forhandling med vedkommende minister, kan fastsætte regler for, at behandlingen af personoplysninger i it-systemer, der føres for den offentlige forvaltning, helt eller delvist skal ske i Danmark. Det er med hjemmel i denne bestemmelse, at Justitsministeriet nu endelig har sendt krigsregelbekendtgørelsen samt tilhørende vejledning i høring.

Hensynet bag reglen er, at behandling af personoplysninger i visse it-systemer har så stor betydning for Statens sikkerhed, at opbevaring af oplysningerne skal ske på dansk jord. Behandling i form af indsamling, videregivelse mv. af personoplysningerne i systemet reguleres af de databeskyttelsesretlige regler i øvrigt. Til forskel fra tidligere kræver den nye regel ikke, at der er en "rød knap", der kan destruere systemet med et enkelt tryk. Den nye regels hovedformål er at sikre jurisdiktion over samt tilgængelighed til de pågældende oplysninger for kompetente danske myndigheder til enhver tid.

Reglen betyder konkret, at eksempelvis populære cloud-underleverandører ikke kan levere infrastruktur til it-systemer omfattet af krigsreglen, medmindre de har datacentre på dansk jord.

Det 17 sider lange udkast til Vejledning om krigsreglen er skrevet til offentlige myndigheder, der skal forholde sig til krigsreglen i forbindelse med indkøb- eller genudbud af it-systemer, der føres for det offentlige. Retshåndhævelsesloven indeholder en identisk (krigs)regel i § 27, stk. 3. Justitsministeriets vejledning omtaler primært Databeskyttelseslovens regel, men reglen i retshåndhævelsesloven skal fortolkes i overensstemmelse hermed.


Krigsregelbekendtgørelsens anvendelsesområde


Et it-system vil kun være omfattet af krigsreglen, såfremt Justitsministeren, efter forhandling med vedkommende minister, sætter det pågældende it-system på en liste i et bilag til den endnu ikke udstedte bekendtgørelse.

It-systemer optages på listen, hvis det af hensyn til statens sikkerhed vurderes, at de pågældende personoplysninger skal opbevares fysisk i Danmark. Krigsreglen er således ikke en regel om behandlingssikkerhed, som reguleres i GDPR artikel 32.

Der findes ikke en entydig definition af begrebet "statens sikkerhed", men EU-domstolen har udtalt, at det - under Domstolens kontrol - tilkommer den enkelte medlemsstat at bestemme, hvad der i det enkelte land falder ind under begrebet. I Danmark er vurderingskompetencen henlagt til Justitsministeren efter rådgivning fra efterretningstjenesterne.

Vedkommende ministerium skal således, hvor det er relevant i forbindelse med udbud af et nyt it-system, rette henvendelse til Justitsministeren med henblik på at få vurderet, om systemet skal optages på listen.

Efter den gamle krigsregel i persondataloven var det vedkommende ministerium selv, der foretog den endelige vurdering. Ændringen har til formål at skabe en mere ensartet praksis, som fastlægges af Justitsministeriet.


Hvornår skal en myndighed rette henvendelse til Justitsministeriet?


Myndigheden skal ved sin indledende visitation af it-systemet tage højde for, om selve typen af personoplysninger, der skal opbevares i it-systemet, kan aktivere krigsreglen. Herudover skal der foretages en selvstændig vurdering af, om it-systemet (dets kritikalitet, herunder samfundsvigtige funktioner i systemet) kan aktivere krigsreglen. Dette vil betyde, at heller ikke kritiske dele af løsningen, f.eks. infrastruktur, transformationskomponenter, databaser og krypteringsnøgler, må placeres uden for landets grænser.

I vejledningen anbefales det, at systemet ved vurderingen opdeles i en rød og en grøn kategori set i forhold til personoplysningernes karakter og systemets kritikalitet. Alene systemer i den røde kategori vil være relevante at vurdere for Justitsministeriet.

Myndigheden skal foretage sine overvejelser i forhold til både 1) borgere, 2) private virksomheder og 3) offentlige myndigheder. Vejledningen oplister følgende nærmere overvejelsespunkter:

  1. Tværgående spørgsmål: Hvilke personoplysninger behandles i it-systemet?

  2. Tværgående spørgsmål: Omfanget af personoplysninger i it-systemet?

  3. Hvad er konsekvenserne ved, at it-systemet er utilgængeligt (gerne opdelt i tid og kritikalitet)?

  4. Hvad er konsekvenserne ved, at personoplysninger kompromitteres, f.eks. offentliggøres eller kommer i et fremmed lands varetægt?

  5. Hvad er konsekvenserne ved, at personoplysninger mister deres integritet, f.eks. ved at der sker ændringer eller tilføjelser?

  6. Hvad er konsekvenserne, hvis myndigheden ikke har styring med løsningens funktionalitet, f.eks. ved at andre tilføjer/fjerner funktionalitet eller opdateringer forhindres?

  7. Hvor lang tid vil det tage at flytte driften af it-systemet til ny driftsleverandør? Både hvis leverandøren er samarbejdsvillig, og hvis leverandøren ikke er tilgængelig/samarbejdsvillig?

  8. Kan myndigheden forestille sig scenarier, hvor kompromittering/udnyttelse af løsningerne kan bruges til at påvirke holdninger/meninger eksempelvis i forbindelse med valg?
    (Side 8-9 i Vedledning om krigsreglen, punkterne uddybes enkeltvis i vejledningen)


De tværgående spørgsmål i punkt 1 og 2 betyder, at typen samt omfanget af personoplysninger, der findes i it-systemet, i sig selv kan aktivere krigsreglen. Typen samt omfanget af personoplysninger i it-systemet kan imidlertid også have betydning for vurdering af listens øvrige punkter.


Brug af systemudviklere uden for Danmark


Et i praksis vigtigt spørgsmål er, om krigsreglen hindrer adgang fra udlandet til systemer omfattet af krigsreglen. Dette spørgsmål bringer (udkastet til) vejledningen klarhed over; bestemmelsen er alene til hinder for, at et it-system, som er omfattet af krigsreglen, befinder sig i et andet land.

Så længe personoplysningerne fysisk opbevares i Danmark, vil der, under iagttagelse af skærpede systemkrav og efter drøftelse med Justitsministeriet, kunne være mulighed for at etablere support-/kiggefunktioner fra et andet EU-land. Ved brug af systemudviklere uden for EU vil myndigheden skulle iagttage yderligt skærpede systemkrav og samtidig sikre, at overførslen kan rummes inden for databeskyttelsesforordningens kapitel V (regler for overførsler af personoplysninger til tredjelande).

Det fremgår af vejledningen, at Justitsministeriet som hovedregel skal bruge 1-2 måneder, og i komplekse sager længere tid, på at foretage sine vurderinger. Hertil kommer, at systemer, som potentielt omfattes af krigsreglen, som hovedregel også vil være omfattet af udbudsreglerne. Myndigheden bør derfor overveje og indtænke krigsreglen allerede i forbindelse med udbudsprocessen.

It-systemer oplistet i udkastet til Krigsregelbekendtgørelsens Bilag 1

  1. Digital Post

  2. MitID

  3. Nem Log-in

  4. Kriminalforsorgens kommende it-system Offender Management Systemet (OMS)

  5. Demars

  6. Statens Lønløsning


Vejledningen om krigsreglen giver også eksempler på systemer, der efter Justitsministeriets opfattelse ikke omfattes af krigsreglen.

  • Skatteministeriets eIndkomst-system

  • Moderniseringsstyrelsens HR-løsning

  • Undersøgelseskommissionen for SKAT's system til behandling af personoplysninger

  • Borger.dk



Overgangsperioden


Der har hersket usikkerhed om, hvordan man konkret ville løse overgangen fra den gamle til den nye krigsregel, der har fundet anvendelse siden den 25. maj 2018. Dette giver udkastet også foreløbigt svar på.

It-systemer indkøbt før den 25. maj 2018, som vedkommende myndighed allerede har vurderet efter den tidligere (20 år gamle) krigsregel i persondatalovens § 41, stk. 4, skal ikke genvurderes efter den nye vejledning, medmindre enten hele systemet, eller dele heraf (gen)udbydes, outsources eller ændres med risiko for, at systemets kritikalitet også ændres.


Den nye krigsregels fremtid


Justitsministeriet sendte krigsregelbekendtgørelsen samt Vejledning om krigsreglen i høring den 11. juli 2019. Myndigheder samt branche- og interesseorganisationerne har frist den 30. august 2019 til at komme med eventuelle bemærkninger. Høringslisten (liste over organisationer vejledningen er sendt i høring hos) kan tilgås her. Når bekendtgørelsen udstedes endeligt, vil den herefter skulle opdateres løbende, i takt med at nye (genudbudte) it-systemer vurderes til at skulle omfattes.

 



 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted