Digital Post og den nye krigsregel
Digitaliseringsstyrelsen har i samarbejde med Justitsministeriet og PET vurderet, at Digital Post-systemet er omfattet af ”den nye krigsregel”.
Den gamle krigsregel
I den gamle Persondatalov fandtes en ”krigsregel”, hvorefter der, hvis der blev behandlet personoplysninger for den offentlige forvaltning, som var af særlig interesse for fremmede magter, skulle træffes foranstaltninger, der muliggjorde bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. På baggrund af den gamle krigsregel blev det i forbindelse med det første udbud iht. Digital Post i 2017 vurderet, at personoplysninger i Digital Post-løsningen ikke måtte behandles, herunder opbevares, lagres eller tilgængeliggøres uden for Danmark.
Den nye krigsregel
I forbindelse med det nye udbud af Digital Post har spørgsmålet været, hvorvidt en løsning ville være omfattet af ”den nye krigsregel”, der nu fremgår af Databeskyttelseslovens § 3, stk. 9, ifølge hvilken Justitsministeren efter forhandling med vedkommende minister, kan fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte it-systemer, og som føres for den offentlige forvaltning, helt eller delvis alene må opbevares her i landet.
Digitaliseringsstyrelsen har nu, i samarbejde med Justitsministeriet og PET, taget stilling til, om en Digital Post-løsning er omfattet af ”den nye krigsregel”. I den forbindelse har de udtalt, at vinderen af udbuddet skal foretage en risikobaseret vurdering af data i løsningen og løsningens betydning for statens sikkerhed, hvilket er i overensstemmelse med Databeskyttelsesforordningen.
Digitaliseringsstyrelsen, Justitsministeriet og PET har vurderet, at der i Digital Post-løsningen bl.a. sker behandling af visse personoplysninger, der indebærer en risiko for statens sikkerhed, og at behandlingen af disse personoplysninger er omfattet af ”den nye krigsregel”.
Dette betyder, at personoplysninger, der indebærer en risiko for statens sikkerhed på grund af deres karakter eller omfang, som udgangspunkt ikke må opbevares uden for Danmark.
Derudover har Digitaliseringsstyrelsen, Justitsministeriet og PET vurderet, at Digital Post-løsningen i sin helhed er af særlig kritisk karakter for samfundet, og derfor også i sig selv er omfattet af krigsreglen.
Dette medfører, at kritiske dele af Digital Post-løsningen, såsom infrastrukturen, transformationskomponenter, databaser og krypteringsnøgler, ikke må placeres uden for Danmarks grænse.
Vurderingen indebærer, at der bl.a. ikke må anvendes internationale cloudleverandører til at drive den underliggende infrastruktur af Digital Post-systemet, hvilket altså også gælder, selvom cloudleverandøren garanterer, at dataene ikke forlader EU.