Nyhed

Justitsministeriets vejledning om krigsreglen sendt i høring

Justitsministeriet har den 11. juli sendt deres vejledning om krigsreglen samt bekendtgørelse om krigsreglen i høring hos en række myndigheder, organisationer mv., der har indtil slutningen af august til at komme med bemærkninger til både vejledningen og bekendtgørelsen.

Hvad er krigsreglen?

Krigsreglen fremgår af databeskyttelseslovens § 3, stk. 9 og giver mulighed for, at Justitsministeren efter forhandling med vedkommende minister kan fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte it-systemer, og som føres for den offentlige forvaltning, helt eller delvis alene må opbevares i Danmark. Den nye bekendtgørelse og vejledning er således en fastsættelse af disse regler.

Formålet med krigsreglen er at sikre, at personoplysninger kan kræves opbevaret på servere i Danmark af hensyn til statens sikkerhed, hvis personoplysningerne indebærer en risiko for statens sikkerhed på grund af deres karakter eller omfang. Derudover kan en digital løsning i sin helhed være af særlig kritisk karakter for samfundet og derfor i sig selv være omfattet af krigsreglen, som vi så det i forbindelse med Digital Post.

Når behandling af personoplysninger er omfattet af krigsreglen, er det kun selve opbevaringen af personoplysningerne, der bliver påvirket, hvilket bl.a. umuliggør brugen af internationale cloud-tjenester, der ikke fysisk har datacentre i Danmark og kan garantere, at dataene opbevares her. Den resterende behandling af persondataene skal fortsat ske i overensstemmelse med databeskyttelsesforordningen (GDPR).

Det overordnede formål med krigsreglen er således at søge at sikre, at de personoplysninger og offentlige it-systemer, som fremmede magter kunne have en interesse i, opbevares i Danmark, således at danske myndigheder eksempelvis ikke er afhængige af samarbejdsvilligheden fra leverandører i andre lande.

Vejledningen

Vejledningen er primært henvendt til offentlige myndigheder, der i forbindelse med indkøb af it-systemer eller genudbud af eksisterende it-systemer mv. skal undersøge, om it-systemet, og personoplysningerne indeholdt i systemet, alene må opbevares i Danmark af hensyn til statens sikkerhed. Vejledningen indeholder retningslinjer, der skal følges i forbindelse med køb eller udbud af it-systemer, når it-systemet helt eller delvist er omfattet af anvendelsesområdet for krigsreglen.

Det fremgår af vejledningen, at der efter den nye krigsregel ikke et krav om, at et it-system, der er omfattet af krigsreglen, skal kunne destrueres, hvis det skulle vise sig at være nødvendigt. Fremover skal krigsreglen i stedet sikre tilgængelighed og jurisdiktion for danske myndigheder, altså at de danske myndigheder er kompetente til at håndhæve lov og ret på det sted, hvor personoplysningerne fysisk opbevares. Krigsreglen er ikke en regel om behandlingssikkerhed. Her skal databeskyttelsesforordningens art. 32 fortsat følges.

Retningslinjer og overvejelser

Vejledningen indeholder retningslinjer og overvejelser for, hvornår en offentlig myndighed skal rette henvendelse til Justitsministeriet, hvilke overvejelser den offentlige myndighed skal foretage sig i forhold til, om et it-system er helt eller delvist omfattet af krigsreglen, herunder bl.a. hvad konsekvenserne ved, at it-systemet er utilgængeligt, konsekvenser ved kompromittering, muligheden for at kompromittering kan bruges til at påvirke holdninger f.eks. i forbindelse med et valg mv.

I vejledningen findes en oversigt over, hvilke overvejelser en offentlig myndighed skal gøre sig ved indkøb af nyt it-system eller ved genudbud, ligesom disse punkter er uddybet i vejledningen.

Som noget nyt skal it-systemer, der helt eller delvist er omfattet af krigsreglen, sættes på den liste, der optages som bilag til krigsregelbekendtgørelsen. Dette skal ske af Justitsministeren efter forhandling med vedkommende minister, hvilket i praksis betyder, at vedkommende ministerium, hvor det er relevant, skal rette henvendelse til Justitsministeriet med henblik på en vurdering af myndighedens it-system.

Såfremt det vurderes, at et it-system helt eller delvist er omfattet af krigsreglen, vil systemet dog godt kunne placeres uden for Danmarks grænser, hvis der foretages en sikker kryptering af persondata i systemet. Dette kan dog kun afgøres efter konsultation af Justitsministeriet.

Betydning

Den nye vejledning, der altså endnu ikke er endelig, er et værktøj, som offentlige myndigheder kan anvende ved indkøb eller genudbud af it-systemer. Vejledningen giver mulighed for, at den offentlige myndighed kan gøre sig nogle konkrete overvejelser, forinden der rettes henvendelse til Justitsministeriet om it-systemer, ligesom den beskriver, hvornår der skal ske henvendelse til Justitsministeriet.