Klausuler til informationssikkerhed

Digitaliseringsstyrelsen har udarbejdet en række standardklausuler til sikkerhedsmæssige krav. Formålet er at støtte myndighederne i forbindelse med indgåelse af it-kontrakter og dermed forenkle arbejdet med at stille hensigtsmæssige krav i it-kontrakter.

Kravene relaterer sig dels til den helt basale håndtering af de omfattede data, dels til efterlevelse af love for deling af og adgange til disse data på tværs af de involverede myndigheder. Desuden relaterer de sig i høj grad også til muligheden for at opretholde privatlivsfred og indblik i den faktiske anvendelse af de personlige data.

Kontrakttyper, hvor klausulerne kan bruges

Det er afgørende for at bevare tilliden til de offentlige it-løsninger, at den fornødne gennemsigtighed etableres og opretholdes. Ligeledes skal sikkerhedsmæssige hændelser og uheldige situationer på området søges undgået ved rettidig omhu. Dette arbejde startende med opstilling af mål og krav tidligt i anskaffelsesforløbet og via aftaler med eksterne leverandører.

100 pct. sikkerhed eksisterer ikke, og i et fællesoffentligt miljø er sikkerheden ikke stærkere end det svageste led. For at opnå den optimale sikkerhed, skal alle løsningsansvarlige myndigheder derfor sørge for at stille risikobasererede krav, så fejl eller forsætlige handlinger i et svagt led ikke påvirker tilliden for alle.

Fordele og ulemper ved brug af klausulerne

Klausulerne er udarbejdet således, at myndighederne har mulighed for at vælge mellem tre løsninger. Der kan således stilles krav om, at leverandøren dokumenterer ISO-certificering eller tilsvarende. Alternativt forpligtes leverandøren til at dokumentere efterlevelse af ISO27001 eller tilsvarende. Taler konkrete forhold imod anvendelse af disse klausuler, er der udarbejdet bud på klausuler, som kan kombineres for at imødekomme et udsnit af myndighedens konkrete sikkerhedsbehov.

Der er ikke tale om et udtømmende bibliotek, der sikrer, at alle myndighederes individuelle sikkerhedskrav imødekommes. Anvendes klausulerne til inspiration, skal den enkelte myndighed derfor foretage en konkret sikkerhedsmæssig vurdering for derigennem at sikre sig, at der søges inspiration i en relevant klausul.