Få et overblik over krigsregelbekendtgørelsen og vejledningen herom, som den 11. juli 2019 blev sendt i høring. Der sker knap 14 måneder efter, at reglerne i Databeskyttelsesforordningen og Databeskyttelsesloven blev indført.

Den nye krigsregel

Krigsreglen fremgår af Databeskyttelseslovens § 3, stk. 9 og foreskriver, at Justitsministeren, efter forhandling med vedkommende minister, kan fastsætte regler for, at behandlingen af personoplysninger i it-systemer, der føres for den offentlige forvaltning, helt eller delvist skal ske i Danmark. Det er med hjemmel i denne bestemmelse, at Justitsministeriet nu endelig har sendt krigsregelbekendtgørelsen samt tilhørende vejledning i høring.

Hensynet bag reglen er, at behandling af personoplysninger i visse it-systemer har så stor betydning for Statens sikkerhed, at opbevaring af oplysningerne skal ske på dansk jord. Behandling i form af indsamling, videregivelse mv. af personoplysningerne i systemet reguleres af de databeskyttelsesretlige regler i øvrigt. Til forskel fra tidligere kræver den nye regel ikke, at der er en "rød knap", der kan destruere systemet med et enkelt tryk. Den nye regels hovedformål er at sikre jurisdiktion over samt tilgængelighed til de pågældende oplysninger for kompetente danske myndigheder til enhver tid.

Reglen betyder konkret, at eksempelvis populære cloud-underleverandører ikke kan levere infrastruktur til it-systemer omfattet af krigsreglen, medmindre de har datacentre på dansk jord.

Det 17 sider lange udkast til Vejledning om krigsreglen er skrevet til offentlige myndigheder, der skal forholde sig til krigsreglen i forbindelse med indkøb- eller genudbud af it-systemer, der føres for det offentlige. Retshåndhævelsesloven indeholder en identisk (krigs)regel i § 27, stk. 3. Justitsministeriets vejledning omtaler primært Databeskyttelseslovens regel, men reglen i retshåndhævelsesloven skal fortolkes i overensstemmelse hermed.

Krigsregelbekendtgørelsens anvendelsesområde

Et it-system vil kun være omfattet af krigsreglen, såfremt Justitsministeren, efter forhandling med vedkommende minister, sætter det pågældende it-system på en liste i et bilag til den endnu ikke udstedte bekendtgørelse.

It-systemer optages på listen, hvis det af hensyn til statens sikkerhed vurderes, at de pågældende personoplysninger skal opbevares fysisk i Danmark. Krigsreglen er således ikke en regel om behandlingssikkerhed, som reguleres i GDPR artikel 32.

Der findes ikke en entydig definition af begrebet "statens sikkerhed", men EU-domstolen har udtalt, at det - under Domstolens kontrol - tilkommer den enkelte medlemsstat at bestemme, hvad der i det enkelte land falder ind under begrebet. I Danmark er vurderingskompetencen henlagt til Justitsministeren efter rådgivning fra efterretningstjenesterne.

Vedkommende ministerium skal således, hvor det er relevant i forbindelse med udbud af et nyt it-system, rette henvendelse til Justitsministeren med henblik på at få vurderet, om systemet skal optages på listen.

Efter den gamle krigsregel i persondataloven var det vedkommende ministerium selv, der foretog den endelige vurdering. Ændringen har til formål at skabe en mere ensartet praksis, som fastlægges af Justitsministeriet.

Hvornår skal en myndighed rette henvendelse til Justitsministeriet?

Myndigheden skal ved sin indledende visitation af it-systemet tage højde for, om selve typen af personoplysninger, der skal opbevares i it-systemet, kan aktivere krigsreglen. Herudover skal der foretages en selvstændig vurdering af, om it-systemet (dets kritikalitet, herunder samfundsvigtige funktioner i systemet) kan aktivere krigsreglen. Dette vil betyde, at heller ikke kritiske dele af løsningen, f.eks. infrastruktur, transformationskomponenter, databaser og krypteringsnøgler, må placeres uden for landets grænser.

I vejledningen anbefales det, at systemet ved vurderingen opdeles i en rød og en grøn kategori set i forhold til personoplysningernes karakter og systemets kritikalitet. Alene systemer i den røde kategori vil være relevante at vurdere for Justitsministeriet.

Myndigheden skal foretage sine overvejelser i forhold til både 1) borgere, 2) private virksomheder og 3) offentlige myndigheder. Vejledningen oplister følgende nærmere overvejelsespunkter:

  1. Tværgående spørgsmål: Hvilke personoplysninger behandles i it-systemet?
  2. Tværgående spørgsmål: Omfanget af personoplysninger i it-systemet?
  3. Hvad er konsekvenserne ved, at it-systemet er utilgængeligt (gerne opdelt i tid og kritikalitet)?
  4. Hvad er konsekvenserne ved, at personoplysninger kompromitteres, f.eks. offentliggøres eller kommer i et fremmed lands varetægt?
  5. Hvad er konsekvenserne ved, at personoplysninger mister deres integritet, f.eks. ved at der sker ændringer eller tilføjelser?
  6. Hvad er konsekvenserne, hvis myndigheden ikke har styring med løsningens funktionalitet, f.eks. ved at andre tilføjer/fjerner funktionalitet eller opdateringer forhindres?
  7. Hvor lang tid vil det tage at flytte driften af it-systemet til ny driftsleverandør? Både hvis leverandøren er samarbejdsvillig, og hvis leverandøren ikke er tilgængelig/samarbejdsvillig?
  8. Kan myndigheden forestille sig scenarier, hvor kompromittering/udnyttelse af løsningerne kan bruges til at påvirke holdninger/meninger eksempelvis i forbindelse med valg?

(Side 8-9 i Vedledning om krigsreglen, punkterne uddybes enkeltvis i vejledningen)

De tværgående spørgsmål i punkt 1 og 2 betyder, at typen samt omfanget af personoplysninger, der findes i it-systemet, i sig selv kan aktivere krigsreglen. Typen samt omfanget af personoplysninger i it-systemet kan imidlertid også have betydning for vurdering af listens øvrige punkter.

Brug af systemudviklere uden for Danmark

Et i praksis vigtigt spørgsmål er, om krigsreglen hindrer adgang fra udlandet til systemer omfattet af krigsreglen. Dette spørgsmål bringer (udkastet til) vejledningen klarhed over; bestemmelsen er alene til hinder for, at et it-system, som er omfattet af krigsreglen, befinder sig i et andet land.

Så længe personoplysningerne fysisk opbevares i Danmark, vil der, under iagttagelse af skærpede systemkrav og efter drøftelse med Justitsministeriet, kunne være mulighed for at etablere support-/kiggefunktioner fra et andet EU-land. Ved brug af systemudviklere uden for EU vil myndigheden skulle iagttage yderligt skærpede systemkrav og samtidig sikre, at overførslen kan rummes inden for databeskyttelsesforordningens kapitel V (regler for overførsler af personoplysninger til tredjelande).

Det fremgår af vejledningen, at Justitsministeriet som hovedregel skal bruge 1-2 måneder, og i komplekse sager længere tid, på at foretage sine vurderinger. Hertil kommer, at systemer, som potentielt omfattes af krigsreglen, som hovedregel også vil være omfattet af udbudsreglerne. Myndigheden bør derfor overveje og indtænke krigsreglen allerede i forbindelse med udbudsprocessen.

It-systemer oplistet i udkastet til Krigsregelbekendtgørelsens Bilag 1
  1. Digital Post
  2. MitID
  3. Nem Log-in
  4. Kriminalforsorgens kommende it-system Offender Management Systemet (OMS)
  5. Demars
  6. Statens Lønløsning

Vejledningen om krigsreglen giver også eksempler på systemer, der efter Justitsministeriets opfattelse ikke omfattes af krigsreglen.

  • Skatteministeriets eIndkomst-system
  • Moderniseringsstyrelsens HR-løsning
  • Undersøgelseskommissionen for SKAT's system til behandling af personoplysninger
  • Borger.dk

Overgangsperioden

Der har hersket usikkerhed om, hvordan man konkret ville løse overgangen fra den gamle til den nye krigsregel, der har fundet anvendelse siden den 25. maj 2018. Dette giver udkastet også foreløbigt svar på.

It-systemer indkøbt før den 25. maj 2018, som vedkommende myndighed allerede har vurderet efter den tidligere (20 år gamle) krigsregel i persondatalovens § 41, stk. 4, skal ikke genvurderes efter den nye vejledning, medmindre enten hele systemet, eller dele heraf (gen)udbydes, outsources eller ændres med risiko for, at systemets kritikalitet også ændres.

Den nye krigsregels fremtid

Justitsministeriet sendte krigsregelbekendtgørelsen samt Vejledning om krigsreglen i høring den 11. juli 2019. Myndigheder samt branche- og interesseorganisationerne har frist den 30. august 2019 til at komme med eventuelle bemærkninger. Høringslisten (liste over organisationer vejledningen er sendt i høring hos) kan tilgås her. Når bekendtgørelsen udstedes endeligt, vil den herefter skulle opdateres løbende, i takt med at nye (genudbudte) it-systemer vurderes til at skulle omfattes.