Ny regulering om lokationskrav for it-systemer i den offentlige forvaltning

Den nye bekendtgørelse samt tilhørende vejledning om lokationskrav til it-systemer i den offentlige forvaltning fastslår omfanget af lokationskravet, og afløser dermed den gamle ”krigsregel”.

Den tidligere persondatalov indeholdt en såkaldt ”krigsregel” i § 41, stk. 4, hvorefter der skulle træffes foranstaltninger, der muliggjorde bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende i relation til behandlinger af oplysninger for den offentlige forvaltning, som var af særlig interesse for fremmede magter. Den praktiske effekt heraf var, at sådanne it-systemer skulle opbevares i Danmark.


Ny regulering

Med GDPR og databeskyttelsesloven blev ”krigsreglen” erstattet af en mulighed for, at Justitsministeren kunne implementere en lignende, men mere tidssvarende regel, jf. databeskyttelsesloven § 3, stk. 9. Dette er sket nu, da den nye bekendtgørelse samt den tilhørende vejledning slår fast, at data der behandles i en række specifikke it-systemer skal opbevares i Danmark.

Med virkning af d. 3. juli 2020, skal nedenstående it-systemer føres i Danmark:

  • DeMars
  • Digital Post
  • MitID
  • NemLog-in3
  • Statens Lønløsning.

Det overordnede formål med reguleringen er at sikre, at danske myndigheder altid har adgang til de pågældende it-systemer og dermed mulighed for bl.a. at modvirke uretmæssig udnyttelse eller påvirkning af personoplysningerne i systemet ved at kunne overvåge de personer, der arbejder i systemet, samt sikre at visse personer ikke får adgang til systemet. Derudover skal den lokationsmæssige begrænsning sikre, at dansk ret regulerer it-systemerne.

I relationen til de databeskyttelsesretlige regler, fremgår det af vejledningen og betænkningen til GDPR (nr. 1565), at når et it-system er optaget på ovenstående liste, vil dette falde udenfor de databeskyttelsesretlige reglers anvendelsesområde for så vidt angår opbevaringen (dvs. den overordnede geografiske placering, adgang og opsætning i øvrigt). I relation til dette, er det vigtigt at understrege, at hensynet er statens sikkerhed og derfor alene at sikre, at danske myndigheder er kompetente til at håndhæve lov og ret på det sted, hvor personoplysningerne fysisk opbevares. Der er således ikke tale om almindelig regulering eller fravigelse af anden lovgivning for så vidt angår behandlingen af personoplysninger i øvrigt (fx indsamling, videregivelse, den registreredes rettigheder, almindelige sletterutiner, implementering af sikkerhedsforanstaltninger, mv.). Behandling af personoplysninger i sådanne tilfælde vil derfor fortsat være omfattet af de almindelige databeskyttelsesretlige regler.


Bech-Bruuns kommentarer

På et overordnet plan skaber den nye regulering en længe ventet klarhed ved at indeholde en konkretisering af de omfattede it-systemer, hvilket også var hensigten med implementeringsreglen i databeskyttelsesloven.

Lokationskravet er derfor relevant for myndighedens eksisterende setup, men også ved indkøb af nye it-systemer, ved (gen)udbud og/eller ved outsourcing af it-systemer eller når it-systemerne ændres på en sådan måde, at dette kan karakteriseres som en ”kritisk ændring”. I sådanne tilfælde kan lokationskravet medføre en række forpligtelser for myndigheden, herunder pligt til henvendelse til Justitsministeriet, visitation hos relevante ressortmyndigheder, lokationsmæssig konsekvensanalyse, mv.

Det skal understreges, at lokationskravet for it-systemer ikke finder anvendelse på it-systemer, der ikke behandler personoplysninger, eller it-systemer, der føres for private.

Læs bekendtgørelsen her.

Læs vejledningen her.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her

Artiklen er forfattet af: