Ny krigsregel: Fem systemer skal blive i Danmark

Efter mere end to års ventetid er den nye krigsregel nu offentliggjort. Krigsreglen, der fremover kommer til at hedde Lokationskravet skal give klarhed over, hvilke systemer, der pga. af statens sikkerhed, skal forblive i Danmark.

Klarhed om det offentliges brug af cloud
Dato:

Oprindeligt skulle krigsreglen have været opdateret samtidig med, at de nye GDPR-regler trådte i kraft i maj 2018. Men der skulle altså gå over to år, før det skete.

En forsinkelse som IT-Branchen flere gange har været ude og kritisere, da det efterlod både it-leverandører og offentlige kunder i et regelmæssigt limbo om, hvilke systemer der f.eks. måtte hostes i udlandet, og hvilke der skulle blive i Danmark.

”Vi er først og fremmest rigtig glade for, at vejledningen nu endelig er kommet. Det ender over to års famlen i mørket, og det vi glade for. Mange offentlige myndigheder har fravalgt cloud, fordi de har været usikre på, hvad de må og ikke må. Det er en rigtig uheldig konsekvens af den lange ventetid på blandt andet denne vejledning,” siger Natasha Friis Saxberg, adm. direktør i IT-Branchen.

Godt med snæver fortolkning af krigsreglen

Kort fortalt handler Vejledning om lokationskravet i databeskyttelsesloven, som krigsreglen nu er omdøbt til, at man i forbindelse med en evt. krig vil sikre, at bestemte it-systemer af hensyn til statens sikkerhed, ikke ligger placeret i udlandet.

Lokationskravet er derfor ikke en regel om behandlingssikkerhed (GDPR), men derimod alene en regel om, at systemer, der er særligt kritiske, af hensyn til statens sikkerhed skal blive i Danmark.

”Vi kan se, at man har holdt fast i den snævre fortolkning af krigsreglen, der udelukkende fokuserer på statens sikkerhed, hvilket er godt. Der skal altså meget til, før man kan tale om statens sikkerhed, så det burde sikre, at krigsreglen kun er relevant for ganske få danske systemer,” udtaler Natasha Friis Saxberg.

Fem systemer skal blive i Danmark

Justitsministeriet har besluttet, at lokationskravet omfatter fem it-systemer, som af samme grund ikke må flyttes ud af Danmark.

  • Digital Post
  • MitID
  • Nemlog-in 3
  • DeMars
  • Statens Lønløsning

”Listen er som forventet ganske kort, og det bør den også blive ved med at være. Men vejledningen kommer for alvor til at stå sin prøve i takt med, at flere centrale it-systemer bliver genudbudt. Vores skrækscenarie er, at listen kommer til at vokse dynamisk i takt med genudbud af disse systemer.”

Netop vurderingen af, hvilke systemer der er underlagt lokationskravet, og hvilke systemer der ikke er, har længe været noget, IT-Branchen har ønsket information om.

”Vejledningen gælder kun for nye it-systemer eller systemer, der gennemgår større forandringer. Det er naturligvis ærgerligt for de systemer, der som følge af den gamle og bredere krigsregel er blevet krævet placeret i Danmark. Her vil der givetvis være flere systemer, som med den nye vejledning kunne være placeret andre steder, og hvor der vil være penge at spare,” slutter Natasha Friis Saxberg.

IT-Branchen har også efterspurgt en samlet liste over de it-systemer, der er blevet vurderet, og har fået ok til at være placeret i udlandet, så man havde et mere klart billede af, hvad der skal til for komme på den eller anden liste. Her er der dog kun oplistet nogle eksempler i selve vejledningen.

Du kan læse hele Vejledning om lokationskravet i databeskyttelsesloven her.

Computerworld har fulgt sagen længe, og har skrevet en lidt længere artikel om krigsreglen.

IT-Branchen har naturligvis også kommenteret på vejledningen ligesom ITWatch har skrevet om sagen.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *