Da den nye Persondataforordning trådte i kraft 25. maj 2018, ændrede man også den såkaldte krigsregel, der sætter en begrænsning på, hvilke data det offentlige må have liggende i udlandet.

Desværre fik man ikke meldt ud, hvad der nu måtte lægges i udlandet. Og det er et problem.

”Der mangler klarhed over, hvilke it-systemer der er inkluderet i den nye krigsregel, og det sætter hele det offentlige system i et juridisk limbo. For hvad må man sætte op i skyen, og hvad skal blive på dansk grund?,” siger Birgitte Hass, adm. direktør i IT-Branchen.

Manglende liste stopper innovationen

Tidligere var det typisk op til den enkelte offentlige instans at fortolke krigsreglen. Og mange tolkede den som om, at man slet ikke måtte sende persondata ud af landet, da det i så fald ville være for svært at bortskaffe eller tilintetgøre disse i tilfælde af krig.

Med den nye krigsregel er det nu justitsministeren, der sammen med den relevante minister skal udarbejde en såkaldt negativliste over, hvilke it-systemer der helt eller delvist skal opbevares i landet.

Udfordringen er, at listen aldrig er blevet offentliggjort, og dermed ved ingen reelt set, hvilke it-systemer der skal blive i Danmark.

”Uden listen mangler det offentlige en rettesnor, og den enkelte myndighed aner ikke, om de gør eller planlægger noget ulovligt på it-siden. Frygten for at overtræde reglerne vil i sidste ende være en stopklods for innovationen, og det er et problem for regeringens digitale ambitioner,” udtaler Birgitte Hass.

Hun advarer om, at hvis listen ikke snart kommer, vil de enkelte ressortministerier og myndigheder selv begynde at lægge hver deres linje på området, hvilket gør det hele mere uigennemsigtigt.

Samtidig øges risikoen for, at flere offentlige instanser bremser innovative tiltag, fordi de simpelthen er for bange for at gøre noget forkert.

”Hvis vi ikke skal sætte det digitale Danmark på hold, skal negativlisten snart udgives, så både myndigheder og leverandører klart kan se, hvor de står, og planlægge derefter.”

Det handler om statens sikkerhed – ikke it-sikkerhed

I loven understreger justitsministeriet, at reglen ikke skal anvendes for at imødekomme it-sikkerhedshensyn, da dette håndteres af persondataforordningen.

Krigsreglen og den dertilhørende negativliste er altså kun lavet i forhold til at vurdere, om it-systemer af hensyn til statens sikkerhed ikke må føres ud af landet.

Her kan du læse den tidligere krigsregel (§41, stk. 4) og her kan du læse den gældende krigsregel (§3, stk. 9).

I forbindelse med Krigsreglen, har Computerworlds chefredaktør, Lars Jacobsen, skrevet følgende kommentar “Ansvaret for den totale lovløshed om dansk persondata kan kun placeres ét sted“.