Krigsreglen kan fordyre offentlige IT-køb

Birgitte Hass er administrerende direktør for IT-branchen. (Pressefoto)
Birgitte Hass er administrerende direktør for IT-branchen. (Pressefoto)

Den såkaldte krigsregel, der kom med i persondataforordningen i maj sidste år, betyder, at persondata, som er vitale for statens sikkerhed, skal opbevares i Danmark. Udkastet til vejledning er sendt i høring. Både IT-branchen og Dansk Erhverv mener, at vejledningen utilsigtet skaber usikkerhed om kriterierne. Det kan føre til, at alt for mange offentlige systemer kommer ind under reglen. Det vil i givet fald både gøre IT-systemerne markant dyrere og begrænse de muligheder løsningerne kan byde på.  

Det er Justitsministeriet, der har sendt udkast til vejledning om krigsreglen i høring. Den handler om, hvordan offentlige virksomheder skal afgøre om netop deres persondata er omfattet af den såkaldte krigsregel, og derfor skal opbevares på en dataserver i Danmark. Selv om både IT-branchen og Dansk Erhverv understreger, at de er positive over for vejledningen og for krigsreglen, er der også markant kritik i deres høringssvar.

Krigslisten kan blive længere
Kritikken går især på de otte spørgsmål som myndighederne skal stille sig selv og svare på når de vurderer, om deres persondata skal være omfattet af krigsreglen.

”Desværre er disse spørgsmål så bredt formuleret, at vi er nervøse for, at alt for mange myndigheder og offentlige institutioner vil føle, at flere af deres it-systemer bør høre ind under krigsreglen, og at deres data dermed ikke må placeres i udlandet eller i en cloud”, siger IT-branchens administrerende direktør Birgitte Hass.

Hun understreger, at det handler om mere end penge og omkostninger. Der er en række muligheder i cloudløsninger som det offentlige måske unødvendigt frasiger sig, hvis de kræver deres data opbevaret på dansk jord.

”Der kan være vidt forskellige vurderinger af, hvor kritisk det er at f.eks. en kommunal løsning eller en it-løsning i et ministerium, at data er utilgængelige i et par dage eller en uge, og derfor om det pågældende system skal med på listen. Og det kan få negativ effekt på de krav og løsninger, man vil efterspørge i fremtidige udbud,” siger Birgitte Hass.

Bekymring for medlemmerne
IT-Branchen og Dansk Erhverv efterspørger på den baggrund mere klarhed og flere konkrete eksempler i vejledningen på, hvorfor bestemte systemer er endt på listen, og hvorfor andre systemer ikke er med på den, således at man kan undgå at få udvidet krigslisten mere end nødvendigt

Konkret frygter brancheorganisationerne også for, at nogle af deres medlemmer kan komme til at deltage i udbud på forkerte præmisser. Det kan ske, hvis der afgives et bud på baggrund af en forventning om at data kan placeres på en server i udlandet eller i en cloud, og der efterfølgende kommer et krav om en placering i på en server i Danmark. Det vil være langt dyrere, og bekymringen er, at IT- leverandøren kan komme til at hænge på den regning.

Vejledning får ros for fokus
Brancheforeningerne peger dog også på, at det er meget positivt, at det klart fremgår af den nye vejledning, at krigsreglen har fokus på ”statens sikkerhed” og ikke ”behandlingssikkerhed”, og at det yderligere understreges, at der skal meget til, før man kan tale om statens sikkerhed.

”Hvis denne intention fastholdes, bør listen over systemer, der alene må opbevares i Danmark, ikke blive meget længere end den, allerede er”, siger Birgitte Hass.

De syv virksomheder, der i dag får opbevaret deres data i Danmark af hensyn til rigets sikkerhed i krigstid er: Digital Post, MitID, Nemlog-In3, Offender Management System (OMS), DeMars samt Statens Lønløsning.

Skrevet af

Kasper Skaanning

Kasper Skaanning, Journalist

Kasper Skaanning er uddannet journalist, og har bl.a. arbejdet som senior kommunikationskonsulent i Nykredit, i Danske Bank og som informationschef i Scandlines.

Klummer

Se alle