Nyheder

Digitaliseringsstyrelsen har lanceret et kravkatalog, der skal understøtte arbejdet med sikkerhed. Kataloget kan bl.a. anvendes i kontrakter med leverandører, der behandler information, f.eks. personoplysninger, for en kunde. Kravkataloget er udarbejdet i samarbejde med Kammeradvokaten.

Sådan stiller du krav til din leverandør om informationssikkerhed

Af Emil Bisgaard og Kristian Lyng Rasmussen


Dataansvarlige og databehandlere skal i medfør af databeskyttelsesforordningens artikel 32 gennemføre passende tekniske og organisatoriske foranstaltninger.

Nyt kravkatalog

Digitaliseringsstyrelsen har i samarbejde med Kammeradvokaten udarbejdet et nyt kravkatalog, der bl.a. kan benyttes til at stille krav til leverandører om informationssikkerhed. Kravkataloget kan også bruges til at stille krav til databehandlere om at gennemføre passende tekniske og organisatoriske foranstaltninger. 

Kravkataloget understøtter den risikobaserede tilgang til sikkerhed, som er forudsat i sikkerhedsstandarden ISO27001 og i databeskyttelsesforordningens art. 32. Derudover indeholder kataloget 286 eksempler på krav til sikkerhed, som brugeren (f.eks. en dataansvarlig) af kataloget kan søge inspiration i, samt en fyldestgørende vejledning. Kravene i kataloget er generiske og er baseret på standarden ISO27001:2013 og rammeværket SANS CIS Critical Security Controls v. 6.1.

Kravkataloget ”Sådan stiller du krav til din leverandør om informationssikkerhed kan downloades gratis fra Digitaliseringsstyrelsens hjemmeside. 

Hvad skal du bruge kravkataloget til?

Kravkataloget er et godt værktøj til at understøtte den dataansvarliges arbejde med behandlingssikkerhed, idet det opstiller en række eksempler på krav, der er baseret på anerkendte standarder og rammeværk for informationssikkerhed, og som den dataansvarlige kan stille til databehandlere. Hvis kravene vurderes relevante, behøver kravene blot tilpasning til den konkrete kontraktuelle kontekst.

Kravkataloget understøtter således den dataansvarlige og databehandlerens arbejde med at gennemføre passende tekniske og organisatoriske foranstaltninger. Kravkataloget kan ligeledes understøtte, at det dokumenteres, at passende foranstaltninger er gennemført i henhold til databeskyttelsesforordningens regler herom.

Brugere af kataloget skal dog huske på, at kataloget hverken er udtømmende eller absolut. Der kan således i den konkrete kontekst være behov for at stille krav til databehehandleren, der ikke fremgår af kravkataloget, for at opfylde forordningens forpligtelser mht. passende tekniske og organisatoriske foranstaltninger.

Kravkataloget er udarbejdet af Kammeradvokaten i samarbejde med Digitaliseringsstyrelsen.