Det næste punkt på dagsordenen er:

2) 1. behandling af lovforslag nr. L 197:

Forslag til lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste for internettrusler m.v.

Af videnskabsministeren (Charlotte Sahl-Madsen).

(Fremsættelse 27.04.2011).

Forhandlingen er åbnet. Så er det hr. Torsten Schack Pedersen som ordfører for Venstre.

Da Venstres it-ordfører, hr. Michael Aastrup Jensen, desværre er blevet forhindret, skal jeg på hans vegne fremføre følgende:

Takket være it løser vi i dag et utal af opgaver langt mere effektivt, langt hurtigere og langt billigere end for bare 10 år siden. Kommunikation, lagring af oplysninger og styring af et væld af opgaver foregår i dag digitalt. Det er langtfra en overdrivelse at sige, at informationsteknologien har revolutioneret vores samfund.

Desværre har medaljen også en bagside. I den fagre nye verden, hvor et tryk på en knap kan løse opgaver, der førhen tog timer, er vi ofte hjælpeløse, hvis maskinen ikke reagerer. Bryder mail-systemer ned, må folk gå hjem fra arbejde, og sammenbrud i dankortsystemet under julehandelen vil skabe alenlange køer.

Et er imidlertid, hvis vi i et par timer må nøjes med kongens mønt eller pen og papir, noget andet er den situation, hvor større dele af vores it-infrastruktur bryder sammen. Sker det, risikerer vi at stå uden el, vand og varme, mens politi, redningskøretøjer og forsvaret må operere i blinde.

Tilbage i 2007 blev Estland ramt af et ondsindet hackerangreb. Det var et angreb, der lammede væsentlige dele af landets it-infrastruktur i dagevis. Også herhjemme er vi blevet ramt af angreb, bl.a. i forbindelse med Muhammedkrisen. Det var angreb, der satte adskillige hjemmesider ud af drift.

Truslen fra cyberspace er reel. Truslen kommer ikke alene fra intelligente teenagere isoleret på deres værelser foran computeren, nej, truslen kommer også fra terrornetværk og desværre også fra stater, der supplerer arsenalet af raketter og granater med ondsindede koder.

Derfor blev det i 2009 besluttet at etablere en tjeneste, der skal skabe overblik over trusler og sårbarheder på internettet. Med etablering af denne varslingstjeneste sikres det, at vi kan reagere hurtigt og koordineret, hvis vi bliver udsat for angreb. I forbindelse med arbejdet vil varslingstjenesten uundgåeligt kunne komme til at skulle behandle personfølsomme data. Det vil kunne give anledning til en bekymring for privatlivets fred. Det gør jo, at vi så står med et dilemma. Det er et dilemma, hvor vi på den ene side skal sikre os mod angreb på vores samfund, men på den anden side også opretholde et værn omkring vores personlige data og privatliv.

I Venstre lægger vi stor vægt på at sikre borgernes privatliv, og vi er desuden meget bevidste om, at borgernes lyst til at anvende digitale løsninger i høj grad afhænger af, om deres private oplysninger forbliver private. Formålet med nærværende lovforslag er netop at sikre et solidt varslingssystem, der forhindrer skadelige cyberangreb mod vores samfund, men som samtidig udfører sit nødvendige arbejde med respekt for borgernes privatliv og frihed.

Med lovforslaget skabes der klare retningslinjer for behandling af de indsamlede data, herunder frister for opbevaring af disse. Endvidere etableres der et uafhængigt tilsyn, som ved siden af Datatilsynet skal følge varslingstjenestens virksomhed.

Venstre finder, at initiativerne i lovforslaget på fornuftig vis opfylder de førnævnte krav, og Venstre kan derfor tilslutte sig det fremsatte lovforslag.

Tak til ordføreren. Fru Yildiz Akdogan som ordfører for Socialdemokraterne.

L 197, forslag til lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste for internettrusler m.v., skal groft sagt afveje to meget væsentlige hensyn: på den ene side hensynet til at beskytte vores kritiske digitale infrastruktur og på den anden side hensynet til at beskytte borgernes personfølsomme oplysninger.

I takt med at internettet og informationssystemer i højere og højere grad er blevet en integreret del af vores samfund, skal vi også i højere og højere grad sikre os mod de farer, som internettet fører med sig. For lige så mange muligheder nettet giver, lige så mange farer er der også derude i cyberspace.

I dag er det muligt for ondsindede personer at iværksætte omfattende og stærkt skadelige angreb på et lands digitale infrastruktur over internettet – angreb, der i værste fald kan føre til, at vitale elementer i vores samfundsstruktur bliver sat ud af spillet. Det så man i 2007 i Estland og i 2008 i Georgien, hvor ondsindede angreb mod offentlige og private hjemmesider medførte sammenbrud og sikkerhedshuller, der ramte myndigheder, politiske organisationer, aviser og tv-stationer og derved svækkede regeringernes mulighed for at kommunikere internt og med deres befolkninger, altså et angreb mod både det politiske system og pressefriheden. I Estland ramte angrebet også finanssektoren og afskar store dele af befolkningen fra eksempelvis at hæve penge.

Derfor er der hos Socialdemokraterne heller ikke nogen tvivl om, at det er nødvendigt, at vi sikrer vores kritiske digitale infrastrukturer i både den offentlige og den private sektor. Vi skal dog samtidig huske på hensynet til at beskytte borgernes personoplysninger, og vi i Socialdemokraterne er fuldt ud opmærksomme på det dilemma, der er mellem at beskytte os mod og bekæmpe angreb på vores infrastruktur og samtidig beskytte borgernes personoplysninger.

Vi mener dog, at disse hensyn i overvejende grad afvejes i dette lovforslag, og at hensynet til at sikre vores digitale infrastrukturer vejer tungt – så tungt, at vi kan give lovforslaget vores tilslutning. Men jeg vil samtidig meddele, at vi vil gå ind i udvalgsarbejdet med den hensigt at undersøge, om der inden for rammerne af, hvad der er nødvendigt for at have en effektiv varslingstjeneste, kan gøres mere for at beskytte borgernes personoplysninger. Privatlivets fred er vigtig for os, og ligeledes er det vigtigt at beskytte os mod angreb fra bl.a. cyberspace.

Tak til ordføreren. Hr. Mikkel Dencker som ordfører for Dansk Folkeparti.

Det er allerede nævnt af de to foregående ordførere, at internettet naturligvis har bibragt os som borgere her i landet og selvfølgelig også i andre lande masser af muligheder for at løse ting mere rationelt, end det har været muligt inden internettets fremkomst, nemlig ved at mange ting kan gøres digitalt, mange handler kan gennemføres og meget kommunikation kan klares langt hurtigere, end det har været tilfældet hidtil. Men som også de foregående ordførere har været inde på, er der også på internettet en række trusler, som man er nødt til at gardere sig mod, og det er som nævnt fjendtligsindede personer, fjendtligsindede organisationer og fjendtligsindede stater, som kunne finde på via internettet at angribe Danmark og danske interesser.

For at stille et værn op over for den slags internetterrorisme – det kan man vel kalde det for – bakker vi helt op om regeringens plan om at indføre det såkaldte GovCERT, som er en overvågningsindretning, som har til formål at opsnappe potentielle trusler mod danske interesser på internettet. Når man på den måde skal overvåge, hvad der foregår på internettet, er der selvfølgelig også afvejning af, at man skal tage hensyn til privatlivet, og derfor er det nødvendigt, at der tilvejebringes en afgrænsning af, hvilke oplysninger der må opbevares i hvor lang tid, og hvem de må udleveres til. Det er derfor, vi står med lovforslaget i dag, som netop er det lovmæssige grundlag for at afgrænse de her ting. Jeg mener på vegne af Dansk Folkeparti, at der er fundet en god balance mellem hensynet til borgernes privatliv og hensynet til nationen og borgernes sikkerhed på internettet, og derfor mener vi, at det er en rigtig god balance, der er fundet her for, hvilke oplysninger der opbevares i hvor lang tid, og at de så kun må udleveres til politiet og til Forsvarets Efterretningstjeneste.

Som de andre ordførere, der allerede har været heroppe, også har været inde på, er der allerede stater, der har været udsat for internetterrorisme, nemlig Estland og Georgien, og man kunne da bestemt ikke udelukke, at Danmark også kunne være et mål i fremtiden for fjendtligsindede stater og organisationer. Derfor er det af stor betydning, at vi får indført det system, som regeringen foreslår og allerede er i gang med at implementere, og som kan træde i kraft, når dette lovforslag også er vedtaget. Derfor skal jeg sige, at Dansk Folkeparti bakker op om det initiativ, regeringen har taget, og vi bakker også op om det lovforslag, som vi behandler her.

Tak til ordføreren. Fru Hanne Agersnap som ordfører for SF.

Jeg kan allerede nu sige, at SF også bakker op om lovforslaget. Det er vigtigt, at vi beskytter vores kritiske infrastruktur og vores offentlige sektor mod terrorangreb.

Ideen med det her lovforslag er, at nogen overvåger og ser, om der er kommunikation, der ser mærkelig ud, f.eks. en overvægt af henvendelser, der kan lægge systemerne ned, eller henvendelser fra IP-adresser, der lægger mærkelige spor. Så skal det kunne registreres og varsles til andre tjenester, så man kan tage sine forholdsregler. Det er faktisk primært det, der er ideen med GovCERT.

I og med at man kan overvåge og se den her trafik og registrere, om noget af trafikken ser farlig ud, er man nødt til at gemme trafikdata og det, der hedder pakkedata, altså noget om indholdet af det, der kommunikeres. Og derfor er man nødt til at få en ekstra lovhjemmel til at opbevare nogle data, som man ellers ikke ifølge persondataloven og andre regler har måttet opbevare. Så formålet med det her er selve varslingen, det er ikke formålet at læse i dataene eller se dataene. Derfor skal man sikre sig, at dataene ikke opbevares unødig længe eller videregives til nogen, der kan bruge dataene forkert. Det er det, man har forsøgt med det her lovforslag, og man har også sikret i lovforslaget, at der laves et tilsyn med tjenesten.

Derudover er der i lovforslaget indeholdt en bemyndigelse til, at ministeren kan videregive en bemyndigelse til andre ministre og styrelser, og det synes jeg umiddelbart er lidt mærkeligt. Det er måske, fordi der er en overvejelse om, om det nu ligger rigtigt hos videnskabsministeren, eller om det hellere skulle have været forsvarsministeren eller indenrigsministeren, der havde den her ressort. Derfor synes jeg, det var mere logisk, at vi efter at have kørt det her system i måske 2-3 år evaluerede det og fandt ud af, om det ligger det rigtige sted, i stedet for bare at indføre en bemyndigelse i lovforslaget. Det vil jeg stille spørgsmål til under udvalgsbehandlingen.

Der er nemlig også i høringssvarene, bl.a. fra Dansk Industris branchefællesskab for it-virksomheder, et forslag om en evaluering. Der er også et svar fra ministeriet gående ud på, at der måske i fremtiden vil være færre privatlivsindgribende teknologier, man kan følge. Så det synes jeg alt sammen peger i den retning, at vi skal evaluere det efter et par år eller tre.

Så er der et andet høringssvar fra Region Nordjylland, som jeg undrer mig over ikke er kommenteret. Det hedder i lovforslaget, at det er trafikdata, man overvåger, men er det både indgående og udgående trafik? For jeg kan ikke forestille mig andet, end at det er den indkommende trafik, der kan være farlig, så skulle man ikke begrænse lovforslaget til at kigge på indgående trafik? Det er i hvert fald et spørgsmål, jeg har, og som jeg vil søge afklaret.

Så vil jeg også lige sikre mig under udvalgsbehandlingen, at den ændring, der er sket, fra vi første gang så udkastet til det her lovforslag, og til det ligger nu – nemlig at der i det første udkast stod, at man ville videregive oplysninger til Politiets Efterretningstjeneste, og at der nu står, at man bare videregiver oplysninger til politiet – er i overensstemmelse med, at politiet i forvejen har adgang til den her slags oplysninger, altså at der ikke er sket et eller andet skred der, så politiet får adgang til nogle oplysninger, de ikke ellers har adgang til.

Men med de spørgsmål, som jeg regner med at få afklaret under udvalgsbehandlingen, kan jeg sige, at SF kan støtte forslaget.

Tak til ordføreren. Det er hr. Daniel Rugholm som ordfører for Det Konservative Folkeparti.

Vi husker formentlig alle, at Estland tilbage i 2007 oplevede en ny form for angreb imod deres stat. Regeringen, politiske partier, tre af de største nyhedsbureauer, Estlands to største banker og flere kommunikationsfirmaer blev angrebet fra servere fra udlandet og oplevede nedbrud af forskellig karakter. Disse angreb lammede store dele af samfundet, it-infrastrukturen og den daglige kommunikation. Det anslås, at det efterfølgende kostede samfundet hundredvis af millioner kroner.

I Danmark har vi også tidligere oplevet forsøg på det samme, bl.a. i forbindelse med Muhammedkrisen, hvor flere danske onlinemedier blev angrebet. I fremtiden vil truslen heller ikke blive mindre, særlig i takt med, at det offentlige digitaliserer mere og mere og tager flere og flere nye informations- og kommunikationsteknologier i brug. Det gør vores samfund sårbart over for den slags trusler og angreb. Det er derfor vigtigt, at vi kan reagere hurtigt og koordineret ved trusler mod statens it-infrastruktur.

Et positivt element ved dette lovforslag er, at kommuner og regioner også kan tilslutte sig GovCERT, ligesom private virksomheder kan anmode herom. Det giver god mening, da truslen er lige så reel for f.eks. banker, nyhedsmedier, større virksomheder eller selvstændige offentlige selskaber, og et angreb imod disse kan have store konsekvenser for samfundet.

L 197, som vi behandler i dag, indeholder regler for behandling af personoplysninger i forbindelse med brugen af GovCERT. Samtidig med at vi sikrer national sikkerhed, skal vi nemlig også sikre privatlivets fred, en fin balance mellem fællesskabets tryghed og den enkeltes frihed.

Det er vigtigt at slå fast, at GovCERT ikke er overvågning af personlige data, men et varslingssystem i forhold til trafik. Sådan lidt pædagogisk kan man sige, at GovCERT’s formål er at kigge på de kuverter, der bliver sendt samt størrelsen og mængden af dem, det, der kaldes trafikdata. GovCERT’s formål er som udgangspunkt ikke at åbne kuverterne og læse indholdet, altså det, man kalder pakkedata, f.eks. indholdet i en e-mail. Men selv med dette specifikke formål for varslingstjenesten vil det dog være vanskeligt helt at komme uden om personfølsomme oplysninger.

Hvis der opstår en reel trussel imod statens it-infrastruktur, er det vigtigt, at man kan reagere hurtigt og effektivt. Derfor er det defineret i lovforslaget, hvilke data GovCERT kan opbevare og eventuelt videregive til relevante myndigheder, hvis der opstår en trussel. Men jeg slår lige fast igen, at det altså er trafikken og ikke indholdet, der er interessant for GovCERT. Som udgangspunkt er det altid de tekniske koder bagved eller afsenderens placering.

I lovforslaget er der også sat nogle meget konkrete tidsfrister for opbevaring af data, og som et vigtigt element er der sikret tilstrækkeligt tilsyn med GovCERT. Det gælder både Rigsrevisionen, PET og Datatilsynet, og derudover bliver der nedsat et uafhængigt tilsyn med GovCERT.

Vi Konservative mener, at et varslingssystem som GovCERT ikke bare er relevant, men decideret nødvendigt i et moderne samfund som Danmark. Og lige så relevant er konkrete og fornuftige retningslinjer for brugen af et sådant system og den håndtering af personfølsomme oplysninger, som eventuelt kan opstå. Vi vurderer, at de regler og retningslinjer, som er beskrevet i dette lovforslag, er ganske fornuftige, og vi mener, at de vil bidrage til en god anvendelse af varslingstjenesten.

Vi støtter derfor lovforslaget og ser frem til en konstruktiv behandling i Udvalget for Videnskab og Teknologi.

Tak til ordføreren. Hr. Morten Østergaard som ordfører for Det Radikale Venstre.

Forleden hørte jeg, at der var flere ministerier, der var ramt af et it-nedbrud, der gjorde, at de kun kunne sende mails ud, men ikke modtage e-mails. Der er måske mange, der vil synes, at skulle man rammes af en virus, var det måske ikke den værste at blive ramt af, fordi det måske ville lette arbejdspresset en smule, men ikke desto mindre tror jeg, at det har sat mange grå hår i hovedet på de berørte medarbejdere. På sin egen finurlige måde illustrerer det jo, hvor sårbare vi er selv for de mindste typer af nedbrud eller forhindringer i vores it-infrastruktur. Det er jo i al sin alvor det, som lovforslaget her handler om.

Hvis man ønsker at skade vores samfund, også finansielt, er det at hæmme vores muligheder for at udveksle oplysninger via internettet en af de mest effektive måder at gøre det på, og derfor er vi selvfølgelig nødt til at værne og skærme os mest muligt mod den type af trusler. Den sårbarhed imødegår vi så bl.a. ved at have den her varslingstjeneste, som analyserer potentielle sikkerhedshændelser på internettet, for at se, om der er grund til nærmere efterforskning af mulige trusler.

Men det er også lige så klart, at når man på den måde forsøger at forsvare vores informationsfrihed og mulighed for at kommunikere med hinanden og udveksle oplysninger, så er det jo også afgørende, at det ikke bliver et indgreb i den selv samme frihed, som man forsøger at forsvare. Og det er jo det, som lovforslaget her forsøger at balancere.

Vi kan godt jo finde eksempler på noget, hvor vi synes, at man er gået for vidt. Den berømte og lettere berygtede logningsbekendtgørelse er et eksempel på noget, hvor vi synes, at man i hvert fald har overimplementeret de EU-regler, der er på området. Det er en lang historie, som jeg ikke skal trætte med igen. Det er bare for at give eksempel på, at det jo ikke altid er sådan, at vi bare nikker til det, der kommer. Men i det her tilfælde synes jeg faktisk, at vi har fundet en rimelig balance, fordi vi for det første lægger nogle rimelige frister for, hvor længe man kan bevare de oplysninger, man måtte komme i besiddelse af ved varslingstjenestens løsning af sine opgaver. Som flere har været inde på, er det, medmindre der er tale om oplysninger, der indgår i en decideret sikkerhedshændelse, og for så vidt det angår det her indhold eller pakkedata, kun 14 dage, og de egentlige trafikdata i højest 1 år. Er der tale om oplysninger, der rent faktisk er en del af en sikkerhedshændelse, kan det så være op til 3 år. Men der er altså nogle faste grænser, som også er relativt lette at kontrollere om overholdes.

For det andet er der selvfølgelig nødt til at være et effektivt tilsyn, og det er jo det, der tilsikres med det nye uafhængige tilsyn, som akkompagneret af Datatilsynet skal sikre, at varslingstjenesten overholder de regler.

For det tredje skal der i sagens natur være en konsekvens for de medarbejdere, der bliver betroet mulighederne til at få adgang til de her oplysninger, når de skal løse opgaverne i varslingstjenesten, og der er det jo altså straffelovens § 152, der er i spil, og den giver jo risiko for, at man kan idømmes fængsel ved særligt skærpende omstændigheder på helt op til 2 år, altså ganske skrappe konsekvenser.

Det er det, der gør, at vi synes, at vi rammer en rimelig balance med det lovforslag, der ligger her. Men vi har jo selvfølgelig også noteret os, at der i høringssvarene er nogle, der er betænkelige ved visse dele af det, og derfor vil jeg også gerne tilkendegive, at vi også er klar til at tilslutte os kravet om en evaluering efter en periode, sådan at vi klart kan signalere, at vi udover det løbende tilsyn også fra politisk hold vil vurdere, om udviklingen har gjort det nødvendigt at skærpe reglerne, og vi vil vurdere, om den måde, som varslingstjenesten og ligeledes tilsynet har håndteret deres opgaver på, har været tilfredsstillende.

Så det synes jeg vil være et klogt og godt signal at sende i forbindelse med behandlingen af lovforslaget, altså at vi vil evaluere det efter en tilstrækkelig årrække. Men samlet set synes vi, at det er en rimelig afvejning, der er fundet, og vi kan støtte lovforslaget.

Tak til ordføreren. Videnskabsministeren.

Jeg vil gerne takke for den meget velvillige første behandling af lovforslaget. Formålet med lovforslaget er som nævnt at sikre en klar hjemmel for den statslige varslingstjeneste for internettruslernes virke, som jo uundgåeligt medfører, at varslingstjenesten i visse tilfælde skal behandle personoplysninger.

Det er regeringens vision, at Danmark skal være blandt verdens førende højteknologiske samfund, og for at opfylde den vision er det vigtigt, at borgere og virksomheder er trygge ved at anvende internettet og har tillid til tjenesterne på internettet. Med oprettelsen af en statslig varslingstjeneste for internettrusler ønsker regeringen at sikre, at der i staten er overblik over trusler på internettet og desuden beskytte staten mod it-angreb ved at varsle om disse trusler.

Det er virkelig vigtigt for mig at understrege, at der er tale om et varslingssystem til beskyttelse af primært staten mod it-angreb og således ikke et system til overvågning af personers ageren på internettet. Kommuner, regioner, private virksomheder, der er beskæftiget med kritisk infrastruktur, vil også kunne tilslutte sig varslingstjenesten og opnå den samme beskyttelse som staten. Internettets robusthed vil på denne måde blive styrket, hvilket vil bidrage til at fremme den generelle tillid til tjenester på nettet.

Så vil jeg meget gerne komplimentere den store pædagogiske tæft, hvormed ordførerne i dag har præsenteret et ikke helt umiddelbart tilgængeligt lovstof. Og så vil jeg afslutningsvis sige, at jeg ser meget frem til en konstruktiv behandling af lovforslaget i udvalget.

Tak til ministeren.

Da der ikke er flere, der har bedt om ordet, er forhandlingen sluttet.

Jeg foreslår, at lovforslaget henvises til Udvalget for Videnskab og Teknologi. Hvis ingen gør indsigelse, betragter jeg dette som vedtaget.

Det er vedtaget.