Udvalget for Videnskab og Teknologi 2010-11 (1. samling)
L 197 Bilag 1
Offentligt
987883_0001.png
987883_0002.png
987883_0003.png
987883_0004.png
987883_0005.png
987883_0006.png
987883_0007.png
987883_0008.png
987883_0009.png
987883_0010.png
987883_0011.png
987883_0012.png
987883_0013.png
987883_0014.png
987883_0015.png
987883_0016.png
987883_0017.png
987883_0018.png
987883_0019.png
987883_0020.png
987883_0021.png
987883_0022.png
987883_0023.png
987883_0024.png
987883_0025.png
987883_0026.png
987883_0027.png
987883_0028.png
987883_0029.png
987883_0030.png
987883_0031.png
987883_0032.png
987883_0033.png
Oversigt over høringssvar til udkast til lov om behandling af personoplysningerved driften af den statslige varslingstjeneste for internettrusler m.v.
1. BaneDanmark2. Dansk Energi3. Danske Regioner, herunder Region Nordjylland4. Dansk IT5. Datatilsynet6. DI-ITEK7. DK-CERT (UNI-C)8. Domstolsstyrelsen9. Erhvervs- og Byggestyrelsen10. Finansrådet11. Forbrugerrådet12. IT-Politisk Forening13. Kort og Matrikelstyrelsen14. Politiets Efterretningstjeneste15. PROSA16. Rigsrevisionen17. Telia18. Tor Bloch
It & TelestyrelsenHolsteinsgade 63, 4.sal2100 København Ø
02.03.11
Høring: Udkast til lovforslag om den statslige varslingstjeneste forinternettruslers behandling af personoplysningerBanedanmark har læst lovforslaget, som skal danne grundlag for etablering af denstatslige varslingstjeneste GovCERT.Lovforslaget er en forudsætning for at GovCERT kan indsamle oplysninger fra detilsluttede myndigheder, for at kunne analysere sig frem til en given sikkerhedshæn-delse som rammer eller kan ramme virksomhedens it-infrastruktur via internettet.Angreb via nettet er udbredte og der er eksempler på at cyberterrorister decideret gårefter kritisk it-infrastruktur, og etablering af en GOVCERT skulle kunne give en størrerobusthed i tilfælde af et større cyberangreb.Overvågning af internettrafik kan være med til at forebygge et sammenbrud, da derkan sættes ind med hurtige afværge foranstaltninger, således at vital it-infrastrukturikke ødelægges eller afbrydes.Lovforslaget beskriver rammerne for GovCERT og giver den nødvendige lovhjemmeltil at behandle og indsamle personoplysninger som er indeholdt i de pakke og trafikda-ta som transmitteres til de tilsluttede myndigheder.Banedanmark har ingen kommentarer til lovforslaget, og ser frem til at den statsligevarslingstjeneste kan tilbyde de ydelser, som der lægges op til.
Venlig hilsen
Kenneth Lau RentiusIt-chef
ItInformationssikkerhedAmerika Plads 152100 København Ø
Telefon8234 0000Direkte82345803
Telefax[email protected]www.bane.dk
Journalnr.051-0004CVR 18632276Side 1(1)
Høringssvar
Dansk Energi
Til IT- og Telestyrelsen
Dansk Energi takker for modtagelsen af høring vedrørende udkast til lovforslag om den statsligevarslingstjeneste for internettruslers (GovCERT) behandling af personoplysninger.Dansk Energi har ingen bemærkninger til det fremsendte, men takker for muligheden for at komme medkommentarer.
Med venlig hilsenMie Yung GlockmannKonsulent, cand.jur.+45 35 300 477 +45 22 750 477-DanskEnergiRosenørns Alle 91970 Frederiksberg C+45 35 300 400
NOTAT
IT og Telestyrelsen, GovCERTSendt til:[email protected]
04-03-2011Sag nr. 11/463Dokumentnr. 12300/11
Regionernes bemærkninger til udkast til lovforslag om den statsligevarslingstjeneste for internettruslers behandling af personoplysningerDanske Regioner har indhentet bemærkninger til lovforslaget fra de enkelteregioner.I bemærkningerne fra Region Hovedstaden, Region Sjælland og RegionNordjylland støttes hensigten med GovCERT, herunder at GovCERT med-virker til, at der i staten er overblik over trusler og sårbarheder i tjenester,net og systemer på internettet.Der er ligeledes opbakning til, at GovCERTs behandling af personoplys-ninger reguleres ved lov.Det er en bemærkning fra Region Hovedstaden, til teksten i § 3, hvor derstår, at ”Fristerne i nr. 1-3 beregnes fra tidspunktet for registreringen af depågældende data i den statslige varslingstjeneste”. Her bør ”registrering”defineres, idet det ellers vil give anledning til fortolkning.Samtidig er der fra Region Nordjyllands side udtrykt bekymring for omalarmsystemet i form af et såkaldt Intrusion Detection System (GovCERTIDS) vil have den ønskede effekt, herunder om triggermekanismen til lang-tidslagring og analyse af personoplysninger teknisk set er tilstrækkelig. Derhenvises til vedlagte bemærkninger til lovforslaget fra Region Nordjylland.Bilag: Høringssvar fra Region Nordjylland
TilDanske Regioner
Høringssvar:Udkast til lovforslag om den statslige varslingstjeneste forinternettruslers behandling af personoplysningerRegion Nordjylland støtter bestræbelser, der kan sikre at kanaler, der benyttestil digital kommunikation mellem borgere og myndigheder samtkommunikationen mellem myndighederne, er minimalt sårbare over for trusler,som kan afbryde kommunikationen.For internettet og andre åbne kanaler krypterer regionen personhenførbarinformation. Regionens ansatte har mulighed for at benytte internettet til privatbrug i beskedent omfang. Privat brug skal naturligvis beskyttes på lige fod medregionens kommunikation. Endelig driver regionen sygehuse og tilbud tilborgerne 24/7. Vi kan ikke i fuld udstrækning forudse produktionen, så entypisk kommunikationsprofil hen over døgnet er vanskelig at etablere.Driftsmæssigt benytter regionen forskellige netværk både til andrevirksomheder i sundhedsvæsenet og til vore leverandører af drift ogserviceydelser.Lovforslaget har i § 3 en meget svævende beskrivelse af ensikkerhedshændelse og hvornår man må gemme pakke- og trafikdata i forholdtil den. Varslingstjenesten er jo baseret på, at man altid har en begrundetmistanke om en forventet sikkerhedshændelse. Så det er ikke begrundelsenok for at gemme pakkedata i lang tid. I § 3, stk. 2 har man efter reglenmaksimalt 14 dage til at afgøre om der er tale om en konkretsikkerhedshændelse, som kan begrunde lagring af pakkedata i længere tid.Problemet med en IDS placeret uden for de IPS-tiltag der er internt i envirksomheds tekniske infrastruktur, er at den til de fleste af varslingstjenestensbrugere er ubrugelig og vil generere så mange falske positiver, at denudvidede lagringsperiode bliver ulovlig.Vi og vore samarbejdspartnere og de kriminelle samt andre, der vil os det ondtkrypterer pakkedata. Vi gør det for at beskytte personoplysninger. Da man ikkei varslingstjenesten kan skelne mellem lovligt og ulovligt indhold vil man medtid og datakraft nok kunne tilgå selv krypteret information. Vi er forpligtet til atmeddele en sådan tiltvunget adgang til de berørte personer. Derfor er vi ikkeinteresserede i, at pakkedata gemmes længere end nødvendigt. Vi kan ikke semeningen i at gemme pakkedata ud over de 14 dage.Varslingstjenesten skal jo nødvendigvis følges op ved en konkretsikkerhedshændelse af tiltag, der ud fra analyser af trafikdata får nogle filtreaktiveret. Derfor er det er væsentligt at koncentrere sig om trafikdata påindgående trafik. Udgående trafik vil give for mange falske positiver.RegionssekretariatetInformationssikkerhed
Niels Bohrs Vej 30Postboks 83009220 Aalborg ØstTlf.: 9635 1000Fax. 9815 2009www.rn.dk
Direkte:
Ref.:Steen LedetJournalnummer: 1-10-82-0002-11Dato: 1. marts 2011
Det beskrevne tilsyn i § 6 er åbenbart uden beføjelser mht. behandlingen afpersonoplysninger og kan ikke betegnes som uafhængigt.§ 7 er interessant, da den muliggør, at alle dele af den udøvende magt kaninddrages i den statslige varslingstjenestes aktiviteter og dermed blivemedansvarlig for tjenestens behandling af de samme ministerierspersonoplysninger på internettet.Begrebet ”Kritisk infrastruktur” bør reserveres til den tekniske infrastruktur.Virksomhederne nævnt i § 1, stk. 2 er betydende for Danmarks almindeligedrift.Generelt om lovforslaget mener vi, at det ikke har en brugbar kvalitet, somregionen kan drage nytte af i vore bestræbelser på at håndtere og forklareborgerne om vor behandling af persondata. Vi er til stadighed fuldstændigbundne af Persondatalovens § 41, stk. 3. Internettet er ikommunikationssammenhæng ikke at betragte som tilhørende nogle andrerent juridisk. Varslingstjenesten er juridisk at betragte som en databehandler,da vi har dataansvaret for personoplysninger indtil de når den oprindeligedestination. Vi skal have en databehandleraftale med denne tjeneste. Det vilblive temmelig uoverskueligt at varetage dette ansvar hvis der hos regionen ogen anden modtagende myndighed er IDS-bokse, som har forskelligeopfattelser af en situation og derfor lagrer vore pakkedata uden at vi erorienteret om det.Vi er enige i, at landets kritiske tekniske infrastruktur skal sikres. Det findes dermange grundlæggende tekniske metoder til at opnå, men trafikovervågning erblot en enkelt af disse. Reglen er, at man implementerersikkerhedsforanstaltninger ud fra en risikovurdering. I denne risikovurdering,skal man naturligvis inddrage de relevante scenarier baseret på en BIA.Lovforslaget antager, at der ikke differentieres, så personoplysninger må væretil rådighed for tjenesten altid. Det ville efter vor mening give et mere brugbartresultat hvis staten kortlægger og udbygger en teknisk infrastruktur. Skal vihave individuel støtte, så skal det være til opbygning og vedligeholdelse af enlokal IPS-funktionalitet.
Side 2 af 2
4. marts 2011
IT- & TelestyrelsenAtt. Hans Bøgesvang Riis
Høring vedrørende udkast til lovforslag om den statslige varslingstjeneste for internettruslers(GovCERT) behandling af personoplysninger.DANSK IT er inviteret til at afgive høringssvar vedr. udkast til lovforslag om den statsligevarslingstjeneste for internettruslers (GovCERT) behandling af personoplysninger.
DANSK IT deler fuldt Videnskabsministeriets og IT- & Telestyrelsens erkendelse af internettetsvigtighed for samfundet. Endvidere erkender DANSK IT fuldt ud behovet for at GovCERT i vissetilfælde og i forbindelse med beskyttelsen af den offentlige digitale infrastruktur og væsentligeprivate aktører, undtagelsesvist kan behandle personlige og personfølsomme oplysninger.
Foreningen mener dog at det bør sikres at dette sker efter en model hvor det til alle tider er muligtat dokumentere, hvem der har haft adgang til hvilke data. Og at det samtidig organisatorisk sikres atadgangen til personlige eller personfølsomme oplysninger kun sker af personer, for hvem dettekniske og sikkerhedsmæssige aspekt af denne adgang er relevant. Det må endvidere ikke væremuligt for enkeltpersoner (uanset deres rang, arbejdsfunktion eller andet) at kunne ændre i delogdata der skabes i forbindelse med adgangen til personlige eller personfølsomme oplysninger.
DANSK IT hilsner tilsynet med den statslige varslingstjeneste velkomment. Men mener, at tilsynetskal være tilstrækkeligt repræsenteret med relevante stærke tekniske kompetencer for at sikre etfyldestgørende tilsyn med den statslige varslingstjeneste.
DANSK IT står naturligvis til rådighed for uddybning af de fremførte spørgsmål og anbefalinger.Med venlig hilsenDANSK IT
Benjamin Willum Funderpolitisk konsulentBredgade 25 AIDK 1260 København KITlf +45 3311 1560I[email protected]Iwww.dit.dkICVR 8397 3315
IT- og TelestyrelsenHolsteinsgade 632100 København ØSendt til: [email protected]
7. marts 2011
DatatilsynetBorgergade 28, 5.1300 København KCVR-nr. 11-88-37-29Telefon 3319 3200Fax 3319 3218E-post[email protected]www.datatilsynet.dkJ.nr. 2011-112-0406SagsbehandlerVita HornemanDirekte 3319 3232
Vedrørende høring over udkast til lovforslag om den statslige varslings-tjeneste for internettruslers (GovCERT) behandling af personoplysnin-gerDatatilsynet har ved e-post af 11. februar 2011 modtaget ovenstående udkasttil lovforslag i høring.Datatilsynet skal i den anledning bemærke følgende:1.Udkastets § 3, stk. 1, har følgende ordlyd:§ 3 Den statslige varslingstjeneste for internettrusler behandler, herunder registrerer,analyserer og opbevarer, uden retskendelse tilsluttede myndigheders og private virk-somheders ind- og udgående pakke- og trafikdata. Den statslige varslingstjeneste forinternettrusler må alene analysere indsamlede pakkedata i tilfælde af begrundet mis-tanke om en stedfunden eller forventet sikkerhedshændelse og kun i det omfang, det ernødvendigt for den pågældende analyse.
Den 18. februar 2010 afgav Datatilsynet efter behandling i Datarådet enudtalelse om de påtænkte databehandlinger hos GovCERT. Tilsynet tilkende-gav bl.a. følgende:2.1.Som udgangspunkt kan offentlige myndigheder efter persondataloven1indsamle ogregistrere personoplysninger, når det er nødvendigt for varetagelsen af myndighedens opga-ver.Vurderingen af, i hvilket omfang det i forbindelse med analyse- og varslingstjenesten er nød-vendigt for GovCERT at behandle personoplysninger, der indgår i nettrafikken, må i førsteomgang foretages af IT- og Telestyrelsen som dataansvarlig myndighed.De påtænkte databehandlinger indebærer imidlertid en omfattende overvågning af internettra-fik til og fra offentlige myndigheder, som omfatter både trafikinformation og trafikindhold.Datatilsynet skal endvidere pege på, at indsamling og registrering at oplysninger om internet-trafik på andre områder sker i henhold til lovhjemmel2.Datatilsynet finder derfor, at IT- og Telestyrelsen og Videnskabsministeriet nøje må overveje,om GovCERTs aktiviteter herunder behandlingen af personoplysninger i forbindelse med
12
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.Det gælder f.eks. reglerne i bekendtgørelse om udbydere af elektroniske kommunikations-nets og elektroniske kommunikationstjenesters registrering og opbevaring af oplysningerom teletrafik (logningsbekendtgørelsen, bek. nr. 988 af 28/09/2006) og reglerne omhastesikring i retsplejeloven.
2
analyse og varslingsopgaverne er af en sådan karakter, at der bør søges tilvejebragt særskiltlovhjemmel.
Datatilsynet noterer sig, at der med det foreliggende lovforslag er lagt op tiletablering af en sådan særskilt lovhjemmel.Efter Datatilsynets opfattelse må det herefter bero på en politisk vurdering,hvorvidt den ønskede lovhjemmel, der fortsat indebærer en omfattende over-vågning af internettrafik til og fra offentlige myndigheder omfattende bådetrafikdata og trafikindhold, skal tilvejebringes.2.1.Adgangen til trafik- og pakkedata beskrives i lovforslagets almindeligebemærkninger, pkt. 3.3.Det fremgår bl.a., at det med GovCERTs alarmsystem ikke p.t. er muligt atforetage en teknisk graduering af adgangen til pakkedata på en sådan måde, atder f.eks. kun gives adgang til visse dele af indholdet af en e-mail. Der kanifølge udkastet kun skelnes mellem adgang til pakkedata eller adgang til tra-fikdata. Det fremgår endvidere, at GovCERT vil følge mulighederne tæt for atfinde en teknisk løsning herpå.Datatilsynet skal i tilknytning hertil på ny3understrege vigtigheden af, atGovCERT holder sig ajour med mulighederne for anvendelse af privatlivs-fremmende teknologier, f.eks. således, at e-mails, som ikke viser tegn på viruseller spam, automatisk slettes straks ved indsamlingen i IDS en forud foroverførsel af data til videre behandling i GovCERT. Som alternativ til helt atslette e-mails kan man f.eks. slette eller overskrive indholdet i e-mails straksved indsamlingen i IDS en forud for en overførsel af data til videre behand-ling i GovCERT.2.2.§ 3, stk. 2 har følgende indhold:Stk. 2. Den statslige varslingstjeneste for internet trusler sletter de i stk. 1 nævntepakke- og trafikdata, når formålet med behandlingen er opfyldt. Uanset, at formåletmed behandlingen ikke er opfyldt, kan1) pakke- og trafikdata, der knytter sig til en konkret sikkerhedshændelse, maksimaltopbevares i tre år.2) pakkedata, der ikke knytter sig til en konkret sikkerhedshændelse, maksimalt op-bevares i 14 dage.3) trafikdata, der ikke knytter sig til en konkret sikkerhedshændelse, maksimalt op-bevares i 12 måneder.Fristerne i nr. 1-3 beregnes fra tidspunktet for registreringen af de pågældende data iden statslige varslingstjeneste.
Følgende fremgår af udkastets pkt. 3.3.:Der er lagt op til, at pakke- og trafikdata, som knytter sig til en konkret sikkerheds-hændelse, kan opbevares i tre år. Pakkedata, der ikke er knyttet til en konkret sikker-hedshændelse, kan maksimalt lagres i 14 kalenderdage. Som udgangspunkt vil pakke-data dog kun blive opbevaret i seks kalenderdage. Trafikdata, som ikke knyttersig til en konkret sikkerhedshændelse, kan maksimalt opbevares i 12 måneder. Det ervigtigt at være opmærksom på, at fristerne alle er maksimumfrister. GovCERT vil lø-3
Datatilsynet har i sin udtalelse af 18. februar 2010 ligeledes henvist til anvendelse af privat-livsfremmende teknologier
3
bende være forpligtet til at slette data, som ikke længere er relevante for GovCERT svirke, uanset at fristerne beskrevet i § 3 ikke er overskredet. Derudover er det i § 3fastsat, at indsamlede pakkedata kun vil kunne blive analyseret af GovCERT, hvis derer begrundet mistanke om en sikkerhedshændelse, og at det kun er den relevante del afde indsamlede data, som kan analyseres.
Endvidere fremgår følgende:Længden af fristerne i § 3 er fastsat på baggrund af en proportionalitetsafvejning afhensynet til GovCERT s virke set i forhold til hensynet til privat livets fred. Det er ivisse situationer væsentligt for GovCERT at kunne sammenholde nyindsamlede datamed ældre data for f.eks. at kunne analysere et it-angreb nærmere. Heroverfor stårhensynet til de berørte borgeres privatliv. Denne afvejning har resulteret i de nævntefrister, som også er fastsat under inddragelse af erfaringer fra andre landes CERT er.
Af bemærkningerne til § 3 fremgår bl.a. følgende:Det vurderes, at de foreslåede maksimale opbevaringsperioder er de kortest mulige iforhold til formålet med GovCERT. Det er i den forbindelse væsentligt at væreopmærksom på, at GovCERT med vedtagelsen af lovforslaget alene får hjemmel til atanalysere pakkedata ved begrundet mistanke om en stedfunden eller forventetsikkerhedshændelse. Adgangen til pakkedata er yderligere begrænset af, at kun den delaf de indsamlede pakkedata, som er relevant for den pågældende analyse afsikkerhedshændelsen, vil kunne analyseres. Adgangen for GovCERT til pakkedata erherved begrænset mest muligt for at imødekomme hensynet til privat livets fred.
Datatilsynet har noteret sig, at der er foretaget en proportionalitetsafvejningog på den baggrund beskrevet sletterutiner.Det står imidlertid ikke Datatilsynet klart, hvorfor det er nødvendigt at opbe-vare pakkedata i op til 14 dage, hvis der ikke er tegn på sikkerhedshændelser.Datatilsynet skal anbefale, at det i bemærkningerne præciseres, hvorfor detoverhovedet er nødvendigt at opbevare pakkedata i situationer, hvor der ikkeer tegn på sikkerhedshændelser, samt at det præciseres, hvorfor perioden på14 dage er valgt, når det samtidig fremgår af bemærkningerne, at pakkedatasom udgangspunkt kun vil blive opbevaret i 6 dage.3.Lovforslaget indeholder under de almindelige bemærkninger et afsnit 2med overskriften Gældende ret . I afsnittet omtales visse af persondatalo-vens regler.Frem for denne omtale af visse, men ikke alle relevante regler vil Datatilsynetforeslå, at der i afsnittet om gældende ret blot gives en mere overordnet oggenerel henvisning til persondataloven og det efterfølgende afsnit om forhol-det til persondataloven.I den forbindelse skal Datatilsynet bemærke, at også andre love end personda-taloven kan have betydning for GovCERT. Datatilsynet skal navnlig pege påreglerne om meddelelseshemmeligheden, jf. herunder også lovforslagets sene-re afsnit herom.Hertil kommer, at persondataloven på teleområdet suppleres af særregler itelelovgivningen, som gennemfører det særlige databeskyttelsesdirektiv ved-rørende elektronisk kommunikation (e-databeskyttelsesdirektivet, direktiv
4
2002/58/EF). Datatilsynet går ud fra, at IT- og Telestyrelsen har overvejet, omdette kan være relevant.4.Udkastes § 6 har følgende ordlyd:§ 6.Ministeren for videnskab, teknologi og udvikling nedsætter et uafhængigt tilsyn,der følger den statslige varslingstjeneste for internet truslers virksomhed.Stk. 2. Tilsynet består af en dommer som formand og fire sagkyndige medlemmer.Formanden og medlemmerne af tilsynet beskikkes af ministeren for videnskab, tekno-logi og udvikling. Ministeren for videnskab, teknologi og udvikling skal ved beskik-kelsen af tilsynets medlemmer lægge vægt på, at tilsynet samlet repræsenterer juridisk,it-revisionsmæssig og sikkerhedsmæssig sagkundskab.Stk. 3. Medlemmerne beskikkes for fire år ad gangen og kan genbeskikkes.Stk. 4. Ministeren for videnskab, teknologi og udvikling fastsæt ter rammerne for til-synets virksomhed. Ministeren for videnskab, teknologi og udvikling kan herunder be-slut te, at tilsynet skal udarbejde en årsberetning om den statslige varslingstjeneste forinternettruslers virksomhed.Stk. 5. IT- og Telestyrelsen stiller sekretariatsbistand til rådighed for tilsynet.Stk. 6. Staten afholder alle udgifter i forbindelse med tilsynets virksomhed.
Det fremgår af bemærkningerne til § 6, at formålet med bestemmelsen er atpålægge Ministeren for videnskab, teknologi og udvikling at nedsætte et uaf-hængigt tilsyn, der skal følge GovCERT s virksomhed, og at Ministeren forvidenskab, teknologi og udvikling fastsætter nærmere regler for tilsynets virk-somhed.Det fremgår endvidere af bemærkningerne til § 6, at det er hensigten, at tilsy-net skal forestås af en dommer som formand og fire sagkyndige medlemmer,der må betragtes som upolitiske, og som beskikkes som følge af den alminde-lige tillid og agtelse, der er knyttet til deres person i lighed med ordningen,der er kendt fra Wamberg-udvalget, der fører tilsyn med Politiets Efterret-ningstjenestes og Forsvarets Efterretningstjenestes behandling af personop-lysninger. Det er endvidere ifølge bemærkningerne en forudsætning, at tilsy-nets medlemmer kan sikkerhedsgodkendes.Ifølge bemærkningerne til § 6 har Datatilsynet samtidig hermed fuld inspekti-onskompetence i forhold til de registrerede og opbevarede oplysninger, jf.persondatalovens § 62, stk. 2, om behandling, der foretages for den offentligeforvaltning, og at bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsfor-anstaltninger til beskyttelse af personoplysninger, som behandles for den of-fentlige sektor, finder anvendelse.Det fremgår endvidere af udkastet til lovforslag pkt. 3.5., at lovforslaget for atsikre, at GovCERTs behandling af personoplysninger er i overensstemmelsemed lovforslaget og gældende ret i øvrigt, indeholder en bestemmelse om, atMinisteren for Videnskab, Teknologi og Udvikling nedsætter et uafhængigttilsyn, som skal følge GovCERTs virksomhed. Tilsynet vil bl.a. kunne bestå ien årlig afrapportering til Ministeren for Videnskab, Teknologi og Udviklingom GovCERTs virksomhed. Tilsynet skal ifølge udkastet have en dommersom formand.
5
Det fremgår endvidere af udkastet, pkt. 3.6.4., at en registreret person kanklage til Datatilsynet over GovCERTs behandling af personoplysninger ved-rørende den pågældende, jf. persondatalovens § 40 og kapitel 16.Det fremgår af PIA en4for GovCERT, s. 21, at GovCERT er underlagt tilsynaf Rigsrevisionen, Datatilsynet og et uafhængigt tilsyn. IT- og Telestyrelsenhar oplyst, at lovforslaget ikke har til hensigt at afskære Datatilsynets kompe-tence.Datatilsynet ser positivt på tiltag, som kan understrege og forankre ansvaretfor behandlingen af personoplysninger hos den dataansvarlige. Datatilsynethar således senest i forbindelse med sin udtalelse til Justitsministeriet vedrø-rende Kommissionens oplæg om beskyttelse af personoplysninger5, tilkende-givet, at der er behov for at sætte beskyttelse af persondata, herunder overhol-delse af gældende lovgivning, på dagsordenen i alle projekter, og at gøre pro-jekterne ansvarlige for at udvikle løsningerne i den ønskede retning. Datatil-synet kan i den anledning også henvise til Artikel 29-gruppens udtalelse3/20106om princippet om ansvarlighed.Efter Datatilsynets opfattelse vil det imidlertid være meget uhensigtsmæssigt,hvis GovCERTs behandling af personoplysninger er underlagt tilsyn fra toforskellige tilsynsorganer begge med en dommer som formand. Datarådethar således haft en højesteretsdommer som formand siden sin etablering.I det foreliggende udkast fremstår det endvidere uklart, hvilke opgaver, ansvarog kompetencer det særlige tilsyn med GovCERT tilsigtes at skulle havesammenholdt med de opgaver og kompetencer, som Datatilsynet har efterpersondataloven. Det bemærkes i den forbindelse, at Datatilsynet ikke harkompetence i forhold til efterretningstjenesternes behandling af personoplys-ninger. På dette område føres tilsynet af det såkaldte Wamberg-udvalg, somogså omtales i lovforslagets bemærkninger.Datatilsynet mener, at den foreslåede tilsynsmodel bør genovervejes. Underhenvisning til, at der skal ske en omfattende behandling af personoplysningeraf særlig teknisk karakter, kan der være gode grunde til at overveje en til-synsmodel, som giver et mere intensivt tilsyn end det, som Datatilsynet vilkunne føre efter persondataloven.Efter persondatalovens regler og inden for de nuværende ressourcemæssigerammer vil Datatilsynet således på ingen måde kunne følge GovCERTs dag-lige virksomhed, lave årlig afrapportering mv.
4
Privatlivsimplikationsanalyse (PIA) for GovCERT IDS (Intrusion Detection System), somer tilgængelig på www.digitaliser.dk5Datatilsynets j.nr. 2010-111-0063, som er tilgængelig på Datatilsynets hjemmeside6Udtalelsen er tilgængelig på Artikel 29-gruppens hjemmeside:http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_da.pdf
6
Hvis der etableres et særligt tilsyn på dette område, bør det fremgå klart aflovforslaget og dets bemærkninger, at det særlige tilsyn træder i stedet forDatatilsynet. Det bør samtidig sikres, at et sådant særligt tilsyn har de kompe-tencer og beføjelser, som forudsættes efter databeskyttelsesdirektivets regler7.5.Lovforslagets afsnit om forholdet til persondataloven ses ikke at forholdesig til persondatalovens § 27 om overførsel af oplysninger til tredjelande.Datatilsynet skal anbefale, at forholdet til persondatalovens § 27 tydeliggøresi lovforslaget. Tilsynet skal i den forbindelse pege på, at det for så vidt angårudkastets § 5 om videregivelse af oplysninger til politiet ikke fremgår, om deralene kan videregives oplysninger til dansk politi, eller om bestemmelsen og-så vil omfatte udenlandske politimyndigheder.Opmærksomheden henledes endvidere på udkastets § 5, stk. 2, idet det ikkefremgår af bestemmelsen eller bemærkningerne, om der kan videregives op-lysninger til CERT er uden for EU. I så fald må forholdet til persondatalovens§ 27 også i denne sammenhæng tydeliggøres.Datatilsynet skal i den forbindelse henlede opmærksomheden på, at det følgeraf persondatalovens § 27, stk. 3, nr. 4, at der kan overføres oplysninger tiltredjelande, hvis overførslen er nødvendig eller følger af lov eller bestemmel-ser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesseeller for, at et retskrav kan fastlægges, gøres gældende eller forsvares.6.Datatilsynet skal henlede opmærksomheden på, at GovCERTs anmeldelsetil Datatilsynet (jf. j.nr. 2010-54-0870) skal tilrettes i overensstemmelse medet eventuelt vedtaget lovforslag. Dette kan gøres elektronisk via Datatilsynetshjemmeside.7.Datatilsynet skal endelig for god ordens skyld bemærke, at det følger afpersondatalovens § 57, at der ved udarbejdelse af bekendtgørelser, cirkulærereller lignende retsforskrifter, der har betydning for beskyttelsen af privatlivet iforbindelse med behandling af oplysninger, skal indhentes en udtalelse fraDatatilsynet.
Med venlig hilsen
Janni ChristoffersenDirektør
7
Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse affysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling afsådanne oplysninger, se især artikel 28 og betragtning 62-64
14 . fe b r u a r 2 0 11HEM
IT- og Telestyr elsenAtt.: GovCERTH olstein sgad e 63Køben h avn Ø
Høring vedrørende udkast til lovforslag om den statslige varslingstje-neste for internettruslers (GovCERT) behandling af personoplysningerIT- og Telestyr elsen h ar ved m ail af 11. febr u ar an m od et DI ITEK om even tu ellebem ær kn in ger til Lovfor slag om d en statslige var slin gstjen este for in ter n ettr u sler s(GovCERT) beh an d lin g af p er son op lysn in ger . DI ITEK takker for m u ligh ed en for atafgive kom m en tar er og h ar n ed en ståen d e bem ær kn in ger til lovfor slaget.In ter n ettet er af afgør en d e betyd n in g for , at d et d an ske sam fu n d kan in d r ettes ogfu n ger e effektivt og give bor ger n e ad gan g til en br ed vifte af n yttige og sp æn d en d etjen ester . Det er im id ler tid i d en n e sam m en h æn g vigtigt, at bor ger n e kan fær d estr ygt p å n ettet. Dan n elsen af en GovCERT i Dan m ar k er et af fler e elem en ter , sombibr in ger til at u n d er støtte d en n e tr ygh ed i d en betyd n in g, at GovCERT kan bid r agetil at sikr e tilgæn geligh ed , for tr oligh ed og in tegr itet p å d en d an ske d el af n ettet.H en set til h vad d er er sket an d r e sted er i ver d enf.eks. Estlan dog h vad Dan-m ar k selv h ar op levet af an gr eb r ettet m od d an sk in fr astr u ktu r , er d an n elsen afGovCERT er vigtigt skr id t i r etn in g af at for bed r e lan d ets in for m ation ssikker h ed .Dan n elsen af GovCERT p å n u vær en d e tid sp u n kt er også at u d vise r ettid ig om h u ifor h old til d en an gr eb, som kan kom m e i fr em tid en . Det er vigtigt, at Dan m ar k fåren m yn d igh ed , som kan in d gå i d et in ter n ation ale sam ar bejd e for at bekæm p e it-kr im in alitet. Det er m ed stor glæ d e, at vi kan kon stater e, at d en d an ske GovCERTblev fu n ktion sd ygtig i d ecem ber 20 10 .Im id ler tid r u m m er d an n elsen af en GovCERT også visse m u ligh ed er for at skabeu tr ygh ed for d an ske bor ger e. GovCERTen s setu p er baser et p å IDS (p . 10 ) m edh en blik p å at få in d blik i p akked ata og tr afikd ata, som tilgår statslige m yn d igh ed erm .fl. Det betyd er , at GovCERT p r in cip ielt set kan få ad gan g til al elektr on isk kom-m u n ikation m ellem bor ger n e og m yn d igh ed er n e. Pr in cip ielt set vil m an ku n n e seskatteop lysn in ger , su n d h ed sop lysn in ger og sociale op lysn in ger p å d e en kelte bor-ger e. J o fler e d er h ar ad gan g til d isse op lysn in ger , jo stør r e u sikker h ed er d er om-kr in g d ata, og jo stør r e u tr ygh ed kan d er vær e for bor ger n e.Utr ygh ed en kan for vær r es af, at GovCERT u d fr a en sagligh ed s- og p r op or tion ali-tetsvu r d er in g u n d tages m an ge af d e bestem m elser , d er n or m alt bid r ager til bor ger -n es r etssikker h ed og skaber tr ygh ed for beh an d lin g af p er son d ata h os bor ger n e.
Un d tagelser n e om fatter bl.a. Gr u n d loven s § 72 (p . 22) og Den Eu r op æiske Men n e-sker ettigh ed skon ven tion ar tikel 8 (p . 23) d er begge ved r ør er m ed d elelsesh em m e-ligh ed en , Lov om beh an d lin g af p er son op lysn in gs bestem m elser om sam tykke tilbeh an d lin g (p . 21), oplysn in gsp ligt (p . 22), in d sigtsr et (p .22) og in d sigelsesr et (p .22).DI ITEK er en ig i, at d er er et stor t beh ov for at sikr e beskyttelse af statslige in stitu-tion er p r im ær t og d esu d en af kom m u n er , r egion er og kr itisk in fr astr u ktu r sektor erbed st m u ligt. Der for er d et n ød ven d igt at ivær ksætte tiltag, som d em GovCERT be-skæftiger sig m ed . Det er tilsvar en d e i d en kon kr ete sag n ød ven d igt m ed n ogle vid er egu ler in gsm æssige r am m er , for at GovCERT op er ation elt kan fu n ger e. Loven læg-ger også op til en god beskyttelse ved :at beskytte d ata for n u ftigtat begr æn se ad gan gen til d ata m est m u ligtat h ave et god t p r æcist afgr æn set for m ålat slette d ata så h u r tigt som m u ligtat lagr e d e d ata, som er r elevan te, i en for n u ftig p er iod eat sikr e ekster n kon tr ol gen n em et selvstæn d igt Tilsynat Datatilsyn et d esu d en kan lave tilsyn .En d elig kom m er d et faktu m at bor ger e, som øn sker sig sær lig sikker h ed kan kr yp-ter e d er es m ed d elelser , som så kom m er igen n em GovCERT IDS u d en at blive læst.På d en n e baggr u n d fin d er DI ITEK d et n ød ven d igt at bakke op bag d et n u væ r en d elovfor slag.I takt m ed at tekn ologier n e i sam fu n d et m od n es kan d er d og vær e beh ov for at m o-d er n iser e loven . Gen er elt bør d er ar bejd es p å, at m an kan skabe tillid til en p ar t i enkom m u n ikation u d en at d en n e er id en tificer et. Når f.eks. d en n e typ e tekn ologi ertilstr ækkeligt m od n et vil kom m u n ikation m ellem to tr u sted e p ar ter ku n n e u n d tagesIDS. På d en m åd e kan m an gør e over vågn in gen m in d r e in d gr iben d e set over d ensam led e m æn gd e af kom m u n ikation , som over våges. Gen er elt er d et vigtigt, atover vågn in gen h old es p å et m in im u m . DI ITEK an befaler d er for , at loven su p p ler esm ed en evalu er in gsfor p ligtelse, h vor d et f.eks. h ver t an d et år vu r d er es, om Gov-CERT kan for etage m in d r e in d gr iben d e tekn iske an alyse, en d d en n u vær en d e IDSp å al kom m u n ikation .DI ITEK står ger n e til r åd igh ed for u d d yben d e kom m en tar er .Med ven lig h ilsen
H en n in g Mor ten senCh efkon su len tDI ITEK
Høringssvar DK-CERT (UNI-C)
IT- og TelestyrelsenMed henvisning til styrelsens høring af 11. februar 2011 vedrørende udkast til lovforslag om den statsligevarslingstjeneste for internettruslers (GovCERT) behandling af personoplysninger skal vi oplyse, at UNI-C(DKCert) ikke har bemærkninger til det fremsendt udkast.Med venlig hilsenErik A. LarsenFuldmægtigUNI CKoncern itVermundsgade 5,2100 København ØDirekte tlf. 3587 8532UNI C tlf. 3587 8889[email protected]
Domstolsstyrelsen
Ministeriet for Videnskab, Teknologi og UdviklingBredgade 431260 København K
Store Kongensgade 1-31264 København KTlf. +45 70 10 33 22Fax +45 7010 4455[email protected]CVR nr. 21-65-95-09EAN-nr.5798000161184J. nr. 2011-4102-0008-2Sagsbeh. Rune Sorvad KockDir.tlf.Mail [email protected]
10. marts 2011
Høring vedrørende udkast til lovforslag om den statsligevarslingstjeneste for internettruslers behandling af personoplysningerMinisteriet for Videnskab, Teknologi og Udviklinghar i en e-mail af 14. februar 2011 anmodet Domstolsstyrelsen omeventuelle bemærkninger til udkast til lovforslag om den statsligevarslingstjeneste for internettruslers behandling af personoplysninger.Det fremgår af lovforslagets § 6, at ministeren for videnskab, teknologi ogudvikling nedsætter et uafhængigt tilsyn, som ifølge stk. 2 skal bestå af enformand som er dommer, der beskikkes af ministeren for videnskab,teknologi og udvikling.Domstolsstyrelsen skal i den anledning bemærke, at Ministeriet forVidenskab, Teknologi og Udvikling i den forbindelse bør være opmærksompå om lovforslagets § 6, stk. 2, er i overensstemmelse med reglerne iretsplejelovens § 47 a, stk. 3, vedrørende udpegning af dommere tiloffentligt eller privat råd eller nævn.I øvrigt skal Domstolsstyrelsen henlede ministeriets opmærksomhed påJustitsministeriets skrivelse fra december 2000, hvori justitsministerenanmodede samtlige ministerier om, at ministerierne for fremtiden iforbindelse med oprettelse af nye nævn alene indsætter bestemmelser omdommermedvirken efter en vurdering af, om sådanne bestemmelser ertilstrækkeligt velbegrundede.Bibeskæftigelsesnævnet får kopi af dette brev til orientering.
Med venlig hilsen
Niels Juhl
Høringssvar - Erhvervs- og Byggestyrelsen
Vi har ingen kommentarer til denne her høring.Med venlig hilsenTrine M. T. HansenSekretærErhvervs- og ByggestyrelsenDahlerups PakhusLangelinie Allé 172100 København ØTlf. 35 46 66 21
IT- og TelestyrelsenHolsteinsgade 63, 4. sal2100 København ØAtt.[email protected]
Høringssvar til lovforslag om GovCERTs behandling afpersonoplysningerVed brev af 11. februar 2011 har IT- og Telestyrelsen sendt ovennævnteudkast i officiel høring og anmodet om Finansrådets bemærkninger.Finansrådet bifalder beslutningen om at etablere et statsligt CERT i Dan-mark, og det glæder os at se, at det har været muligt at etablere en funkti-onsduelig enhed så hurtigt efter beslutningen om etablering.
28. februar 2011
Finanssektorens HusAmaliegade 71256 København K
Telefon 3370 1000Fax3393 0260
[email protected]
Finansrådet støtter lovforslaget, som giver GovCERT hjemmel til at behandlepersonoplysninger, som led i arbejdet omkring varsling og informationsind-samling samt reduktion af de risici, der er forbundet med anvendelse af in-ternettet. Dette svarer til god praksis i andre tilsvarende varslingstjenester.Vi er enige i vurderingen af, at behandling af personoplysninger er påkrævetfor, at varslingstjenestens formål kan opfyldes (lovforslag side 8). Opgavenomkring it-sikkerhed og kriminalitetsbekæmpelse er af væsentlig sam-fundsmæssig betydning, men over for dette står hensynene til privacy, somikke må glemmes. Af denne grund har Finansrådet med tilfredshed noteret,at der er sket formel registrering i Datatilsynets fortegnelse, og der er givetretningslinjer for sikker og adækvat behandling af personoplysningerne.I takt med, at Internettet spiller en stadig større rolle i samfundet, er it-sikkerhed blevet en væsentlig samfundsmæssig opgave. Mange forsynings-mæssige, logistiske og økonomiske opgaver varetages allerede igenneminternetanvendelse, og udviklingen går imod stadigt øget anvendelse afelektroniske tjenester såvel i det private som i det offentlige regi. Af sammegrund er det af største betydning, at borgere og virksomheder trygt kananvende Internettet.I forhold til den opgave GovCERT skal varetage, vil Finansrådet henledeopmærksomheden på, at truslerne mod den offentlige infrastruktur i fremti-den også kan få en anden karakter end de trusler, som har dannet grundla-get for lovforslaget. Finansrådet tænker specielt på angreb med avanceretkriminelt software, som eksempelvis trojanere, der går efter specifikke, for-trolige oplysninger. Derfor er det relevant allerede nu at overveje, hvordanGovCERT kan håndtere dette i fremtiden.
www.finansraadet.dk
Journalnr. 466/01Dok. nr. 278196-v1
Ud over lovforslaget vedrørende GovCERTs behandling af personoplysningervil Finansrådet gerne henlede opmærksomheden på Memorandum of Un-derstanding mellem medlemmerne af DK-CERT, GovCERT og ISP Sikker-hedsforum vedrørende bekæmpelse af botnets. Initiativet viser et fremsynetsyn på it-sikkerhed, hvor centrale tiltag bliver mulige igennem samarbejde.Finansrådet støtter dette samarbejde.
Side 2
Journalnr. 466/01Dok. nr. 278196-v1
Med venlig hilsen
Henriette RolskovDirekte 3370 1102[email protected]
Høringssvar - Forbrugerrådet
Forbrugerrådet har af ressourcemæssige årsager ikke mulighed for at forholde os til lovforslag omden statslige varsligstjeneste for internettruslers (GovCERT) behandling af personoplysninger.Forbrugerrådet kan således ikke tages til indtægt for at støtte forslaget eller for at gøre detmodsatte.Med venlig hilsenAnette HøyrupJuristForbrugerrådet
Danish Consumer CouncilFiolstræde 17, Postboks 2188, 1017 København K, Danmark
Høringssvar
IT-Politisk Forening
IT-Politisk Forening påskønner, at GovCert har været meget åbne omkring bådetjenestens funktion og dette lovforslag i høring.IT-Politisk forening mener, at loven bør sikre at:Den statslige varslingtjeneste ikke er bemyndiget til at opsamle eller tilgådatatrafik, hvor hverken afsender eller modtager frivilligt og eksplicit hartilsluttet sig tjenesten.Selvom det ikke er GovCerts nuværende sigte, finder IT-Politisk Forening detvigtigt, at danske internetbrugere ikke kan blive overvåget af en statsligtjeneste, selvom internetudbydere skulle tilslutte sig varslingstjenesten.IT-Pol mener ikke, at definitionerne af pakke- og trafikdata er tilstrækkeligtpræcise. Alt efter hvilket lag i modellen for computernetværk, man behandler, kandet samme data være pakke- eller trafikdata. For eksempel er email-adresserpakkedata i TCP-forbindelser, men trafikdata i højere lag. IT-Politisk Foreningmener at data, som fx email-adresser, hjemmesideadresser, o.lign, bør betragtes sompakkedata. Det er især vigtigt fordi trafikdata kan udleveres tilvarslingstjenester i andre lande (jvf § 5).
--Niels Elgaard LarsenFormandIT-Politisk Forening
Høring af Forslag til Lov om den statslige varslingstjeneste for internet-truslers behandling af personoplysninger.
Digital forvaltning og GISJ.nr. 072-00017Ref. tmjDen 7. marts 2011
Lovforslaget tildeler den statslige varslingstjeneste for internettrusler befø-jelser (§5), som kan være ret vidtgående m.h.t. opbevaring og videregivelseaf personoplysninger. Et uvildigt tilsyn er da også foreslået.I bemærkninger til lovforslagets enkelte bestemmelser om § 6 fremgår det,at man ønsker at pålægge ministeren for VTU, at nedsætte et uafhængigttilsyn, der skal føre tilsyn med GovCert. Et sådant udvalg kunne f.eks væredet eksisterende Wamberg udvalg, hvormed uvildigheden styrkes yderlige-re, idet det ikke er udpeget af VTU alene.Af lovforslaget fremgår det, at der er tale om overvågning af kommunikationtil og fra offentlig myndighed. Der vil således også kunne indgå privatperso-ner i den kommunikation, der påtænkes overvåget.I bemærkningerne til lovforslaget pkt. 3.4. fremgår det, at udveksling af tra-fikdata også omhandler ip-adresser. Er ip-adresser ikke at regne for per-sonoplysninger ifølge Datatilsynet?I pkt. 3.4.1 tales om videregivelse af oplysninger for iværksættelse af mod-foranstaltninger. F.eks. blokering af kommunikation med specifik ip-adressse. Den pågældende ip-adresse kunne tilhøre en privatperson, derkan være uvidende om eventuelt misbrug af ip-adressen. Er der hjemmel tilen sådan foranstaltning? Hvordan informeres om, at en ip-adresse er luk-ket, og baggrunden for lukningen?Af bemærkninger til lovforslagets enkelte bestemmelser er der om § 3nævnt, at der ikke vil blive registreret trafikoplysninger fra hjemmearbejds-pladser. Rent teknisk er det næppe muligt, at skelne imellem hjemmear-bejdspladserne og de pc-arbejdspladser, der befinder sig i ministeriets for-skellige lokaliteter. Hvordan ses dette problem varetaget?I afsnittet om forholdet til den Europæiske Menneskerettighedskonventionanføres det, at det forudsættes, at den ansatte i forbindelse afsendelse afprivate e-mail giver samtykke til GovCert behandling af data. Hvordan sesdette i sammenhæng med bemærkninger til lovforslagets enkelte bestem-melser § 3, hvor det fremgår, at der kun vil blive registreret trafikdata?Af § 5 fremgår det, at trafikdata kan videregives til danske myndigheder,tilsluttede private virksomheder og tilsvarende varslingstjenester i andrelande i henhold til varslingstjenestens formål . Samme sted fremgår det, at
Kort & Matrikelstyrelsen Rentemestervej 8 2400 København NVTlf. 72 54 50 00 Fax 38 88 99 10 CVR 62965916 EAN 5798000864009 [email protected] www.kms.dk
pakke- og trafikdata, der knytter sig til en konkret sikkerhedshændelse, kanvideregives til politiet . Hvordan forventes informationen til de berørte parterudført? Ligger der en forventning om, at de enkelte ministerier skal varetagedenne opgave?Der ser ud til at være en forglemmelse, i bemærkningerne afsnit 3.7 omGrundlovens § 72. I det sidste afsnit i bemærkninger til lovforslagets enkeltebestemmelser, at proportionalitetsprincippet i forhold til § 72 er overvejet oghenviser til et afsnit X.X, et afsnit der ikke ser ud til at findes.
Med venlig hilsenAnnette DindorpSouschef
2
København d. 13. marts 2011
Til IT- og Telestyrelsen
Høring vedrørende udkast til lovforslag om den statslige varslingstjenestefor internettruslers (GovCERT) behandling af personoplysningerPROSA takker for indbydelsen til at deltage i høringssvar om GovCert, ligesom PROSA gerne vilrose de initiativer, der blev taget i processen, hvor der var arrangementer med muligheder for atdrøfte forslaget nærmere.Med dette svar er det vores håb, at vi kan bidrage til den endelige udformning af GovCert ogsåselv om vores bidrag kommer noget sent.PROSA har støttet oprettelsen af GovCert, og ser dets etablering som et meget positivt bidrag til atøge sikkerheden overfor varierede og stigende trusler fra kriminelle via internettet.Vi noterer, at en Cert oprettes for at kunne øge informationer og varslinger om it-trusler ogdermed give et forbedret risikobillede og bidrage til reaktioner fra de it-ansvarlige på trusler. Deter væsentligt for os at fremhæve, at GovCert hverken er en politimyndighed, en del afefterretningstjenester eller lignende.GovCert udvider den almindelige indsamling af informationer fra indberetninger og offentlig kilderved at organisere en systematisk indhentning af information direkte fra trafik på internettet. Dettetiltag vil utvivlsomt kunne forbedre viden om trusselsbillede og give mulighed for hurtigere atkunne varsle trusler og aktuelle angreb.I loven står der konkret:"...§ 5. Den statslige varslingstjeneste kan kun videregive data, der er indsamlet somled i varslingstjenestens aktiviteter, i følgende tilfælde:1) Pakkedata og trafikdata, der knytter sig til en konkret sikkerhedshændelse, kanvideregives til politiet.2) Trafikdata kan videregives til danske myndigheder, tilsluttede privatevirksomheder og tilsvarende varslingstjenester i andre lande i henhold tilvarslingstjenestens formål..."Det interessante i denne forbindelse er, hvad substansen faktisk er omkring "... kun (at) videregivedata, der er indsamlet som led i varslingstjenestens aktiviteter...". Sagen er jo, atvarslingstjenesten potentielt bliver i stand til at behandle og gennemgå AL trafik, der transporterespå internettet. Hvordan mon "varslingstjenestens aktiviteter" afgrænses - er der reelt kun tale omtekniske trusler mod infrastrukturen, der omfattes af de i paragraf 1 nævnte "... statsligevarslingstjeneste for internettrusler...".
1
PROSA anbefaler, at det til § 5 indskærpes, atGovCert kun må kigge i pakkedata, hvis der foreligger begrundet mistanke om nogetkriminelt.GovCert kun må udlevere data, hvis der foreligger en dommerkendelse på baggrund afdansk lov.I de efterfølgende "Bemærkninger til lovforslaget" står der på side 8, at:"...GovCERTs opgaver kan opsummeres således:- Indhentning af information om sikkerhedshændelser og aktiviteter i net ogsystemeri staten.- Analyse og vurdering af internet - sikkerhedsniveauet i staten samt analyse afenkelthændelser.- Varsling om internetrelaterede sikkerhedshændelser, rådgivning ommodforholdsregler og i særlige tilfælde bistand til myndigheder ved omfattendehændelser- Kontaktpunkt for tilsvarende varslingstjenester i andre lande og løbende udvekslingaf information med disse..."Det som bekymrer Prosa er, om der reelt er tale om, at der (ad bagvejen) kan skabes detnødvendige grundlag for, at GovCert (for den danske regering) gennemlæser indholdet af alinternet-trafik, der passerer udstyr, placeret på dansk område (det ligner Echelon eller et supersætaf de svenske regler, som tillader, at indholdet af al internettrafik ud og ind af Sverigegennemlæses). Når først indholdet af al trafik på internettet gennemlæses, kan der let etablereskriterier for udtræk baseret på f.eks. søgeord.På side 9 står, omkring de personoplysninger som skal benyttes i denne forbindelse, at:"...Begreberne personoplysning og behandling skal forstås i overensstemmelse meddefinitionerne i persondatalovens § 3, stk. 1, nr. 1 og 2. I relation til dette lovforslager det særligt relevant at bemærke, at ip-adresser betragtes som personoplysninger,hvorfor persondataloven også finder anvendelse på trafikdata, som bl.a. omfatter ip-adresser, jf. definitionen heraf i lovforslagets § 2, nr. 2..."På denne baggrund er det klart, at GovCert faktisk vil have behov for selv at kunne benytte ogvideregive de ip-adresser, der indgår i internettrafik som en del af en sikkerhedshændelse - det erjo adresserne på afsenderne af al trafik på nettet.Loven giver en meget bred adgang til at behandle og videregive sådanne personoplysninger. Menlovforslaget burde ikke give en sådan bred adgang til personoplysninger.Ved indsamling af data om internet-datatrafik indsamles trafikdata og pakkedata.Personoplysninger kan optræde i denne indsamling af data. Dette bør anerkendes men er ikkeanderledes end, at personoplysninger behandles af netværkstjenester, som opbevarer ogvideresender data. Denne indsamling sker på GovCerts uklassificerede net og anvendes til
2
monitorering, og der sker ikke en behandling, hvor personer får adgang til dissepersonoplysninger.Lovforslaget tager sigte på den behandling af personoplysninger, som kan ske, når data overførestil det klassificerede net til nærmere behandling.Ved overførsel af data til nærmere analyse på det klassificerede netværk vil PROSA fremhæve, atudgangspunktet må være, at personoplysninger slettes eller anonymiseres/krypteres således, atder ikke sker en behandling af persondata. PROSA må afvise, at der med lovforslaget åbnes engenerel adgang for GovCert og dets medarbejdere til at få indsigt i personoplysninger. Det er voresvurdering, at GovCert udmærket vil kunne varetage sit formål uden at have adgang tilpersonoplysninger, og at en fremgangsmåde, hvor disse slettes eller anonymiseres/krypteres, ikkevil hindre GovCert i at opfylde sit formål som varslingstjeneste generelt og ved konkrete angrebs-hændelser.Vi er opmærksomme på, at der kan opstå enkelte hændelser, hvor de fastlagte procedurer og dentekniske behandling vil fejle, og medarbejdere hos GovCert kan blive bekendt medpersonoplysninger. Der bør indrømmes en undtagelse for Persondataloven straffebestemmelser isådanne tilfælde under forudsætning af,at adgang til personoplysninger straks afbrydes, ogat personoplysningerne ikke videregives eller behandles på anden visFor at sikre kontrol med denne undtagelse vil PROSA foreslå, at der indføres enanmeldelsesordning således, at den enkelte medarbejder og GovCert forpligtes til at anmeldeenhver hændelse, hvor der har været (kortvarig) tilgang til personoplysninger (udover ip-adresser)til Datatilsynet.Datatilsynets opgave erat sikre, at der er tale om enkeltstående hændelse, som afviger fra reglen om, atpersonoplysninger slettes eller anonymiseres/krypteres ogat følge op på, om GovCerts procedurer er tilstrækkeligeEventuelle anmeldelser indgår desuden i Datatilsynets øvrige tilsynsvirksomhed og offentliggørespå tilsynets hjemmeside og i årsberetningen.Der er ingen saglig begrundelse for at behandle personoplysninger for at kunne varetage GovCertsformål og opgaver. Hvis GovCert bliver opmærksom på mulige kriminelle forhold, eller at der udfra indhold i datakommunikationen kan spores kriminelle, må sagen overdrages til politiet.GovCerts opgave vil alene være at konsolidere data, så de kan indgå i politiets efterforskning.Politiets efterforskning må basere sig på eksisterende retsprincipper, herunder indhentning affornøden retskendelse. Behov for hurtig reaktion må løses ved at etablere et samarbejde mellempoliti og GovCert, som fastholder arbejdsfordeling mellem anmelder og politi.
3
PROSA anbefaler, at det blev mere nøje specificeret, hvilke personlysninger dette drejedesig om (altså: er det alene ip-numre, eller er der andre personoplysninger?). Personoplysninger(inden i datapakkerne) bør krypteres, så de ikke kommer i hænderne på udenforstående.PROSA kan endvidere ikke støtte oprettelsen af et kontroludvalg, der, som det hedder ibemærkningerne, har inspiration af Wamberg-udvalget.Det uafhængige tilsyn beskrives i loven:§ 6. Ministeren for videnskab, teknologi og udvikling nedsætter et uafhængigt tilsyn,der følger den statslige varslingstjeneste for internet truslers virksomhed.Stk. 2. Tilsynet består af en dommer som formand og fire sagkyndige medlemmer.Formanden og medlemmerne af tilsynet beskikkes af ministeren for videnskab,teknologi og udvikling. Ministeren for videnskab, teknologi og udvikling skal vedbeskikkelsen af tilsynets medlemmer lægge vægt på, at tilsynet samletrepræsenterer juridisk, it -revisionsmæssig og sikkerhedsmæssig sagkundskab.Stk. 3. Medlemmerne beskikkes for fire år ad gangen og kan genbeskikkes.Stk. 4. Ministeren for videnskab, teknologi og udvikling fastsætter rammerne fortilsynets virksomhed. Ministeren for videnskab, teknologi og udvikling kan herunderbeslutte, at tilsynet skal udarbejde en årsberetning om den statslige varslingstjenestefor internet truslers virksomhed.Stk. 5. IT- og Telestyrelsen stiller sekretariatsbistand til rådighed for tilsynet..."Dette tilsyn minder om det Wamberg-udvalg, der i 1964 blev nedsat af Folketinget for at tilsearbejdet i PET. Dette tilsyn har bestemt ikke været nogen stor succes - det har fungeret så dårligt,at det som bekendt blev nødvendigt at nedsætte en særlig kommission, der skulle gennemgå PET'sarbejde gennem tiden. Sporene fra Wamberg-udvalget og anvendelsen af lukkede kontroludvalgskræmmer. De giver ingen garanti for retssikkerheden. Tilsynet bør placeres hos Datatilsynet, derberetter om dette på deres hjemmeside og i årsberetningen. Der bør i forbindelse med behov fordet særlige tilsyn af GovCert tilføres Datatilsynet fornødne resurser.PROSA vil derfor anbefale, at der bliver udarbejdet en specificering af de konkrete og specificeredepersonoplysninger (altså en positivliste som indeholder ip-numre), der må behandles ogvideregives.PROSA deltager gerne i en udredning, som kan sikre GovCert et troværdigt grundlag, der, sombeskrevet ovenfor, bl.a. må indebære, at der ikke er en generel tilgang til personoplysninger.
Venlig hilsenNiels BertelsenFormandPROSA
4
IT- og TelestyrelsenSendt pr. e-mail til: [email protected]
Landgreven 4Postboks 90091022 København KTlf. 33 92 84 00Fax 33 11 04 15[email protected]www.rigsrevisionen.dk
Høring vedr. lovforslag om GovCERTRigsrevisionen har gennemgået forslag til lov om den statslige varslingstjene-ste for internettruslers behandling af personoplysninger. Lovforslaget blevsom udkast fremsendt til høring ved IT- og Telestyrelsens brev af 11. februar2011.Rigsrevisionen har ikke bemærkninger til lovforslaget.
2. marts 2011
Kontor: C5J.nr.: 2011-5902-9
Med venlig hilsenIngolf Holm ClausenSpecialkonsulent
1/1
Høringssvar - Telia
Til IT- og Telestyrelsen -IT- og Telestyrelsen (ITST) har ved brev af 11. februar 2011 iværksat bred offentlig høring af udkast tillovforslag om den statslige varslingstjeneste for internettruslers (GovCERT) behandling afpersonoplysninger. I denne anledning skal Telia afgive følgende bemærkninger, idet man overordnetklart støtter udkastets sigte.Telia finder det tilfredsstillende, at udgangspunktet for private virksomheders eventuelle tilslutning tilden statslige varslingstjeneste er frivillighed baseret på et påregneligt grundlag, jf. regler fastsat afministeren i medfør af den foreslåede § 1, stk. 3. Som de specifikke bemærkninger til udkastets § 1, stk.3, er formuleret ( selv finansiere tjenestens ydelser ), fremstår sigtet ikke ganske klart. Efter Teliasopfattelse vil private virksomheders beslutning om tilslutning som minimum forudsætte, attilslutningsvilkår bliver gennemsigtige og prissætningen rimelig. Telia skal herudover opfordre ITST tilat arbejde aktivt for at der fastsættes vilkår og priser, der vil give kritiske infrastrukturvirksomhederklare incitamenter for tilslutning.Udkastet lægger med bestemmelsen i § 3, stk. 2, nr. 1, op til, at pakke- og trafikdata, der knytter sig tilen konkret sikkerhedshændelse, højst kan opbevares i tre år. Af de særlige bemærkninger til dennebestemmelse fremgår, at den maksimale opbevaringstid i de fleste tilfælde vil være væsentligt kortereend tre år. Det er efter Telias opfattelse bemærkelsesværdigt, at der således lægges op til mulighed forto års længere opbevaringstid for sådanne pakke- eller trafikdata end efter logningsbekendtgørelsen. Dader i sådanne data må formodes at findes data hidrørende fra begge sider af en kommunikation, er derdermed åbnet for potentielt at gemme forholdsvis følsomme personoplysninger i usædvanlig lang tid.Telia noterer, at der tilsyneladende ligger en it-teknisk vurdering, som Telia ikke mener at have fåetadgang til, som beslutningsgrundlag for dette oplæg. Den givne vurdering er efter Telias opfattelseoverraskende: Erfaringer fra tidligere sikkerhedshændelser skulle bestemt have givet anledning til atopstille generelle beskrivelser af og betragtninger om hændelsesforløbet, således at sådanne hændelserkan identificeres, inden en frist på et år er overskredet. Det er især nødvendigt at lave et sådant(anonymiseret) 'fingeraftryk' af en hændelse, hvis information om den skal publiceres eller blotkommunikeres til en lukket kreds og dermed burde det være overflødigt at gemme data relateret til denfaktiske hændelse. Telia opfordrer derfor til at både mængden af data og den maksimaleopbevaringsperiode genovervejes.Telia forstår og støtter udkastets oplæg om etablering af et uafhængigt tilsyn, jf. § 6, stk. 1, henset tilden potentielle informationsmængde, der kan vise sig nødvendig at håndtere og disse datas i nogengrad personhenførbare karakter. De anførte hensyn vejer efter Telias opfattelse så tungt, at udkastets §6, stk. 4, må genovervejes. Uafhængigheden kunne tale for, at i hvert fald tilsynets forretningsordenikke fastsættes af ministeren, men af tilsynets medlemmer selv, ligesom tilsynet selv frit må afgøre,hvor hyppig rapportering til ministeren man finder hensigtsmæssig. Uanset et eventuelt fastsat krav omårsberetning må dette ikke i praksis udvikle sig til en begrænsning for tilsynets rapporteringsadgang.Endvidere bør det være op til tilsynet selv at vurdere, om adressaten for årsberetning eller anden
rapportering alene skal være ministeren, eller om offentliggørelse i en videre udstrækning muligvis vilfremme lovens formål.Dette høringssvar sendes alene i elektronisk version - og fristoverskridelsen beklages.
Med venlig hilsen/Best regardsMichael GreenLegal advisor, Legal and External AffairsMobile +45 28275046 Telephone +45 82337000[email protected]Telia Danmark, Part of TeliaSonera Group, Head OfficeHolmbladsgade 139, DK-2300 Copenhagen, Denmarkwww.teliasonera.comwww.telia.dkCare for the environment together with TeliaSonera! Replace physical travels with ourteleconferencing services.
Høringssvar
Tor Bloch
Jeg har tre bemærkninger til udkastet til lovforslaget - alle med henblik på at fremme "goodgovernance" og sikre transparens.1. Ad §3. At GovCERT holder et detailleret regnskab med brugen af muligheden for at analyserepakkedata "i tilfælde af begrundet mistanke om en stedfunden eller forventet sikkerhedshændelse"således at (i det mindste) GovCERT selv og det uafhængige tilsyn er informerede om mængden afsådanne tilfælde af "begrundet mistanke", der var berettigede relativt til mængden der ikke var det. Enflerårig trend-analyse i denne forbindelse kunne vise sig at være nyttig - navnlig hvis den kansammenholdes med antallet af tilfælde, hvor man har afholdt sig fordi den begrundede mistanke ikkevar kraftig nok.2. Ad. §6 stk.2 og 3. At der lovmæssigt sikres en rimelig grad af fornyelse af det uafhængige tilsyn.Selv om det kræver en vis indsigt i de relevante problemstillinger at sidde i et sådant tilsyn så er detogså af stor værdi at have en tilgang af nye kompetencer og ikke falde hen i en etableret rutine. Detkan for eksempel sikres gennem en fornyelse af 1 eller 2 medlemmer i hver ny 4-årig periode (med enpassende start-ordning) suppleret med en regel om at formandsskabet ikke kan udøves mere end to(tre???) på hinanden følgende perioder af den samme person.3. Ad §6 stk. 4. At en årsberetning fra GovCERT sikres lovmæssigt i selv teksten og ikke blotfremstår som en mulighed. Transparens, transparens, transparens...Med venlig hilsen og tak for muligheden for at kommentere efter det meget oplysende mødeforleden.Tor BlochParcelvej 1142830 VirumTel. 26 36 7812.(Credentials: Mag. Scient. fra KU, derefter mange år ved CERN, École Polytechnique mestsom opbygger og leder af supercomputer centre. Senere i industri (både start-up og storefirmaer) og i perioden 1996-2001 videnskabelig direktør på UNI-C med bl.a. overordnetansvar for DK-CERT, Danmarks deltagelse i Nordunet mv. Har arbejdet med NATO's civileprogram omkring internettet i partner lande (bl.a. formandskabet for den rådgivendeekspertkomité i et par år), p.t. en del projekt evaluering for EU's rammeprogrammer oginvolvering i kvalitetsstyringen på dansk side for Sundhedsministeriet (SDSD, nu NSI) i etstørre eHealth projekt: epSOS)