Spørgsmål nr. 957 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren oplyse, hvor mange og hvilke an-greb/sikkerhedshuller Datatilsynets kontrol og Rigspolitietsegne revisioner af statens it-systemer tidligere har afsløret?”

Svar:

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet ud-talelser fra Rigspolitiet og Datatilsynet.Rigspolitiet har oplyst følgende:”Rigspolitiet kan til brug for besvarelsen oplyse, at en række afpolitiets registre som bekendt blev udsat for et hackerangreb,da uautoriseret adgang til CSC’s systemer fandt sted primoapril 2012, hvor en sårbarhed blev benyttet til adgang til etmainframesystem fra en IP-adresse registreret i Cambodja.Undersøgelser viste, at der i den forbindelse havde været akti-vitet mod CPR-registerets miljø på mainframen fra politietsmiljø på mainframen.Rigspolitiet fører løbende tilsyn med CSC og med it-systemer,som drives af politiet selv. Antallet af revisioner og kontrollerafstemmes løbende i forhold til den aktuelle situation.Herudover kan det oplyses, at der i forbindelse med Rigspoliti-ets løbende tilsyn er blevet identificeret systemsvagheder ogsårbarheder. Der træffes i den forbindelse løbende passendemodforanstaltninger i form af f.eks. systemopdateringer ellerkompenserende kontroller.Politiets Efterretningstjeneste kan oplyse, at efter Statsministe-riets cirkulære nr. 204 af 7. december 2001 vedrørende sikker-hedsbeskyttelse af informationer af fælles interesse for landenei NATO, EU eller WEU, andre klassificerede informationersamt informationer af sikkerhedsmæssig beskyttelsesinteresse iøvrigt (sikkerhedscirkulæret) er Politiets Efterretningstjeneste(PET) national sikkerhedsmyndighed. I forbindelse med rege-ringsdannelsen i september 2011 blev det besluttet at udpegeForsvarets Efterretningstjenestes Center for Cybersikkerhedsom national it-sikkerhedsmyndighed, dog således at PET va-retager denne funktion for Justitsministeriets område, herunderfor politiet.Det følger af sikkerhedscirkulærets § 26, at alle former forelektroniske informationssystemer og netværk beregnet tilfrembringelse, bearbejdning, kommunikation eller lagring afinformationer klassificeret HEMMELIGT eller FORTROLIGT2

skalsikkerhedsgodkendesafdenrelevanteit-sikkerhedsmyndighed, dvs. for Justitsministeriets område afPET.Det følger endvidere af sikkerhedscirkulærets § 56, at den na-tionale sikkerhedsmyndighed fører tilsyn med overholdelsen afde sikkerhedsmæssige foranstaltninger, som Danmark er for-pligtet til at gennemføre, og foretager periodiske inspektioner.I forhold til it-systemer fører PET således tilsyn med Justits-ministeriets område.Som det fremgår af sikkerhedscirkulærets § 26, omfatter cirku-læret alene it-systemer, der behandler mv. klassificerede in-formationer. Det indebærer, at en række af it-systemerne påJustitsministeriets område ikke er omfattet af reglerne i sikker-hedscirkulæret og følgelig heller ikke omfattet af PET’s god-kendelses- og kontrolvirksomhed. Det gælder også det main-frame-anlæg hos CSC, der har været udsat for hackerangreb.For så vidt angår de it-systemer på Justitsministeriets område,der er omfattet af PET’s kontrol, har PET kun i få tilfælde fun-det alvorlige svagheder. Disse problemer vedrører navnlig til-fælde, hvor systemer til behandling mv. af klassificerede op-lysninger kobles til internettet. I sådanne tilfælde giver PETpåbud om ændringer af systemet og anbefalinger til styrkelseaf informationssikkerheden.”Datatilsynet har oplyst følgende:”I forhold til statslige myndigheders it-systemer sker Datatil-synets tilsyn – som på andre områder – i forbindelse med an-meldelser fra statslige myndigheder1, behandling af konkreteklager fra borgere og som egen drift undersøgelser. Dertilkommer, at Datatilsynet jævnligt giver anvisning om personda-talovens2krav til datasikkerheden i forbindelse med høringerover forslag til love og bekendtgørelser.Egen drift undersøgelser omfatter både inspektionsbesøg ogundersøgelser på skriftligt grundlag. Egen drift undersøgelsersker i forhold til den dataansvarlige for registrene, og sidenpersondatalovens ikrafttræden i 2000 har Datatilsynet bl.a.gennemført ca. 160 inspektionsbesøg hos statslige myndighe-der3.

En dataansvarlig myndighed skal efter persondatalovens §§ 43-45 anmelde behandlingaf fortrolige og følsomme personoplysninger til Datatilsynet, der skal afgive en udtalelseom den påtænkte behandling. Anmeldelserne er offentliggjort i ”Fortegnelsen” på tilsy-nets hjemmeside www.datatilsynet.dk.2Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.3Oversigt over Datatilsynets inspektioner findes i tilsynets årsberetninger, som er offent-liggjort på tilsynets hjemmeside www.datatilsynet.dk under ”Publikationer”.3

Datatilsynets tilsyn med statslige myndigheders behandling afpersonoplysninger har karakter af et legalitetstilsyn – dvs. til-synets fokus er på, at behandlingen af personoplysninger er ioverensstemmelse med reglerne i persondataloven og evt. an-den relevant lovgivning, og at reglerne om registreredes rettig-heder overholdes. Sagsbehandlingsprocedurer, håndtering afanmodninger fra registrerede personer og sletterutiner mv.gennemgås derfor typisk på et møde med den dataansvarlige.I forhold til datasikkerhed stiller Datatilsynet typisk spørgsmålinden for de emner, som fremgår af sikkerhedsbekendtgørel-sen4. Det kan vedrøre myndighedernes uddybende sikkerheds-regler eller mere specifikke sikkerhedsforanstaltninger, herun-der f.eks. procedurer for autorisation af brugere og/eller log-ning. Tilsynet foretager imidlertid ikke en mere omfattende it-revision eller en fuldstændig gennemgang af de etablerede sik-kerhedsforanstaltninger.I relation til hyppigheden af Datatilsynets kontrol kan det oply-ses, at persondataloven og databeskyttelsesdirektivet ikkenærmere fastlægger, i hvilket omfang tilsynet skal foretage in-spektioner og andre kontrolforanstaltninger. Det er forudsat, atder skal være tale om en løbende inspektionsvirksomhed, mender er ikke opstillet nærmere krav til antallet af inspektioner.Datatilsynet har – ud af de ca. 160 inspektionsbesøg hos stats-lige myndigheder – foretaget en del inspektionsbesøg hos poli-tiet, både i politikredsene og hos Rigspolitiet.Derudover har inspektionerne på det statslige område siden2000 fordelt sig på inspektionsbesøg hos mange forskelligestatslige myndigheder, herunder forskellige statsadvokaturer,fængsler, statsforvaltninger, enheder inden for SKAT samt for-skellige ministerier og underliggende styrelser.Ud over inspektioner hos statslige myndigheder har Datatilsy-net tillige gennemført en lang række inspektionsbesøg hoskommuner og amter/regioner samt hos private virksomhederog forskere.I 2012 har Datatilsynet udarbejdet en inspektionsstrategi forperioden 2013-2015, hvor tilsynet af statslige myndigheder harudvalgt lokale politiembeder og Rigspolitiet som en særlig pri-oritet.Datatilsynet har ikke en samlet oversigt eller statistik over deforhold, som tilsynet har påpeget i forbindelse med inspektio-ner og andre tilsynssager. Tilsynet konstaterer jævnligt mang-Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse afpersonoplysninger, som behandles for den offentlige forvaltning, som ændret ved be-kendtgørelse nr. 201 af 22. marts 2001.44

lende overholdelse af persondataloven og/eller sikkerhedsbe-kendtgørelsen. Datatilsynet har derimod ikke afsløret egentligeangreb på it-systemer i forbindelse med tilsynets kontrol afstatslige myndigheder.Datatilsynet har til brug for dette bidrag bl.a. foretaget en gen-nemgang af konklusionerne på inspektioner, som tilsynet harforetaget hos Rigspolitiet, og inspektioner, som tilsynet har fo-retaget hos politikredsene, siden politireformen trådte i kraft i2007. Derudover har tilsynet gennemgået konklusionerne påinspektioner foretaget hos statslige myndigheder de seneste treår.Datatilsynet kan på den baggrund nævne følgende eksemplerpå konstaterede forhold, der ikke var i overensstemmelse medpersondatalovens og sikkerhedsbekendtgørelsens sikkerheds-krav.På inspektioner i flere politikredse har Datatilsynet bl.a. kon-stateret manglende eller mangelfulde uddybende sikkerheds-regler, manglende retningslinjer vedrørende hjemmearbejds-pladser og mobile arbejdspladser, manglende kryptering afkontaktformularer på hjemmesider og manglende eller mangel-fuld kontrol med afviste adgangsforsøg.I forbindelse med en inspektion af overtrædelsesregisteret hosErhvervs- og Selskabsstyrelsen i 2010 konstaterede Datatilsy-net bl.a., at der ikke var implementeret en adgangsløsning, derlevede op til sikkerhedskravene.5Afslutningsvis kan det oplyses, at Datatilsynet også på andremåder har fået kendskab til tilfælde, hvor statslige myndighe-der ikke har overholdt persondatalovens regler. Det kan f.eks.være ved henvendelser fra borgere, omtale i medierne, oplys-ninger i klagesager, søgning på internettet mv.Som eksempler kan nævnes sager om utilsigtet offentliggørelseaf personoplysninger, herunder oplysninger af følsom karakter,og andre sager om utilsigtet videregivelse af sådanne oplysnin-ger, manglende kryptering af kontaktformularer på hjemmesi-der, uberettiget opslag i register samt utilsigtet adgang foruvedkommende virksomheder til skatteoplysninger om andrevirksomheders ansatte.”Justitsministeriet kan supplerende henvise til besvarelserne af 27. juni2013 af spørgsmål nr. 903 og 904 (Alm. del) fra Folketingets Kommunal-udvalg.Datatilsynets udtalelse af 28. september 2010 i sagen (2009-621-0045) er tilgængelig påtilsynets hjemmeside www.datatilsynet.dk under punktet ”Afgørelser””Arkiv over af-gørelser”.55