Spørgsmål nr. 958 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren oplyse, hvilke tilsyn og hvilke revisioner Data-tilsynet, Rigspolitiet og PET løbende udfører for at sikre, atsikkerheden er i orden omkring statens it-systemer, og hvor of-te disse tilsyn og revisioner foretages?”

Svar:

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet enudtalelse fra Rigspolitiet, der har oplyst følgende:”Rigspolitiet kan til brug for besvarelsen oplyse, at Rigspolitieter dataansvarlig for indholdet af politiets centrale registre oghar i overensstemmelse med persondataloven indgået en data-behandleraftale med CSC.Som dataansvarlig er Rigspolitiet således overordnet ansvarligfor den behandling af personoplysninger, som finder sted hosCSC.Rigspolitiet fører på den baggrund tilsyn med CSC og modta-ger i forbindelse med sit tilsyn hos CSC årligt en revisionser-klæring fra en uafhængig revisor. Som opfølgning på revisi-onserklæringerne og som led i det generelle tilsyn afholdes derløbende sikkerhedsmøder mellem CSC og Rigspolitiet.Der afholdes desuden også løbende driftsstatusmøder og andreopfølgende møder, når dette er relevant, herunder som opfølg-ning på eventuelle sikkerhedshændelser.Ud over tilsynet med CSC fører Rigspolitiet tilsyn/kontrol medit-systemer, som drives af politiet selv. Disse tilsyn udføressom periodiske revisioner af systemsikkerheden for udvalgtesystemer samt som stikprøver af sikkerheden i øvrige syste-mer. Disse tilsyn/kontroller foretages flere gange årligt.Politiets Efterretningstjeneste (PET) kan oplyse, at PET er it-sikkerhedsmyndighed i forhold til de it-systemer på Justitsmi-nisteriets område, der behandler mv. klassificerede informatio-ner. Det indebærer, at it-systemer på Justitsministeriets områ-de, der behandler mv. klassificerede informationer, skal god-kendes af PET.PET indsamler løbende oplysninger om typen og mængden afklassificerede informationer, der behandles og opbevares hosden enkelte myndighed. Disse oplysninger danner baggrundfor planlægningen og gennemførelsen af PET’s kontrol. Detafhænger af en konkret vurdering, hvor ofte der gennemføres2

tilsyn hos en myndighed, men tilsyn tilstræbes i alle tilfældegennemført mindst hvert tredje år.Som følge af bl.a. den konkrete sag om hackerangrebet på CSChar PET endvidere iværksat en kortlægning af, hvorledes tra-fikmonitering og logning på politiets og anklagemyndighedensit-systemer kan styrkes.PETudøverherudoversinfunktionsomit-sikkerhedsmyndighed gennem løbende rådgivning af myndig-hederne på Justitsministeriets område, herunder politiet og an-klagemyndigheden.Endvidere er PET i løbende dialog med politi og anklagemyn-dighed om håndteringen af følsomme oplysninger, og PET togi 2011 initiativ til et projekt, der har til formål at sikre et pas-sende og ensartet beskyttelsesniveau for følsomme oplysnin-ger, der behandles og opbevares i regi af politiet og anklage-myndigheden. Projektet er forankret i Rigspolitiet. PET har lø-bende bidraget med ekspertviden og rådgivning til projektet,og de indledende anbefalinger er forelagt for Rigspolitiets di-rektion i foråret 2013.”Justitsministeriet kan supplerende henvise til den samtidige besvarelse afspørgsmål nr. 957 (Alm. del) fra samme spørger.