Kulturudvalget 2013-14
KUU Alm.del Bilag 146
Offentligt
1370642_0001.png
1370642_0002.png
1370642_0003.png
1370642_0004.png
1370642_0005.png
1370642_0006.png
1370642_0007.png
1370642_0008.png
1370642_0009.png
Dato:Kontor:Sagsbeh:Sagsnr.:Dok.:
13. maj 2014ForvaltningsretskontoretKristian Gyde Poulsen2014-0035-02291153396

UDKAST TIL TALE

til brug for besvarelsen af samrådsspørgsmål F

fra Folketingets Kulturudvalg

Samrådsspørgsmål F:

”Justitsministeren bedes i detaljer redegøre for:Hvilke initiativer ministeren har taget på baggrund af artiklen iBT den 28. april 2014: "De blev overvåget af Se og Hørs ulovli-ge spion: AFLUREDE HÆVEKORT" i forhold til at sikre at al-le relevante myndigheder, herunder politiet har iværksat en til-bundsgående undersøgelse af de fremsatte påstande om ulovligovervågning af de kongelige og kendte fra ugebladet Se og Hørsside.Hvilke initiativer ministeren har taget for konkret at undersøgebeskyldningerne om lækkede oplysninger, betaling med sortepenge m.v. fra ugebladet Se og Hør til en medarbejder hosNets/PBS?Hvilke initiativer ministeren vil tage fremadrettet for at styrkebeskyttelsen af private data samt højne de etiske standarder i dendanske presse, såfremt det viser sig, at oplysningerne er korrek-te?”
Slotsholmsgade 101216 København K.Telefon 7226 8400Telefax 3393 3510www.justitsministeriet.dk[email protected]

1.

Med samrådsspørgsmål F har udvalget anmodet mig om at redegørefor en række spørgsmål i relation til den seneste tids afsløringer af ulov-lig overvågning af en række kongelige og kendte personer.
De afsløringer, som har været omtalt i medierne i den seneste tid, erkommet bag på mig og vist også alle andre.
At der skal være foregået så systematisk og omfangsrigt misbrug ogspredning af personoplysninger overrasker og bekymrer mig.
Der er i øjeblikket en række undersøgelser i gang, som skal klarlægge,hvad der præcis er foregået i sagen. Og der er vist endnu ingen, der haret fuldt overblik i sagen. Min redegørelse over for Retsudvalget er der-for i nogen grad baseret på den viden, jeg har ud fra mediernes omtaleaf sagen.

2.

Som det også er fremgået af mediernes omtale af sagen, har Køben-havns Vestegns Politi iværksat efterforskning af de beskyldninger omulovlig overvågning, der har været fremme.
Københavns Vestegns Politi har over for mig oplyst, at politikredsenden 28. april 2014 blev orienteret om, at en tidligere journalist på Se ogHør ville udgive en bog, hvoraf det skulle fremgå, at bladet over en pe-riode fra 2007 til 2012 skulle have modtaget oplysninger om kendtepersoners dankorttransaktioner fra Nets med henblik på, at bladets jour-nalister kunne følge de kendte.
På baggrund heraf besluttede ledelsen i Københavns Vestegns Politisamme dag, at politiet skulle indlede efterforskning i den konkrete sag.Efterfølgende har en række enkeltpersoner i øvrigt indgivet anmeldelseri sagen.
2
Københavns Vestegns Politi er således nu i færd med at efterforske sa-gen, ligesom politiet i den forbindelse er ved at overveje, hvilke be-stemmelser i straffeloven, persondataloven og den øvrige lovgivningder i givet fald måtte være overtrådt.
I den sammenhæng skal politiet også tage stilling til, hvilke fysiske ogjuridiske personer der kan have overtrådt den relevante lovgivning.Københavns Vestegns Politi har endvidere oplyst, at der er tale om en –både faktuelt og retligt – stor og kompliceret sag, som kræver en omfat-tende efterforskning. Samtidig er der tale om en sag, der har en stor of-fentlig interesse og bevågenhed, ligesom der kan være tale om, at flereprivatpersoner er blevet udsat for en krænkelse.
Rigsadvokaten har på den baggrund over for Københavns Vestegns Po-liti tilkendegivet, at den konkrete sag skal prioriteres. Men Rigsadvoka-ten har samtidig konstateret, at det – i lyset af sagens omfang og karak-ter – ikke vil kunne undgås, at det vil tage en vis tid at efterforske sagentil bunds.
Rigsadvokaten har i øvrigt aftalt med politiet, at den overordnede an-klagemyndighed løbende vil blive holdt orienteret om sagen.

3.

Derudover har Finanstilsynet iværksat en undersøgelse af sikkerhe-den hos Nets. Herom har Erhvervs- og Vækstministeriet oplyst, at daFinanstilsynets tilsynsvirksomhed er omfattet af en skærpet tavsheds-pligt, er det ikke muligt at oplyse om den konkrete sag.
Jeg har derfor ikke mulighed for at komme nærmere ind på Finanstilsy-nets undersøgelse i sagen.
Og spørgsmål herom må i øvrigt rettes til erhvervs- og vækstministeren,som Finanstilsynet hører under.3
Herudover er jeg bekendt med, at Datatilsynet har stillet Se og Hør enrække spørgsmål i anledning af sagen for at få afklaret, om regler i per-sondataloven er blevet overtrådt.
Og i forhold til sikkerheden i NemID-systemet er jeg bekendt med, atDigitaliseringsstyrelsen, som er ansvarlig for NemID-løsningen, harmodtaget en redegørelse fra Nets i sagen, der viser, at der ikke har væ-ret læk eller anden misbrug af oplysninger.Digitaliseringsstyrelsen har – som følge af de brud på sikkerheden, derøjensynligt har været – ikke desto mindre krævet, at Nets strammeryderligere op på den i forvejen høje sikkerhed, og at Nets forstærker de-res sikkerhedsprocedurer og interne kontroller.
Desuden vil Digitaliseringsstyrelsen skærpe kravene til den uafhængigekontrol af sikkerheden i NemID, som styrelsen regelmæssigt får lavetog følger op på.
Og i forhold til de forlydender, der har været om, at også ansatte hosflyselskabet SAS har udleveret oplysninger om kongelige og kendte tilSe og Hør, så har transportministeren tilkendegivet, at han vil iværksæt-te en undersøgelse heraf. Og jeg har forstået, at Datatilsynet også over-vejer at stille SAS en række spørgsmål herom.

4.

Herudover er det fremgået af mediernes omtale af sagen, at også Netsog Aller har iværksat undersøgelser i sagen.
Nets har i en offentliggjort redegørelse af 5. maj 2014 oplyst, at Netshar igangsat en omfattende undersøgelse af sagen, og Nets oplyser atkunne konstatere adfærdsmønstre, som underbygger, at der kan væresket et misbrug, som beskrevet i pressen. Den information oplyser Nets
4
at have overdraget til myndighederne og politiet til brug for den videreefterforskning.
Nets har samtidig oplyst, at man forstærker de kontrolfunktioner, somskal sikre, at medarbejdere, som har adgang til fortrolige data, ikkemisbruger denne adgang. Nets vil, indtil gennemgangen af deres kon-trolsystemer har fundet sted, skærpe sikkerhedskontrollen ved, at eks-terne revisorer gennemfører yderligere stikprøvekontroller af adgangeog logs.

5.

Det er altså i øjeblikket ved at blive undersøgt nærmere af både de re-levante myndigheder og implicerede virksomheder, hvad der er foregåeti sagen, hvilke regelsæt der eventuelt måtte være blevet overtrådt, ogom der er grundlag for sanktioner i den anledning.

6.

Der er ingen tvivl om, at afsløringerne om Se og Hørs overvågningmeget tydeligt peger på nogle udfordringer med datasikkerheden rundtomkring.
Det skal vi selvfølgelig gøre noget ved.
Borgerne skal kunne have tillid til, at oplysninger om dem ikke misbru-ges eller spredes uberettiget.
Og som jeg flere gange har givet udtryk for, vækker det selvfølgeligstor bekymring hos mig, når oplysninger om brug af kreditkort og andreprivate oplysninger misbruges.
Jeg har derfor bedt mine embedsmænd sammen med Erhvervs- ogVækstministeriet om at kortlægge beskyttelsen af oplysninger om bor-gernes elektroniske betalinger mv.
5
Viser det sig herefter, at der er brug for nye initiativer på området, vilde blive gennemført. Og det gælder, uanset om det er ny lovgivning,stærkere tilsyn, skrappere krav eller noget helt fjerde, der viser sig atvære behov for.

7.

Når det er sagt, så er det jo ikke sådan, at der i dag ikke gælder reglerom beskyttelse af personoplysninger i vores lovgivning.
Persondataloven indeholder generelle regler herom, mens der visse ste-der i den øvrige lovgivning findes særlige regler herom, f.eks. på det fi-nansielle område.
Om de regler om beskyttelse af personoplysninger, som i dag findes ipersondataloven, kan jeg oplyse følgende:
Persondatalovens kapitel 11 indeholder en række bestemmelser om,hvilke sikkerhedsforanstaltninger der skal træffes i forbindelse med be-handling af personoplysninger.
Det følger bl.a. af disse regler, at den dataansvarlige skal træffe de for-nødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, atoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forrin-ges, samt mod, at de kommer til uvedkommendes kendskab, misbrugeseller i øvrigt behandles i strid med loven. Det samme gælder for såkald-te databehandlere.
Kravene om fornødne sikkerhedsforanstaltninger er for offentlige myn-digheders vedkommende uddybet i den såkaldte sikkerhedsbekendtgø-relse.
For private virksomheder er der ikke fastsat regler til uddybning af per-sondatalovens krav, men der gælder naturligvis det, at der skal træffesde fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. In-6
den for denne ramme er det i første omgang overladt til den enkeltevirksomhed eller person at vurdere, hvilke sikkerhedsforanstaltningerder er fornødne. Ved vurderingen heraf må Datatilsynets praksis og ret-ningslinjer naturligvis tages i betragtning.
Herudover indeholder persondataloven regler, der regulerer tilfælde,hvor oplysninger overlades til en såkaldt databehandler – dvs. en eks-tern leverandør eller lignende, der alene behandler oplysningerne påvegne af en dataansvarlig myndighed eller virksomhed.
I sådanne situationer skal den dataansvarlige myndighed eller virksom-hed sikre sig, at databehandleren kan træffe de påkrævede tekniske ogorganisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
Datatilsynet, der er en uafhængig myndighed, fører tilsyn med, at per-sondatalovens regler overholdes. Dette tilsyn føres bl.a. ved at tage påinspektioner, behandle klager og tage sager op af egen drift.

8.

Herudover findes der som nævnt på en række andre områder særligeregler om, hvordan personoplysninger skal beskyttes.
Det gælder ikke mindst på det finansielle område.
Om disse regler har Erhvervs- og Vækstministeriet over for mig oplystfølgende:
Lov om betalingstjenester og elektroniske penge regulerer virksomhe-der, som udfører betalingstjenester og behandler transaktionsdata. Netser et betalingsinstitut, der har tilladelse efter betalingstjenesteloven.
Det er bl.a. en betingelse for at opnå og bevare en sådan tilladelse, atvirksomhedens kontrol- og sikkerhedsmæssige foranstaltninger er for-svarlige.7
Betalingstjenesteloven foreskriver desuden, at et betalingsinstitut bl.a.skal have interne kontrolprocedurer og betryggende kontrol- og sikker-hedsforanstaltninger på IT-området.
Det er Finanstilsynet, der giver tilladelse til betalingsinstitutter, der op-fylder lovens krav. Finanstilsynet fører også tilsyn med, at virksomhe-den opfylder disse krav.
Herudover er Nets underlagt de krav om betryggende kontrol- og sik-ringsforanstaltninger på it-området, der efter lov om finansiel virksom-hed gælder for såkaldte fælles datacentraler.
Disse krav omhandler bl.a. udarbejdelse af en it-sikkerhedspolitik ogkrav om, at direktionen skal sikre, at it-sikkerhedspolitikken efterlevesog uddybes i procedurer.
Endvidere er Nets underlagt bekendtgørelsen om systemrevisionensgennemførelse i fælles datacentraler, der bl.a. stiller krav til den ekster-ne og interne systemrevision.
Det er Finanstilsynet, der fører tilsyn med, at de fælles datacentraler ef-terlever de særlige regler om it-sikkerhed, der gælder på det finansielleområde.

9.

Der gælder altså i vidt omfang regler om, hvordan personoplysningerskal beskyttes.
Som nævnt viser afsløringerne om Se og Hørs overvågning imidlertidmeget tydeligt, at der er nogle udfordringer med datasikkerheden rundtomkring.
8
Om dette skyldes, at reglerne ikke er gode nok, eller at de ikke efterle-ves, skal jeg ikke gøre mig klog på på nuværende tidspunkt.
Men vi skal selvfølgelig se på, om vi kan gøre noget ved problemet.
Det er imidlertid for tidligt at konkludere på, hvad der præcist er behovfor fremadrettet. Der er på nuværende tidspunkt ikke mindre end 6-7forskellige undersøgelser i gang, og der gennemføres som nævnt ogsåen kortlægning af beskyttelsen af oplysninger om borgernes elektroni-ske betalinger mv.
Jeg vil derfor heller ikke på nuværende tidspunkt tage stilling til demange konkrete forslag, der allerede har været fremført.
Men som jeg har sagt, skal der ikke herske tvivl om, at jeg er fuldstæn-dig klar til at handle, når vi kender behovet.
Og hermed vil jeg takke for ordet.
9