Retsudvalget 2013-14
REU Alm.del Bilag 246
Offentligt
Ekspertmøde om lovforslag omCenter for CybersikkerhedJesper LundIT-Politisk Forening8. maj 2014
IT-sikkerhed og borgernes privatliv•Alle IT-systemer har lokale logfiler–Nødvendigt af hensyn til IT-sikkerhed–Indebærer behandling af persondata
•Særlige problemstillinger ved CfCS tjenesten–Central opsamling fra mange IT-systemer–Lang opbevaringsperiode for data (§ 17)–Mulighed for videregivelse af visse data (§ 16)–Placering af CfCS under FE2
Hvem skal kunne tilslutte sig CfCS•Udvidelse af eksisterende GovCERT ordning–Privat virksomhed med ”samfundsvigtig funktion”–Mulighed for midlertidig tilslutning (§§ 6-7)–Vigtig præcisering i lovforslag vedr. ISP’er m.v.
•Borgerne bør vide hvornår CfCS opsamler data–Offentliggørelse af permanent tilsluttede § 3–Hemmeligt for midlertidigt tilsluttede §§ 6-7–Videregivelse af logfiler efter § 7 vil skabeproblemer for virksomheder ift. persondatalov3
Videregivelse af data fra CfCS § 16•Videregivelse til bredere kreds § 16, nr. 2–Kun trafikdata (dog bredere definition end ilogningbekendtgørelse, fx webside-adresse)–Kun ved mistanke om sikkerhedshændelse–Dog relativt bred definition af sikkerhedshændelse–Bør præciseres i loven at kun trafikdata vedr. selvesikkerhedshændelsen kan videregives
•Videregivelse internt i FE–Samme regler (afsnit 3.5.3), men ikke klart om deter hensigtserklæring eller lovkrav?4
Opbevaringsperiode § 17•Kraftig udvidelse af opbevaringsperioden–Pakkedata: fra 14 dage til 13 måneder–Trafikdata: fra 12 måneder til 13 måneder–Dog begrænset af § 17, stk. 1
•Behov for udvidelsen af opbevaringsperiode?–Kan være relevant at checke for indbrud tidligere–Udvander samtidig generelle regel i § 17, stk. 1–Nødvendigt med andre metoder for at checke omsystemer er blevet hacket (pga. ”inside job” risiko)
•Risiko for datatyveri via indbrud hos CfCS5