Retsudvalget 2013-14
REU Alm.del Bilag 246
Offentligt
Forslag til lov omCenter for CybersikkerhedDANSK IT’s retssikkerhedsmæssige overvejelser
Ekspertmøde i Folketingets Retsudvalg, 8. maj 2014
Hvor der er en vilje, er der en vejRetssikkerhed og beskyttelsen af retten til privatliv er:•Besværligt•Det koster (ekstra) penge•Da det også kræver effektiv kontrol, håndhævelse og konsekvens•Lovforslaget går konsekvent den modsatte vej!
Overordnede betragtningerRetssikkerhed og respekt for privatlivet kræver efter DANSK IT’s opfattelse:a)b)At indgreb i grundlæggende rettigheder i loven begrænses til det strengtnødvendige.At Folketinget derfor ikke vedtager en lov med brede og generelle formuleringer,hvorved en myndighed får ret til at gribe ind i grundlæggende rettigheder udenforudgående effektiv kontrol.At loven udtømmende angiver grunde til indgreb. Disse grunde skal være klartdefineret og logisk afgrænset.Ved indgreb skal en person konkret foretage en vurdering af, om indgrebet erstrengt nødvendigt.
c)d)
Lovforslaget overordnet set••••Elastik i metermål. Der er ingen begrænsninger i hvad Centeret vil kunne.Lovteksten er meget bredt og løst formuleret.Centeret afgør selv hvem der kan tilsluttes. Ingen kontrol med hvem der kan tilslutte sig, hvorved dergives adgang til personhenførbare data uden retskendelse!Enorme mængder data kan opsamles og anvendes. Der synes altid at være en hjemmel i loven. Detskyldes, at formålet er ekstremt bredt og da man jo altid kan behandle af hensyn til statens sikkerhed.(Ingen kontrol).Det følger af forarbejderne, at behandling af personlige data er undtagelsen – ses ikke på nogenmåder reflekteret i lovforslaget.Medtagelse af bestemmelser fra Persondataloven giver ikke mening, da alle kontrolbestemmelser erudeladt (ren staffage).Som DANSK IT forstår det er hovedformålet at forhindre cyberangreb mod Danmark.Lovteksten går meget længere end formålet!
•
•••
Den centrale definition• Sikkerhedshændelse: ”En1hændelse, der2negativt3påvirkereller4vurderesat villekunne påvirkeatilgængelighed,bintegritet ellercfortrolighed af data,informationssystemer,digitale netværk ellerdigitale tjenester.Hvorfor ikke:”Cyberangreb (sikkerhedshændelsen) er elektroniske angreb rettet modinformations- og kommunikationsteknologi (IKT) herunder computere, servere, netværk,tjenester, som er forbundet direkte eller indirekte til Internettet, med den hensigt at skadeeller ødelægge IKT, tilegne sig kontrol over styringen af IKT eller uretmæssigt at få adgangtil data lagret på IKT, med det formål at underminere tilgængeligheden, integriteten ogtilliden til det ramte eller tilsigtet IKT og/eller at tilegne/forvanske/ødelægge sensitivedata. ”
Anbefalinger••DANSK IT støtter bekæmpelsen af cyberangreb, men finder lovforslagetretssikkerhedsmæssigt dybt betænkeligtCenterets behandling af personlige data bør begrænses til kun at gælde bekæmpelse afcyberangreb. Og kun når det er strengt nødvendigt.Der bør indføres en procedure, hvor chefen for centeret hver gang skal give tilladelsetil behandlingen. Chefen skal give en fyldestgørende redegørelse for, hvorfor det erstrengt nødvendigt. Chefen skal sikre, at kun de absolut mest nødvendige data tilgås.Ingen brug i øvrigt af de indsamlede personlige data. Heller ikke af resten afefterretningstjenesten.De nødvendige tekniske og organisatoriske tiltag skal tages.
••
Anbefalinger• Der skal være logning og notatpligt ved enhver tilgang til personlige data, så detefterfølgende kan kontrollers af Tilsynsmyndigheden, om de er enige i chefensvurdering.• Antal gange der er anvendt personhenførbare data skal oplyses i den årlige rapport, såoffentligheden kan følge med i udviklingen. Hovedårsager skal angives etc.• Der bør være en dobbelt vurdering af hvem, der kan tilsluttes netværket og hvadkonsekvensen er af at ophøre med at være tilsluttet.• Afklaring af forholdet til anden lovgivning inkl. EMRK etc. bør behandles langt mereindgående og der skal redegøres nøje og detaljeret for de afvejninger, der er foretagetog ikke som nu kun i hovedoverskrifter.• Overvej krav om oplysning til de registrerede hos de tilsluttede virksomheder om, atderes data kan blive delt med Centeret.
Anbefalinger• Hvis Folketinget tager retssikkerhed og respekt for privatlivet alvorligt.undgår Folketinget ikke, at skulle forholde sig til EU-Domstolens dom omlogningsdirektivet og inddrage den.• Indføres der ikke begrænsninger og rutiner etc. der kan efterprøves ogkontrolleres og hvor f.eks. en chef kan holdes ansvarlig, så er det ikke etspørgsmål om der vil finde misbrug sted. Det er kun et spørgsmål omhvornår!• Denne lov bør være baseret på de samme (høje) krav til (rets)sikkerhed,som politikerne ønsker, at Nets og andre private aktører skal følge. Der ergrundlæggende ikke nogen forskel.
Om DANSK ITDANSK IT er en non-profit interesseorganisation stiftet i 1958med det formål at udbrede kendskabet tilinformationsteknologien og dens anvendelse, fremmeanvendelsen af informationsteknologien til gavn for bådesamfundet og den enkelte bruger og samle it-brugere, it-professionelle og andre it-interesserede om disse opgaver