Retsudvalget 2013-14
REU Alm.del Bilag 264
Offentligt
1371307_0001.png
PDF to HTML - Convert PDF files to HTML files
1.
Med samrådsspørgsmål F har udvalget anmodet mig om at redegøre
for en række spørgsmål i relation til den seneste tids afsløringer af ulov-
lig overvågning af en række kongelige og kendte personer.
De afsløringer, som har været omtalt i medierne i den seneste tid, er
kommet bag på mig og vist også alle andre.
At der skal være foregået så systematisk og omfangsrigt misbrug og
spredning af personoplysninger overrasker og bekymrer mig.
Der er i øjeblikket en række undersøgelser i gang, som skal klarlægge,
hvad der præcis er foregået i sagen. Og der er vist endnu ingen, der har
et fuldt overblik i sagen. Min redegørelse over for Retsudvalget er der-
for i nogen grad baseret på den viden, jeg har ud fra mediernes omtale
af sagen.
2.
Som det også er fremgået af mediernes omtale af sagen, har Køben-
havns Vestegns Politi iværksat efterforskning af de beskyldninger om
ulovlig overvågning, der har været fremme.
Københavns Vestegns Politi har over for mig oplyst, at politikredsen
den 28. april 2014 blev orienteret om, at en tidligere journalist på Se og
Hør ville udgive en bog, hvoraf det skulle fremgå, at bladet over en pe-
riode fra 2007 til 2012 skulle have modtaget oplysninger om kendte
personers dankorttransaktioner fra Nets med henblik på, at bladets jour-
nalister kunne følge de kendte.
På baggrund heraf besluttede ledelsen i Københavns Vestegns Politi
samme dag, at politiet skulle indlede efterforskning i den konkrete sag.
Efterfølgende har en række enkeltpersoner i øvrigt indgivet anmeldelser
i sagen.
2
PDF to HTML - Convert PDF files to HTML files
Københavns Vestegns Politi er således nu i færd med at efterforske sa-
gen, ligesom politiet i den forbindelse er ved at overveje, hvilke be-
stemmelser i straffeloven, persondataloven og den øvrige lovgivning
der i givet fald måtte være overtrådt.
I den sammenhæng skal politiet også tage stilling til, hvilke fysiske og
juridiske personer der kan have overtrådt den relevante lovgivning.
Københavns Vestegns Politi har endvidere oplyst, at der er tale om en
både faktuelt og retligt
stor og kompliceret sag, som kræver en omfat-
tende efterforskning. Samtidig er der tale om en sag, der har en stor of-
fentlig interesse og bevågenhed, ligesom der kan være tale om, at flere
privatpersoner er blevet udsat for en krænkelse.
Rigsadvokaten har på den baggrund over for Københavns Vestegns Po-
liti tilkendegivet, at den konkrete sag skal prioriteres. Men Rigsadvoka-
ten har samtidig konstateret, at det
i lyset af sagens omfang og karak-
ter
ikke vil kunne undgås, at det vil tage en vis tid at efterforske sagen
til bunds.
Rigsadvokaten har i øvrigt aftalt med politiet, at den overordnede an-
klagemyndighed løbende vil blive holdt orienteret om sagen.
3.
Derudover har Finanstilsynet iværksat en undersøgelse af sikkerhe-
den hos Nets. Herom har Erhvervs- og Vækstministeriet oplyst, at da
Finanstilsynets tilsynsvirksomhed er omfattet af en skærpet tavsheds-
pligt, er det ikke muligt at oplyse om den konkrete sag.
Jeg har derfor ikke mulighed for at komme nærmere ind på Finanstilsy-
nets undersøgelse i sagen.
Og spørgsmål herom må i øvrigt rettes til erhvervs- og vækstministeren,
som Finanstilsynet hører under.
3
PDF to HTML - Convert PDF files to HTML files
Herudover er jeg bekendt med, at Datatilsynet har stillet Se og Hør en
række spørgsmål i anledning af sagen for at få afklaret, om regler i per-
sondataloven er blevet overtrådt.
Og i forhold til sikkerheden i NemID-systemet er jeg bekendt med, at
Digitaliseringsstyrelsen, som er ansvarlig for NemID-løsningen, har
modtaget en redegørelse fra Nets i sagen, der viser, at der ikke har væ-
ret læk eller anden misbrug af oplysninger.
Digitaliseringsstyrelsen har
som følge af de brud på sikkerheden, der
øjensynligt har været
ikke desto mindre krævet, at Nets strammer
yderligere op på den i forvejen høje sikkerhed, og at Nets forstærker de-
res sikkerhedsprocedurer og interne kontroller.
Desuden vil Digitaliseringsstyrelsen skærpe kravene til den uafhængige
kontrol af sikkerheden i NemID, som styrelsen regelmæssigt får lavet
og følger op på.
Og i forhold til de forlydender, der har været om, at også ansatte hos
flyselskabet SAS har udleveret oplysninger om kongelige og kendte til
Se og Hør, så har transportministeren tilkendegivet, at han vil iværksæt-
te en undersøgelse heraf. Og jeg har forstået, at Datatilsynet også over-
vejer at stille SAS en række spørgsmål herom.
4.
Herudover er det fremgået af mediernes omtale af sagen, at også Nets
og Aller har iværksat undersøgelser i sagen.
Nets har i en offentliggjort redegørelse af 5. maj 2014 oplyst, at Nets
har igangsat en omfattende undersøgelse af sagen, og Nets oplyser at
kunne konstatere adfærdsmønstre, som underbygger, at der kan være
sket et misbrug, som beskrevet i pressen. Den information oplyser Nets
4
PDF to HTML - Convert PDF files to HTML files
at have overdraget til myndighederne og politiet til brug for den videre
efterforskning.
Nets har samtidig oplyst, at man forstærker de kontrolfunktioner, som
skal sikre, at medarbejdere, som har adgang til fortrolige data, ikke
misbruger denne adgang. Nets vil, indtil gennemgangen af deres kon-
trolsystemer har fundet sted, skærpe sikkerhedskontrollen ved, at eks-
terne revisorer gennemfører yderligere stikprøvekontroller af adgange
og logs.
5.
Det er altså i øjeblikket ved at blive undersøgt nærmere af både de re-
levante myndigheder og implicerede virksomheder, hvad der er foregået
i sagen, hvilke regelsæt der eventuelt måtte være blevet overtrådt, og
om der er grundlag for sanktioner i den anledning.
6.
Der er ingen tvivl om, at afsløringerne om Se og Hørs overvågning
meget tydeligt peger på nogle udfordringer med datasikkerheden rundt
omkring.
Det skal vi selvfølgelig gøre noget ved.
Borgerne skal kunne have tillid til, at oplysninger om dem ikke misbru-
ges eller spredes uberettiget.
Og som jeg flere gange har givet udtryk for, vækker det selvfølgelig
stor bekymring hos mig, når oplysninger om brug af kreditkort og andre
private oplysninger misbruges.
Jeg har derfor bedt mine embedsmænd sammen med Erhvervs- og
Vækstministeriet om at kortlægge beskyttelsen af oplysninger om bor-
gernes elektroniske betalinger mv.
5
PDF to HTML - Convert PDF files to HTML files
1371307_0006.png
Viser det sig herefter, at der er brug for nye initiativer på området, vil
de blive gennemført. Og det gælder, uanset om det er ny lovgivning,
stærkere tilsyn, skrappere krav eller noget helt fjerde, der viser sig at
være behov for.
7.
Når det er sagt, så er det jo ikke sådan, at der i dag ikke gælder regler
om beskyttelse af personoplysninger i vores lovgivning.
Persondataloven indeholder generelle regler herom, mens der visse ste-
der i den øvrige lovgivning findes særlige regler herom, f.eks. på det fi-
nansielle område.
Om de regler om beskyttelse af personoplysninger, som i dag findes i
persondataloven, kan jeg oplyse følgende:
Persondatalovens kapitel 11 indeholder en række bestemmelser om,
hvilke sikkerhedsforanstaltninger der skal træffes i forbindelse med be-
handling af personoplysninger.
Det følger bl.a. af disse regler, at den dataansvarlige skal træffe de for-
nødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at
oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forrin-
ges, samt mod, at de kommer til uvedkommendes kendskab, misbruges
eller i øvrigt behandles i strid med loven. Det samme gælder for såkald-
te databehandlere.
Kravene om fornødne sikkerhedsforanstaltninger er for offentlige myn-
digheders vedkommende uddybet i den såkaldte sikkerhedsbekendtgø-
relse.
For private virksomheder er der ikke fastsat regler til uddybning af per-
sondatalovens krav, men der gælder naturligvis det, at der skal træffes
de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. In-
6
PDF to HTML - Convert PDF files to HTML files
1371307_0007.png
den for denne ramme er det i første omgang overladt til den enkelte
virksomhed eller person at vurdere, hvilke sikkerhedsforanstaltninger
der er fornødne. Ved vurderingen heraf må Datatilsynets praksis og ret-
ningslinjer naturligvis tages i betragtning.
Herudover indeholder persondataloven regler, der regulerer tilfælde,
hvor oplysninger overlades til en såkaldt databehandler
dvs. en eks-
tern leverandør eller lignende, der alene behandler oplysningerne på
vegne af en dataansvarlig myndighed eller virksomhed.
I sådanne situationer skal den dataansvarlige myndighed eller virksom-
hed sikre sig, at databehandleren kan træffe de påkrævede tekniske og
organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
Datatilsynet, der er en uafhængig myndighed, fører tilsyn med, at per-
sondatalovens regler overholdes. Dette tilsyn føres bl.a. ved at tage på
inspektioner, behandle klager og tage sager op af egen drift.
8.
Herudover findes der som nævnt på en række andre områder særlige
regler om, hvordan personoplysninger skal beskyttes.
Det gælder ikke mindst på det finansielle område.
Om disse regler har Erhvervs- og Vækstministeriet over for mig oplyst
følgende:
Lov om betalingstjenester og elektroniske penge regulerer virksomhe-
der, som udfører betalingstjenester og behandler transaktionsdata. Nets
er et betalingsinstitut, der har tilladelse efter betalingstjenesteloven.
Det er bl.a. en betingelse for at opnå og bevare en sådan tilladelse, at
virksomhedens kontrol- og sikkerhedsmæssige foranstaltninger er for-
svarlige.
7
PDF to HTML - Convert PDF files to HTML files
1371307_0008.png
Betalingstjenesteloven foreskriver desuden, at et betalingsinstitut bl.a.
skal have interne kontrolprocedurer og betryggende kontrol- og sikker-
hedsforanstaltninger på IT-området.
Det er Finanstilsynet, der giver tilladelse til betalingsinstitutter, der op-
fylder lovens krav. Finanstilsynet fører også tilsyn med, at virksomhe-
den opfylder disse krav.
Herudover er Nets underlagt de krav om betryggende kontrol- og sik-
ringsforanstaltninger på it-området, der efter lov om finansiel virksom-
hed gælder for såkaldte fælles datacentraler.
Disse krav omhandler bl.a. udarbejdelse af en it-sikkerhedspolitik og
krav om, at direktionen skal sikre, at it-sikkerhedspolitikken efterleves
og uddybes i procedurer.
Endvidere er Nets underlagt bekendtgørelsen om systemrevisionens
gennemførelse i fælles datacentraler, der bl.a. stiller krav til den ekster-
ne og interne systemrevision.
Det er Finanstilsynet, der fører tilsyn med, at de fælles datacentraler ef-
terlever de særlige regler om it-sikkerhed, der gælder på det finansielle
område.
9.
Der gælder altså i vidt omfang regler om, hvordan personoplysninger
skal beskyttes.
Som nævnt viser afsløringerne om Se og Hørs overvågning imidlertid
meget tydeligt, at der er nogle udfordringer med datasikkerheden rundt
omkring.
8
PDF to HTML - Convert PDF files to HTML files
1371307_0009.png
Om dette skyldes, at reglerne ikke er gode nok, eller at de ikke efterle-
ves, skal jeg ikke gøre mig klog på på nuværende tidspunkt.
Men vi skal selvfølgelig se på, om vi kan gøre noget ved problemet.
Det er imidlertid for tidligt at konkludere på, hvad der præcist er behov
for fremadrettet. Der er på nuværende tidspunkt ikke mindre end 6-7
forskellige undersøgelser i gang, og der gennemføres som nævnt også
en kortlægning af beskyttelsen af oplysninger om borgernes elektroni-
ske betalinger mv.
Jeg vil derfor heller ikke på nuværende tidspunkt tage stilling til de
mange konkrete forslag, der allerede har været fremført.
Men som jeg har sagt, skal der ikke herske tvivl om, at jeg er fuldstæn-
dig klar til at handle, når vi kender behovet.
Og hermed vil jeg takke for ordet.
9