PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2013-14
REU Alm.del Bilag 264
Offentligt

Med samrådsspørgsmål F har udvalget anmodet mig om at redegøre

for en række spørgsmål i relation til den seneste tids afsløringer af ulov-

lig overvågning af en række kongelige og kendte personer.

De afsløringer, som har været omtalt i medierne i den seneste tid, er

kommet bag på mig og vist også alle andre.

At der skal være foregået så systematisk og omfangsrigt misbrug og

spredning af personoplysninger overrasker og bekymrer mig.

Der er i øjeblikket en række undersøgelser i gang, som skal klarlægge,

hvad der præcis er foregået i sagen. Og der er vist endnu ingen, der har

et fuldt overblik i sagen. Min redegørelse over for Retsudvalget er der-

for i nogen grad baseret på den viden, jeg har ud fra mediernes omtale

af sagen.

Som det også er fremgået af mediernes omtale af sagen, har Køben-

havns Vestegns Politi iværksat efterforskning af de beskyldninger om

ulovlig overvågning, der har været fremme.

Københavns Vestegns Politi har over for mig oplyst, at politikredsen

den 28. april 2014 blev orienteret om, at en tidligere journalist på Se og

Hør ville udgive en bog, hvoraf det skulle fremgå, at bladet over en pe-

riode fra 2007 til 2012 skulle have modtaget oplysninger om kendte

personers dankorttransaktioner fra Nets med henblik på, at bladets jour-

nalister kunne følge de kendte.

På baggrund heraf besluttede ledelsen i Københavns Vestegns Politi

samme dag, at politiet skulle indlede efterforskning i den konkrete sag.

Efterfølgende har en række enkeltpersoner i øvrigt indgivet anmeldelser

i sagen.

PDF to HTML - Convert PDF files to HTML files

Københavns Vestegns Politi er således nu i færd med at efterforske sa-

gen, ligesom politiet i den forbindelse er ved at overveje, hvilke be-

stemmelser i straffeloven, persondataloven og den øvrige lovgivning

der i givet fald måtte være overtrådt.

I den sammenhæng skal politiet også tage stilling til, hvilke fysiske og

juridiske personer der kan have overtrådt den relevante lovgivning.

Københavns Vestegns Politi har endvidere oplyst, at der er tale om en

–

både faktuelt og retligt

–

stor og kompliceret sag, som kræver en omfat-

tende efterforskning. Samtidig er der tale om en sag, der har en stor of-

fentlig interesse og bevågenhed, ligesom der kan være tale om, at flere

privatpersoner er blevet udsat for en krænkelse.

Rigsadvokaten har på den baggrund over for Københavns Vestegns Po-

liti tilkendegivet, at den konkrete sag skal prioriteres. Men Rigsadvoka-

ten har samtidig konstateret, at det

–

i lyset af sagens omfang og karak-

ter

–

ikke vil kunne undgås, at det vil tage en vis tid at efterforske sagen

til bunds.

Rigsadvokaten har i øvrigt aftalt med politiet, at den overordnede an-

klagemyndighed løbende vil blive holdt orienteret om sagen.

Derudover har Finanstilsynet iværksat en undersøgelse af sikkerhe-

den hos Nets. Herom har Erhvervs- og Vækstministeriet oplyst, at da

Finanstilsynets tilsynsvirksomhed er omfattet af en skærpet tavsheds-

pligt, er det ikke muligt at oplyse om den konkrete sag.

Jeg har derfor ikke mulighed for at komme nærmere ind på Finanstilsy-

nets undersøgelse i sagen.

Og spørgsmål herom må i øvrigt rettes til erhvervs- og vækstministeren,

som Finanstilsynet hører under.

PDF to HTML - Convert PDF files to HTML files

Herudover er jeg bekendt med, at Datatilsynet har stillet Se og Hør en

række spørgsmål i anledning af sagen for at få afklaret, om regler i per-

sondataloven er blevet overtrådt.

Og i forhold til sikkerheden i NemID-systemet er jeg bekendt med, at

Digitaliseringsstyrelsen, som er ansvarlig for NemID-løsningen, har

modtaget en redegørelse fra Nets i sagen, der viser, at der ikke har væ-

ret læk eller anden misbrug af oplysninger.

Digitaliseringsstyrelsen har

–

som følge af de brud på sikkerheden, der

øjensynligt har været

–

ikke desto mindre krævet, at Nets strammer

yderligere op på den i forvejen høje sikkerhed, og at Nets forstærker de-

res sikkerhedsprocedurer og interne kontroller.

Desuden vil Digitaliseringsstyrelsen skærpe kravene til den uafhængige

kontrol af sikkerheden i NemID, som styrelsen regelmæssigt får lavet

og følger op på.

Og i forhold til de forlydender, der har været om, at også ansatte hos

flyselskabet SAS har udleveret oplysninger om kongelige og kendte til

Se og Hør, så har transportministeren tilkendegivet, at han vil iværksæt-

te en undersøgelse heraf. Og jeg har forstået, at Datatilsynet også over-

vejer at stille SAS en række spørgsmål herom.

Herudover er det fremgået af mediernes omtale af sagen, at også Nets

og Aller har iværksat undersøgelser i sagen.

Nets har i en offentliggjort redegørelse af 5. maj 2014 oplyst, at Nets

har igangsat en omfattende undersøgelse af sagen, og Nets oplyser at

kunne konstatere adfærdsmønstre, som underbygger, at der kan være

sket et misbrug, som beskrevet i pressen. Den information oplyser Nets

PDF to HTML - Convert PDF files to HTML files

at have overdraget til myndighederne og politiet til brug for den videre

efterforskning.

Nets har samtidig oplyst, at man forstærker de kontrolfunktioner, som

skal sikre, at medarbejdere, som har adgang til fortrolige data, ikke

misbruger denne adgang. Nets vil, indtil gennemgangen af deres kon-

trolsystemer har fundet sted, skærpe sikkerhedskontrollen ved, at eks-

terne revisorer gennemfører yderligere stikprøvekontroller af adgange

og logs.

Det er altså i øjeblikket ved at blive undersøgt nærmere af både de re-

levante myndigheder og implicerede virksomheder, hvad der er foregået

i sagen, hvilke regelsæt der eventuelt måtte være blevet overtrådt, og

om der er grundlag for sanktioner i den anledning.

Der er ingen tvivl om, at afsløringerne om Se og Hørs overvågning

meget tydeligt peger på nogle udfordringer med datasikkerheden rundt

omkring.

Det skal vi selvfølgelig gøre noget ved.

Borgerne skal kunne have tillid til, at oplysninger om dem ikke misbru-

ges eller spredes uberettiget.

Og som jeg flere gange har givet udtryk for, vækker det selvfølgelig

stor bekymring hos mig, når oplysninger om brug af kreditkort og andre

private oplysninger misbruges.

Jeg har derfor bedt mine embedsmænd sammen med Erhvervs- og

Vækstministeriet om at kortlægge beskyttelsen af oplysninger om bor-

gernes elektroniske betalinger mv.

PDF to HTML - Convert PDF files to HTML files

Viser det sig herefter, at der er brug for nye initiativer på området, vil

de blive gennemført. Og det gælder, uanset om det er ny lovgivning,

stærkere tilsyn, skrappere krav eller noget helt fjerde, der viser sig at

være behov for.

Når det er sagt, så er det jo ikke sådan, at der i dag ikke gælder regler

om beskyttelse af personoplysninger i vores lovgivning.

Persondataloven indeholder generelle regler herom, mens der visse ste-

der i den øvrige lovgivning findes særlige regler herom, f.eks. på det fi-

nansielle område.

Om de regler om beskyttelse af personoplysninger, som i dag findes i

persondataloven, kan jeg oplyse følgende:

Persondatalovens kapitel 11 indeholder en række bestemmelser om,

hvilke sikkerhedsforanstaltninger der skal træffes i forbindelse med be-

handling af personoplysninger.

Det følger bl.a. af disse regler, at den dataansvarlige skal træffe de for-

nødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at

oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forrin-

ges, samt mod, at de kommer til uvedkommendes kendskab, misbruges

eller i øvrigt behandles i strid med loven. Det samme gælder for såkald-

te databehandlere.

Kravene om fornødne sikkerhedsforanstaltninger er for offentlige myn-

digheders vedkommende uddybet i den såkaldte sikkerhedsbekendtgø-

relse.

For private virksomheder er der ikke fastsat regler til uddybning af per-

sondatalovens krav, men der gælder naturligvis det, at der skal træffes

de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. In-

PDF to HTML - Convert PDF files to HTML files

den for denne ramme er det i første omgang overladt til den enkelte

virksomhed eller person at vurdere, hvilke sikkerhedsforanstaltninger

der er fornødne. Ved vurderingen heraf må Datatilsynets praksis og ret-

ningslinjer naturligvis tages i betragtning.

Herudover indeholder persondataloven regler, der regulerer tilfælde,

hvor oplysninger overlades til en såkaldt databehandler

–

dvs. en eks-

tern leverandør eller lignende, der alene behandler oplysningerne på

vegne af en dataansvarlig myndighed eller virksomhed.

I sådanne situationer skal den dataansvarlige myndighed eller virksom-

hed sikre sig, at databehandleren kan træffe de påkrævede tekniske og

organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Datatilsynet, der er en uafhængig myndighed, fører tilsyn med, at per-

sondatalovens regler overholdes. Dette tilsyn føres bl.a. ved at tage på

inspektioner, behandle klager og tage sager op af egen drift.

Herudover findes der som nævnt på en række andre områder særlige

regler om, hvordan personoplysninger skal beskyttes.

Det gælder ikke mindst på det finansielle område.

Om disse regler har Erhvervs- og Vækstministeriet over for mig oplyst

følgende:

Lov om betalingstjenester og elektroniske penge regulerer virksomhe-

der, som udfører betalingstjenester og behandler transaktionsdata. Nets

er et betalingsinstitut, der har tilladelse efter betalingstjenesteloven.

Det er bl.a. en betingelse for at opnå og bevare en sådan tilladelse, at

virksomhedens kontrol- og sikkerhedsmæssige foranstaltninger er for-

svarlige.

PDF to HTML - Convert PDF files to HTML files

Betalingstjenesteloven foreskriver desuden, at et betalingsinstitut bl.a.

skal have interne kontrolprocedurer og betryggende kontrol- og sikker-

hedsforanstaltninger på IT-området.

Det er Finanstilsynet, der giver tilladelse til betalingsinstitutter, der op-

fylder lovens krav. Finanstilsynet fører også tilsyn med, at virksomhe-

den opfylder disse krav.

Herudover er Nets underlagt de krav om betryggende kontrol- og sik-

ringsforanstaltninger på it-området, der efter lov om finansiel virksom-

hed gælder for såkaldte fælles datacentraler.

Disse krav omhandler bl.a. udarbejdelse af en it-sikkerhedspolitik og

krav om, at direktionen skal sikre, at it-sikkerhedspolitikken efterleves

og uddybes i procedurer.

Endvidere er Nets underlagt bekendtgørelsen om systemrevisionens

gennemførelse i fælles datacentraler, der bl.a. stiller krav til den ekster-

ne og interne systemrevision.

Det er Finanstilsynet, der fører tilsyn med, at de fælles datacentraler ef-

terlever de særlige regler om it-sikkerhed, der gælder på det finansielle

område.

Der gælder altså i vidt omfang regler om, hvordan personoplysninger

skal beskyttes.

Som nævnt viser afsløringerne om Se og Hørs overvågning imidlertid

meget tydeligt, at der er nogle udfordringer med datasikkerheden rundt

omkring.

PDF to HTML - Convert PDF files to HTML files

Om dette skyldes, at reglerne ikke er gode nok, eller at de ikke efterle-

ves, skal jeg ikke gøre mig klog på på nuværende tidspunkt.

Men vi skal selvfølgelig se på, om vi kan gøre noget ved problemet.

Det er imidlertid for tidligt at konkludere på, hvad der præcist er behov

for fremadrettet. Der er på nuværende tidspunkt ikke mindre end 6-7

forskellige undersøgelser i gang, og der gennemføres som nævnt også

en kortlægning af beskyttelsen af oplysninger om borgernes elektroni-

ske betalinger mv.

Jeg vil derfor heller ikke på nuværende tidspunkt tage stilling til de

mange konkrete forslag, der allerede har været fremført.

Men som jeg har sagt, skal der ikke herske tvivl om, at jeg er fuldstæn-

dig klar til at handle, når vi kender behovet.

Og hermed vil jeg takke for ordet.