Retsudvalget 2013-14
REU Alm.del
Offentligt
1376323_0001.png
Lovafdelingen
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
2. juni 2014
Forvaltningsretskontoret
Kristian Gyde Poulsen
2014-0030-2188
1185446
Hermed sendes endelig besvarelse af spørgsmål nr. 971 (Alm. del), som
Folketingets Retsudvalg har stillet til justitsministeren den 29. april 2014.
Spørgsmålet er stillet efter ønske fra (MFU) Ellen Trane Nørby (V).
Karen Hækkerup
/
Carsten Madsen
Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
[email protected]
PDF to HTML - Convert PDF files to HTML files
Spørgsmål nr. 971 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren på baggrund af BT's artikel "De blev overvåget
af Se og Hørs ulovlige spion: AFLUREDE HÆVEKORT" den
28. april 2014, undersøge om der har været udtrukket oplys-
ninger i PBS på de i artiklen omtalte personer, og om disse op-
lysninger er blevet udleveret ulovligt?”
Svar:
Justitsministeriet har til brug for besvarelse af spørgsmålet indhentet udta-
lelser fra Rigsadvokaten, Datatilsynet samt Erhvervs- og Vækstministeriet.
Rigsadvokaten har oplyst følgende:
”Københavns Vestegns Politi har bl.a. oplyst, at kredsen den
28. april 2014 blev orienteret om, at en tidligere journalist på
Se og Hør ville udgive en bog, hvoraf det skulle fremgå, at
bladet over en periode fra 2007 til 2012 skulle have modtaget
oplysninger om kendte personers dankorttransaktioner fra Nets
med henblik på, at bladets journalister kunne følge de kendte.
Københavns Vestegns Politi har på den baggrund iværksat en
efterforskning af den omhandlede sag. I den forbindelse har
politiet foretaget en række ransagninger samt rejst sigtelser
mod nogle personer for overtrædelse af – samt medvirken til
overtrædelse af – en række bestemmelser i straffeloven.
Københavns Vestegns Politi har i øvrigt oplyst, at der er tale
om en – både faktuel og retlig – større og mere kompliceret
sag, som fortsat kræver en betydelig efterforskning.”
Datatilsynet har oplyst følgende:
”2.1. Danske medier har siden den 28. april 2014 omtalt, hvor-
dan en medarbejder hos Nets – det tidligere PBS – skal have
indsamlet og videresolgt oplysninger om, hvor kendte personer
har brugt deres betalingskort, til ugebladet Se og Hør.
2.2.
Datatilsynet fører tilsyn med enhver behandling af oplys-
ninger, der er omfattet af persondataloven, og påser af egen
drift eller efter en klage fra en registreret, at behandlingen sker
i overensstemmelse med loven og regler udstedt i medfør af
persondataloven, jf. henholdsvis lovens § 55 og § 58.
Datatilsynet vil således af egen drift eller efter klage fra en re-
gistreret f.eks. kunne påse, hvorvidt indsamling og efterfølgen-
de videregivelse af personoplysninger er sket i overensstem-
2
PDF to HTML - Convert PDF files to HTML files
melse med behandlingsreglerne i persondatalovens kapitel 4.
Det gælder også, hvis behandlingen af oplysninger er foretaget
af en medarbejder i en virksomhed uden den pågældende virk-
somheds vidende.
Tilsynet vil ligeledes kunne påse, om virksomheden har truffet
de fornødne tekniske og organisatoriske foranstaltninger mod,
at oplysningerne kommer til uvedkommendes kendskab, mis-
bruges eller i øvrigt behandles i strid med loven, jf. persondata-
lovens § 41, stk. 3.
2.3.
Nets udbyder betalings-, kort- og informationssystemer og
er godkendt som betalingsinstitut i henhold til betalingstjene-
steloven (lovbekendtgørelse nr. 365 af 26. april 2011 om beta-
lingstjenester og elektroniske penge med senere ændringer)
under tilsyn af Finanstilsynet.
En betingelse for at opnå tilladelse som betalingsinstitut efter
betalingstjenestelovens § 7 er, at virksomhedens forretnings-
gange, administrative forhold, organisation, regnskabsmæssige
procedurer, revisionsmæssige foranstaltninger og kontrol- og
sikkerhedsmæssige foranstaltninger er forsvarlige.
Af betalingstjenestelovens § 19 følger endvidere, at et beta-
lingsinstitut bl.a. skal have fyldestgørende interne kontrolpro-
cedurer og betryggende kontrol- og sikkerhedsforanstaltninger
på IT-området.
Finanstilsynet påser overholdelsen af disse bestemmelser, jf.
betalingstjenestelovens § 86, stk. 1.
Det følger herudover af betalingstjenestelovens § 85, at der
kun må ske behandling af oplysninger om, hvor betalere har
anvendt deres betalingsinstrument, og hvad de har købt, når det
er nødvendigt til gennemførelse eller korrektion af betalings-
transaktioner eller på anden saglig måde er nødvendigt.
Forbrugerombudsmanden fører tilsyn med, at udbydere af be-
talingstjenester ikke overtræder betalingslovens § 85, jf. lovens
§ 97, stk. 1.
Såfremt der er sket videregivelse af oplysninger, som Nets be-
handler som databehandler for pengeinstitutter, vurderes vide-
regivelsen efter bestemmelsen i § 117 i lov om finansiel virk-
somhed (lovbekendtgørelse nr. 948 af 2. juli 2013 af lov om
finansiel virksomhed med senere ændringer).
Det følger af lov om finansiel virksomheds § 117, stk.1 – som
indeholder hovedreglen om, at finansielle virksomheder og
holdingvirksomheder er underlagt tavshedspligt – at bestyrel-
sesmedlemmer, direktører, ansatte m.fl. ikke uberettiget må vi-
3
PDF to HTML - Convert PDF files to HTML files
deregive fortrolige oplysninger, som de under udøvelsen af de-
res erhverv er blevet bekendt med.
Det følger af bestemmelsens stk. 2, at den, som modtager op-
lysninger efter stk. 1, er omfattet af den i stk. 1 nævnte tavs-
hedspligt.
Finanstilsynet påser overholdelsen af denne bestemmelse, jf.
lov om finansiel virksomheds § 344, stk. 1.
3.
Datatilsynet har ikke i forbindelse med den aktuelle sag
modtaget klager over Nets fra registrerede personer.
Tilsynet er bekendt med, at Københavns Vestegns Politi har
afhørt den person, som formodes at have videregivet oplysnin-
ger til Se og Hør, og har sigtet vedkommende for overtrædelse
af straffeloven.
Da sagen undersøges af politiet, har Datatilsynet – i overens-
stemmelse med tilsynets normale praksis i sager, hvor politiet
allerede behandler sagen – ikke iværksat en selvstændig under-
søgelse af medarbejderens forhold.
Datatilsynet er endvidere bekendt med, at Finanstilsynet un-
dersøger forholdene hos Nets og i den forbindelse har bedt
Nets om en redegørelse.
På den baggrund har Datatilsynet på nuværende tidspunkt ikke
iværksat en selvstændig undersøgelse af Nets.
Afslutningsvis kan Datatilsynet oplyse, at tilsynet – på bag-
grund af medieomtale – af egen drift har iværksat en undersø-
gelse af Se og Hør for så vidt angår ugebladets indsamling og
brug af oplysninger om kendte personers betalingskort.
Tilsynet har ligeledes af egen drift iværksat undersøgelser af
SAS og Rigshospitalet (Region Hovedstaden), idet det af me-
dieomtale er fremgået, at Se og Hør fra medarbejdere hos SAS
og Rigshospitalet skal have modtaget oplysninger om kendte
personer.”
Endelig har Erhvervs- og Vækstministeriet oplyst følgende:
”Nets har i en offentlig redegørelse den 5. maj 2014 oplyst, at
man har igangsat en omfattende undersøgelse af sagen som op-
rullet i medierne fra 28. april 2014, og Nets oplyser at kunne
konstatere adfærdsmønstre, som underbygger, at der kan være
sket et misbrug, som beskrevet i pressen. Den information har
man overdraget til myndighederne og politiet til brug for den
videre efterforskning. Nets har samtidig oplyst, at man for-
stærker de kontrolfunktioner, som skal sikre, at medarbejdere,
4
PDF to HTML - Convert PDF files to HTML files
som har adgang til fortrolige data, ikke misbruger denne ad-
gang. Nets vil, indtil gennemgangen af deres kontrolsystemer
har fundet sted, skærpe sikkerhedskontrollen ved, at eksterne
revisorer gennemfører yderligere stikprøvekontroller af adgan-
ge og logs.
Da Finanstilsynets tilsynsvirksomhed er omfattet af en skærpet
tavshedspligt, er det ikke muligt for Finanstilsynet at oplyse
om den konkrete sag. Finanstilsynet kan derfor alene udtale sig
om generelle forhold.
Regler der beskytter data om en persons brug af sit beta-
lingskort
Reguleringen omfatter en række forskellige love, som tilsam-
men beskytter personers data, herunder data om hvor et beta-
lingskort har været anvendt (kortdata). Denne regulering om-
fatter både regler, der stiller krav til de virksomheder, som
håndterer data, regler som regulerer selve behandlingen af da-
ta, og regler som beskytter data mod videregivelse og uberetti-
get brug. Det følgende vedrører alene den finansielle lovgiv-
ning.
Lov om betalingstjenester og elektroniske penge
Loven regulerer de virksomheder, som udfører betalingstjene-
ster og behandler transaktionsdata.
Nets er et betalingsinstitut, der har tilladelse efter § 7 i lov om
betalingstjenester. En betingelse for at opnå og bevare en sådan
tilladelse er, at virksomhedens forretningsgange, administrati-
ve forhold, organisation, regnskabsmæssige procedurer, revisi-
onsmæssige foranstaltninger og kontrol- og sikkerhedsmæssige
foranstaltninger er forsvarlige.
Lovens § 19 foreskriver, at et betalingsinstitut bl.a. skal have
fyldestgørende interne kontrolprocedurer og betryggende kon-
trol- og sikkerhedsforanstaltninger på IT-området.
Hvis et betalingsinstitut outsourcer opgaver, skal virksomhe-
den sikre, at den virksomhed, opgaven outsources til, har be-
tryggende sikkerheds- og kontrolprocedurer, og at betalingsin-
stituttet fører kontrol med, at outsourcing virksomheden følger
disse.
Finanstilsynet giver tilladelse til betalingsinstitutter, der opfyl-
der lovens krav, og fører tilsyn med, at virksomheden opfylder
disse. Finanstilsynet skal endvidere give tilladelse til outsour-
cing af væsentlige opgaver.
Lovens § 85 angiver, at der kun må ske behandling af oplys-
ninger om, hvor betalere har anvendt deres betalingskort, og
hvad de har købt, når det er nødvendigt til gennemførelse eller
5
PDF to HTML - Convert PDF files to HTML files
korrektion af betalingstransaktioner, eller på anden saglig må-
de er nødvendigt.
Det er Forbrugerombudsmanden, der fører tilsyn med overhol-
delsen af § 85.
Lov om finansiel virksomhed
En fællesejet datacentral som Nets er reguleret af § 343q i lov
om finansiel virksomheder. Det følger af bestemmelsen, at en
datacentral skal opfylde de samme krav til datasikkerhed, som
gælder for finansielle virksomheder efter lovens § 71. Der er
tale om:
Krav om og til IT-sikkerhedspolitikken
Krav om at direktionen skal sikre, at IT-sikkerheds-
politikken efterleves og uddybes i procedurer, herunder at
funktionsadskillelsen bliver overvåget, at systemer og data
klassificeres og prioriteres, og at der sker adgangskontrol til
systemer og data
Krav om en IT-beredskabsplan.
Derudover gælder outsourcingsreglerne i lov om finansiel
virksomhed også for fælles datacentraler.
Nets er underlagt bekendtgørelse om systemrevisionens gen-
nemførelse i fælles datacentraler. Ved systemrevision forstås i
henhold til denne bekendtgørelse intern og ekstern revision af,
at de generelle IT-kontroller, dvs. styringen af den grundlæg-
gende IT-sikkerhed, men ikke sikkerheden i specifikke IT-
systemer, er og fungerer betryggende. I bekendtgørelsen stilles
der krav til den eksterne og interne systemrevision, den ekster-
ne og interne systemrevisions protokol samt til erklæringer om
system-, data- og driftssikkerheden i henhold til bekendtgørel-
sen.
En række pengeinstitutter har outsourcet forskellige databe-
handlingsopgaver og andre IT-opgaver til IT-virksomheder,
eksempelvis IBM.
Hvis et pengeinstitut outsourcer opgaver, er det ligesom et be-
talingsinstitut forpligtet til at sikre sig, at den virksomhed, der
outsources opgaver til, har betryggende IT-sikkerhed og til-
fredsstillende kontrolprocedurer. Outsourcing af væsentlige
opgaver skal meddeles Finanstilsynet.
Det følger af § 117, stk. 1, i lov om finansiel virksomhed, at
ansatte i finansielle virksomheder ikke uberettiget må videre-
give kundeoplysninger. Videregives oplysningerne f.eks. som
led i outsourcing, følger tavshedspligten oplysningerne efter §
117, stk. 2. Det indebærer, at personer, som de fortrolige op-
6
PDF to HTML - Convert PDF files to HTML files
lysninger videregives til, vil være bundet af den samme tavs-
hedspligt som gælder efter § 117, stk. 1.
Finanstilsynets tilsyn med betalingsinstitutters og andre fi-
nansielle virksomheders IT-sikkerhed
Finanstilsynet undersøger i forbindelse med, at en virksomhed
opnår tilladelse, om virksomheden har forsvarlige forretnings-
gange og kontrol- og sikkerhedsmæssige foranstaltninger på
IT-området. Disse forretningsgange skal omfatte administrati-
onen af adgang til centrale systemer og data, at selve syste-
merne er udformet på en måde, så data ikke går tabt eller mis-
bruges, og at der er kontrolforanstaltninger, så man løbende
kan følge systemet, herunder hvem der har adgang til data
gennem logninger, og gribe ind i tilfælde af uregelmæssighe-
der.
IT-tilsynet og inspektioner planlægges og udføres ud fra en ri-
sikobetragtning. De væsentligste IT-risici er afbrydelse eller
forsinkelse af driften, tab af data, utilsigtede fejl, økonomiske
forbrydelser og anden bevidst manipulation med data, som kan
medføre tab af tillid til virksomheden, økonomiske tab og for-
kerte beslutningsgrundlag for datacentralens ledelse.
IT-tilsynet ser på governance, risk og compliance. På alle IT-
inspektioner gennemgås følgende hovedområder:
IT-strategi, -sikkerhedspolitik og overordnede sikkerheds-
bestemmelser
Organisatoriske forhold
Outsourcing
IT-drift og udvikling, herunder adgang til systemer og data
Beredskabsstyring.
På undersøgelser har Finanstilsynet bl.a. fokus på, om virk-
somheden er tilstrækkelig opmærksom på, hvem der tildeles
adgang til systemet, om der er brugere, som er tildelt adgang
uden et arbejdsbetinget behov, samt om der er brugere, som
ikke længere skal have adgang, eksempelvis som følge af or-
ganisationsændringer, og om disse i givet fald kan udgøre risi-
ko, hvorfor tildelte rettigheder til at tilgå systemet løbende bør
overvåges og kontrolleres.
Finanstilsynet undersøger ikke de konkrete systemer, hverken i
forbindelse med, at virksomheden opnår tilladelse eller ved ef-
terfølgende inspektioner.
Tilsyn som betalingsinstitut
Betalingsinstitutter skal have tilladelse i henhold til lov om be-
talingstjenester, der trådte i kraft 1. november 2009 med frist
for igangværende institutter til at erhverve tilladelse senest 30.
april 2011.
7
PDF to HTML - Convert PDF files to HTML files
Finanstilsynet gav 29. oktober 2009 til PBS International A/S
(nu Teller A/S) tilladelse som betalingsinstitut. Finanstilsynet
gav den 29. april 2011 Nets Denmark A/S tilladelse som beta-
lingsinstitut.
Finanstilsynet fører tilsyn med institutternes opfyldelse af ka-
pitalkrav efter gældende regler.
Finanstilsynet forholder sig herudover til de underretninger,
som et betalingsinstitut er forpligtet til at give tilsynet, hvis der
indtræder ændringer i forhold til de oplysninger, som Finans-
tilsynet har baseret sin tilladelse på.
IT-tilsynet med datacentraler
Før 2012 havde Finanstilsynet ikke direkte hjemmel til at føre
tilsyn med fælles datacentraler. Tilsynet kunne føre tilsyn med
datacentraler via de tilsluttede virksomheder, som havde out-
sourcet til datacentralen og via systemrevisionsbekendtgørel-
sen, som gjaldt for de fælles datacentral på dette tidspunkt, og
havde mulighed for at påpege eventuelle svagheder eller mang-
ler i IT-sikkerheden.
I 2012 fik Finanstilsynet efter en lovændring mulighed for at
føre et mere direkte IT-tilsyn med de fælles datacentraler. Det-
te indebærer, at tilsynet som udgangspunkt vil gennemgå ad-
gange til systemer og data hos den pågældende virksomhed.
Tilsynet vil påse, hvorvidt virksomheden har implementeret
formelle procedurer og kontroller på området. Herunder at ad-
gange og rettigheder tildeles på baggrund af definerede krav til
sikring af tilstrækkelig funktionsadskillelse på tværs af syste-
mer og data.”
Justitsministeriet kan desuden henvise til ministeriets besvarelse af 2. maj
2014 af spørgsmål nr. S 1392 fra medlem af Folketinget Ellen Trane Nør-
by (V) og til det udkast til talepapir, der dannede grundlag for justitsmini-
sterens besvarelse den 15. maj 2014 af samrådsspørgsmål F fra Folketin-
gets Kulturudvalg. Kopi af udkastet vedlægges.
8