REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 930: Spm. om, hvilke regler og kontrolsystemer der er sat op i Danmark, til justitsministeren

Retsudvalget 2016-17
REU Alm.del
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

10. oktober 2017

Databeskyttelseskontoret

André Dybdal Pape

2017-0030-0204

536041

Hermed sendes besvarelse af spørgsmål nr. 930 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 12. september 2017.

Søren Pape Poulsen

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 930: Spm. om, hvilke regler og kontrolsystemer der er sat op i Danmark, til justitsministeren

Spørgsmål nr. 930 (Alm. del) fra Folketingets Retsudvalg:

”I lyset af it-skandalen

i Sverige, hvor en leverandør i arbejdet

med Transportstyrelsens it-systemer har forbrudt sig i mod den

svenske datalov, bedes ministeren redegøre for, hvilke regler og

kontrolsystemer der er sat op i Danmark for at undgå det

samme?”

Svar:

I sommeren 2017 har der været presseomtale i danske medier af en it-

skandale i Sverige. Justitsministeriet har i den forbindelse indhentet oplys-

ninger om sagen fra den danske ambassade i Stockholm.

Det fremgår af oplysningerne fra ambassaden, at den svenske sikkerhedsbe-

skyttelseslov, offentligheds- og fortrolighedslov og personoplysningslov

samt interne regler i den svenske transportstyrelse er blevet overtrådt, da den

svenske Transportstyrelse i 2015 besluttede at outsource kørsels- og køre-

kortregistret (inklusive forsvarets og politiets køretøjer) til IBM uden at

sikre den nødvendige sikkerhedsgodkendelse af personer og virksomheder,

der skulle have adgang til oplysningerne. Herved blev hemmelige svenske

registre tilgængelige for ikke-sikkerhedsgodkendt personale i udlandet.

Den svenske sikkerhedsbeskyttelseslov indeholder regler for, hvordan sven-

ske myndigheder skal beskytte sig mod spionage, sabotage, terrorisme eller

andre trusler mod rigets sikkerhed.

Den svenske offentligheds- og fortrolighedslov indeholder bestemmelser

for myndigheders og visse andre organers håndtering af oplysninger, be-

stemmelser om tavshedspligt i det offentliges virksomhed og forbud mod at

videregive offentlige dokumenter.

Personoplysningsloven i Sverige indeholder regler for myndighedernes be-

handling af oplysninger om borgerne.

I de omhandlede interne regler i den svenske transportstyrelse er der fastsat

bestemmelser for adgang til myndighedens it-systemer og servere.

2.1.

For så vidt angår de overordnede rammer for it-sikkerheden hos offent-

lige myndigheder i Danmark, har Justitsministeriet til brug for besvarelsen

REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 930: Spm. om, hvilke regler og kontrolsystemer der er sat op i Danmark, til justitsministeren

af spørgsmålet indhentet en udtalelse fra Digitaliseringsstyrelsen, der har

oplyst følgende:

”I henhold til

den nationale strategi for cyber- og informationssikker-

hed er det obligatorisk for statslige myndigheder at følge standard for

informationssikkerhed, ISO27001 (ISO-standarden). Endvidere har

kommunerne og regionerne i forbindelse med digitaliseringsstrategien

2016-2020 påtaget sig at følge principperne i ISO-standarden.

ISO-standardens principper skal sikre, at alle it-systemer og -projekter

vurderes ud fra en konkret risikovurdering.

Herunder identificeres og klassificeres beskyttelse og håndtering af

data i forhold til de lovkrav, generelle såvel som sektorspecifikke, som

myndigheden er underlagt, samt reguleringer og anbefalinger. På den

baggrund etableres kontrolprocedurer, som er passende for det enkelte

system og den enkelte myndighed.

Digitaliseringsstyrelsen er i gang med at gennemføre en modenheds-

måling af arbejdet med ISO27001 i staten. De foreløbige resultater

viser, at staten er kommet godt i gang med implementeringen af ISO-

standarden.

Modenheden på de helt grundlæggende områder (forretningsoverblik

og ledelsesforankring) er betydelig, men der udestår et arbejde for ca.

halvdelen af statens myndigheder, når det gælder den resterende del

af standarden, herunder fx evaluering af arbejdet med informations-

sikkerheden og leverandørstyring.

Generelt kræver arbejdet med it-sikkerhed en kontinuerlig indsats af

alle myndigheder. Myndighederne skal løbende tilpasse indsatsen i

forhold til udviklingen, det gælder fx ændringer i trusselsbilledet og

nye teknologiske muligheder.

Digitaliseringsstyrelsen har udviklet et statsligt tilsynskoncept med

henblik på at understøtte tilsynet med informationssikkerhedsarbejdet

i ministerierne. Konceptet har til formål at sikre, at der føres et syste-

matisk, professionelt og tilbagevendende tilsyn med informationssik-

kerheden i staten, herunder med fokus på databehandleraftaler og be-

handling af kritiske informationer.

REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 930: Spm. om, hvilke regler og kontrolsystemer der er sat op i Danmark, til justitsministeren

Myndighederne skal også stille de rette sikkerhedskrav til it-leveran-

dører og sikre opfølgning på overholdelsen af disse. For at understøtte

denne proces har Digitaliseringsstyrelsen udarbejdet et såkaldt klau-

sulbibliotek. Klausulbiblioteket består af en række standardklausuler,

der indeholder sikkerhedsmæssige krav rettet mod leverandørerne.

Kravene relaterer sig dels til den helt basale håndtering af de omfat-

tede data, dels til efterlevelse af love for deling af og adgange til disse

data på tværs af de involverede myndigheder. Formålet med klausu-

lerne er at understøtte myndighedernes arbejde med at stille de kor-

rekte og hensigtsmæssige sikkerhedsmæssige krav ved indgåelse af it-

kontrakter.”

2.2.

Endvidere er det et krav i henhold til retningslinjerne i det såkaldte sik-

kerhedscirkulære (§ 12), at man skal være sikkerhedsgodkendt, hvis man

skal beskæftige sig med klassificerede informationer.

Ifølge sikkerhedscirkulæret (§ 12) må klassificerede informationer ikke gø-

res tilgængelige for personer, der ikke er sikkerhedsgodkendt til at behandle

informationer af den pågældende klassifikationsgrad.

Enhver offentlig myndighed skal træffe afgørelse om sikkerhedsgodken-

delse af ansatte i myndigheden og ansatte i private firmaer, der arbejder for

den offentlige myndighed. Sikkerhedsgodkendelsen har kun gyldighed for

den sikkerhedsgodkendte persons arbejde for den pågældende myndighed.

Behandling af klassificerede informationer må kun betros personer, der er

godkendt af vedkommende offentlige myndighed til at behandle informati-

oner af den pågældende klassifikationsgrad.

2.3.

Desuden følger det bl.a. af persondataloven, at personer, virksomheder

mv., der udfører arbejde for en myndighed, og som får adgang til personop-

lysninger, kun må behandle disse efter instruks fra myndigheden.

Myndigheden og en eventuel privat leverandør (databehandler) skal ifølge

persondataloven træffe fornødne sikkerhedsforanstaltninger mod, at oplys-

ninger bl.a. kommer til uvedkommendes kendskab, misbruges eller i øvrigt

behandles i strid med loven.

Når en offentlig myndighed overlader en behandling af oplysninger til en

databehandler, f.eks. en privat leverandør, skal myndigheden sikre sig og

føre tilsyn med, at databehandleren træffer de ovenfor angivne sikkerheds-

foranstaltninger.

REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 930: Spm. om, hvilke regler og kontrolsystemer der er sat op i Danmark, til justitsministeren

Den 25. maj 2018 afløses persondataloven af ny generel forordning om da-

tabeskyttelse (databeskyttelsesforordningen). Forordningen viderefører i

vidt omfang persondatalovens sikkerhedskrav, men indeholder også nye

elementer.

Efter databeskyttelsesforordningen skal offentlige myndigheder som noget

nyt udpege en databeskyttelsesrådgiver. Formålet med en databeskyttelses-

rådgiver er bl.a. at understøtte den dataansvarlige myndigheds sikring af

overholdelsen af forordningen. Databeskyttelsesrådgiveren har bl.a. til op-

gave at overvåge myndighedens overholdelse af regler om databeskyttelse

samt underrette og rådgive myndigheden og dens ansatte om deres forplig-

telser. Databeskyttelsesrådgiveren skal inddrages i alle spørgsmål vedrø-

rende beskyttelse af personoplysninger hos myndigheden.

Som noget nyt skal der endvidere ske indberetning til Datatilsynet af sikker-

hedsbrud. Dette skal ske inden 72 timer.

Regeringen har i forbindelse med finanslovforslaget for finansåret 2018 lagt

op til at give Datatilsynet et stort økonomisk løft dels som følge af merop-

gaver vedrørende databeskyttelsesforordningen mv., dels som en generel

styrkelse af Datatilsynet.

Endelig kan det oplyses, at regeringen arbejder på en samlet strategi for be-

skyttelsen af danskernes personoplysninger.