SOU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 283: MFU spm. om, hvem der har ansvaret for, at krypterede e-mails fra borgere og virksomheder forbliver krypterede, som Datatilsynet foreskriver det, når de modtages af offentlige institutioner, til justitsministeren

Social-, Indenrigs- og Børneudvalget 2017-18
SOU Alm.del
Offentligt

Folketinget

Social-, Indenrigs- og Børneudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

22. marts 2018

Databeskyttelseskontoret

Mia Schumacher

2018-0032/42-0053

676762

Hermed sendes besvarelse af spørgsmål nr. 283 (Alm. del), som Folketin-

gets Social-, Indenrigs- og Børneudvalg har stillet til justitsministeren den

2. marts 2018. Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget

(MFU) René Gade (ALT).

Søren Pape Poulsen

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

SOU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 283: MFU spm. om, hvem der har ansvaret for, at krypterede e-mails fra borgere og virksomheder forbliver krypterede, som Datatilsynet foreskriver det, når de modtages af offentlige institutioner, til justitsministeren

Spørgsmål nr. 283 (Alm. del) fra Folketingets Social-, Indenrigs- og

Børneudvalg:

”Vil ministeren oplyse, hvem der har ansvaret for, at krypterede

e-mails fra borgere og virksomheder forbliver krypterede, som

Datatilsynet foreskriver det, når de modtages af offentlige insti-

tutioner, og vil ministeren oplyse, hvordan ministeren vil hånd-

tere problemstillingen med, at offentlige institutioners mailsy-

stemer ikke er krypterede, og de dermed bryder persondatalo-

ven?”

Svar:

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en

udtalelse fra Datatilsynet, hvortil jeg henholder mig:

”Datatilsynet

forstår spørgsmålet således, at der spørges til, hvem

der har ansvaret for, at e-mails sendt i krypteret form fra borgere

og virksomheder, også forbliver krypterede, efter at de er modta-

get i en offentlig institutions mailsystem, og dermed også er kryp-

terede, så længe de er lagret i eller på anden vis behandles i en

offentlig institutions mailsystem.

Persondataloven indeholder en række bestemmelser om såkaldt

behandlingssikkerhed, det vil sige krav til, hvordan personoplys-

ninger skal beskyttes mod uvedkommendes adgang, misbrug eller

anden behandling i strid med loven.

Generelt gælder det, at dataansvarlige og databehandlere skal

træffe de fornødne tekniske og organisatoriske sikkerhedsforan-

staltninger mod, at personoplysninger kommer til uvedkommen-

des kendskab, misbruges eller i øvrigt behandles i strid med lo-

ven, jf. lovens § 41, stk. 3.

Justitsministeriet har endvidere i medfør af persondatalovens §

41, stk. 5, udstedt bl.a. en bekendtgørelse om sikkerhedsforan-

staltninger til beskyttelse af personoplysninger, som behandles af

den offentlige forvaltning (sikkerhedsbekendtgørelsen). Datatil-

synet har endvidere udarbejdet en vejledning, som knytter sig til

den oprindelige bekendtgørelse (sikkerhedsvejledningen).

Af bekendtgørelsens § 14 fremgår det, at der kun må etableres

eksterne kommunikationsforbindelser, hvis der træffes særlige

foranstaltninger for at sikre, at uvedkommende ikke gennem disse

forbindelser kan få adgang til personoplysninger. Det fremgår af

sikkerhedsvejledningen hertil bl.a., at ”De særlige sikkerhedsfor-

anstaltninger skal træffes efter myndighedens vurdering af sikker-

hedsrisici i det konkrete tilfælde, herunder med hensyntagen til

karakteren af de omhandlede oplysninger. For at kunne fastlægge

sikkerhedsniveauet er det nødvendigt, at den dataansvarlige fore-

tager en samlet risikovurdering, som omfatter alle elementer i

kommunikationsforbindelsen.”

I Datatilsynets praksis og i sikkerhedsvejledningen stilles krav til

offentlige myndigheder om anvendelse af kryptering ved trans-

mission af følsomme og fortrolige personoplysninger over åbne

net (f.eks. internettet).

Datatilsynet har ikke stillet et generelt krav om, at krypterede e-

mails fra borgere og virksomheder skal forblive krypterede, efter

at de er modtaget og så længe de behandles i en offentlig institu-

tions mailsystem.

Hvis den dataansvarlige offentlige institution i en konkret situa-

tion imidlertid vurderer, at efterlevelse af kravene i f.eks. person-

datalovens § 41, stk. 3, forudsætter, at e-mails forbliver krypte-

rede efter modtagelse, da er det den dataansvarliges ansvar at

sikre, at det i så fald også sker.”

Som Datatilsynet bemærker, er der således ikke et generelt krav om, at kryp-

terede e-mails fra borgere og virksomheder skal forblive krypterede, efter at

de er modtaget, og så længe de behandles i en offentlig institution. Det kan

således ikke lægges til grund, at der er tale om brud på persondatalovens

regler, hvis offentlige institutioners mailsystemer ikke er krypterede.