Transport-, Bygnings- og Boligudvalget 2017-18
L 135
Offentligt
1871093_0001.png
Folketingets Transport-, Bygnings- og Boligudvalg
Christiansborg
FORSVARSMINISTEREN
21. marts 2018
Folketingets Transport-, Bygnings- og Boligudvalg har den 22. februar 2018 stillet følgende
spørgsmål nr. 3 vedrørende L 135 til transport-, bygnings- og boligministeren samt for-
svarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Rasmus Prehn
(S), Kim Christiansen (DF), Henning Hyllested (EL), Andreas Steenberg (RV), Karsten Hønge
(SF) og Roger Courage Matthisen (ALT).
Spørgsmål nr. 3:
”På
baggrund af afsnit 3 i de almindelige bemærkninger til lovforslaget bedes ministeren
oplyse, om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltnings-
myndighed, jf. forvaltningsloven. Ministeren bedes i forlængelse heraf redegøre for kravene
til centerets behandling af personoplysninger. Herunder ønskes oplyst, hvorledes kravene
adskiller sig som følge af reglerne i lov om Center for Cybersikkerhed (lov nr. 713 af 25. juni
2014), set i forhold til databeskyttelsesforordningen (forordning 2016/679/EU af 27. april
2016 om beskyttelse af personoplysninger og om fri udveksling af sådanne oplysninger og
om ophævelse af direktiv 95/46/EF) samt forslaget til databeskyttelseslov (L 68), hvis For-
svarets Efterretningstjeneste ikke er omfattet af lovforslaget og forordningen.”
Svar:
1.
Det følger af § 8 i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, at Center
for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra lovens § 13
om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for centerets kommende
funktioner som nationalt centralt kontaktpunkt og CSIRT efter NIS-direktivet (Europa-
_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 9
1060 KØBENHAVN K
TELEFON: 72 81 00 00
TELEFAX: 72 81 03 00
MAIL: [email protected]
WEB: www.FMN.DK
CVR: 25-77-56-35
EAN: 5798000201200
L 135 - 2017-18 - Endeligt svar på spørgsmål 3: Spm. om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltningsmyndighed, jf. forvaltningsloven, til transport-, bygnings- og boligministeren og forsvarsministeren
Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal
sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen).
Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed (L
192, fremsat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst muligt omfang
at efterleve principperne i offentlighedsloven og forvaltningslovens kapitel 4-6. Det forud-
sættes således, at centeret
uanset at dets virksomhed er undtaget fra forvaltningslovens
bestemmelser på området
i alle afgørelsessager konkret vurderer, om det er muligt at
anvende forvaltningslovens principper om partens aktindsigt, partshøring og begrundelse
m.v. Tilsvarende forudsættes det, at anmodninger om aktindsigt i videst muligt omfang be-
handles efter principperne i offentlighedsloven.
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete sager,
f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet.
2.
Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner efter
NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand ventes videre-
ført, når persondataloven med virkning fra 25. maj 2018 erstattes af databeskyttelsesfor-
ordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) og den foreslåe-
de databeskyttelseslov (L 68, fremsat for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf. kapitel
6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at centeret kun må
indsamle personoplysninger til udtrykkeligt angivne og saglige formål, og at senere behand-
ling ikke må være uforenelig med disse formål. Endvidere må centeret ikke behandle flere
personoplysninger, end hvad der kræves til opfyldelse af formålet med indsamlingen. Der
stilles desuden krav om hjemmel til enhver behandling af personoplysninger, ligesom der
som udgangspunkt ikke må behandles personoplysninger om racemæssig eller etnisk bag-
grund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige tilhørsforhold
samt personoplysninger om helbredsmæssige og seksuelle forhold. Centeret skal derudover
sikre, at der ikke behandles urigtige eller vildledende personoplysninger. Endelig må cente-
ret ikke opbevare indsamlede personoplysninger på en måde, der giver mulighed for at
identificere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal
træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikkerhed.
Centeret er således undtaget fra kravet om oplysningspligt overfor den registrerede samt
kravet om den registreredes indsigts- og indsigelsesret.
Herudover er det Tilsynet med Efterretningstjenesterne
og ikke Datatilsynet
der fører
tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsynet med Efter-
retningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller af egen drift påser,
L 135 - 2017-18 - Endeligt svar på spørgsmål 3: Spm. om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltningsmyndighed, jf. forvaltningsloven, til transport-, bygnings- og boligministeren og forsvarsministeren
at Center for Cybersikkerhed overholder reglerne vedrørende behandling af personoplysnin-
ger.
3.
Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvarsministe-
ren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvaltningsloven samt
offentlighedsloven helt eller delvist skal finde anvendelse for Center for Cybersikkerheds
virksomhed som bl.a. myndighed for informationssikkerhed og beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der be-
handles ganske få personoplysninger i forbindelse med centerets virksomhed på teleområ-
det.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat for
Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse tilpasses
til den kommende regulering på databeskyttelsesområdet og NIS-området, således at for-
svarsministeren vil kunne bestemme, at databeskyttelsesforordningen og den foreslåede
databeskyttelseslov også helt eller delvist skal finde anvendelse for de myndighedsopgaver,
som Center for Cybersikkerhed tillægges som led i implementeringen af NIS-direktivet.
4.
Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav om
udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvensanalyser, og
at nye systemer skal have indbygget databeskyttelse (privacy by design or by default).
For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og person-
dataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om databeskyttelses-
forordningen, del I, bind 1.
Med venlig hilsen
Claus Hjort Frederiksen