L 143 - 2017-18 - Endeligt svar på spørgsmål 2: Spm. om Center for Cybersikkerhed i Forsvarets Efterretningstjeneste, når det løser opgaver i regi af lovforslaget som nationalt centralt kontaktpunkt og CSIRT, er omfattet eller undtaget af forslaget om en ny databeskyttelseslov (L 68), persondataforordningen, offentlighedsloven og forvaltningsloven, til sundhedsministeren

Sundheds- og Ældreudvalget 2017-18
L 143
Offentligt

Holbergsgade 6

DK-1057 København K

T +45 7226 9000

F +45 7226 9001

M [email protected]

W sum.dk

Folketingets Sundheds- og Ældreudvalg

Dato: 03-04-2018

Enhed: SUNDOK

Sagsbeh.: DEPMAHA

Sagsnr.: 1706260

Dok. nr.: 572547

Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-

mål nr. 2 (L 143

–

Forslag til lov om krav til sikkerhed for net- og informationssyste-

mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.

Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen

(SF).

Spørgsmål nr. 2:

”Ministeren

bedes redegøre for, om Center for Cybersikkerhed i Forsvarets Efterret-

ningstjeneste, når det løser opgaver i regi af lovforslaget som nationalt centralt kon-

taktpunkt og CSIRT, er omfattet eller undtaget af forslaget om en ny databeskyttel-

seslov (L 68), persondataforordningen, offentlighedsloven og forvaltningsloven. Her-

under ønskes oplyst, hvilke konkrete dele af lovene og forordningen, som Center for

Cybersikkerhed vil være omfattet af/ikke omfattet af.”

Svar:

Da Sundheds- og Ældreudvalgets spørgsmål omhandler, hvorvidt Center for Cybersik-

kerhed er omfattet af databeskyttelsesforordningen, forslag til lov om supplerende

bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med be-

handling af personoplysninger og om fri udveksling af sådanne oplysninger (databe-

skyttelsesloven) (L 68), forvaltningsloven og offentlighedsloven, har mit ministerium

bedt Forsvarsministeriet om bidrag til besvarelsen heraf. Forsvarsministeriet oplyser

følgende:

” . Det følger af § i lov r.

af . ju i

Center for Cybersikkerhed, at

Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset

fra lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for

centerets kommende funktioner som nationalt centralt kontaktpunkt og CSIRT efter

NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016

om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og infor-

mationssystemer i hele Unionen).

Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed

(L 192, frem-sat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst mu-

ligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapi-

tel 4-6. Det forudsættes således, at centeret

–

uanset at dets virksomhed er undtaget

fra forvaltningslovens bestemmelser på området

–

i alle afgørelsessager konkret vur-

derer, om det er muligt at anvende forvaltningslovens principper om partens aktind-

sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger

om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedslo-

ven.

L 143 - 2017-18 - Endeligt svar på spørgsmål 2: Spm. om Center for Cybersikkerhed i Forsvarets Efterretningstjeneste, når det løser opgaver i regi af lovforslaget som nationalt centralt kontaktpunkt og CSIRT, er omfattet eller undtaget af forslaget om en ny databeskyttelseslov (L 68), persondataforordningen, offentlighedsloven og forvaltningsloven, til sundhedsministeren

Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete

sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet.

2. Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner

efter NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand

ventes videreført, når persondataloven med virkning fra 25. maj 2018 erstattes af da-

tabeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU)

2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med be-

handling af personoplysninger og om fri udveksling af sådanne oplysninger og om op-

hævelse af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat

for Folketinget den 25. oktober 2017).

Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf.

kapitel 6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at cen-

teret kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål,

og at senere behandling ikke må være uforenelig med disse formål. Endvidere må

centeret ikke behandle flere personoplysninger, end hvad der kræves til opfyldelse af

formålet med indsamlingen. Der stilles desuden krav om hjemmel til enhver behand-

ling af personoplysninger, ligesom der som udgangspunkt ikke må behandles person-

oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk

overbevisning og fagforeningsmæssige tilhørsforhold samt personoplysninger om

helbredsmæssige og seksuelle forhold. Centeret skal derudover sikre, at der ikke be-

handles urigtige eller vildledende personoplysninger. Endelig må centeret ikke opbe-

vare indsamlede personoplysninger på en måde, der giver mulighed for at identifi-

cere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal

træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger.

Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikker-

hed. Centeret er således undtaget fra kravet om oplysningspligt overfor den registre-

rede samt kravet om den registreredes indsigts- og indsigelsesret.

Herudover er det Tilsynet med Efterretningstjenesterne

–

og ikke Datatilsynet

–

der

fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsy-

net med Efterretningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller

af egen drift påser, at Center for Cybersikkerhed overholder reglerne vedrørende be-

handling af personoplysninger.

3. Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvars-

ministeren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvalt-

ningsloven samt offentlighedsloven helt eller delvist skal finde anvendelse for Center

for Cybersikkerheds virksomhed som bl.a. myndighed for informationssikkerhed og

beredskab på teleområdet.

Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der

behandles ganske få personoplysninger i forbindelse med centerets virksomhed på

teleområdet.

Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat

for Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse

tilpasses til den kommende regulering på databeskyttelsesområdet og NIS-området,

således at forsvarsministeren vil kunne bestemme, at databeskyttelsesforordningen

og den foreslåede databeskyttelseslov også helt eller delvist skal finde anvendelse for

Side 2

de myndighedsopgaver, som Center for Cybersikkerhed tillægges som led i imple-

menteringen af NIS-direktivet.

4. Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav

om udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvens-

analyser, og at nye systemer skal have indbygget databeskyttelse (privacy by design

or by default).

For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og

persondataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om data-

beskyttelsesforord i ge , del I, bi d .”

Jeg kan henholde mig til Forsvarsministeriets bidrag.

Med venlig hilsen

Ellen Trane Nørby

Maja Holm Andreasen

Side 3