L 143 - 2017-18 - Endeligt svar på spørgsmål 4: Spm. om, hvorledes beskyttelsen af personoplysninger i gennemførelsen af NIS-direktivet kan leve op til kravet i direktivets artikel 2 samt artikel 8 i EU’s charter for grundlæggende rettigheder, til sundhedsministeren

Sundheds- og Ældreudvalget 2017-18
L 143
Offentligt

Holbergsgade 6

DK-1057 København K

T +45 7226 9000

F +45 7226 9001

M [email protected]

W sum.dk

Folketingets Sundheds- og Ældreudvalg

Dato: 03-04-2018

Enhed: SUNDOK

Sagsbeh.: DEPMAHA

Sagsnr.: 1706260

Dok. nr.: 572553

Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-

mål nr. 4 (L 143

–

Forslag til lov om krav til sikkerhed for net- og informationssyste-

mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.

Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen

(SF).

Spørgsmål nr. 4:

”Ministeren

bedes redegøre for, hvorledes beskyttelsen af personoplysninger i

gennemførelsen af NIS-direktivet (direktiv 2106/1148 af 6. juli 2016 om foranstaltnin-

ger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i

hele Unionen) kan leve op til

kravet i direktivets artikel sa t artikel 8 i EU’s harter

for grundlæggende rettigheder.”

Svar:

Det fremgår af NIS-direktivets (Europa-Parlamentets og Rådets direktiv

2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikker-

hedsniveau for net- og informationssystemer i hele Unionen) artikel 2, stk. 1, at be-

handling af personoplysninger i henhold til NIS-direktivet skal udføres i overensstem-

melse med databeskyttelsesdirektivet.

Behandler en operatør af en væsentlig tjeneste personoplysninger, vil denne således

skulle efterleve kravene i databeskyttelsesdirektivet og persondataloven m.v.

Databeskyttelsesdirektivet ophæves den 25. maj 2018, jf. Europa-Parlamentets og

Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer

i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger og om ophævelse af direktiv 95/46/EF (herefter databeskyttelsesforord-

ningen), som finder anvendelse fra den 25. maj 2018.

Justitsministeren har den 25. oktober 2017 fremsat lovforslag L 68 om supplerende

bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med be-

handling af personoplysninger og om fri udveksling af sådanne oplysninger (databe-

skyttelsesloven) (herefter forslag til databeskyttelsesloven). I forslag til databeskyttel-

sesloven, der fastsætter supplerende nationale bestemmelser om behandling af per-

sonoplysninger, foreslås det bl.a., at persondataloven ophæves, jf. forslagets § 46,

stk. 2.

Efter den 25. maj 2018 vil en operatør af en væsentlig tjeneste dermed skulle efter-

leve reglerne i databeskyttelsesforordningen, suppleret af forslag til databeskyttel-

sesloven samt relevante særregler, der regulerer området for behandling af person-

oplysninger.

L 143 - 2017-18 - Endeligt svar på spørgsmål 4: Spm. om, hvorledes beskyttelsen af personoplysninger i gennemførelsen af NIS-direktivet kan leve op til kravet i direktivets artikel 2 samt artikel 8 i EU’s charter for grundlæggende rettigheder, til sundhedsministeren

Det fremgår af databeskyttelsesforordningens præambel nr. 1, at beskyttelse af fysi-

ske personer i forbindelse med behandling af personoplysninger er en grundlæg-

gende rettighed, og at det i artikel 8, stk. 1, i Den Europæiske Unions charter om

grundlæggende rettigheder (herefter chartret) og i artikel 16, stk. 1, i traktaten om

Den Europæiske Unions funktionsmåde (TEUF) fastsættes, at enhver har ret til be-

skyttelse af personoplysninger, der vedrører den pågældende.

For så vidt angår Center for Cybersikkerhed, vil centeret skulle varetage funktionen

som CSIRT og nationalt centralt kontaktpunkt. Heri ligger bl.a., at Center for Cybersik-

kerhed

–

parallelt med Sundhedsdatastyrelsen

–

vil skulle modtage underretninger

fra operatører af væsentlige tjenester i tilfælde af en hændelse, der har væsentlige

konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer.

Sundheds- og Ældreministeriet har bedt om bidrag fra Forsvarsministeriet med hen-

blik på at belyse forholdet mellem Center for Cybersikkerhed og databeskyttelsesdi-

rektivet m.v. Forsvarsministeriet oplyser følgende:

”Det følger af artikel , stk. , i NIS-direktivet

(Europa-Parlamentets og Rådets direktiv

(EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikker-

hedsniveau for net- og informationssystemer i hele Unionen), at behandlingen af per-

sonoplysninger efter direktivet udføres i overensstemmelse med databeskyttelsesdi-

rektivet (Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om

beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og

om fri udveksling af sådanne oplysninger).

Databeskyttelsesdirektivet gælder bl.a. ikke for sådan behandling af personoplysnin-

ger, der vedrører statens sikkerhed, jf. direktivets artikel 3, stk. 2. På den baggrund

gælder den danske persondatalov

–

der implementerer databeskyttelsesdirektivet i

dansk ret

–

heller ikke for behandlinger af personoplysninger, der udføres for Forsva-

rets Efterretningstjeneste, herunder Center for Cybersikkerhed.

En række af de centrale bestemmelser i persondataloven er imidlertid indarbejdet i

lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, der regulerer centerets

virksomhed. Endvidere fører Tilsynet med Efterretningstjenesterne, som er et uaf-

hængigt kontrolorgan, tilsyn med Center for Cybersikkerheds behandling af person-

oplysninger. Tilsynet kan hos Center for Cybersikkerhed kræve enhver oplysning og

alt materiale, der er af betydning for tilsynets virksomhed. Man kan som borger klage

til tilsynet, hvis man mener, at centeret ulovligt behandler personoplysninger om en.

Tilsynet afgiver endvidere hvert år en redegørelse til forsvarsministeren om tilsynets

virksomhed i forhold til Center for Cybersikkerhed, og redegørelsen offentliggøres.

Denne retstilsta

d videreføres so udga gspu kt, år EU’s data eskyttelsesdirektiv

fra 25. maj 2018 erstattes af den nye databeskyttelsesforordning (Europa-Parlamen-

tets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger og om ophævelse af direktiv 95/46/EF) samt den foreslåede

danske databeskyttelseslov (L 68 fremsat for Folketinget den 25. oktober 2017).

Det bemærkes dog, at der med lovforslag nr. L 155, der konsekvensændrer lov om

Center for Cybersikkerhed som følge af den nye regulering på databeskyttelsesområ-

det, er lagt op til, at forsvarsministeren får hjemmel til helt eller delvist at sætte data-

Side 2

beskyttelsesforordningen og databeskyttelsesloven i kraft for dele af Center for Cy-

bersikkerheds virksomhed, herunder centerets virksomhed i medfør af NIS-direktivet.

Dette lovforslag blev fremsat den 28. februar 2018 og er fortsat under behandling i

Folketi get.”

Jeg kan henholde mig til Forsvarsministeriets bidrag.

Med venlig hilsen

Ellen Trane Nørby

Maja Holm Andreasen

Side 3