Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144
Offentligt
1876127_0001.png
Folketingets Erhvervs-, Vækst- og Eksportudvalg
ERHVERVSMINISTEREN
6. april 2018
Besvarelse af spørgsmål 1 ad L 144 stillet af udvalget den 19. marts
2018 efter ønske fra Pelle Dragsted (EL).
Spørgsmål:
Hvilke forskelle gør sig gældende i forhold til regler om databeskyttelse,
politisk kontrol, tilsyn, åbenhed og udveksling af oplysninger m.v., at
Center for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste
i forhold til, hvis centret blev etableret som en civil myndighed?
Svar:
Da Center for Cybersikkerhed hører under Forsvarsministeriet har jeg
forelagt spørgsmålet for dem. Forsvarsministeriet har oplyst at:
”1.
Center for Cybersikkerhed er en del af Forsvarets Efterretningstjene-
ste (FE), som er en styrelse under Forsvarsministeriet. Forsvarsministeren
varetager på regeringens vegne den overordnede kontrol med FE. Folke-
tingets Udvalg vedrørende Efterretningstjenesterne (Kontroludvalget)
fører derudover parlamentarisk kontrol med FE, ligesom FE er underlagt
bevillingsmæssig kontrol, som Rigsrevisionen står for.
Center for Cybersikkerhed og den øvrige del af FE er
selvom de udgør
én myndighed
ved lov tillagt forskellige opgaver og virkemidler. Center
for Cybersikkerhed er særskilt reguleret i lov nr. 713 af 25. juni 2014 om
Center for Cybersikkerhed, hvor der i bemærkningerne er forudsat en vis
organisatorisk adskillelse mellem centeret og den efterretningsmæssige
del af FE. Det er også forudsat, at centeret har en åben og udadvendt pro-
fil, og at centerets virksomhed skal være præget af åbenhed, vejledning og
information.
2.
Det følger af § 8 i lov om Center for Cybersikkerhed, at Center for Cy-
bersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra
lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6.
Det fremgår dog af bemærkningerne til forslaget til lov om Center for
Cybersikkerhed (L 192, fremsat 2. maj 2014), at Center for Cybersikker-
hed forudsættes i videst muligt omfang at efterleve principperne i offent-
lighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således,
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf.
33 92 33 50
Fax.
33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
[email protected]
www.em.dk
L 144 - 2017-18 - Endeligt svar på spørgsmål 1: Spm. om, hvilke forskelle der gør sig gældende i forhold til regler om databeskyttelse, politisk kontrol, tilsyn, åbenhed og udveksling af oplysninger m.v., at Center for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste i forhold til, hvis centret blev etableret som en civil myndighed, til erhvervsministeren
2/3
at centeret
uanset at dets virksomhed er undtaget fra forvaltningslovens
bestemmelser på området
i alle afgørelsessager konkret vurderer, om
det er muligt at anvende forvaltningslovens principper om partens aktind-
sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at an-
modninger om aktindsigt i videst muligt omfang behandles efter princip-
perne i offentlighedsloven.
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser
i konkrete sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministe-
riet.
3.
Center for Cybersikkerheds virksomhed, herunder centerets kommende
funktioner efter NIS-direktivet, er endvidere undtaget fra persondatalo-
ven. Denne retstilstand ventes videreført, når persondataloven med virk-
ning fra 25. maj 2018 erstattes af databeskyttelsesforordningen (Europa-
Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af personop-
lysninger og om fri udveksling af sådanne oplysninger og om ophævelse
af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat
for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for
centeret, jf. kapitel 6 i lov om Center for Cybersikkerhed. Det følger såle-
des bl.a. af loven, at centeret kun må indsamle personoplysninger til ud-
trykkeligt angivne og saglige formål, og at senere behandling ikke må
være uforenelig med disse formål. Endvidere må centeret ikke behandle
flere personoplysninger, end hvad der kræves til opfyldelse af formålet
med indsamlingen. Der stilles desuden krav om hjemmel til enhver be-
handling af personoplysninger, ligesom der som udgangspunkt ikke må
behandles personoplysninger om racemæssig eller etnisk baggrund, poli-
tisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige til-
hørsforhold samt personoplysninger om helbredsmæssige og seksuelle
forhold. Centeret skal derudover sikre, at der ikke behandles urigtige eller
vildledende personoplysninger. Endelig må centeret ikke opbevare ind-
samlede personoplysninger på en måde, der giver mulighed for at identi-
ficere den pågældende person i et længere tidsrum end nødvendigt, og
centeret skal træffe passende sikkerhedsforanstaltninger ved behandlingen
af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for
Cybersikkerhed. Centeret er således undtaget fra kravet om oplysnings-
pligt overfor den registrerede samt kravet om den registreredes indsigts-
og indsigelsesret. Det kan i den forbindelse nævnes, at forløberen til Cen-
ter for Cybersikkerhed, GovCERT under Ministeriet for Videnskab, Tek-
nologi og Udvikling, heller ikke var omfattet af retten til at gøre indsigel-
se, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af person-
L 144 - 2017-18 - Endeligt svar på spørgsmål 1: Spm. om, hvilke forskelle der gør sig gældende i forhold til regler om databeskyttelse, politisk kontrol, tilsyn, åbenhed og udveksling af oplysninger m.v., at Center for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste i forhold til, hvis centret blev etableret som en civil myndighed, til erhvervsministeren
3/3
oplysninger ved driften af den statslige varslingstjeneste for internettrus-
ler m.v. Det fremgår endvidere af de almindelige bemærkninger til denne
lov (L 197, fremsat 27. april 2011), at de personoplysninger, som Gov-
CERT behandlede i forbindelse med sit virke, var undtaget fra indsigtsret-
ten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.
4.
Endvidere er det Tilsynet med Efterretningstjenesterne
og ikke Data-
tilsynet
der fører tilsyn med Center for Cybersikkerheds behandling af
personoplysninger.
Tilsynet med Efterretningstjenesterne er et uafhængigt kontrolorgan, der
efter klage eller af egen drift påser, at Center for Cybersikkerhed overhol-
der reglerne vedrørende behandling af personoplysninger. Tilsynet kan
hos Center for Cybersikkerhed kræve enhver oplysning og alt materiale,
der er af betydning for tilsynets virksomhed. Man kan som borger klage
til tilsynet, hvis man mener, at centeret ulovligt behandler personoplys-
ninger om en. Tilsynet afgiver endvidere hvert år en redegørelse til for-
svarsministeren om tilsynets virksomhed i forhold til Center for Cyber-
sikkerhed, og redegørelsen offentliggøres.
5.
Herudover følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed,
at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven,
kapitel 4-6 i forvaltningsloven samt offentlighedsloven helt eller delvist
skal finde anvendelse for Center for Cybersikkerheds virksomhed som
bl.a. myndighed for informationssikkerhed og beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndi-
gelse, idet der behandles ganske få personoplysninger i forbindelse med
centerets virksomhed på teleområdet.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed,
der er fremsat for Folketinget den 28. februar 2018, foreslås det bl.a., at
den nævnte bemyndigelse tilpasses til den kommende regulering på data-
beskyttelsesområdet og NIS-området, således at forsvarsministeren vil
kunne bestemme, at databeskyttelsesforordningen og den foreslåede data-
beskyttelseslov også helt eller delvist skal finde anvendelse for de myn-
dighedsopgaver, som Center for Cybersikkerhed tillægges som led i im-
plementeringen af NIS-direktivet.”
Med venlig hilsen
Brian Mikkelsen