Retsudvalget 2020-21
REU Alm.del
Offentligt
2366018_0001.png
Folketinget Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
6. april 2021
Sikkerhedskontor I
Simon Bundegaard Erik-
sen
2021-0030-5687
1870169
Besvarelse af spørgsmål nr. 670 (Alm. del) fra Folketingets Retsudvalg
Hermed sendes besvarelse af spørgsmål nr. 670 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 17. februar 2021. Spørgs-
målet er stillet efter ønske fra Karina Lorentzen Dehnhardt (SF).
Nick Hækkerup
/
Jesper Hagen
Slotsholmsgade 10
1216 København K.
T +45 3392 3340
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
Side 1/3
 REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 670: Spm. om indførelse af skærpet indberetningspligt for medarbejdere i virksomheder og myndigheder, der bliver opmærksomme på digitalt identitetstyveri, til justitsministeren
Spørgsmål nr. 670 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren redegøre for, hvordan regeringen forholder sig
til forslaget om at indføre en skærpet indberetningspligt for me-
darbejdere i virksomheder og hos myndighederne, der bliver op-
mærksomme på digitalt identitetstyveri f.eks. ved misbrug af
NemID, misbrug af cpr-nummer m.v, således at disse medarbej-
dere og myndighederne har pligt til at indberette sådanne for-
hold, så snart de bliver opmærksomme på eventuel identitetsty-
veri?”
Svar:
Justitsministeriet kan indledningsvis oplyse, at ministeriet ikke er bekendt
med det forslag, som nævnes i spørgsmålet. Justitsministeriet kan imidlertid
oplyse, at myndighederne har et fokus på at forebygge og mindske it-relate-
ret økonomisk kriminalitet bl.a. i regi af Rigspolitiets Nationale Cyber
Crime Center (NC3).
Justitsministeriet kan desuden generelt oplyse, at der efter databeskyttelses-
forordningens artikel 33 som udgangspunkt gælder en forpligtelse for myn-
digheder og virksomheder til at anmelde brud på persondatasikkerheden til
Datatilsynet. Et brud på persondatasikkerheden kan f.eks. være uautoriseret
videregivelse af eller adgang til personoplysninger, der behandles af myn-
digheden eller virksomheden. Eksempelvis kan et brud på persondatasikker-
heden rent teknisk ske, når den dataansvarliges IT-systemer med personop-
lysninger ikke er tilstrækkelig sikret, således at udefrakommende får adgang
til oplysningerne (f.eks. hacking). I tilfælde af et brud på persondatasikker-
heden skal myndigheden eller virksomheden, når det er sandsynligt, at brud-
det indebærer en risiko for fysiske personers rettigheder eller frihedsrettig-
heder, herunder risiko for identitetstyveri eller -svig, som hovedregel uden
unødig forsinkelse og om muligt inden 72 timer, efter at vedkommende er
blevet bekendt med bruddet, foretage en anmeldelse til Datatilsynet.
Ved siden af anmeldelsespligten gælder der efter databeskyttelsesforordnin-
gens artikel 34 som udgangspunkt en underretningspligt over for den eller
de berørte borgere, når et sikkerhedsbrud sandsynligvis vil indebære en høj
risiko for disse personer, for f.eks. at give dem mulighed for at træffe de
fornødne forholdsregler i tilfælde af, at der er sket kompromittering af deres
personoplysninger.
Side 2/3
 REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 670: Spm. om indførelse af skærpet indberetningspligt for medarbejdere i virksomheder og myndigheder, der bliver opmærksomme på digitalt identitetstyveri, til justitsministeren
Justitsministeriet kan afslutningsvist oplyse, at ministeriet ikke er res-
sortansvarlig for NemID eller CPR.
Side 3/3