L 139 - 2017-18 - Bilag 7: Kopi til orientering af besvarelser på lovforslag nr. L 135, L 144 og L 145 med relevans for lovforslag nr. L 139

Forsvarsudvalget 2017-18
L 139 Bilag 7
Offentligt

Folketingets Erhvervs-, Vækst- og Eksportudvalg

ERHVERVSMINISTEREN

6. april 2018

Besvarelse af spørgsmål 1 ad L 144 stillet af udvalget den 19. marts

2018 efter ønske fra Pelle Dragsted (EL).

Spørgsmål:

Hvilke forskelle gør sig gældende i forhold til regler om databeskyttelse,

politisk kontrol, tilsyn, åbenhed og udveksling af oplysninger m.v., at

Center for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste

i forhold til, hvis centret blev etableret som en civil myndighed?

Svar:

Da Center for Cybersikkerhed hører under Forsvarsministeriet har jeg

forelagt spørgsmålet for dem. Forsvarsministeriet har oplyst at:

”1. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjene-

ste (FE), som er en styrelse under Forsvarsministeriet. Forsvarsministeren

varetager på regeringens vegne den overordnede kontrol med FE. Folke-

tingets Udvalg vedrørende Efterretningstjenesterne (Kontroludvalget)

fører derudover parlamentarisk kontrol med FE, ligesom FE er underlagt

bevillingsmæssig kontrol, som Rigsrevisionen står for.

Center for Cybersikkerhed og den øvrige del af FE er – selvom de udgør

én myndighed – ved lov tillagt forskellige opgaver og virkemidler. Center

for Cybersikkerhed er særskilt reguleret i lov nr. 713 af 25. juni 2014 om

Center for Cybersikkerhed, hvor der i bemærkningerne er forudsat en vis

organisatorisk adskillelse mellem centeret og den efterretningsmæssige

del af FE. Det er også forudsat, at centeret har en åben og udadvendt pro-

fil, og at centerets virksomhed skal være præget af åbenhed, vejledning og

information.

Det følger af § 8 i lov om Center for Cybersikkerhed, at Center for Cy-

bersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra

lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6.

Det fremgår dog af bemærkningerne til forslaget til lov om Center for

Cybersikkerhed (L 192, fremsat 2. maj 2014), at Center for Cybersikker-

hed forudsættes i videst muligt omfang at efterleve principperne i offent-

lighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således,

ERHVERVSMINISTERIET

Slotsholmsgade 10-12

1216 København K

Tlf.

33 92 33 50

Fax.

33 12 37 78

CVR-nr. 10092485

EAN nr. 5798000026001

[email protected]

www.em.dk

L 139 - 2017-18 - Bilag 7: Kopi til orientering af besvarelser på lovforslag nr. L 135, L 144 og L 145 med relevans for lovforslag nr. L 139

2/3

at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens

bestemmelser på området – i alle afgørelsessager konkret vurderer, om

det er muligt at anvende forvaltningslovens principper om partens aktind-

sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at an-

modninger om aktindsigt i videst muligt omfang behandles efter princip-

perne i offentlighedsloven.

Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser

i konkrete sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministe-

riet.

Center for Cybersikkerheds virksomhed, herunder centerets kommende

funktioner efter NIS-direktivet, er endvidere undtaget fra persondatalo-

ven. Denne retstilstand ventes videreført, når persondataloven med virk-

ning fra 25. maj 2018 erstattes af databeskyttelsesforordningen (Europa-

Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om

beskyttelse af fysiske personer i forbindelse med behandling af personop-

lysninger og om fri udveksling af sådanne oplysninger og om ophævelse

af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat

for Folketinget den 25. oktober 2017).

Størstedelen af de centrale principper i persondataloven gælder dog for

centeret, jf. kapitel 6 i lov om Center for Cybersikkerhed. Det følger såle-

des bl.a. af loven, at centeret kun må indsamle personoplysninger til ud-

trykkeligt angivne og saglige formål, og at senere behandling ikke må

være uforenelig med disse formål. Endvidere må centeret ikke behandle

flere personoplysninger, end hvad der kræves til opfyldelse af formålet

med indsamlingen. Der stilles desuden krav om hjemmel til enhver be-

handling af personoplysninger, ligesom der som udgangspunkt ikke må

behandles personoplysninger om racemæssig eller etnisk baggrund, poli-

tisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige til-

hørsforhold samt personoplysninger om helbredsmæssige og seksuelle

forhold. Centeret skal derudover sikre, at der ikke behandles urigtige eller

vildledende personoplysninger. Endelig må centeret ikke opbevare ind-

samlede personoplysninger på en måde, der giver mulighed for at identi-

ficere den pågældende person i et længere tidsrum end nødvendigt, og

centeret skal træffe passende sikkerhedsforanstaltninger ved behandlingen

af personoplysninger.

Visse centrale krav efter persondataloven gælder dog ikke for Center for

Cybersikkerhed. Centeret er således undtaget fra kravet om oplysnings-

pligt overfor den registrerede samt kravet om den registreredes indsigts-

og indsigelsesret. Det kan i den forbindelse nævnes, at forløberen til Cen-

ter for Cybersikkerhed, GovCERT under Ministeriet for Videnskab, Tek-

nologi og Udvikling, heller ikke var omfattet af retten til at gøre indsigel-

se, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af person-

L 139 - 2017-18 - Bilag 7: Kopi til orientering af besvarelser på lovforslag nr. L 135, L 144 og L 145 med relevans for lovforslag nr. L 139

3/3

oplysninger ved driften af den statslige varslingstjeneste for internettrus-

ler m.v. Det fremgår endvidere af de almindelige bemærkninger til denne

lov (L 197, fremsat 27. april 2011), at de personoplysninger, som Gov-

CERT behandlede i forbindelse med sit virke, var undtaget fra indsigtsret-

ten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.

Endvidere er det Tilsynet med Efterretningstjenesterne – og ikke Data-

tilsynet – der fører tilsyn med Center for Cybersikkerheds behandling af

personoplysninger.

Tilsynet med Efterretningstjenesterne er et uafhængigt kontrolorgan, der

efter klage eller af egen drift påser, at Center for Cybersikkerhed overhol-

der reglerne vedrørende behandling af personoplysninger. Tilsynet kan

hos Center for Cybersikkerhed kræve enhver oplysning og alt materiale,

der er af betydning for tilsynets virksomhed. Man kan som borger klage

til tilsynet, hvis man mener, at centeret ulovligt behandler personoplys-

ninger om en. Tilsynet afgiver endvidere hvert år en redegørelse til for-

svarsministeren om tilsynets virksomhed i forhold til Center for Cyber-

sikkerhed, og redegørelsen offentliggøres.

Herudover følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed,

at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven,

kapitel 4-6 i forvaltningsloven samt offentlighedsloven helt eller delvist

skal finde anvendelse for Center for Cybersikkerheds virksomhed som

bl.a. myndighed for informationssikkerhed og beredskab på teleområdet.

Der har indtil videre ikke vist sig behov for at anvende denne bemyndi-

gelse, idet der behandles ganske få personoplysninger i forbindelse med

centerets virksomhed på teleområdet.

Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed,

der er fremsat for Folketinget den 28. februar 2018, foreslås det bl.a., at

den nævnte bemyndigelse tilpasses til den kommende regulering på data-

beskyttelsesområdet og NIS-området, således at forsvarsministeren vil

kunne bestemme, at databeskyttelsesforordningen og den foreslåede data-

beskyttelseslov også helt eller delvist skal finde anvendelse for de myn-

dighedsopgaver, som Center for Cybersikkerhed tillægges som led i im-

plementeringen af NIS-direktivet.”

Med venlig hilsen

Brian Mikkelsen