L 135 - svar på spm. 3 om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltningsmyndighed, jf. forvaltningsloven, fra transport-, bygnings- og boligministeren og forsvarsministeren
Tilhører sager:
- Hovedtilknytning: Forslag til lov om sikkerhed i net- og informationssystemer i transportsektoren. (Spørgsmål 3)
Aktører:
- Besvaret af: transport-, bygnings- og boligministeren
- Besvaret af: forsvarsministeren
- Adressat: transport-, bygnings- og boligministeren
- Adressat: forsvarsministeren
- Stiller: Rasmus Prehn
- Stiller: Kim Christiansen
- Stiller: Henning Hyllested
- Stiller: Andreas Steenberg
- Stiller: Karsten Hønge
- Stiller: Roger Courage Matthisen
Besvarelse af TRU spm 3 til L 135.docx
https://www.ft.dk/samling/20171/lovforslag/L135/spm/3/svar/1475430/1871093.pdf
_______________________________________________________________________________________________________________________________________________ HOLMENS KANAL 9 TELEFON: 72 81 00 00 MAIL: FMN@FMN.DK CVR: 25-77-56-35 1060 KØBENHAVN K TELEFAX: 72 81 03 00 WEB: www.FMN.DK EAN: 5798000201200 Folketingets Transport-, Bygnings- og Boligudvalg Christiansborg FORSVARSMINISTEREN 21. marts 2018 Folketingets Transport-, Bygnings- og Boligudvalg har den 22. februar 2018 stillet følgende spørgsmål nr. 3 vedrørende L 135 til transport-, bygnings- og boligministeren samt for- svarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Rasmus Prehn (S), Kim Christiansen (DF), Henning Hyllested (EL), Andreas Steenberg (RV), Karsten Hønge (SF) og Roger Courage Matthisen (ALT). Spørgsmål nr. 3: ”På baggrund af afsnit 3 i de almindelige bemærkninger til lovforslaget bedes ministeren oplyse, om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltnings- myndighed, jf. forvaltningsloven. Ministeren bedes i forlængelse heraf redegøre for kravene til centerets behandling af personoplysninger. Herunder ønskes oplyst, hvorledes kravene adskiller sig som følge af reglerne i lov om Center for Cybersikkerhed (lov nr. 713 af 25. juni 2014), set i forhold til databeskyttelsesforordningen (forordning 2016/679/EU af 27. april 2016 om beskyttelse af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) samt forslaget til databeskyttelseslov (L 68), hvis For- svarets Efterretningstjeneste ikke er omfattet af lovforslaget og forordningen.” Svar: 1. Det følger af § 8 i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, at Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for centerets kommende funktioner som nationalt centralt kontaktpunkt og CSIRT efter NIS-direktivet (Europa- Transport-, Bygnings- og Boligudvalget 2017-18 L 135 endeligt svar på spørgsmål 3 Offentligt Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen). Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed (L 192, fremsat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst muligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapitel 4-6. Det forud- sættes således, at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens bestemmelser på området – i alle afgørelsessager konkret vurderer, om det er muligt at anvende forvaltningslovens principper om partens aktindsigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger om aktindsigt i videst muligt omfang be- handles efter principperne i offentlighedsloven. Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet. 2. Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner efter NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand ventes videre- ført, når persondataloven med virkning fra 25. maj 2018 erstattes af databeskyttelsesfor- ordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) og den foreslåe- de databeskyttelseslov (L 68, fremsat for Folketinget den 25. oktober 2017). Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf. kapitel 6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at centeret kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål, og at senere behand- ling ikke må være uforenelig med disse formål. Endvidere må centeret ikke behandle flere personoplysninger, end hvad der kræves til opfyldelse af formålet med indsamlingen. Der stilles desuden krav om hjemmel til enhver behandling af personoplysninger, ligesom der som udgangspunkt ikke må behandles personoplysninger om racemæssig eller etnisk bag- grund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige tilhørsforhold samt personoplysninger om helbredsmæssige og seksuelle forhold. Centeret skal derudover sikre, at der ikke behandles urigtige eller vildledende personoplysninger. Endelig må cente- ret ikke opbevare indsamlede personoplysninger på en måde, der giver mulighed for at identificere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger. Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikkerhed. Centeret er således undtaget fra kravet om oplysningspligt overfor den registrerede samt kravet om den registreredes indsigts- og indsigelsesret. Herudover er det Tilsynet med Efterretningstjenesterne – og ikke Datatilsynet – der fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsynet med Efter- retningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller af egen drift påser, at Center for Cybersikkerhed overholder reglerne vedrørende behandling af personoplysnin- ger. 3. Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvarsministe- ren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvaltningsloven samt offentlighedsloven helt eller delvist skal finde anvendelse for Center for Cybersikkerheds virksomhed som bl.a. myndighed for informationssikkerhed og beredskab på teleområdet. Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der be- handles ganske få personoplysninger i forbindelse med centerets virksomhed på teleområ- det. Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat for Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse tilpasses til den kommende regulering på databeskyttelsesområdet og NIS-området, således at for- svarsministeren vil kunne bestemme, at databeskyttelsesforordningen og den foreslåede databeskyttelseslov også helt eller delvist skal finde anvendelse for de myndighedsopgaver, som Center for Cybersikkerhed tillægges som led i implementeringen af NIS-direktivet. 4. Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav om udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvensanalyser, og at nye systemer skal have indbygget databeskyttelse (privacy by design or by default). For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og person- dataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om databeskyttelses- forordningen, del I, bind 1. Med venlig hilsen Claus Hjort Frederiksen