L 143 - svar på spm. 2 om Center for Cybersikkerhed i Forsvarets Efterretningstjeneste, når det løser opgaver i regi af lovforslaget som nationalt centralt kontaktpunkt og CSIRT, er omfattet eller undtaget af forslaget om en ny databeskyttelseslov (L 68), persondataforordningen, offentlighedsloven og forvaltningsloven, fra sundhedsministeren

Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-
mål nr. 2 (L 143 – Forslag til lov om krav til sikkerhed for net- og informationssyste-
mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen
(SF).
Spørgsmål nr. 2:
”Ministeren bedes redegøre for, om Center for Cybersikkerhed i Forsvarets Efterret-
ningstjeneste, når det løser opgaver i regi af lovforslaget som nationalt centralt kon-
taktpunkt og CSIRT, er omfattet eller undtaget af forslaget om en ny databeskyttel-
seslov (L 68), persondataforordningen, offentlighedsloven og forvaltningsloven. Her-
under ønskes oplyst, hvilke konkrete dele af lovene og forordningen, som Center for
Cybersikkerhed vil være omfattet af/ikke omfattet af.”
Svar:
Da Sundheds- og Ældreudvalgets spørgsmål omhandler, hvorvidt Center for Cybersik-
kerhed er omfattet af databeskyttelsesforordningen, forslag til lov om supplerende
bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger og om fri udveksling af sådanne oplysninger (databe-
skyttelsesloven) (L 68), forvaltningsloven og offentlighedsloven, har mit ministerium
bedt Forsvarsministeriet om bidrag til besvarelsen heraf. Forsvarsministeriet oplyser
følgende:
” . Det følger af § i lov r. af . ju i o Center for Cybersikkerhed, at
Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset
fra lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for
centerets kommende funktioner som nationalt centralt kontaktpunkt og CSIRT efter
NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016
om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og infor-
mationssystemer i hele Unionen).
Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed
(L 192, frem-sat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst mu-
ligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapi-
tel 4-6. Det forudsættes således, at centeret – uanset at dets virksomhed er undtaget
fra forvaltningslovens bestemmelser på området – i alle afgørelsessager konkret vur-
derer, om det er muligt at anvende forvaltningslovens principper om partens aktind-
sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger
om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedslo-
ven.
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 03-04-2018
Enhed: SUNDOK
Sagsbeh.: DEPMAHA
Sagsnr.: 1706260
Dok. nr.: 572547
Sundheds- og Ældreudvalget 2017-18
L 143 endeligt svar på spørgsmål 2
Offentligt
Side 2
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete
sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet.
2. Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner
efter NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand
ventes videreført, når persondataloven med virkning fra 25. maj 2018 erstattes af da-
tabeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU)
2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger og om fri udveksling af sådanne oplysninger og om op-
hævelse af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat
for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf.
kapitel 6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at cen-
teret kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål,
og at senere behandling ikke må være uforenelig med disse formål. Endvidere må
centeret ikke behandle flere personoplysninger, end hvad der kræves til opfyldelse af
formålet med indsamlingen. Der stilles desuden krav om hjemmel til enhver behand-
ling af personoplysninger, ligesom der som udgangspunkt ikke må behandles person-
oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning og fagforeningsmæssige tilhørsforhold samt personoplysninger om
helbredsmæssige og seksuelle forhold. Centeret skal derudover sikre, at der ikke be-
handles urigtige eller vildledende personoplysninger. Endelig må centeret ikke opbe-
vare indsamlede personoplysninger på en måde, der giver mulighed for at identifi-
cere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal
træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikker-
hed. Centeret er således undtaget fra kravet om oplysningspligt overfor den registre-
rede samt kravet om den registreredes indsigts- og indsigelsesret.
Herudover er det Tilsynet med Efterretningstjenesterne – og ikke Datatilsynet – der
fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsy-
net med Efterretningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller
af egen drift påser, at Center for Cybersikkerhed overholder reglerne vedrørende be-
handling af personoplysninger.
3. Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvars-
ministeren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvalt-
ningsloven samt offentlighedsloven helt eller delvist skal finde anvendelse for Center
for Cybersikkerheds virksomhed som bl.a. myndighed for informationssikkerhed og
beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der
behandles ganske få personoplysninger i forbindelse med centerets virksomhed på
teleområdet.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat
for Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse
tilpasses til den kommende regulering på databeskyttelsesområdet og NIS-området,
således at forsvarsministeren vil kunne bestemme, at databeskyttelsesforordningen
og den foreslåede databeskyttelseslov også helt eller delvist skal finde anvendelse for
Side 3
de myndighedsopgaver, som Center for Cybersikkerhed tillægges som led i imple-
menteringen af NIS-direktivet.
4. Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav
om udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvens-
analyser, og at nye systemer skal have indbygget databeskyttelse (privacy by design
or by default).
For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og
persondataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om data-
beskyttelsesforord i ge , del I, bi d .”
Jeg kan henholde mig til Forsvarsministeriets bidrag.
Med venlig hilsen
Ellen Trane Nørby / Maja Holm Andreasen