L 144 - svar på spm. 2 om, hvordan implementeringen af NIS-direktivet harmonerer med databeskyttelsesdirektivet, fra erhvervsministeren

ERHVERVSMINISTEREN
6. april 2018
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervs-, Vækst- og Eksportudvalg
Besvarelse af spørgsmål 2 ad L 144 stillet af udvalget den 19. marts
2018 efter ønske fra Pelle Dragsted (EL).
Spørgsmål:
Hvordan harmonerer implementeringen af NIS-direktivet med databe-
skyttelsesdirektivet, når Center for Cybersikkerhed er etableret under For-
svarets Efterretningstjeneste, og hvilke forskelle indebærer det i forhold
til persondataloven, offentlighedsloven og forvaltningsloven? Ministeren
bedes oplyse på hvilke områder reglerne vil blive anderledes i forhold til,
hvis Centret blev etableret som en civil myndighed.
Svar:
Da Center for Cybersikkerhed hører under Forsvarsministeriet har jeg
forelagt spørgsmålet for dem. Forsvarsministeriet har oplyst at:
”Det følger af artikel 2, stk. 1, i NIS-direktivet (Europa-Parlamentets og
Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og informationssyste-
mer i hele Unionen), at behandlingen af personoplysninger efter direktivet
udføres i overensstemmelse med databeskyttelsesdirektivet (Europa-
Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyt-
telse af fysiske personer i forbindelse med behandling af personoplysnin-
ger og om fri udveksling af sådanne oplysninger).
Databeskyttelsesdirektivet gælder bl.a. ikke for sådan behandling af per-
sonoplysninger, der vedrører statens sikkerhed, jf. direktivets artikel 3,
stk. 2. På den baggrund gælder den danske persondatalov – der imple-
menterer databeskyttelsesdirektivet i dansk ret – heller ikke for behand-
linger af personoplysninger, der udføres for Forsvarets Efterretningstjene-
ste, herunder Center for Cybersikkerhed.
En række af de centrale bestemmelser i persondataloven er imidlertid ind-
arbejdet i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, der
regulerer centerets virksomhed. Endvidere fører Tilsynet med Efterret-
ningstjenesterne, som er et uafhængigt kontrolorgan, tilsyn med Center
for Cybersikkerheds behandling af personoplysninger. Tilsynet kan hos
Center for Cybersikkerhed kræve enhver oplysning og alt materiale, der
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144 endeligt svar på spørgsmål 2
Offentligt
2/2
er af betydning for tilsynets virksomhed. Man kan som borger klage til
tilsynet, hvis man mener, at centeret ulovligt behandler personoplysninger
om en. Tilsynet afgiver endvidere hvert år en redegørelse til forsvarsmini-
steren om tilsynets virksomhed i forhold til Center for Cybersikkerhed, og
redegørelsen offentliggøres.
Denne retstilstand videreføres som udgangspunkt, når EU’s databeskyt-
telsesdirektiv fra 25. maj 2018 erstattes af den nye databeskyttelsesfor-
ordning (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.
april 2016 om beskyttelse af fysiske personer i forbindelse med behand-
ling af personoplysninger og om fri udveksling af sådanne oplysninger og
om ophævelse af direktiv 95/46/EF) samt den foreslåede danske databe-
skyttelseslov (L 68 fremsat for Folketinget den 25. oktober 2017).
Det bemærkes dog, at der med lovforslag nr. L 155, der konsekvensæn-
drer lov om Center for Cybersikkerhed som følge af den nye regulering
på databeskyttelsesområdet, er lagt op til, at forsvarsministeren får hjem-
mel til helt eller delvist at sætte databeskyttelsesforordningen og databe-
skyttelsesloven i kraft for dele af Center for Cybersikkerheds virksomhed,
herunder centerets virksomhed i medfør af NIS-direktivet. Dette lov-
forslag blev fremsat den 28. februar 2018 og er fortsat under behandling i
Folketinget.
Der henvises endvidere til den samtidige besvarelse af spørgsmål nr. 1
vedrørende L 144.”
Med venlig hilsen
Brian Mikkelsen


ERHVERVSMINISTEREN
6. april 2018
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervs-, Vækst- og Eksportudvalg
Besvarelse af spørgsmål 1 ad L 144 stillet af udvalget den 19. marts
2018 efter ønske fra Pelle Dragsted (EL).
Spørgsmål:
Hvilke forskelle gør sig gældende i forhold til regler om databeskyttelse,
politisk kontrol, tilsyn, åbenhed og udveksling af oplysninger m.v., at
Center for Cybersikkerhed placeres under Forsvarets Efterretningstjeneste
i forhold til, hvis centret blev etableret som en civil myndighed?
Svar:
Da Center for Cybersikkerhed hører under Forsvarsministeriet har jeg
forelagt spørgsmålet for dem. Forsvarsministeriet har oplyst at:
”1. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjene-
ste (FE), som er en styrelse under Forsvarsministeriet. Forsvarsministeren
varetager på regeringens vegne den overordnede kontrol med FE. Folke-
tingets Udvalg vedrørende Efterretningstjenesterne (Kontroludvalget)
fører derudover parlamentarisk kontrol med FE, ligesom FE er underlagt
bevillingsmæssig kontrol, som Rigsrevisionen står for.
Center for Cybersikkerhed og den øvrige del af FE er – selvom de udgør
én myndighed – ved lov tillagt forskellige opgaver og virkemidler. Center
for Cybersikkerhed er særskilt reguleret i lov nr. 713 af 25. juni 2014 om
Center for Cybersikkerhed, hvor der i bemærkningerne er forudsat en vis
organisatorisk adskillelse mellem centeret og den efterretningsmæssige
del af FE. Det er også forudsat, at centeret har en åben og udadvendt pro-
fil, og at centerets virksomhed skal være præget af åbenhed, vejledning og
information.
2. Det følger af § 8 i lov om Center for Cybersikkerhed, at Center for Cy-
bersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset fra
lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6.
Det fremgår dog af bemærkningerne til forslaget til lov om Center for
Cybersikkerhed (L 192, fremsat 2. maj 2014), at Center for Cybersikker-
hed forudsættes i videst muligt omfang at efterleve principperne i offent-
lighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således,
Erhvervs-, Vækst- og Eksportudvalget 2017-18
L 144 endeligt svar på spørgsmål 2
Offentligt
2/3
at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens
bestemmelser på området – i alle afgørelsessager konkret vurderer, om
det er muligt at anvende forvaltningslovens principper om partens aktind-
sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at an-
modninger om aktindsigt i videst muligt omfang behandles efter princip-
perne i offentlighedsloven.
Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser
i konkrete sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministe-
riet.
3. Center for Cybersikkerheds virksomhed, herunder centerets kommende
funktioner efter NIS-direktivet, er endvidere undtaget fra persondatalo-
ven. Denne retstilstand ventes videreført, når persondataloven med virk-
ning fra 25. maj 2018 erstattes af databeskyttelsesforordningen (Europa-
Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af personop-
lysninger og om fri udveksling af sådanne oplysninger og om ophævelse
af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat
for Folketinget den 25. oktober 2017).
Størstedelen af de centrale principper i persondataloven gælder dog for
centeret, jf. kapitel 6 i lov om Center for Cybersikkerhed. Det følger såle-
des bl.a. af loven, at centeret kun må indsamle personoplysninger til ud-
trykkeligt angivne og saglige formål, og at senere behandling ikke må
være uforenelig med disse formål. Endvidere må centeret ikke behandle
flere personoplysninger, end hvad der kræves til opfyldelse af formålet
med indsamlingen. Der stilles desuden krav om hjemmel til enhver be-
handling af personoplysninger, ligesom der som udgangspunkt ikke må
behandles personoplysninger om racemæssig eller etnisk baggrund, poli-
tisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige til-
hørsforhold samt personoplysninger om helbredsmæssige og seksuelle
forhold. Centeret skal derudover sikre, at der ikke behandles urigtige eller
vildledende personoplysninger. Endelig må centeret ikke opbevare ind-
samlede personoplysninger på en måde, der giver mulighed for at identi-
ficere den pågældende person i et længere tidsrum end nødvendigt, og
centeret skal træffe passende sikkerhedsforanstaltninger ved behandlingen
af personoplysninger.
Visse centrale krav efter persondataloven gælder dog ikke for Center for
Cybersikkerhed. Centeret er således undtaget fra kravet om oplysnings-
pligt overfor den registrerede samt kravet om den registreredes indsigts-
og indsigelsesret. Det kan i den forbindelse nævnes, at forløberen til Cen-
ter for Cybersikkerhed, GovCERT under Ministeriet for Videnskab, Tek-
nologi og Udvikling, heller ikke var omfattet af retten til at gøre indsigel-
se, jf. § 5, stk. 1, i lov nr. 596 af 14. juni 2011 om behandling af person-
3/3
oplysninger ved driften af den statslige varslingstjeneste for internettrus-
ler m.v. Det fremgår endvidere af de almindelige bemærkninger til denne
lov (L 197, fremsat 27. april 2011), at de personoplysninger, som Gov-
CERT behandlede i forbindelse med sit virke, var undtaget fra indsigtsret-
ten efter undtagelsesbestemmelsen i persondatalovens § 32, stk. 2.
4. Endvidere er det Tilsynet med Efterretningstjenesterne – og ikke Data-
tilsynet – der fører tilsyn med Center for Cybersikkerheds behandling af
personoplysninger.
Tilsynet med Efterretningstjenesterne er et uafhængigt kontrolorgan, der
efter klage eller af egen drift påser, at Center for Cybersikkerhed overhol-
der reglerne vedrørende behandling af personoplysninger. Tilsynet kan
hos Center for Cybersikkerhed kræve enhver oplysning og alt materiale,
der er af betydning for tilsynets virksomhed. Man kan som borger klage
til tilsynet, hvis man mener, at centeret ulovligt behandler personoplys-
ninger om en. Tilsynet afgiver endvidere hvert år en redegørelse til for-
svarsministeren om tilsynets virksomhed i forhold til Center for Cyber-
sikkerhed, og redegørelsen offentliggøres.
5. Herudover følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed,
at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven,
kapitel 4-6 i forvaltningsloven samt offentlighedsloven helt eller delvist
skal finde anvendelse for Center for Cybersikkerheds virksomhed som
bl.a. myndighed for informationssikkerhed og beredskab på teleområdet.
Der har indtil videre ikke vist sig behov for at anvende denne bemyndi-
gelse, idet der behandles ganske få personoplysninger i forbindelse med
centerets virksomhed på teleområdet.
Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed,
der er fremsat for Folketinget den 28. februar 2018, foreslås det bl.a., at
den nævnte bemyndigelse tilpasses til den kommende regulering på data-
beskyttelsesområdet og NIS-området, således at forsvarsministeren vil
kunne bestemme, at databeskyttelsesforordningen og den foreslåede data-
beskyttelseslov også helt eller delvist skal finde anvendelse for de myn-
dighedsopgaver, som Center for Cybersikkerhed tillægges som led i im-
plementeringen af NIS-direktivet.”
Med venlig hilsen
Brian Mikkelsen