L 215 - svar på spm. 4 om, hvorvidt ministeren vil oversende et notat, der beskriver, hvilke persondata-, offentligheds- og åbenhedsregler Center for Cybersikkerhed er underlagt, fra forsvarsministeren

Dato: 17. april 2019
Enhed: JSN
Sagsnr.: 2019/002204
Dok.nr.: 896978
Bilag: Ingen
FORSVARSMINISTEREN
Holmens Kanal 9
1060 København K
Tlf.: 728 10000
Fax: 728 10300
E-mail: fmn@fmn.dk
www.fmn.dk
EAN: 5798000201200
CVR: 25 77 56 35
Side 1 af 3
Folketingets Forsvarsudvalg
Christiansborg
Folketingets Forsvarsudvalg har den 3. april 2019 stillet følgende
spørgsmål nr. 4 vedrørende L 215, som hermed besvares.
Spørgsmål nr. 4:
”Ministeren bedes fremsende et notat, der beskriver hvilke persondata-
, offentligheds- og åbenhedsregler, Center for Cybersikkerhed er un-
derlagt.”
Svar:
Center for Cybersikkerhed har til opgave at opdage og imødegå alvorli-
ge cyberangreb, og centerets netsikkerhedstjeneste foretager på den
baggrund bl.a. monitorering af netværkstrafik hos tilsluttede myndig-
heder og virksomheder.
Center for Cybersikkerhed er placeret ved Forsvarets Efterretningstje-
neste, bl.a. ud fra et hensyn til at sikre centeret adgang til efterret-
ningsmæssige oplysninger, som er afgørende for at kunne levere den
bedste beskyttelse mod avancerede cyberangreb. Samtidig har cente-
ret dog en åben og udadvendt profil, idet en stor del af centerets fore-
byggende indsats kun kan ske i samarbejde og dialog med de relevante
myndigheder og virksomheder.
Allerede i den gældende lov om Center for Cybersikkerhed, der trådte i
kraft i 2014, blev der lagt stor vægt på, at de centrale principper i den
daværende persondatalov så vidt muligt skulle gælde for Center for
Cybersikkerhed. Vurderingen var dog også, at de særlige forhold, som
gjorde sig gældende for centerets aktiviteter, tilsagde, at centeret ikke
fuldt ud kunne være omfattet af den almindelige persondataretlige lov-
givning.
Baggrunden for denne vurdering var bl.a., at Center for Cybersikker-
heds behandling af oplysninger i forbindelse med monitoreringen sker
som led i en automatiseret proces. Monitoreringen er ikke rettet mod
enkeltpersoner, men har til formål at fremfinde tekniske oplysninger i
form af angrebsværktøjer eller resultaterne af cyberangreb – med hen-
blik på at undersøge, forebygge og stoppe sådanne angreb. Center for
Cybersikkerhed har altså ikke til formål at behandle personoplysninger,
Forsvarsudvalget 2018-19
L 215 endeligt svar på spørgsmål 4
Offentligt
Sagsnr.: 2019/002204
Dok.nr.: 896978
Side 2 af 3
og personoplysninger vil som den altovervejende hovedregel være
uden interesse for centeret. Som led i indsamlingen af tekniske oplys-
ninger vil Center for Cybersikkerhed dog behandle personoplysninger,
fordi personoplysningerne kan – men dog ikke nødvendigvis vil – være
indeholdt i de data, som indsamles med henblik på at lokalisere de re-
levante tekniske oplysninger om sikkerhedshændelser. Center for Cy-
bersikkerhed foretager imidlertid ikke en egentlig registrering af disse
personoplysninger, ligesom der ikke opereres med sager om enkeltper-
soner.
Center for Cybersikkerheds virksomhed er derfor i medfør af § 8, stk.
1, i den gældende lov undtaget fra databeskyttelsesloven og databe-
skyttelsesforordningen og fra lov om retshåndhævende myndigheders
behandling af personoplysninger. Det er den ordning, som følger af den
gældende lov, som Folketinget vedtog i 2014, og ordningen blev vide-
reført, da lov om Center for Cybersikkerhed blev ændret i 2018. Ord-
ningen foreslås ligeledes videreført uændret med L 215.
Som nævnt gælder en række centrale principper i den tidligere person-
datalov dog for behandling af personoplysninger i Center for Cybersik-
kerhed. Lov om Center for Cybersikkerhed indeholder således en detal-
jeret regulering af centerets behandling af personoplysninger, og loven
udgør dermed i sig selv Center for Cybersikkerheds databeskyttelses-
regler.
Hovedelementerne er, at Center for Cybersikkerheds indsamling af per-
sonoplysninger skal ske til udtrykkeligt angivne og saglige formål, og
senere behandling må ikke være uforenelig med disse formål. Person-
oplysninger, som behandles, skal være relevante og tilstrækkelige og
ikke omfatte mere, end hvad der kræves til opfyldelse af de formål,
hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne
senere behandles. Dette fremgår af kapitel 6 i loven.
Som følge af Center for Cybersikkerheds særlige adgang til at behandle
data, herunder personoplysninger, på baggrund af indgreb i meddelel-
seshemmeligheden, gælder der desuden en række særlige krav til ana-
lyse, videregivelse og sletning af disse data. Der er tale om krav, som
er mere restriktive end de krav, der gælder efter den almindelige data-
beskyttelsesregulering. Disse krav fremgår af kapitel 7 og 8 i lov om
Center for Cybersikkerhed.
Det følger endvidere af § 8, stk. 1, i den gældende lov om Center for
Cybersikkerhed, at Center for Cybersikkerheds virksomhed er undtaget
fra offentlighedsloven, bortset fra lovens § 13. Offentlighedslovens §
13 indeholder en notatpligt for myndigheder i afgørelsessager. Det føl-
Sagsnr.: 2019/002204
Dok.nr.: 896978
Side 3 af 3
ger herudover af § 8, stk. 1, at Center for Cybersikkerheds virksomhed
er undtaget fra forvaltningslovens kapitel 4-6. Forvaltningslovens kapi-
tel 4-6 indeholder bestemmelser om parters ret til aktindsigt, partshø-
ring og begrundelse.
Af bemærkningerne til forslaget til den gældende lov fremgår det imid-
lertid, at Center for Cybersikkerhed forudsættes i videst muligt omfang
at efterleve principperne i offentlighedsloven og forvaltningslovens ka-
pitel 4-6. Det forudsættes således, at centeret – uanset at dets virk-
somhed er undtaget fra forvaltningslovens bestemmelser på området –
i relevant omfang vurderer, om det i afgørelsessager konkret er muligt
at anvende forvaltningslovens principper om partens aktindsigt, parts-
høring og begrundelse m.v. Tilsvarende forudsættes det, at anmodnin-
ger om aktindsigt i videst muligt omfang behandles efter principperne i
offentlighedsloven.
Det bemærkes endvidere, at Tilsynet med Efterretningstjenesterne va-
retager opgaven med at føre tilsyn med Center for Cybersikkerheds
overholdelse af regler om behandling af personoplysninger. Der henvi-
ses herved til den samtidige besvarelse af spørgsmål nr. 5 vedrørende
L 215.
Med venlig hilsen
Claus Hjort Frederiksen