Præsentationer vist under Retsudvalgets ekspertmøde den 8. maj 2014 om lovforslaget

FOLKETINGETS RETSUDVALG
HØRING OM CFCS-LOVEN
8. MAJ 2014
Rådet for Digital Sikkerhed
Birgitte Kofod Olsen, formand
Forsvarsudvalget 2013-14
L 192 Bilag 2
Offentligt
Privatlivsbeskyttelse
Grundloven
Forvaltningsloven
Persondataloven
EU traktaten
Persondatadirektivet
Forslag til forordning
Europarådets
Menneskerettigheds-
konvention
Persondatakonvention
FN konvention om
civile og politiske rettigheder
Princip:
grundrettighed i et demokratisk samfund
Hovedregel:
beskyttelse af borgerens privatliv og data
Undtagelse:
begrænsning af beskyttelsen
hvis der er et lovligt hensyn og hjemmel,
og det er proportionalt og nødvendigt
i et demokratisk samfund
Indgreb af særligt alvorlig karakter
 ECJ: Logning af trafikdata er et meget vidtrækkende
indgreb og må anses for at være af særligt alvorlig
karakter.
 Den omstændighed, at lagringen af data og den
efterfølgende anvendelse af dem finder sted, uden at
abonnenten eller den registrerede bruger oplyses
herom, er egnet til at skabe en følelse hos de berørte
personer af, at deres privatliv er genstand for konstant
overvågning.
 CFCS: Direktiv og dom har ingen retsvirkning, men knæsætter
principper, der også gælder for FE.
 Retspraksis fra EMD har fastslået princippernes anvendelse i forhold til
efterretningstjeneste og overvågning i en række domme
CFCS § 2, 3) Trafikdata + kap. 4
 ECJ: Trafikdata ”vil tilsammen kunne gøre det muligt at
drage meget præcise slutninger vedrørende privatlivet
for de personer, hvis data er blevet lagret, såsom
 vaner i dagligdagen
 midlertidige eller varige opholdssteder
 daglige eller andre rejser
 hvilke aktiviteter der udøves
 sociale relationer
 de sociale miljøer, de frekventerer”
 CFCS loven omfatter tillige pakkedata
 indholdsdata -> kernen i privatlivsbeskyttelsen
CFCS § 17 opbevaring af data
 ECJ: ”Lagring af data med henblik på, at de
kompetente nationale myndigheder eventuelt kan
få adgang hertil…vedrører direkte og specifikt
privatlivet og dermed de rettigheder, som er sikret
ved chartrets artikel 7. Herudover er en sådan
lagring af data tillige omfattet af chartrets artikel
8, idet den udgør behandling af
personoplysninger”
 CFCS: Opbevaring kan ske i 3 år, hvis knyttet til
sikkerhedshændelse, ellers i 13 mdr.
CFCS § 16 videregivelse
 ECJ: ”Ved afgørelsen af, om der foreligger et
indgreb i den grundlæggende ret til respekt for
privatlivet, er det uden betydning, om de
videregivne oplysninger er følsomme oplysninger,
eller om indgrebet har medført eventuelle
ubehageligheder for de berørte”
 CFCS:
 trafikdata kan videregives, også ud af DK
 Pakkedata kan videregives til politiet
CFCS kap. 4 indgreb i
meddelelseshemmeligheden
 ECJ: ”Desuden udgør de kompetente nationale
myndigheders adgang til disse data et yderligere
indgreb i denne grundlæggende ret”
 CFCS: dobbelt indgreb
 Adgang til tilsluttede virksomheders netværk og lagring
 Behandling af trafikdata og pakkedata
-> sker uden retskendelse, men med krav om begrundet
mistanke om sikkerhedshændelse og nødvendighed
Er der en legitim interesse i indgrebet?
 ECJ: Indgrebet forfølger et mål af almen interesse:
 bekæmpelsen af grov kriminalitet og dermed i sidste ende
den offentlige sikkerhed
 anvendelsen af elektronisk kommunikation udgør et
særdeles vigtigt og brugbart redskab til forebyggelse af
strafbare handlinger og bekæmpelse af kriminalitet, især
organiseret kriminalitet.
 CFCS: opdage, analysere, bidrage til at imødegå
sikkerhedshændelser = en hændelse, der negativt
påvirker eller vurderes at ville kunne påvirke
tilgængelighed, integritet og fortrolighed af data,
informationssystemer, digitale netværk eller digitale
tjenester
Er indgrebet proportionalt?
 ECJ: retsakter skal være egnede til at gennemføre de
lovlige mål, som forfølges med den omhandlede
lovgivning, og går ikke videre, end hvad der er
nødvendigt og passende for gennemførelsen af disse
mål
 CFCS: er der et rimeligt forhold mellem målet om at
 §1Understøtte et højt informationssikkerhedsniveau
 §3 Imødegå sikkerhedshændelser
 og midlet: behandling, lagring og videregivelse af
trafikdata og indholdsdata?
 Hvis målet var hackerangreb, spionage, obstruktion?
Tryg digitalisering
Rådet for Digital Sikkerhed bidrager til at
sætte retningen for fremtidens digitale velfærdssamfund
it-sikkerhed og privatlivsbeskyttelse bliver naturligt
integreret i systemer og samfund
understøtte læring og sund adfærd i den digitale verden
innovativ udnyttelse af teknologiens muligheder
Rådet for Digital Sikkerhed
Rådet for Digital Sikkerhed (RfDS) blev stiftet i november 2012
Medlemmer
47 private virksomheder, brancheorganisationer, interesseorganisationer, kommuner og
regioner, forskere og forskningsinstitutioner.
Indsatsområder
Borgernes digitale sikkerhed
Brug af webfiltrering
Persondataforordningen
Digital autentifikation
Big data & cloud computing
Medico-udstyr
Cyberwar
Digital velfærd
Info og kontakt
Judgment in Joined Cases C-293/12 and C-594/12 Press and Information Digital
Rights Ireland and Seitlinger and Others
RfDS høringssvar om CFCS-loven
http://www.digitalsikkerhed.dk/fileadmin/user_upload/20140304_RfDS_hoerings
svar_CFCS.pdf
Rådet for Digital Sikkerhed
Toldbodgade 12
1253 København K
Formand
Birgitte Kofod Olsen
Mobil +45 41 42 83 81
Mail birgitte.kofod.olsen@digitalsikkerhed.dk
Web digitalsikkerhed.dk


Konsekvenserne af
lovforslaget om
Center for Cybersikkerhed
/ C-cure
Mette Nikander, Direktør
Forsvarsudvalget 2013-14
L 192 Bilag 2
Offentligt
• at man ønsker at fokusere i langt højere grad på vores IT Sikkerhed og
digitale integritet.
• at der søges et lovgrundlag for CFCS virke.
• at man tager udgangspunkt i ”Lov om behandling af personoplysninger
ved driften af den statslige varslingstjeneste for internettrusler m.v.”
• at analysen af de pakkedata som CFCS' prober opsamler i civile netværk,
kun må "finde sted ved begrundet mistanke om en sikkerhedshændelse og
kun i det omfang, det er nødvendigt for afklaring af forhold vedrørende
hændelsen”.
Det er positivt….
Sikkerhedshændelse
Man tager i lovforslaget flere steder udgangspunkt i sikkerhedshændelser.
En sikkerhedshændelse er beskrevet, som en hændelse der negativt påvirker,
eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af
data, informationssystemer, digitale netværk eller digitale tjenester
Det at der er tale om en vurdering, kan åbne for en vid fortolkning, fordi det
i princippet ud fra en masse øvrige hændelser på andre ”områder”, kan
vurderes at være nødvendigt eller passende at foretage overvågning, på et
nyt ”område”.
Vi risikerer med andre ord at der uberettiget vurderes associerede
interesser mellem parter, til begrundelse for periodisk systematisk
overvågning.
Placering
CFCS placering under FE, undtager CFCS for persondataloven. Men CFCS skal
udføre civile opgaver.
Det foreslås derfor, at CFCS i det hele adskilles fra FE og lægges i en
separat forvaltningsmyndighed beskyttet af persondataloven.
Insisterer man på en placering under FE, så bør CFCS, som minimum placeres i en,
separat IT sikkerhedsafdeling underlagt persondataloven, men selvfølgelig således
at der der tages nødvendige mindre forbehold i forhold til, at det skal ligge under FE.
Forvaltningsmyndigheden, der skal spore, overvåge og hindre cyberangreb, skal
være underlagt almindelige forvaltningsretlige principper for indsigt, åbenhed og
kontrol, samt retsplejelovens krav om retskendelse ved indgreb i
meddelelseshemmeligheden.
Placering
Da persondataloven i lovforslaget ikke gælder for CFCS, er der derfor givet
retningslinjer ud for behandling af personoplysninger, men det er kun retningslinjer,
der fastsætter en række bestemmelser. Det er ikke en eksakt lovgivning.
Det at man vil lave retningslinjer i loven for at kompensere for det ”tab” af
retslighed virksomheder og personer i modsat fald vil bevare, er ikke godt nok.
Retningslinier kan ikke bruges ved en domstol, men kun ved tjenestelige sager.
Desuden bør CFCS aktiviteter tilrettelægges således, at netsikkerhedstjenesten
i mindst muligt omfang konkurrerer med private udbydere af sammenlignelige
services. Hvilket der ellers åbnes for under lovforslagets §6 og §7.
Netsikkerhedstjenestens tilsluttede virksomheder bør være så få (i øvrigt offentliggjorte)
virksomheder som muligt.
Meddelelseshemmelighed
GovCert har lige nu adgang til betydelige dele af kommunikationen mellem
borgere/virksomhederne og staten og CFCS vil på sigt få endnu bredere
adgang ,også til kommunikationen med øvrige offentlige myndigheder.
Man påtænker endda at få lov til at bryde krypteret kommunikation, men hvis
det er for at hindre kriminalitet, så vil de kriminelle jo blot finde andre
kommunikationsveje end gennem Nettjenestens tilsluttede virksomheder.
Der gribes derved ind i Grundlovens passus om meddelelseshemmelighed og i
retten til privatlivets fred, men også i borgernes og virksomhedernes retssikkerhed,
som de beskyttes af i persondataloven.
Brud på kryptering bør kun ske, hvis der ligger en retskendelse og at
Tilsynet informeres forinden.
En nødlem
Kapitel 4, Indgreb i meddelelseshemmeligheden
Dette kapitel kan i princippet være en nødlem for Center for Cybersikkerhed, der kan
refereres til under andre paragraffer, hvilket der også gøres flere steder.
Man kan uden retskendelse behandle pakke og trafikdata hidrørende fra netværk hos
tilsluttede myndigheder, også Forsvarets område,- og virksomheder. Og meget vil være
efter vurdering om nødvendighed…derfor bliver et effektivt tilsyn vigtigt.
Der henvises f.eks. i §11 og §12 til kapitel 4, når der tales om, at der ikke må behandles, videregives og analyseres
personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning,
fagforeningsmæssige tilhørsforhold og personoplysninger om helbredsmæssige og seksuelle forhold eller strafbare forhold
med mindre behandlingen er nødvendig for varetagelsen af CFCS opgaver, er til beskyttelse af væsentlige hensyn til
statens sikkerhed eller rigets forsvar eller at behandlingen vedrører personoplysninger der er omfattet af kapitel 4
Kapitel 9, Tilsyn med behandling af personoplysninger
§21, Den væsentligste nødlem - Stk.3, CFCS kan undtagelsesvist beslutte ikke at følge
en henstilling fra Tilsynet og skal da blot underrette Tilsynet herom og uden
unødigt ophold forelægge sagen for forsvarsministeren til afgørelse.
Behandling af personoplysninger
Vedr. kapitel 6 , Behandling af personoplysninger i CFCS
Det er kritisabelt at det i §9 indikeres at indsamling af personoplysninger ikke
anses uforenelige med senere formål, som at indsamle historiske, statistiske
eller videnskabelige øjemed. Indsamling bør udelukkende være af
sikkerhedsmæssig karakter.
I §10 om behandling af personoplysninger og i §12 om videregivelse af disse,
angives at de da kun må finde sted hvis;
6)Behandlingen er nødvendig for at CFCS eller den tredjemand til hvem
oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den
pågældende person ikke overstiger denne interesse.
Vil Tilsynet være med til at vurdere dette grundigt nok, eller kun ved stikprøver
involveres?
Databehandling og deling
I lov om Politiets Efterretningstjeneste, og Lov for Forsvarets
Efterretningstjeneste, åbnes der for indsamling , analyse, bearbejdning m.m.
af data, som også kan udveksles under rammer af et etableret gensidigt
samarbejde med udenlandske myndigheder….CFCS /GOVCERT bør kun dele data
med disse myndigheder efter Tilsynets og ministeriets vurdering og forudgående
accept.
Pakkedata bør slettes efter 1 måned også hvis de er videregivet til udlandet.
Vi bør nuanceret forholde os til andre landes lovgivning og efterretningstjenester
der til tider er er meget åbne for indsigt i data og åbne for industrispionage.
I enhver henseende at data deles med tredje part bør Tilsynet samtykke forinden!
Tilsyn
Lovforslaget angiver at CFCS skal træffe passende tekniske og organisatoriske
foranstaltninger mod oplysninger tabes forringes, misbruges eller kommer
uvedkommende i hænde.
Med reference til de nylige sager med NETS, IBM, Se og Hør etc. Hvor f.eks.
Finanstilsynet og Datatilsynet ikke har udfyldt sin rolle tilfredsstillende, er det vigtigt at
Tilsynet hyppigt og effektivt tilsikrer, at dette også sker, som ønsket og løbende
overholdes.
§23 Tilsynets virksomhed er undtaget fra lov om offentlighed i forvaltningen
bortset fra lovens §13
Det fordrer stor tillid til Tilsynet og at der ikke må kunne opstå interessekonflikter
i Tilsynet.
Der skal nedsættes et Tilsyn udenfor ”Tilsynet med Efterretningtjenesterne”.
Tilsynet skal have omfattende it-revisionsmæssige og tekniske
sagkundskaber og stærke juridiske kompetencer, før at man kan tilsikre at
borgernes og virksomhedernes rettigheder overholdes.
Loven om CFCS, når den er vedtaget, bør revideres efter 2 år, for at vi derved har
mulighed for at korrigere og indrette loven, efter den teknologiske udvikling,
menneskerettighedshensyn, konkurrencehensyn, behov for videndeling m.m.
Mette Nikander: mn@c-cure.dk
Tlf. 45 41 14 46
www.c-cure.dk
Tak for Jeres tid


Forslag til lov om
Center for Cybersikkerhed
DANSK IT’s retssikkerhedsmæssige overvejelser
Ekspertmøde i Folketingets Retsudvalg, 8. maj 2014
Forsvarsudvalget 2013-14
L 192 Bilag 2
Offentligt
Hvor der er en vilje, er der en vej
Retssikkerhed og beskyttelsen af retten til privatliv er:
•Besværligt
•Det koster (ekstra) penge
•Da det også kræver effektiv kontrol, håndhævelse og konsekvens
•Lovforslaget går konsekvent den modsatte vej!
Overordnede betragtninger
Retssikkerhed og respekt for privatlivet kræver efter DANSK IT’s opfattelse:
a) At indgreb i grundlæggende rettigheder i loven begrænses til det strengt
nødvendige.
b) At Folketinget derfor ikke vedtager en lov med brede og generelle formuleringer,
hvorved en myndighed får ret til at gribe ind i grundlæggende rettigheder uden
forudgående effektiv kontrol.
c) At loven udtømmende angiver grunde til indgreb. Disse grunde skal være klart
defineret og logisk afgrænset.
d) Ved indgreb skal en person konkret foretage en vurdering af, om indgrebet er
strengt nødvendigt.
Lovforslaget overordnet set
• Elastik i metermål. Der er ingen begrænsninger i hvad Centeret vil kunne.
• Lovteksten er meget bredt og løst formuleret.
• Centeret afgør selv hvem der kan tilsluttes. Ingen kontrol med hvem der kan tilslutte sig, hvorved der
gives adgang til personhenførbare data uden retskendelse!
• Enorme mængder data kan opsamles og anvendes. Der synes altid at være en hjemmel i loven. Det
skyldes, at formålet er ekstremt bredt og da man jo altid kan behandle af hensyn til statens sikkerhed.
(Ingen kontrol).
• Det følger af forarbejderne, at behandling af personlige data er undtagelsen – ses ikke på nogen
måder reflekteret i lovforslaget.
• Medtagelse af bestemmelser fra Persondataloven giver ikke mening, da alle kontrolbestemmelser er
udeladt (ren staffage).
• Som DANSK IT forstår det er hovedformålet at forhindre cyberangreb mod Danmark.
• Lovteksten går meget længere end formålet!
Den centrale definition
• Sikkerhedshændelse: ”En 1hændelse, der 2negativt 3påvirker eller 4vurderes at ville
kunne påvirke atilgængelighed, bintegritet eller cfortrolighed af data,
informationssystemer, digitale netværk eller digitale tjenester.
Hvorfor ikke: ”Cyberangreb (sikkerhedshændelsen) er elektroniske angreb rettet mod
informations- og kommunikationsteknologi (IKT) herunder computere, servere, netværk,
tjenester, som er forbundet direkte eller indirekte til Internettet, med den hensigt at skade
eller ødelægge IKT, tilegne sig kontrol over styringen af IKT eller uretmæssigt at få adgang
til data lagret på IKT, med det formål at underminere tilgængeligheden, integriteten og
tilliden til det ramte eller tilsigtet IKT og/eller at tilegne/forvanske/ødelægge sensitive
data. ”
Anbefalinger
DANSK IT støtter bekæmpelsen af cyberangreb, men finder lovforslaget
retssikkerhedsmæssigt dybt betænkeligt
• Centerets behandling af personlige data bør begrænses til kun at gælde bekæmpelse af
cyberangreb. Og kun når det er strengt nødvendigt.
• Der bør indføres en procedure, hvor chefen for centeret hver gang skal give tilladelse
til behandlingen. Chefen skal give en fyldestgørende redegørelse for, hvorfor det er
strengt nødvendigt. Chefen skal sikre, at kun de absolut mest nødvendige data tilgås.
• Ingen brug i øvrigt af de indsamlede personlige data. Heller ikke af resten af
efterretningstjenesten.
• De nødvendige tekniske og organisatoriske tiltag skal tages.
Anbefalinger
• Der skal være logning og notatpligt ved enhver tilgang til personlige data, så det
efterfølgende kan kontrollers af Tilsynsmyndigheden, om de er enige i chefens
vurdering.
• Antal gange der er anvendt personhenførbare data skal oplyses i den årlige rapport, så
offentligheden kan følge med i udviklingen. Hovedårsager skal angives etc.
• Der bør være en dobbelt vurdering af hvem, der kan tilsluttes netværket og hvad
konsekvensen er af at ophøre med at være tilsluttet.
• Afklaring af forholdet til anden lovgivning inkl. EMRK etc. bør behandles langt mere
indgående og der skal redegøres nøje og detaljeret for de afvejninger, der er foretaget
og ikke som nu kun i hovedoverskrifter.
• Overvej krav om oplysning til de registrerede hos de tilsluttede virksomheder om, at
deres data kan blive delt med Centeret.
Anbefalinger
• Hvis Folketinget tager retssikkerhed og respekt for privatlivet alvorligt.
undgår Folketinget ikke, at skulle forholde sig til EU-Domstolens dom om
logningsdirektivet og inddrage den.
• Indføres der ikke begrænsninger og rutiner etc. der kan efterprøves og
kontrolleres og hvor f.eks. en chef kan holdes ansvarlig, så er det ikke et
spørgsmål om der vil finde misbrug sted. Det er kun et spørgsmål om
hvornår!
• Denne lov bør være baseret på de samme (høje) krav til (rets)sikkerhed,
som politikerne ønsker, at Nets og andre private aktører skal følge. Der er
grundlæggende ikke nogen forskel.
Om DANSK IT
DANSK IT er en non-profit interesseorganisation stiftet i 1958
med det formål at udbrede kendskabet til
informationsteknologien og dens anvendelse, fremme
anvendelsen af informationsteknologien til gavn for både
samfundet og den enkelte bruger og samle it-brugere, it-
professionelle og andre it-interesserede om disse opgaver


Ekspertmøde om lovforslag om
Center for Cybersikkerhed
Jesper Lund
IT-Politisk Forening
8. maj 2014
Forsvarsudvalget 2013-14
L 192 Bilag 2
Offentligt
IT-sikkerhed og borgernes privatliv
• Alle IT-systemer har lokale logfiler
– Nødvendigt af hensyn til IT-sikkerhed
– Indebærer behandling af persondata
• Særlige problemstillinger ved CfCS tjenesten
– Central opsamling fra mange IT-systemer
– Lang opbevaringsperiode for data (§ 17)
– Mulighed for videregivelse af visse data (§ 16)
– Placering af CfCS under FE
2
Hvem skal kunne tilslutte sig CfCS
• Udvidelse af eksisterende GovCERT ordning
– Privat virksomhed med ”samfundsvigtig funktion”
– Mulighed for midlertidig tilslutning (§§ 6-7)
– Vigtig præcisering i lovforslag vedr. ISP’er m.v.
• Borgerne bør vide hvornår CfCS opsamler data
– Offentliggørelse af permanent tilsluttede § 3
– Hemmeligt for midlertidigt tilsluttede §§ 6-7
– Videregivelse af logfiler efter § 7 vil skabe
problemer for virksomheder ift. persondatalov
3
Videregivelse af data fra CfCS § 16
• Videregivelse til bredere kreds § 16, nr. 2
– Kun trafikdata (dog bredere definition end i
logningbekendtgørelse, fx webside-adresse)
– Kun ved mistanke om sikkerhedshændelse
– Dog relativt bred definition af sikkerhedshændelse
– Bør præciseres i loven at kun trafikdata vedr. selve
sikkerhedshændelsen kan videregives
• Videregivelse internt i FE
– Samme regler (afsnit 3.5.3), men ikke klart om det
er hensigtserklæring eller lovkrav?
4
Opbevaringsperiode § 17
• Kraftig udvidelse af opbevaringsperioden
– Pakkedata: fra 14 dage til 13 måneder
– Trafikdata: fra 12 måneder til 13 måneder
– Dog begrænset af § 17, stk. 1
• Behov for udvidelsen af opbevaringsperiode?
– Kan være relevant at checke for indbrud tidligere
– Udvander samtidig generelle regel i § 17, stk. 1
– Nødvendigt med andre metoder for at checke om
systemer er blevet hacket (pga. ”inside job” risiko)
• Risiko for datatyveri via indbrud hos CfCS
5