Svar på L 192 - spm. 8 om ministerens kommentar til de synspunkter om tilsynet og om tilsynet er stærkt nok, som blev fremført af oplægsholderne under høringen i Retsudvalget 8/5-14, fra forsvarsministeren

_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 42 TELEFON: 33 92 33 20 MAIL: FMN@FMN.DK CVR: 25-77-56-35
1060 KØBENHAVN K TELEFAX: 33 32 06 55 WEB: www.FMN.DK EAN: 5798000201200
Folketingets Forsvarsudvalg
Christiansborg
FORSVARSMINISTEREN
23. maj 2014
Folketingets Forsvarsudvalg har den 14. maj 2014 stillet følgende spørgsmål 8 vedrørende L
192 til forsvarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Tro-
els Lund Poulsen (V).
Spørgsmål 8:
”Ministeren bedes kommentere de synspunkter om tilsynet og om tilsynet er stærkt nok,
som blev fremført af oplægsholderne under høringen i Retsudvalget den 8. maj 2014 om
lovforslaget, jf. oplæggene fra Rådet for Digital Sikkerhed, C-cure, IT-Politisk Forening og
Dansk IT, omdelt på L 192 – bilag 2.”
Svar:
Som led i etableringen af et nyt retsgrundlag for Forsvarets Efterretningstjeneste og Politiets
Efterretningstjeneste er der fra 1. januar 2014 oprettet et uafhængigt tilsyn med de to ef-
terretningstjenester. Tilsynet med Efterretningstjenesterne består af fem medlemmer med
en landsdommer som formand, og tilsynet har sit eget sekretariat. Både for så vidt angår
ressourcer, uafhængighed og beføjelser er der med det nye tilsyn sket en markant styrkelse
af kontrollen med efterretningstjenesternes behandling af personoplysninger.
Da der er sammenfald mellem de tilsynsopgaver, som Tilsynet med Efterretningstjenesterne
udfører i forhold til Forsvarets Efterretningstjeneste, og de tilsynsopgaver, som skal udføres
i forhold til Center for Cybersikkerhed, foreslås det, at Tilsynet med Efterretningstjenesterne
ligeledes skal føre tilsyn med Center for Cybersikkerheds behandling af personoplysninger.
Sammenlignet med det nuværende GovCERT-tilsyn vil der på flere områder være tale om en
styrkelse af tilsynsfunktionen. Det nye tilsyns kompetence foreslås bl.a. udvidet, således at
al behandling af personoplysninger i Center for Cybersikkerhed bliver omfattet af Tilsynet
Forsvarsudvalget 2013-14
L 192 endeligt svar på spørgsmål 8
Offentligt
2
med Efterretningstjenesternes kompetence – og dermed ikke kun den del, der vedrører net-
sikkerhedstjenesten.
Tilsynets virksomhed er i øvrigt nærmere beskrevet i afsnit 3.6.3 i de almindelige bemærk-
ninger. Endvidere er i bemærkningerne til § 24 om tilsynets årlige redegørelse om dets til-
synsvirksomhed bl.a. anført følgende:
”Redegørelserne skal indeholde statistiske oplysninger om Center for Cybersikkerheds be-
handling af personoplysninger, herunder oplysninger om antallet af modtagne klagesager i
såvel centeret som tilsynet, oplysninger om antallet af aktindsigtssager og afgørelsen af dis-
se samt oplysninger om antallet af sager med relation til sikkerhedshændelser, der er be-
handlet i centeret. Tilsynet vil også skulle medtage oplysninger om, i hvor mange tilfælde
tilsynet har fundet, at Center for Cybersikkerheds behandling af personoplysninger ikke har
været i overensstemmelse med reglerne.
Redegørelserne skal ligeledes indeholde en fuldt ud anonymiseret beskrivelse af en eller
flere konkrete cyberangreb samt en statistik over antallet af tilfælde, hvor en analytiker fra
Center for Cybersikkerhed på baggrund af indgreb i meddelelseshemmeligheden har foreta-
get en analyse af data. Denne statistik vil desuden indeholde en overordnet kategorisering
af, hvor alvorlige disse tilfælde har været.”
Redegørelserne vil blive offentliggjort på Center for Cybersikkerheds hjemmeside,
www.cfcs.dk.
Det er i øvrigt aftalt med tilsynet, at tilsynet for at styrke dets kompetence på det it-faglige
område tilføres 600.000 kr. årligt til ansættelse af en it-specialist. Jeg er endvidere indstillet
på at drøfte med tilsynet, om der er behov for at tilføre tilsynet yderligere ressourcer.
Om den situation, hvor Center for Cybersikkerhed undtagelsesvis ikke følger en henstilling i
en udtalelse fra tilsynet, henvises til besvarelsen af spørgsmål nr. 1.
På den anførte baggrund kan der efter min opfattelse ikke herske tvivl om, at tilsynet vil
kunne føre tilsyn med Center for Cybersikkerhed på en fuldt betryggende og effektiv måde.
I oplægget fra C-cure anføres, at videregivelse af data bør forudsætte tilsynets forudgående
accept eller samtykke.
Hertil kan det bemærkes, at det er et grundlæggende og principielt element i tilsynsordnin-
gen ikke at give tilsynet kompetence til at forbyde Center for Cybersikkerhed at foretage
nærmere bestemte former for behandling af oplysninger som f.eks. videregivelse af data.
3
Hermed fastholdes også over for Folketinget, at det er forsvarsministeren, der har det fulde
og endelige ansvar for Center for Cybersikkerheds virksomhed.
I oplægget fra Dansk-IT anføres, at der ”skal være logning og notatpligt ved enhver tilgang
til personlige data, så det efterfølgende kan kontrolleres af Tilsynsmyndigheden, om de er
enige i chefens vurdering.”
Hertil kan bemærkes, at såfremt en analytiker i Center for Cybersikkerhed udfører en analy-
se af data, logges analysen, og Tilsynet med Efterretningstjenesterne vil dermed kunne kon-
trollere, at betingelserne for analysen i det enkelte tilfælde har været opfyldt, jf. også be-
svarelsen af spørgsmål 3 d.
Med venlig hilsen
Nicolai Wammen