Svar på L 192 - MFU spm. 10 om kommentar til oplæggene fra Retsudvalget høring 8/5-14, fra forsvarsministeren

_______________________________________________________________________________________________________________________________________________
HOLMENS KANAL 42 TELEFON: 33 92 33 20 MAIL: FMN@FMN.DK CVR: 25-77-56-35
1060 KØBENHAVN K TELEFAX: 33 32 06 55 WEB: www.FMN.DK EAN: 5798000201200
Folketingets Forsvarsudvalg
Christiansborg
FORSVARSMINISTEREN
23. maj 2014
Folketingets Forsvarsudvalg har den 14. maj 2014 stillet følgende spørgsmål 10 vedrørende
L 192 til forsvarsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra
ikkemedlem af udvalget (MFU) Simon Emil Ammitzbøll (LA).
Spørgsmål 10:
”Ministeren bedes kommentere de synspunkter og bekymringer angående:
a) definitionen på sikkerhedshændelser og hvilke beføjelser myndighederne
præcis har til at undersøge sikkerhedshændelser,
b) lovindgrebets proportionalitet og
c) opbevaringstider,
som blev fremført af oplægsholderne under høringen i Retsudvalget den 8. maj 2014 om
lovforslaget, jf. høringsoplæggene omdelt på L 192 – bilag 2.”
Svar:
ad a) Lovforslagets definition af en sikkerhedshændelse er en videreførelse af definitionen i
den gældende GovCERT-lov (lov nr. 596 af 14. juni 2011), der blev enstemmigt vedtaget af
Folketinget.
Definitionen er dog sprogligt præciseret, således at det udtrykkeligt fremgår af bestemmel-
sens ordlyd, at sikkerhedshændelser er hændelser med en negativ påvirkning af tilgænge-
lighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digi-
tale tjenester. Det præciseres endvidere, at begrebet sikkerhedshændelse omfatter hændel-
ser, der vurderes at ville kunne have den beskrevne påvirkning.
Undersøgelser af sikkerhedshændelser foretages af Center for Cybersikkerheds særlige net-
sikkerhedstjeneste. Lovforslagets § 15 regulerer rammerne for netsikkerhedstjenestens ana-
lyser af pakkedata (indholdet af elektronisk kommunikation) på baggrund af indgreb i med-
Forsvarsudvalget 2013-14
L 192 endeligt svar på spørgsmål 10
Offentligt
2
delelseshemmeligheden. Efter bestemmelsen må netsikkerhedstjenestens sikkerhedsanalyti-
kere kun analysere indholdet af kommunikationen, hvis der er en begrundet mistanke om
en sikkerhedshændelse – og da kun i det omfang, det er nødvendigt for afklaring af forhold
vedrørende hændelsen.
Lovforslagets § 15 er, som de øvrige behandlingsregler i lovforslagets kapitel 6 og 7, under-
lagt tilsyn af Tilsynet med Efterretningstjenesterne.
ad b) For så vidt angår proportionaliteten af indgreb i meddelelseshemmeligheden fremgår
det af afsnit 3.2.3 i de almindelige bemærkninger til lovforslaget, at Center for Cybersikker-
heds netsikkerhedstjeneste altid ud fra et proportionalitetshensyn i videst muligt omfang vil
søge at løse opgaverne ved hjælp af data, som ikke vil kræve et indgreb i meddelelses-
hemmeligheden.
I den forbindelse skal det endvidere understreges, at lovforslaget er baseret på den ordning,
der blev indført med GovCERT-loven i 2011. Der henvises i den forbindelse til afsnit 3.7 i de
almindelige bemærkninger til GovCERT-loven (L 197), hvoraf det fremgår, at der i forbindel-
se med udarbejdelsen af GovCERT-loven blev foretaget en vurdering af forholdet til Den
Europæiske Menneskerettighedskonventions artikel 8. Konklusionen var i den forbindelse, at
GovCERT’s behandling af data på baggrund af indgreb i meddelelseshemmeligheden ville
opfylde betingelserne i artikel 8, stk. 2, i Den Europæiske Menneskerettighedskonvention
om, at indgreb i retten til privatliv skal være i overensstemmelse med loven og være nød-
vendigt, sagligt og proportionalt. Der henvises i den forbindelse til det notat, der er vedlagt
besvarelsen af spørgsmål 2.
En tilsvarende vurdering er foretaget i forhold til lovforslaget, der på samme vis som Gov-
CERT-loven vurderes at opfylde betingelserne i artikel 8, stk. 2, i Den Europæiske Menne-
skerettighedskonvention.
ad c) Lovforslaget sikrer, at Center for Cybersikkerhed fortsat er underlagt restriktive opbe-
varings- og sletningsregler, der gælder for alle typer af data.
Da de mest avancerede cyberangreb ofte først opdages et stykke tid efter, at de er påbe-
gyndt, er det af væsentlig betydning for centerets evne til at opdage og imødegå cyber-
angreb, at data kan opbevares i en længere periode end i dag. Det vil give bedre mulighe-
der for at rekonstruere et angreb, når det opdages – og f.eks. finde ud af, hvilke data hack-
erne er sluppet afsted med.
I den forbindelse er det vigtigt at kunne foretage år-til-år-sammenligning af internetaktivite-
ten for at opdage cyberangreb. Ved vurdering af det, der f.eks. umiddelbart vil kunne ligne
3
en afvigelse fra normalbilledet i januar, vil der således kunne foretages en langt mere kvali-
ficeret vurdering, hvis der er mulighed for at sammenligne med aktiviteterne i januar året
før. Derfor foreslås det, at data, der knytter sig til en sikkerhedshændelse, højst kan opbe-
vares i tre år ligesom i dag, og at data, der ikke knytter sig til en sikkerhedshændelse, højst
kan opbevares i 13 måneder. For så vidt angår pakke- og trafikdata, der ikke knytter sig til
en sikkerhedshændelse, er det i dag sådan, at pakkedata højst kan opbevares i 14 dage, og
at trafikdata højst kan opbevares i 12 måneder.
Det skal understreges, at danske myndigheder og virksomheder, der modtager sikkerheds-
varslinger fra netsikkerhedstjenesten, efter omstændighederne vil være underlagt personda-
talovens behandlingsregler, såfremt en sikkerhedsvarsling indeholder personoplysninger.
Det indebærer, at modtagerne skal sikre, at der ikke er mulighed for at identificere fysiske
personer i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil
personoplysningerne behandles.
Som efter gældende ret fastsætter lovforslaget (§ 17) som nævnt maksimale opbevarings-
perioder for data. Center for Cybersikkerheds netsikkerhedstjeneste vil imidlertid efter lov-
forslaget fortsat være forpligtet til at slette data, når formålet med behandlingen er opfyldt,
hvis dette sker før den maksimale opbevaringsperiodes udløb.
Samtidig vil lovforslagets generelle princip om, at indsamlede personoplysninger ikke må
opbevares på en måde, der giver mulighed for at identificere den pågældende person i et
længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne
behandles, også finde anvendelse på personoplysninger, der behandles af netsikkerhedstje-
nesten (§ 14).
De foreslåede opbevaringsperioder repræsenterer således en rimelig balance mellem hensy-
net til beskyttelsen mod cyberangreb og hensynet til retssikkerheden og den personlige fri-
hed.
Med venlig hilsen
Nicolai Wammen