17. april 2019 kl. 08.00Ministersvar
svarer Claus Hjort Frederiksen
Forsvarsudvalget spørger forsvarsministeren, Claus Hjort Frederiksen, om ministeren vil oversende et notat, der beskriver hvilke persondata-, offentligheds- og åbenhedsregler, Center for Cybersikkerhed er underlagt
Altingets robotMinistersvar er robotgenereret indhold, der oprettes automatisk på basis af Folketingets database over de spørgsmål, der stilles af Folketingets medlemmer og besvares af regeringens ministre. Overskrifterne er skrevet af Altinget. Altinget tager forbehold for fejl i indholdet.
L 215, Spørgsmål 4
Ministeren bedes fremsende et notat, der beskriver hvilke persondata-, offentligheds- og åbenhedsregler, Center for Cybersikkerhed er underlagt.
Svar fra onsdag den 17. april 2019
”Ministeren bedes fremsende et notat, der beskriver hvilke persondata, offentligheds- og åbenhedsregler, Center for Cybersikkerhed er underlagt.” Svar:
Center for Cybersikkerhed har til opgave at opdage og imødegå alvorlige cyberangreb, og centerets netsikkerhedstjeneste foretager på den baggrund bl.a. monitorering af netværkstrafik hos tilsluttede myndigheder og virksomheder.
Center for Cybersikkerhed er placeret ved Forsvarets Efterretningstjeneste, bl.a. ud fra et hensyn til at sikre centeret adgang til efterretningsmæssige oplysninger, som er afgørende for at kunne levere den bedste beskyttelse mod avancerede cyberangreb. Samtidig har centeret dog en åben og udadvendt profil, idet en stor del af centerets forebyggende indsats kun kan ske i samarbejde og dialog med de relevante myndigheder og virksomheder.
Allerede i den gældende lov om Center for Cybersikkerhed, der trådte i kraft i 2014, blev der lagt stor vægt på, at de centrale principper i den daværende persondatalov så vidt muligt skulle gælde for Center for Cybersikkerhed. Vurderingen var dog også, at de særlige forhold, som gjorde sig gældende for centerets aktiviteter, tilsagde, at centeret ikke fuldt ud kunne være omfattet af den almindelige persondataretlige lovgivning.
Baggrunden for denne vurdering var bl.a., at Center for Cybersikkerheds behandling af oplysninger i forbindelse med monitoreringen sker som led i en automatiseret proces. Monitoreringen er ikke rettet mod enkeltpersoner, men har til formål at fremfinde tekniske oplysninger i form af angrebsværktøjer eller resultaterne af cyberangreb – med henblik på at undersøge, forebygge og stoppe sådanne angreb. Center for Cybersikkerhed har altså ikke til formål at behandle personoplysninger, Dato:
Enhed:
Sagsnr.:
Dok.nr.:
Bilag:
17. april 2019 JSN 2019/002204 896978 Ingen FORSVARSMINISTEREN Holmens Kanal 9 1060 København K Tlf.: 728 10000 Fax: 728 10300 E-mail: [email protected] www.fmn.dk EAN: 5798000201200 CVR: 25 77 56 35 og personoplysninger vil som den altovervejende hovedregel være uden interesse for centeret. Som led i indsamlingen af tekniske oplysvære indeholdt i de data, som indsamles med henblik på at lokalisere de relevante tekniske oplysninger om sikkerhedshændelser. Center for Cybersikkerhed foretager imidlertid ikke en egentlig registrering af disse personoplysninger, ligesom der ikke opereres med sager om enkeltpersoner.
Center for Cybersikkerheds virksomhed er derfor i medfør af § 8, stk.
1, i den gældende lov undtaget fra databeskyttelsesloven og databeskyttelsesforordningen og fra lov om retshåndhævende myndigheders behandling af personoplysninger. Det er den ordning, som følger af den gældende lov, som Folketinget vedtog i 2014, og ordningen blev videreført, da lov om Center for Cybersikkerhed blev ændret i 2018. Ordningen foreslås ligeledes videreført uændret med L 215.
Som nævnt gælder en række centrale principper i den tidligere persondatalov dog for behandling af personoplysninger i Center for Cybersikkerhed. Lov om Center for Cybersikkerhed indeholder således en detaljeret regulering af centerets behandling af personoplysninger, og loven udgør dermed i sig selv Center for Cybersikkerheds databeskyttelsesregler.
Hovedelementerne er, at Center for Cybersikkerheds indsamling af personoplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Personoplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles. Dette fremgår af kapitel 6 i loven.
Som følge af Center for Cybersikkerheds særlige adgang til at behandle data, herunder personoplysninger, på baggrund af indgreb i meddelelseshemmeligheden, gælder der desuden en række særlige krav til analyse, videregivelse og sletning af disse data. Der er tale om krav, som er mere restriktive end de krav, der gælder efter den almindelige databeskyttelsesregulering. Disse krav fremgår af kapitel 7 og 8 i lov om Center for Cybersikkerhed.
Det følger endvidere af § 8, stk. 1, i den gældende lov om Center for Cybersikkerhed, at Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven, bortset fra lovens § 13. Offentlighedslovens §
13 indeholder en notatpligt for myndigheder i afgørelsessager. Det følSagsnr.: 2019/002204 Dok.nr.: 896978 ger herudover af § 8, stk. 1, at Center for Cybersikkerheds virksomhed er undtaget fra forvaltningslovens kapitel 4-6. Forvaltningslovens kapitel 4-6 indeholder bestemmelser om parters ret til aktindsigt, partshøring og begrundelse.
Af bemærkningerne til forslaget til den gældende lov fremgår det imidlertid, at Center for Cybersikkerhed forudsættes i videst muligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således, at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens bestemmelser på området – i relevant omfang vurderer, om det i afgørelsessager konkret er muligt at anvende forvaltningslovens principper om partens aktindsigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedsloven.
Det bemærkes endvidere, at Tilsynet med Efterretningstjenesterne varetager opgaven med at føre tilsyn med Center for Cybersikkerheds overholdelse af regler om behandling af personoplysninger. Der henvises herved til den samtidige besvarelse af spørgsmål nr. 5 vedrørende L 215.
Center for Cybersikkerhed har til opgave at opdage og imødegå alvorlige cyberangreb, og centerets netsikkerhedstjeneste foretager på den baggrund bl.a. monitorering af netværkstrafik hos tilsluttede myndigheder og virksomheder.
Center for Cybersikkerhed er placeret ved Forsvarets Efterretningstjeneste, bl.a. ud fra et hensyn til at sikre centeret adgang til efterretningsmæssige oplysninger, som er afgørende for at kunne levere den bedste beskyttelse mod avancerede cyberangreb. Samtidig har centeret dog en åben og udadvendt profil, idet en stor del af centerets forebyggende indsats kun kan ske i samarbejde og dialog med de relevante myndigheder og virksomheder.
Allerede i den gældende lov om Center for Cybersikkerhed, der trådte i kraft i 2014, blev der lagt stor vægt på, at de centrale principper i den daværende persondatalov så vidt muligt skulle gælde for Center for Cybersikkerhed. Vurderingen var dog også, at de særlige forhold, som gjorde sig gældende for centerets aktiviteter, tilsagde, at centeret ikke fuldt ud kunne være omfattet af den almindelige persondataretlige lovgivning.
Baggrunden for denne vurdering var bl.a., at Center for Cybersikkerheds behandling af oplysninger i forbindelse med monitoreringen sker som led i en automatiseret proces. Monitoreringen er ikke rettet mod enkeltpersoner, men har til formål at fremfinde tekniske oplysninger i form af angrebsværktøjer eller resultaterne af cyberangreb – med henblik på at undersøge, forebygge og stoppe sådanne angreb. Center for Cybersikkerhed har altså ikke til formål at behandle personoplysninger, Dato:
Enhed:
Sagsnr.:
Dok.nr.:
Bilag:
17. april 2019 JSN 2019/002204 896978 Ingen FORSVARSMINISTEREN Holmens Kanal 9 1060 København K Tlf.: 728 10000 Fax: 728 10300 E-mail: [email protected] www.fmn.dk EAN: 5798000201200 CVR: 25 77 56 35 og personoplysninger vil som den altovervejende hovedregel være uden interesse for centeret. Som led i indsamlingen af tekniske oplysvære indeholdt i de data, som indsamles med henblik på at lokalisere de relevante tekniske oplysninger om sikkerhedshændelser. Center for Cybersikkerhed foretager imidlertid ikke en egentlig registrering af disse personoplysninger, ligesom der ikke opereres med sager om enkeltpersoner.
Center for Cybersikkerheds virksomhed er derfor i medfør af § 8, stk.
1, i den gældende lov undtaget fra databeskyttelsesloven og databeskyttelsesforordningen og fra lov om retshåndhævende myndigheders behandling af personoplysninger. Det er den ordning, som følger af den gældende lov, som Folketinget vedtog i 2014, og ordningen blev videreført, da lov om Center for Cybersikkerhed blev ændret i 2018. Ordningen foreslås ligeledes videreført uændret med L 215.
Som nævnt gælder en række centrale principper i den tidligere persondatalov dog for behandling af personoplysninger i Center for Cybersikkerhed. Lov om Center for Cybersikkerhed indeholder således en detaljeret regulering af centerets behandling af personoplysninger, og loven udgør dermed i sig selv Center for Cybersikkerheds databeskyttelsesregler.
Hovedelementerne er, at Center for Cybersikkerheds indsamling af personoplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Personoplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles. Dette fremgår af kapitel 6 i loven.
Som følge af Center for Cybersikkerheds særlige adgang til at behandle data, herunder personoplysninger, på baggrund af indgreb i meddelelseshemmeligheden, gælder der desuden en række særlige krav til analyse, videregivelse og sletning af disse data. Der er tale om krav, som er mere restriktive end de krav, der gælder efter den almindelige databeskyttelsesregulering. Disse krav fremgår af kapitel 7 og 8 i lov om Center for Cybersikkerhed.
Det følger endvidere af § 8, stk. 1, i den gældende lov om Center for Cybersikkerhed, at Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven, bortset fra lovens § 13. Offentlighedslovens §
13 indeholder en notatpligt for myndigheder i afgørelsessager. Det følSagsnr.: 2019/002204 Dok.nr.: 896978 ger herudover af § 8, stk. 1, at Center for Cybersikkerheds virksomhed er undtaget fra forvaltningslovens kapitel 4-6. Forvaltningslovens kapitel 4-6 indeholder bestemmelser om parters ret til aktindsigt, partshøring og begrundelse.
Af bemærkningerne til forslaget til den gældende lov fremgår det imidlertid, at Center for Cybersikkerhed forudsættes i videst muligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapitel 4-6. Det forudsættes således, at centeret – uanset at dets virksomhed er undtaget fra forvaltningslovens bestemmelser på området – i relevant omfang vurderer, om det i afgørelsessager konkret er muligt at anvende forvaltningslovens principper om partens aktindsigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedsloven.
Det bemærkes endvidere, at Tilsynet med Efterretningstjenesterne varetager opgaven med at føre tilsyn med Center for Cybersikkerheds overholdelse af regler om behandling af personoplysninger. Der henvises herved til den samtidige besvarelse af spørgsmål nr. 5 vedrørende L 215.
Idræt
