Kommenteret høringsoversigt vedrørende udkast til lov om behandling afpersonoplysninger ved driften af den statslige varslingstjeneste for internet-trusler m.v.Videnskabsministeriet har i perioden 11. februar 4. marts 2011 gennemført enhøring over udkast til lovforslag om behandling af personoplysninger ved driftenaf den statslige varslingstjeneste for internettrusler (GovCERT).Resultatet af høringenVidenskabsministeriet har i alt modtaget 18 eksterne høringssvar (Banedanmark,Dansk Energi, Danske Regioner, Dansk IT, Datatilsynet, DI ITEK, DK CERT,Domstolsstyrelsen, Erhvervs- og Byggestyrelsen, Finansrådet, Forbrugerrådet,IT-Politisk Forening, Kort og Matrikelstyrelsen, Politiets Efterretningstjeneste,PROSA, Rigsrevisionen, Telia og Tor Bloch (tidligere videnskabelig direktør iUNI-C)). 12 af høringssvarene indeholder substansbemærkninger til lovforslaget.Der redegøres i dette høringsnotat for de væsentligste bemærkninger til lovfors-laget.Høringssvarene har givet anledning til visse tilføjelser, præciseringer og uddyb-ninger af lovforslaget.1. Generelle bemærkningerFinansrådet bifalder beslutningen om at etablere en statslig CERT i Danmark ogstøtter lovforslaget. Rådet er endvidere enig i, at behandling af personoplysningerer påkrævet, for at GovCERT s formål kan opfyldes. Råbet bemærker desuden, atGovCERT allerede nu bør være opmærksom på de fremtidige trusler mod denoffentlige infrastruktur, herunder angreb med avanceret kriminelt software, somf.eks. trojanere.DI ITEK bakker lovforslaget op og bemærker, at etableringen af GovCERT eret vigtigt skridt i retning af at forbedre Danmarks informationssikkerhed. DIITEK er enig i, at der er et stort behov for at sikre beskyttelsen af primærtstatslige institutioner og derudover regioner, kommuner og sektorer beskæftigetmed kritisk infrastruktur. Det er vigtigt, at Danmark får en myndighed, som kanindgå i det internationale samarbejde for at bekæmpe it-kriminalitet.DI ITEK finder det dog principielt betænkeligt, at GovCERT får adgang tilpakke- og trafikdata, idet dette kan skabe utryghed for danske borgere. Jo flere

som har adgang til denne type data, desto større utryghed for borgerne. Denneutryghed forværres af, at lovforslaget undtager mange af de bestemmelser, somnormalt bidrager til borgernes retssikkerhed, herunder grundlovens § 72, denEuropæiske Menneskerettighedskonventions artikel 8 og persondataloven. DIITEK bemærker hertil, at borgere kan kryptere deres meddelelser, hvis der ønskessærlig sikkerhed, og at lovforslaget lægger op til en god beskyttelse ved en rækketiltag, herunder begrænsning af adgangen til data, sletning af data hurtigst muligt,et selvstændigt tilsyn, et præcist og afgrænset formål mv.DI ITEK bemærker, at der kan være behov for modernisering af loven, f.eks.vil kommunikationen mellem to betroede parter kunne undtages IDS-overvågningen. DI ITEK anbefaler derfor, at loven suppleres med en evalue-ringsforpligtelse, hvor det f.eks. hvert andet år vurderes, hvorvidt GovCERT kanforetage en mindre indgribende teknisk analyse end den nuværende IDS-analyseaf al kommunikation.

IT- og Telestyrelsen

Dansk IT erkender fuldt ud behovet for, at GovCERT i visse tilfældeundtagelsesvist kan behandle personlige og personfølsomme oplysninger.Banedanmark ser frem til, at GovCERT kan tilbyde de ydelser, som der læggesop til. Banedanmark har herudover ikke bemærkninger til lovforslaget.Telia støtter lovforslagets sigte. Telia finder det tilfredsstillende, at tilslutning tilGovCERT er frivillig og baserer sig på et påregneligt grundlag.Danske Regioner støtter hensigten med GovCERT og bakker op om, at Gov-CERT s behandling af personoplysninger reguleres ved lov. Region Hovedstadenog Region Nordjylland har i Danske Regioners høringssvar afgivet særskilte be-mærkninger jf. nedenfor.Region Nordjylland er enig i, at landets kritiske tekniske infrastruktur skal sikres.Regionen forholder sig dog kritisk til lovforslaget. Regionen bemærker bl.a., atdet er problematisk, at IDS-sensoren lagrer data, uden at regionen er vidende omdet, hvis regionen tilslutter sig GovCERT. Derudover har regionen en række spe-cifikke bemærkninger jf. nedenfor.IT-Politisk Forening påskønner, at GovCERT har været meget åbne omkring bådetjenestens funktion og lovforslaget.PROSA støtter oprettelsen af GovCERT og ser dens etablering som et meget po-sitivt bidrag til at øge sikkerheden over for it-kriminelle. PROSA finder det dogbekymrende, at lovforslaget giver GovCERT en bred adgang til at behandle ogvideregive personoplysninger.Datatilsynet bemærker, at det må bero på en politisk vurdering, hvorvidt den øn-skede lovhjemmel til GovCERT s omfattende overvågning af internettrafik til ogfra offentlige myndigheder skal tilvejebringes. Datatilsynet understreger vigtig-heden af at anvende privatlivsfremmende teknologier ved GovCERT s behand-ling af data.

Datatilsynet anfører, at afsnittet om persondataloven under afsnittet om gældenderet i lovforslaget bør gøres mere overordnet.Videnskabsministeriet (VTU) har med tilfredshed noteret sig de mange positivegenerelle bemærkninger til lovforslaget. VTU bemærker til DI ITEK og Datatil-synet, at GovCERT løbende vil vurdere, om det er hensigtsmæssigt at overgå tilanden og mindre privatlivsindgribende teknisk behandling af internetkommunika-tionen, og i øvrigt vurdere om ny og relevant teknologi bør implementeres for atforbedre GovCERT s virke.VTU er opmærksom på lovforslaget snitflader til anden lovgivning. GovCERT vilsåledes ved enhver behandling af persondata vurdere, hvorvidt behandlingen errelevant i forhold til GovCERT s formål og virke og proportional i forhold tilindgrebet i privatlivets fred. De tilsluttede myndigheder/virksomheder vil bliveinformeret om alle bekræftede sikkerhedshændelser, som IDS-sensoren har regi-steret.GovCERT vil løbende kunne se trafikdata fra de tilsluttede myndigheder, hvor-imod pakkedata kun vil blive sendt til GovCERT, hvis der er mistanke om en sik-kerhedshændelse. GovCERT må under alle omstændigheder kun behandle data,hvis det er nødvendigt som følge af en begrundet mistanke om en sikkerhedshæn-delse. Data vil endvidere skulle slettes løbende af GovCERT, når data ikke læn-gere er relevant for GovCERT s virke. Dette skulle sikre, at der ikke sker usagligbehandling af (person)data i GovCERT.VTU har justeret afsnittet om persondataloven under gældende ret i overens-stemmelse med Datatilsynets bemærkninger.2. Formål og afgrænsning af loven (§§ 1 og 2)Telia bemærker, at private virksomheders beslutning om tilslutning, somminimum vil forudsætte, at tilslutningsvilkår er gennemsigtige og prissætningrimelig. Telia opfordrer derfor IT- og Telestyrelsen til at arbejde aktivt for at dissevilkår og priser fastsættes på en sådan måde, at kritiskeinfrastrukturvirksomheder har klare incitamenter for tilslutning.Videnskabsministeriet vil ved særskilt regulering fastsætte de præcise vilkår ogpriser for tilslutning til GovCERT.3. Definitioner (§ 3)Region Nordjylland finder, at begrebet kritisk infrastruktur bør reserveres tilden tekniske infrastruktur. Regionen ønsker desuden en præcisering afdefinitionen af en sikkerhedshændelse.IT-Politisk Forening bemærker, at definitionerne af pakke- og trafikdata ikke ertilstrækkeligt præcise. Det bør præciseres i lovforslaget, at en e-mailadresse,hjemmesideadresser og lignende er pakkedata, hvilket er vigtigt, fordi trafikdatakan udleveres til udlandet jf. § 5 i lovforslaget.Kort- og Matrikelstyrelsen (KMS) bemærker, at der kan udveksles ip-adresser ogspørger, om en ip-adresse ikke regnes for en personoplysning. KMS spørger

videre, om en privat ip-adresse vil kunne lukkes af GovCERT, og hvordan derinformeres om en sådan lukning, hvis der er hjemmel hertil.Videnskabsministeriet (VTU) finder, at kritisk infrastrukter er det rette begrebat anvende i relation til GovCERT s virke. VTU har på baggrund afbemærkningerne til begrebet sikkerhedshændelse indskrevet tre eksempler påsikkerhedshændelser i lovbemærkningerne til § 3 (tidligere § 2). En ip-adresse erat betragte som en personoplysning og bliver behandlet som sådan af GovCERT.VTU vurderer, at begrebet sikkerhedshændelse ikke kan indsnævres yderligerehenset til den hastige teknologiske udvikling. Det er VTU s vurdering, at en e-mailadresse, hjemmesideadresse og lignende er at betragte som trafikdata. VTUhar indskrevet dette i bemærkningerne til bestemmelsen i lovforslaget.GovCERT kan ikke lukke en privat ip-adresse. I tilfælde af ensikkerhedshændelse, der formodes at komme fra en privat ip-adresse, kanGovCERT rette henvendelse til den internetudbyder, der ejer ip-adressen, oganmode internetudbyderen om at stoppe sikkerhedshændelsen. Det erinternetudbyderens eget valg, hvorvidt man vil efterkomme anmodningen.4. Opbevaring og behandling af data (§ 4)Dansk IT anfører, at GovCERT s behandling af data skal ske efter en model, hvordet til alle tider kan dokumenteres, hvem der har haft adgang til hvilke data.Logdata må endvidere ikke kunne ændres, uanset rang. Det skal derudover sikres,at adgangen til disse oplysninger kun er mulig for relevante personer.Telia spørger til det forhold, at den maksimale frist for opbevaring af pakke- ogtrafikdata er sat til tre år, mens fristen i logningsbekendtgørelsen er ét år. Teliaopfordrer til, at både mængden af data og den maksimale opbevaringsperiodegenovervejes.Region Hovedstaden bemærker, at registrering bør defineres, idet begrebetellers vil give anledning til fortolkning.Tor Bloch, (tidligere direktør for UNI-C) bemærker, at GovCERT bør holdedetailleret regnskab med brugen af adgangen til at analysere pakkedata. Enflerårig trendanalyse kunne i den forbindelse være nyttig.IT-Politisk Forening bemærker, at GovCERT ikke bør være bemyndiget til atopsamle eller tilgå data, hvis hverken afsender eller modtager frivilligt ogeksplicit har tilsluttet sig GovCERT. Foreningen bemærker, at det er vigtigt, atdanske internetbrugere ikke kan blive overvåget af en statslig varslingstjeneste,selvom internetudbydere skulle tilslutte sig varslingstjenesten.Region Nordjylland bemærker, at grundlaget for, hvornår GovCERT kan gemmedata ikke er tilstrækkeligt præcist, idet en varslingtjeneste er baseret på, at deraltid vil være en begrundet mistanke om en forventet sikkerhedshændelse.Regionen efterspørger en begrundelse for muligheden for at gemme pakkedata ilængere tid end 14 dage.

Region Nordjylland bemærker, at IDS-sensoren ofte ikke vil være anvendelig forGovCERT s brugere. Regionen bemærker videre, at det er problematisk, atGovCERT på et tidspunkt vil kunne tilgå selv krypteret information. Desudenbemærkes, at GovCERT bør koncentrere sig om indgående trafikdata.Region Nordjylland anfører endvidere, at adgangen til personoplysninger børdifferentieres og være baseret på en risikovurdering.Kort- og Matrikelstyrelsen (KMS) bemærker i relation til § 3, at det næppe ermuligt at skelne mellem hjemmearbejdspladser og de pc-arbejdspladser, derbefinder sig i ministeriets lokaliteter. KMS spørger til forholdet til denEuropæiske Menneskerettighedskonvention, hvor det forudsættes, at den ansatteskal give samtykke til GovCERT s behandling af data. Der spørges til, hvordandet hænger det sammen med, at der kun vil blive registreret trafikdata jf. § 3?Datatilsynet finder det ikke klart, hvorfor det er nødvendigt at opbevarepakkedata i op til 14 dage, hvis der ikke er tegn på en sikkerhedshændelse oganbefaler, at dette præciseres i bemærkningerne til lovforslaget. Det børendvidere præciseres, hvorfor perioden på 14 dage er valgt, når det samtidigfremgår, at udgangspunktet er, at data kun vil blive opbevaret i seks dage.PROSA bemærker, at personoplysninger bør slettes eller anonymiseres/krypteresnår oplysningerne overføres til nærmere analyse på govCERT s klassificeredenet. PROSA anbefaler desuden, at der indføres en anmeldelsesordning, således, atden enkelte medarbejder og GovCERT forpligtes til at anmelde alle tilfælde, hvorder har været tilgang (bortset fra ip-adresser) til personoplysninger tilDatatilsynet.Videnskabsministeriet (VTU) bemærker, at GovCERT løbende vil registrere,hvornår og af hvem data behandles. Logdata opbevares på en særlig logdata-server, som kun kan tilgås af chefen for GovCERT og de to systemadmin-istratorer. Der er ikke rettigheder til at ændre i disse logdata, og det er ikketilladt at tildele sig selv disse rettigheder. Teoretisk set vil en systemadministratorkunne tildele sig selv disse rettigheder, men GovCERT har to systemadmini-stratorer, hvorfor den anden administrator vil kunne opdage dette og alarmereherom. Af hensyn til intern videndeling og GovCERT s virke vil relevantpersonale i GovCERT kunne tilgå oplysninger om bekræftede sikkerheds-hændelser og trafikdata inden for de i § 4 (tidligere § 3) beskrevne tidsfrister.VTU har valgt en maksimal opbevaringsperiode på tre år på baggrund af, at enteknologisk relevant generation typisk har denne længde, hvilket er nærmerebeskrevet i lovforslaget. Flerårig viden om tidligere it-angrebs tekniskeindretning, vurderes endvidere som værende nødvendig for GovCERT evne til atimødegå kommende it-angreb. I forhold til opbevaringsfristen på et år ilogningsbekendtgørelsen bemærker VTU, at opbevaringsfristen i lovforslagetrelaterer sig til data knyttet til en bekræftet sikkerhedshændelse i modsætning tillogningsbekendtgørelsen, som omhandler bagudrettet logning af hensyn tilmuligheden for efterforskning af et kriminelt forhold som endnu ikke er kendt. Etårs fristen i logningsbekendtgørelsen vil skulle holdes op imod 14 dages fristen ilovforslagets § 4, stk. 2, nr. 2 (tidligere § 3, stk. 2, nr. 2).

IT- og Telestyrelsen

GovCERT vil som udgangspunkt slette pakkedata efter seks dage, hvis data ikkeer knyttet til en sikkerhedshændelse, men i visse tilfælde kan yderligereundersøgelser være påkrævet for at afgøre, om der er tale om ensikkerhedshændelse. GovCERT vil i disse tilfælde kunne benytte sig af denmaksimale frist på 14 dage. VTU vil præcisere dette nærmere i bemærkningernetil lovforslaget. GovCERT vil ikke behandle data i tilfælde, hvor hverken afsendereller modtager af kommunikationen har tilsluttet sig GovCERT. GovCERT vilikke afkryptere krypteret pakkedata, medmindre det er påkrævet i forbindelse mednærmere analyse af skadelig software som eksempelvis en virus.VTU vurderer, at GovCERT IDS har stor værdi for de tilsluttede myndighe-der/virksomheder. Både ind- og udgående internetkommunikation er relevant forGovCERT s virke, hvorfor GovCERT ikke vil prioritere i denne information.GovCERT registrerer og behandler både trafik- og pakkedata jf. ordlyden af § 4(tidligere § 3).

IT- og Telestyrelsen

VTU har justeret afsnittet om hjemmearbejdspladser i bemærkningerne til § 4(tidligere § 3), således at det tydeligt fremgår, at når en hjemmearbejdspladsen erkoblet op til myndighedens eller virksomhedens it-systemer vil der ske sammebehandling af pakke- og trafikdata, som hvis medarbejderen befinder sig på sitarbejdssted.GovCERT s klassificerede net er fysisk sikret på en sådan måde, at data ikke kansendes ud af nettet. Data vil således ikke kunne sendes ud af GovCERT, efter atdata er sendt til det klassificerede net. Denne ekstra sikkerhedsforanstaltiningsikrer mod, at persondata kommer i hænderne på it-kriminelle. Det skalendvidere bemærkes, at adgangen til pakkedata er yderligere begrænset af, atkun den del af de indsamlede pakkedata, som er relevant for den pågældendeanalyse af sikkerhedshændelsen, vil kunne analyseres.GovCERT vil orientere Datatilsynet, hvis der skulle forekomme en situation, hvoruvedkommende får adgang til pakkedata indeholdende personoplysninger fraGovCERT s net. Dette gælder ikke den med lovforslaget hjemlede adgang tilpakkedata for GovCERT s medarbejdere ved mistanke om sikkerhedshændelser.5. Videregivelse af data (§ 6)Kort og Matrikelstyrelsen (KMS) spørger, hvordan de tilsluttede ministerier ogpolitiet skal forholde sig til data knyttet til en sikkerhedshændelse, somvideregives til myndigheden fra GovCERT?Datatilsynet bemærker, at lovforslaget ikke ses at forholde sig tilpersondatalovens § 27 om overførsel af oplysninger til tredjelande, og detanbefales, at bestemmelsen tydeliggøres i lovforslaget. Det fremgår endvidereikke at lovforslagets § 5, om bestemmelsen også omfatter udenlandskepolitimyndigheder. § 27 bør også iagttages i forhold til videregivelse af data tillande uden for EU. Datatilsynet henleder opmærksomheden på § 27, stk. 3, nr. 4,som giver adgang til at overføre oplysninger til tredjelande for at beskytte envigtig samfundsmæssig interesse.

PROSA bemærker, at det er uklart, hvordan varslingstjenestens aktiviteter somnævnt i § 5 afgrænses. PROSA foreslår, at det til § 5 indskærpes, at GovCERTkun må behandle pakkedata, hvis der er begrundet mistanke om en kriminalhandling, og at GovCERT kun må udlevere data mod retskendelse.Videnskabsministeriet (VTU) bemærker, at GovCERT kun i visse tilfælde af enbekræftet sikkerhedshændelse vil videregive information indeholdendepersondata til den tilsluttede myndighed. Myndigheden vil i givet fald skulle væreopmærksom på øvrig gældende lovgivning, herunder persondataloven. Iforbindelse med tilslutning til GovCERT vil dette forhold og øvrige forhold afrelevans for tilslutningen blive drøftet og/eller beskrevet i aftalegrundlaget medden tilsluttede myndighed/virksomhed.VTU finder det relevant at nævne persondatalovens § 27 i lovforslaget og harsåledes indføjet et afsnit om bestemmelsen i bemærkningerne til lovforslaget.VTU finder, at § 6 (tidligere § 5) har den rette balance mellem hensynet tilprivatlivets fred og hensynet til formålet med GovCERT, herunder godesamarbejdsrelationer med danske og internationale samarbejdspartnere. VTUfinder således ikke grundlag for at justere bestemmelsen.6. Tilsyn med GovCERT (§ 7)Dansk IT bemærker, at tilsynet bør være repræsenteret med stærke tekniskekompetencer for at sikre et fyldestgørende tilsyn.Telia støtter lovforslagets forslag om etablering af et uafhængigt tilsyn. Teliafinder dog, at det ikke bør være videnskabsministeren men derimod tilsynet selv,som fastsætter rammerne for tilsynet, ligesom tilsynet selv må kunne afgørehyppigheden af en afrapportering til ministeren. Det bør derudover være op tiltilsynet selv at vurdere om afrapporteringen alene skal ske tilvidenskabsministeren eller til en bredere kreds.Region Nordjylland finder, at tilsynet er uden beføjelser og dermed ikke kanbetragtes som uafhængigt.Tor Bloch bemærker, at der bør sikres en lovmæssig og rimelig grad af fornyelseaf tilsynets medlemmer, f.eks. ved krav om fornyelse af 1-2 medlemmer for hverny 4-årig periode og fornyelse af formandskabet efter 2-3 perioder.Årsberetningen om GovCERT skal være et krav og ikke blot en mulighed.Kort- og Matrikelstyrelsen foreslår, at tilsynet kan foretages af Wambergudvalget.Datatilsynet bemærker, at det er uhensigtsmæssigt, at GovCERT er underlagttilsyn fra to forskellige tilsynsorganer, som begge har en dommer som formandfor tilsynet. Det fremgår uklart af lovforslaget, hvilke ophaver, ansvar ogkompetencer det særlige tilsyn med GovCERT tilsigtes at skulle havesammenholdt med de opgaver og kompetencer, som Datatilsynet har efterpersondataloven.

Datatilsynet bemærker i den forbindelse, at Datatilsynet ikke har kompetence iforhold til efterretningstjenesternes behandling af personoplysninger. Datatilsynetfinder på den baggrund, at den foreslåede tilsynsmodel bør genovervejes. Det børovervejes at indføre et mere intensivt tilsyn, end det Datatilsynet vil kunne føre,og i den forbindelse i lovforslaget beskrive, at dette tilsyn træder i stedet forDatatilsynet tilsyn på området.Domstolsstyrelsen henleder opmærksomheden på retsplejelovens § 47a, stk. 3, iforhold til lovforslagets § 6, stk. 2. Styrelsen henviser endvidere tilJustitsministeriets skrivelse fra december 2000, hvori justitsministeren iforbindelse med oprettelse af nye nævn, anmoder alle ministerier om at vurdere,om det er tilstrækkeligt velbegrundet, at der indsættes en dommer.PROSA kan ikke støtte oprettelsen af et tilsyn med GovCERT. PROSA finderikke, at tilsynet sikrer retssikkerheden. PROSA vurderer, at tilsynet alene børplaceres hos Datatilsynet.Videnskabsministeriet (VTU) har på baggrund af bemærkningerne tilbestemmelsen om tilsynet med GovCERT s virksomhed præciseretbemærkningerne til bestemmelsen, herunder at tilsynet ikke træder i stedet foreller overlapper Datatilsynets tilsyn på området. Af hensyn til kontinuitet og højfaglig kompetence i tilsynet lægger VTU ikke op til at ændre bestemmelsen på ensådan måde, at der tvangsmæssigt skal ske udskiftning af formand ellermedlemmer med et fast interval.VTU vurderer, at det ikke er hensigtsmæssigt, at forsøge at inddrage Wamberg-udvalget i tilsynet med GovCERT.VTU vurderer på baggrund af Datatilsynets høringssvar, at det er tilstrækkeligtat udpege en jurist i stedet for en dommer som formand for tilsynet. VTU harjusteret § 7 (tidligere § 6) og bemærkningerne til bestemmelsen på denbaggrund.7. Delegation af Videnskabsministeriets kompetence (§ 8)Region Nordjylland finder det problematisk, at bestemmelsen muliggør, at alledele af den udøvende magt kan inddrages i GovCERT s aktiviteter og dermedblive medansvarlig for tjenestenens behandling af de samme ministerierspersonoplysninger.Videnskabsministeriet bemærker, at § 8 (tidligere § 7) i lovforslaget er en generelbemyndigelsesbestemmelse, som kan være relevant i situationer, hvor det pågrund af f.eks. behov for særlig teknisk viden viser sig hensigtsmæssigt for viden-skabsministeren at uddelegere sin kompetence til en anden myndighed det væresig inden for eller uden for Videnskabsministeriets myndighedsområde.