Tilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K. Årsredegørelse Center for Cybersikkerhed
|
|
- Oscar Carlsen
- 5 år siden
- Visninger:
Transkript
1 Tilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K Årsredegørelse 2017 Center for Cybersikkerhed
2 Indhold. Til forsvarsministeren... 1.Forord Om Center for Cybersikkerhed Tilsynet med Efterretningstjenesterne Tilsynets opgaver i forhold til CFCS Tilsynets adgang til oplysninger i CFCS Tilsynets reaktionsmuligheder Tilsynets arbejde og fokusområder i Tilsynets kontrol af CFCS i Egen drift-kontroller Kontrol vedrørende behandling af oplysninger i centrets netværkssensorsystem Kontrol vedrørende behandling af oplysninger i centrets.hændelseshåndteringssystem Kontrol vedrørende behandling af oplysninger i centrets journalsystem Kontrol vedrørende behandling af oplysninger i relation til indleverede medier Kontrol vedrørende behandling af oplysninger i henhold til NIS-loven Kontrol vedrørende udveksling af oplysninger med den øvrige del af FE Kontrol vedrørende videregivelse af oplysninger til andre myndigheder,. virksomheder og samarbejdspartnere Kontrol vedrørende arbejdsstationer Kontrol vedrørende CFCS interne kontrol Opfølgning på kontroller i 2015 og Eksempler på CFCS håndtering af cyberangreb Statistik vedrørende CFCS behandling af oplysninger APPENDIKS...24.Retsgrundlag Om CFCS netsikkerhedstjeneste, jf. CFCS-lovens Om indgreb i meddelelseshemmeligheden, jf. CFCS-lovens Om behandling af personoplysninger, jf. CFCS-lovens Om analyse, videregivelse og sletning af data, jf. CFCS-lovens og. CFCS-retningslinjernes 2, 4, 5 og Om sikkerhedsforanstaltninger i forbindelse med centrets behandling af. personoplysninger (informationssikkerhed), jf. CFCS-lovens
3 Til forsvarsministeren I overensstemmelse med 24 i lov om Center for Cybersikkerhed (lov nr. 713 af 25. juni 2014) afgiver Tilsynet med Efterretningstjenesterne hermed redegørelse om sin virksomhed vedrørende Center for Cybersikkerhed for Redegørelsen skal offentliggøres. København, maj 2018 Michael Kistrup Formand for Tilsynet med Efterretningstjenesterne 1
4 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED 2
5 Forord Tilsynet med Efterretningstjenesterne er et særligt uafhængigt kontrolorgan, der blandt andet fører tilsyn med, at Center for Cybersikkerhed (CFCS) behandler oplysninger om fysiske personer i overensstemmelse med lovgivningen. Tilsynet blev oprettet ved lov om Politiets Efterretningstjeneste (PET), der trådte i kraft den 1. januar Tilsynet har i 2017 haft et særligt fokus på at konsolidere og styrke grundlaget for tilsynets kontrol af henholdsvis PET, Forsvarets Efterretningstjeneste (FE) og CFCS, herunder ved løbende udvikling af tilsynets risiko- og væsentlighedsvurdering af tjenesterne og centret samt de standarder og metoder, som anvendes i den retlige kontrol heraf. Det er afgørende for tilsynet, at de enkelte kontroller er velunderbygget og dokumenteret samt at de er tilrettelagt på baggrund af en tilstrækkelig efterretningsfaglig og teknisk forståelse. Som et bidrag i dette arbejde afholdt tilsynet i samarbejde med Folketingets Udvalg vedrørende Efterretningstjenesterne i oktober 2017 en nordisk konference for myndigheder, der fører kontrol med efterretningstjenester. Emnet på konferencen var kvalitetssikring af kontrollen med efterretningstjenester, herunder om der i nordisk regi kunne identificeres nogle fælles standarder og metoder for kontrollen heraf. I efteråret 2017 har tilsynet desuden fået ny formand og to nye medlemmer. Sigtet med redegørelsen er at give information om karakteren af det tilsyn, der udøves vedrørende CFCS. Redegørelsen indeholder herunder oplysning om de forhold, som tilsynet i 2017 har valgt særligt at interessere sig for, og om i hvor mange tilfælde tilsynet har fundet, at centrets behandling af personoplysninger ikke har været i overensstemmelse med reglerne. Michael Kistrup Formand for Tilsynet med Efterretningstjenesterne 3
6 Om Center for Cybersikkerhed Center for Cybersikkerhed (CFCS) blev oprettet i 2012 som en del af Forsvarets Efterretningstjeneste (FE), og har som hovedopgave at være statslig og militær varslingstjeneste for internettrusler, national it-sikkerhedsmyndighed (bortset fra Justitsministeriets område, hvor Politiets Efterretningstjeneste (PET) varetager opgaven), og myndighed for informationssikkerhed og beredskab på teleområdet. Det er CFCS opgave som statslig og militær varslingstjeneste for internettrusler at understøtte et højt informationssikkerhedsniveau i den informations- og kommunikationsteknologiske infrastruktur, som samfundsvigtige funktioner er afhængige af. Denne opgave løses blandt andet ved, at CFCS netsikkerhedstjeneste opdager, analyserer og bidrager til at imødegå avancerede cyberangreb hos forsvaret samt de statslige myndigheder og virksomheder, der er tilsluttet CFCS sensornet. CFCS opgave som national it-sikkerhedsmyndighed indebærer, at centret oplyser, vejleder og rådgiver danske myndigheder og virksomheder om it-sikkerhed og fungerer som nationalt kompetencecenter på cybersikkerhedsområdet. Som national it-sikkerhedsmyndighed er det tillige CFCS opgave at sikkerhedsgodkende og føre tilsyn med klassificerede produkter, systemer og installationer inden for informations- og kommunikationsteknologi. CFCS varetagelse af opgaven som myndighed for informationssikkerhed og beredskab på teleområdet indebærer, at centret blandt andet fører tilsyn på området og rådgiver samfundets beredskabsaktører om teleberedskab. Herunder udsteder CFCS med bemyndigelse i lov om netog informationssikkerhed (herefter NIS-loven) bekendtgørelser og har til opgave at føre tilsyn på området samt på overordnet niveau at koordinere håndteringen af særlige trusler, som kan påvirke informationssikkerheden i telesektoren. Den 1. juli 2014 trådte lov nr. 713 af 26. juni 2014 om Center for Cybersikkerhed (CFCS) i kraft (herefter CFCS-loven). Med loven er CFCS muligheder for at beskytte Danmark mod cyberangreb styrket. Styrkelsen er blandt andet sket ved at udvide centrets muligheder for at undersøge sikkerhedshændelser, herunder cyberangreb, i samarbejde med myndigheder og virksomheder, således at der i større omfang end hidtil kan indhentes de informationer, som er nødvendige for at afklare, hvilke angrebsværktøjer og -metoder, som er anvendt ved sikkerhedshændelser. Loven indebærer tillige, at en række af de centrale principper i persondataloven ligeledes finder anvendelse på CFCS virksomhed. 4
7 OM CENTER FOR CYBERSIKKERHED Med loven er det yderligere bestemt, at Tilsynet med Efterretningstjenesterne (herefter tilsynet), der som et uafhængigt kontrolorgan fører tilsyn med, at PET behandler personoplysninger i overensstemmelse med PET-lovgivningen, og at FE behandler oplysninger om i Danmark hjemmehørende fysiske og juridiske personer i overensstemmelse med FE-lovgivningen, tillige skal føre tilsyn med, at CFCS behandling af oplysninger om fysiske personer er i overensstemmelse med CFCS-lovgivningen. CFCS opgave som national it-sikkerhedsmyndighed indebærer, at centret oplyser, vejleder og rådgiver danske myndigheder og virksomheder om it-sikkerhed og fungerer som nationalt kompetencecenter på cybersikkerhedsområdet. Som national it-sikkerhedsmyndighed er det tillige CFCS opgave at sikkerhedsgodkende og føre tilsyn med klassificerede produkter, systemer og installationer inden for informations- og kommunikationsteknologi. 5
8 Tilsynet med Efterretningstjenesterne Tilsynet er et særligt uafhængigt kontrolorgan, der fører tilsyn med, at PET, FE og CFCS behandler personoplysninger i overensstemmelse med lovgivningen. Tilsynet udøver sine funktioner i fuld uafhængighed og er således ikke undergivet tjenestebefalinger fra Forsvarsministeriet eller andre administrative myndigheder med hensyn til udøvelsen af sin virksomhed. Tilsynet består af fem medlemmer, der er udpeget af justitsministeren efter forhandling med forsvarsministeren. Formanden, der skal være landsdommer, er udpeget efter indstilling fra præsidenterne for Østre Landsret og Vestre Landsret, mens de øvrige medlemmer er udpeget efter drøftelser med Folketingets Udvalg vedrørende Efterretningstjenesterne. Medlemmerne er: landsdommer Michael Kistrup, Østre Landsret (formand) professor Jørgen Grønnegård Christensen, Aarhus Universitet bestyrelsesformand Erik Jacobsen, Roskilde Universitet juridisk chef Pernille Christensen, Kommunernes Landsforening professor Henrik Udsen, Københavns Universitet Medlemmerne udpeges for en periode på fire år med mulighed for genbeskikkelse for yderligere fire år. Ved tilsynets etablering i 2014 blev to medlemmer udpeget for to år med mulighed for genbeskikkelse for yderligere fire år med henblik på at sikre mod en samtidig og fuldstændig udskiftning af tilsynets medlemmer, idet de efterfølgende funktionsperioder er forskudt to år i forhold til hinanden. Tilsynet bistås af et sekretariat, der alene er undergivet tilsynets instruktion. Tilsynet bestemmer selv, hvem der skal ansættes til sekretariatet, herunder hvilken uddannelsesmæssig baggrund og øvrige kvalifikationer de pågældende skal have. Ved udgangen af 2017 bestod sekretariatet af en juridisk sekretariatschef, der varetager den daglige ledelse af sekretariatet, en souschef, to jurister, en it-konsulent og en kontorfunktionær. 6
9 TILSYNET MED EFTERRETNINGSTJENESTERNE Tilsynet afgør selv intensiteten af sin kontrol, herunder i hvilket omfang kontrollen skal være fuldstændig eller stikprøvevis, hvilke sagsområder, der særskilt skal prioriteres, og i hvilket omfang tilsynet vil tage sager op af egen drift. 2.1 Tilsynets opgaver i forhold til CFCS Ifølge CFCS-loven skal tilsynet efter klage eller af egen drift påse, at CFCS behandler oplysninger om fysiske personer i overensstemmelse med de nærmere bestemmelser herom i CFCS-loven samt regler udstedt i medfør heraf. Tilsynet påser, at centret overholder lovens regler om indgreb i meddelelseshemmeligheden, behandling af personoplysninger i CFCS, analyse, videregivelse og sletning af data, og krav til sikkerhedsforanstaltninger i forbindelse med centrets behandling af personoplysninger (informationssikkerhed). Tilsynets opgave er at føre legalitetskontrol med, at CFCS behandler oplysninger om fysiske personer i overensstemmelse med lovgivningen, og tilsynet skal således ikke påse, om CFCS udfører sine opgaver på en hensigtsmæssig måde. Tilsynet afgør selv intensiteten af sin kontrol, herunder i hvilket omfang kontrollen skal være fuldstændig eller stikprøvevis, hvilke sagsområder, der særskilt skal prioriteres, og i hvilket omfang tilsynet vil tage sager op af egen drift. Der er ikke givet nærmere retningslinjer for tilsynets udførelse af sin kontrol. 2.2 Tilsynets adgang til oplysninger i CFCS Tilsynet kan hos CFCS kræve enhver oplysning og alt materiale, der er af betydning for tilsynets virksomhed, og tilsynet har til enhver tid adgang til alle lokaler, hvorfra der er adgang til de oplysninger, som behandles, eller hvor tekniske hjælpemidler anvendes. Tilsynet kan endvidere afkræve CFCS skriftlige udtalelser om faktiske og retlige forhold af betydning for tilsynets kontrolvirksomhed, ligesom tilsynet kan anmode om, at en repræsentant for CFCS er til stede med henblik på at redegøre for de behandlede sager. CFCS har stillet lokaler til rådighed for tilsynet, hvorfra tilsynet på egen hånd kan foretage søgninger i centrets it-systemer. 7
10 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED 2.3 Tilsynets reaktionsmuligheder Tilsynet har ikke kompetence til at påbyde CFCS bestemte foranstaltninger i forhold til behandling af oplysninger. Tilsynet kan derimod afgive udtalelser over for CFCS, hvori tilsynet blandt andet kan tilkendegive sin opfattelse af, om centret overholder reglerne om behandling af personoplysninger. Hvis CFCS undtagelsesvis måtte beslutte ikke at følge en henstilling i en udtalelse fra tilsynet, skal CFCS underrette tilsynet herom og straks forelægge sagen for forsvarsministeren til afgørelse. Tilsynet skal underrette forsvarsministeren om forhold, som ministeren efter tilsynets opfattelse bør have kendskab til. Tilsynet afgiver en årlig redegørelse om sin virksomhed til forsvarsministeren. Redegørelsen, der offentliggøres, giver information om karakteren af det tilsyn, der udøves med CFCS. Det fremgår således af forarbejderne til loven, at sigtet med den årlige redegørelse er at give information om karakteren af det tilsyn, der udøves vedrørende CFCS, herunder en generel beskrivelse af hvilke forhold tilsynet måtte have valgt særligt at interessere sig for. Redegørelserne skal indeholde statistiske oplysninger om CFCS behandling af personoplysninger, herunder oplysninger om antallet af modtagne klagesager i såvel centret som tilsynet, oplysninger om antallet af aktindsigtssager og afgørelsen af disse samt oplysninger om antallet af sager med relation til sikkerhedshændelser, der er behandlet i centret. Tilsynet vil også skulle medtage oplysninger om, i hvor mange tilfælde tilsynet har fundet, at CFCS behandling af personoplysninger ikke har været i overensstemmelse med reglerne. Redegørelsen skal ligeledes indeholde en fuldt ud anonymiseret beskrivelse af en eller flere konkrete cyberangreb samt en statistik over antallet af tilfælde, hvor en analytiker fra CFCS på baggrund af indgreb i meddelelseshemmeligheden har foretaget en analyse af data. Denne statistik skal desuden indeholde en overordnet kategorisering af, hvor alvorlige disse tilfælde har været. Tilsynet afgav senest en årlig redegørelse om sin virksomhed til forsvarsministeren i maj Redegørelsen blev offentliggjort i juli Tilsynets arbejde og fokusområder i 2017 Tilsynet har i 2017 gennemført en omfattende og intensiv kontrol med CFCS behandling af oplysninger om fysiske personer. Som i de foregående år har tilsynet prioriteret kontroller med fokus på CFCS overholdelse af reglerne om indgreb i meddelelseshemmeligheden, om behandling af personoplysninger, om analyse, videregivelse og sletning af data samt om sikkerhedsforanstaltninger i forbindelse med centrets behandling af personoplysninger. Tilsynet har tilrettelagt sin kontrol således, at tilsynets sekretariat i gennemsnit har tilbragt en dag om ugen hos CFCS, hvor sekretariatet har foretaget kontroller og afholdt møder med centrets personale til afklaring af spørgsmål mv. Resultatet af kontrollerne er forelagt tilsynet på månedlige møder, hvor det blandt andet er besluttet, om konkrete oplysninger har givet anledning til yderligere spørgsmål til CFCS. I løbet af året har tilsynet endvidere deltaget i flere møder med centret, hvor emner af konkret karakter affødt af de udførte kontroller og emner af mere generel karakter blev drøftet. Tilsynets valg af kontrolområder er baseret på en risiko- og væsentlighedsvurdering af, hvilke områder, der særligt måtte forventes at kunne give problemer, ligesom valg af metode har været 8
11 TILSYNET MED EFTERRETNINGSTJENESTERNE tilpasset de enkelte kontrolområder. I 2017 har tilsynet haft et særligt fokus på at konsolidere og styrke tilsynets arbejde med risiko- og væsentlighedsvurdering af henholdsvis PET, FE og CFCS samt de standarder og metoder, som anvendes i den retlige kontrol heraf. Det er afgørende for tilsynet, at de enkelte kontroller er velunderbygget og dokumenteret, samt at de er tilrettelagt på baggrund af en tilstrækkelig efterretningsfaglig og teknisk forståelse. I 2017 har tilsynet etableret et samarbejde med en konsulentvirksomhed, som har bistået med øget indsigt i kontrol af reglerne om sikkerhedsforanstaltninger i forbindelse med behandling af personoplysninger (informationssikkerhed) samt implementering og styring af ISO standarden. Efter regeringens Nationale strategi for cyber- og informationssikkerhed fra 2014 er det et krav, at statslige myndigheder skal implementere den internationale sikkerhedsstandard. Tilsynet har i 2017 endvidere udbygget kontakten med udenlandske kontrolorganer, der på forskellig vis fører kontrol med deres respektive landes efterretningstjenester, for på denne måde at indhente erfaringer fra internationalt regi. Herunder har tilsynet været i dialog om generelle emner af relevans for sin virksomhed med tilsvarende kontrolorganer i Belgien, Holland, Norge, Schweiz og Sverige. I samarbejde med Folketingets Udvalg vedrørende Efterretningstjenesterne afholdt tilsynet i oktober 2017 tillige en nordisk konference for myndigheder, der fører kontrol med efterretningstjenester. Emnet på konferencen var kvalitetssikring af kontrollen med efterretningstjenester, herunder om der i nordisk regi kunne identificeres nogle fælles standarder og metoder for kontrollen heraf. I samarbejde med Folketingets Udvalg vedrørende Efterretningstjenesterne afholdt tilsynet i oktober 2017 tillige en nordisk konference for myndigheder, der fører kontrol med efterretningstjenester. Emnet på konferencen var kvalitetssikring af kontrollen med efterretningstjenester, herunder om der i nordisk regi kunne identificeres nogle fælles standarder og metoder for kontrollen heraf. 9
12 Tilsynets kontrol af CFCS i 2017 Tilsynet udarbejder årligt en risikovurdering vedrørende processer og systemer hos CFCS, som anvendes i relation til centrets behandling og analyse af data indeholdende oplysninger om fysiske personer, med henblik på at vurdere risici for lovbrud. Risikovurderingen skal sikre, at tilsynets kontrol er fuldstændig i forhold til CFCS behandling af sådanne oplysninger. På baggrund heraf udarbejder tilsynet en risikoanalyse, som danner grundlag for udvælgelsen af det kommende års kontroller. Risikoanalysen danner endvidere grundlag for tilsynets valg af kontrolmetode i forhold til det enkelte kontrolområde, herunder om der skal foretages fuldstændig kontrol, stikprøvekontrol, målrettet kontrol eller interviewbaseret kontrol. Tilsynets sekretariat afholder forud for kontrol af ikke tidligere kontrollerede områder et møde med CFCS med henblik på at sikre en tilstrækkelig teknisk forståelse af området, således at kontrollen kan tilpasses og gennemføres hensigtsmæssigt. Tilsynets direkte adgange til CFCS systemer sikrer uforudsigeligheden i kontrollen af centret, da de enkelte kontroller kan gennemføres uden forudgående varsling af centret. CFCS varsles i enkelte tilfælde om tidspunktet og metoden for en kontrol, når tilsynet skønner det hensigtsmæssigt i forhold til kontrollens formål. På den baggrund gennemfører tilsynets sekretariat kontrollerne af de enkelte områder, og CFCS anmodes om uddybende bemærkninger, når kontrollerne giver anledning hertil. Resultatet af kontrollerne bliver på det grundlag forelagt tilsynet, som herefter beslutter, om kontrollerne er tilstrækkelig belyst, eller om der er behov for indhentelse af yderligere oplysninger eller nærmere drøftelser med centret. 3.1 Egen drift-kontroller Med henblik på at kontrollere, at CFCS i forbindelse med behandling af oplysninger om fysiske personer overholder reglerne i CFCS-loven, har tilsynet i 2017 foretaget kontrol af CFCS behandling af oplysninger i centrets netværkssensorsystem (3.1.1), behandling af oplysninger i centrets hændelseshåndteringssystem (3.1.2), 10
13 TILSYNETS KONTROL AF CFCS I 2017 behandling af oplysninger i centrets journalsystem (3.1.3), behandling af oplysninger i relation til indleverede medier (3.1.4), behandling af oplysninger i henhold til NIS-loven (3.1.5), udveksling af oplysninger med den øvrige del af FE (3.1.6), videregivelse af oplysninger til andre myndigheder, virksomheder og samarbejdspartnere (3.1.7), arbejdsstationer (3.1.8), og CFCS interne kontrol (3.1.9). Tilsynet har herudover foretaget en opfølgende kontrol af CFCS sikkerhedsforanstaltninger i forbindelse med centrets behandling af oplysninger (informationssikkerhed), jf. afsnit 3.2. Sammenfatning af tilsynets kontroller i 2017 Tilsynets kontroller vedrørende CFCS iagttagelse af bestemmelserne om indgreb i meddelelses-hemmeligheden, behandling af personoplysninger, analyse, videregivelse af oplysninger til andre myndigheder, virksomheder og samarbejdspartnere samt sletning af data viste, jf. afsnit og 3.1.7, at centret generelt har overholdt lovgivningens bestemmelser herom. Kontroller vedrørende CFCS udveksling af data indeholdende personoplysninger, der stammer fra indgreb i meddelelseshemmeligheden, med den øvrige del af FE viste, jf. afsnit 3.1.6, at centrets udvekslinger er sket under iagttagelse af Forsvarsministeriets retningslinjer vedrørende behandling af data i og fra Center for Cybersikkerheds netsikkerhedstjenestes bestemmelser herom, men at der i otte tilfælde ikke forelå forudgående juridisk godkendelse heraf som foreskrevet i centrets interne retningslinjer. Centret, der sideløbende med tilsynets kontrol blev opmærksom på problemet, foretog efterfølgende juridisk vurdering og godkendelse af de otte udvekslinger med tilbagevirkende kraft. Tilsynets kontrol af udvalgte arbejdsstationer viste, jf , at samtlige medarbejdere behandlede oplysninger om fysiske personer i overensstemmelse med CFCS-loven, og at medarbejderne generelt var opmærksomme på, at behandling af sådanne oplysninger sker i overensstemmelse med loven og centrets interne retningslinjer. Kontrollen viste imidlertid, at medarbejderne generelt anvendte en anden proces for behandling og sletning af oplysninger end den, som er foreskrevet i centrets interne retningslinjer. Tilsynet opfordrede derfor centret til at sikre, at der er overensstemmelse mellem foreskreven og faktisk proces for behandling af oplysninger. Endvidere opfordrede tilsynet CFCS til i større omfang at systematisere og dokumentere centrets interne kontrol af medarbejdernes behandling af data, herunder med henblik på at sikre, at alle medarbejdere inden for en nærmere angiven periode bliver undergivet kontrol. Kontrollen angående CFCS interne kontrol viste, jf. afsnit 3.1.9, at centret generelt har tilrettelagt og gennemført centrets interne kontrol tilfredsstillende. Kontrollen viste imidlertid, at CFCS interne kontrol i 2017 som adviseret i 2016 ikke har været tilrettelagt på baggrund af en dokumenteret risiko- og væsentlighedsvurdering. Tilsynet opfordrede derfor på ny CFCS til at udfærdige en sådan vurdering med henblik på planlægning af centrets interne kontrol i
14 12
15 TILSYNETS KONTROL AF CFCS I 2017 Endelig viste tilsynets opfølgende kontrol vedrørende sikkerhedsforanstaltninger i forbindelse med centrets behandling af personoplysninger (informationssikkerhed), jf. afsnit 3.2, at implementering af tilstrækkelige sikkerhedsforanstaltninger til afhjælpning af risici knyttet til tre ud af fem udestående kontrolområder, jf. afsnit 3.2 i tilsynet årsredegørelse vedrørende CFCS for 2016, fortsat udestår. CFCS tilkendegav over for tilsynet, at afhjælpning af risici forbundet med de resterende tre kontrolområder fremadrettet håndteres i et samlet ISO implementeringsprojekt for FE og CFCS Kontrol vedrørende behandling af oplysninger i centrets netværkssensorsystem Tilsynet har i 2017 foretaget kontrol vedrørende CFCS behandling af personoplysninger i centrets netværkssensorsystem. Med henblik på kontrol heraf foretog tilsynets sekretariat i 2017 inspektionsbesøg ved CFCS, hvor netværkssensorsystemet blev besigtiget. Under inspektionsbesøget besvarede CFCS spørgsmål fra sekretariatet om systemets tekniske opsætning og om centrets procedurer for håndtering af oplysninger vedrørende fysiske personer. På dette grundlag blev resultatet af inspektionen forelagt tilsynet, som herefter besluttede, om de foreliggende oplysninger var tilstrækkelig belyst, eller om der var behov for indhentelse af yderligere oplysninger eller nærmere drøftelser med centret.!! Tilsynets bemærkninger Kontrollen vedrørende CFCS behandling af personoplysninger i centrets netværkssensorsystem viste, at CFCS har iagttaget lovgivningens bestemmelser i relation til behandling af personoplysninger og sletning af data Kontrol vedrørende behandling af oplysninger i centrets hændelseshåndteringssystem Tilsynet har i 2017 foretaget en stikprøvekontrol vedrørende CFCS behandling af personoplysninger i centrets hændelseshåndteringssystem. I den forbindelse tilvejebragte og gennemgik tilsynets sekretariat et antal tilfældigt udvalgte hændelsessager. På dette grundlag blev resultatet af stikprøvekontrollen forelagt tilsynet, som besluttede, om hver enkelt oplysning var tilstrækkelig belyst, eller om der var behov for indhentelse af yderligere oplysninger eller nærmere drøftelser med centret.!! Tilsynets bemærkninger Stikprøvekontrollen vedrørende CFCS behandling af personoplysninger i centrets elektroniske hændelseshåndteringssystem viste, at CFCS har iagttaget lovgivningens bestemmelser i relation til indgreb i meddelelseshemmeligheden, til behandling af personoplysninger samt til analyse, videregivelse og sletning af data. 13
16 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED Kontrol vedrørende behandling af oplysninger i centrets journalsystem Tilsynet har i 2017 foretaget en stikprøvekontrol vedrørende CFCS behandling af personoplysninger i centrets elektroniske journalsystem. I den forbindelse tilvejebragte og gennemgik tilsynets sekretariat et antal tilfældigt udvalgte dokumenter indeholdende personoplysninger i form af IP-adresser, adresser og domænenavne. På dette grundlag blev resultatet af stikprøvekontrollen forelagt tilsynet, som besluttede, om hver enkelt oplysning var tilstrækkelig belyst, eller om der var behov for indhentelse af yderligere oplysninger eller nærmere drøftelser med centret.!! Tilsynets bemærkninger Stikprøvekontrollen vedrørende CFCS behandling af personoplysninger i centrets elektroniske journalsystem viste, at CFCS har iagttaget lovgivningens bestemmelser herom Kontrol vedrørende behandling af oplysninger i relation til indleverede medier Tilsynet har i 2017 foretaget kontrol af CFCS behandling af personoplysninger i relation til indleverede medier. CFCS modtager løbende diverse medier med henblik på teknisk analyse, herunder ved mistanke om kompromittering. Indleverede medier kan være computere, harddiske, mobiltelefoner mv. Tilsynets sekretariat kontrollerede CFCS behandling af personoplysninger i relation til indleverede medier ved en gennemgang af centrets dokumentation, drøftelser med udvalgte medarbejdere samt en stikprøvekontrol i centrets beholdning af indleverede medier. På dette grundlag blev resultatet af kontrollen forelagt tilsynet, som besluttede, om CFCS behandling af oplysninger i relation til indleverede medier var tilstrækkelig belyst, eller om der var behov for indhentelse af yderligere oplysninger eller nærmere drøftelser med centret.!! Tilsynets bemærkninger Kontrollen vedrørende CFCS behandling af personoplysninger i relation til indleverede medier viste, at centret har iagttaget lovgivningens bestemmelser herom. Kontrollen vedrørende CFCS udveksling af data indeholdende personoplysninger, der stammer fra indgreb i meddelelseshemmeligheden, med den øvrige del af FE viste, at udvekslingerne er sket under iagttagelse af CFCS-retningslinjernes bestemmelser herom, men at der i otte tilfælde ikke forelå forudgående juridisk godkendelse heraf som foreskrevet i centrets interne retningslinjer. 14
17 TILSYNETS KONTROL AF CFCS I Kontrol vedrørende behandling af oplysninger i henhold til NIS-loven Tilsynet har i 2017 foretaget kontrol af CFCS behandling af oplysninger i henhold til NIS-loven, der regulerer informationssikkerhed og beredskab på teleområdet. CFCS fører tilsyn med overholdelsen af loven og regler udstedt i medfør heraf. CFCS behandling af oplysninger i henhold til NIS-loven blev kontrolleret ved drøftelse mellem tilsynets sekretariat og centrets medarbejdere, og på dette grundlag blev resultatet af kontrollen forelagt tilsynet, som besluttede, om centrets behandling af oplysninger i henhold til NIS-loven var tilstrækkelig belyst, eller om der var behov for indhentelse af yderligere oplysninger eller nærmere drøftelser med centret.!! Tilsynets bemærkninger Kontrollen vedrørende CFCS behandling af personoplysninger i henhold til NIS-loven viste, at centret har iagttaget lovgivningens bestemmelser herom Kontrol vedrørende udveksling af oplysninger med den øvrige del af FE Tilsynet har i 2017 foretaget kontrol af CFCS udveksling af data indeholdende personoplysninger, der stammer fra indgreb i meddelelseshemmeligheden, med den øvrige del af FE, med fokus på centrets overholdelse af bestemmelserne i Forsvarsministeriets retningslinjer vedrørende behandling af data i og fra Center for Cybersikkerheds netsikkerhedstjeneste (CFCS-retningslinjerne). Tilsynet modtager løbende orienteringer fra CFCS om centrets udveksling af data, der stammer fra indgreb i meddelelseshemmeligheden, med den øvrige del af FE. I 2017 modtog tilsynet i alt 28 orienteringer i form af udfyldte udvekslingsformularer, som ikke gav sekretariatet anledning til spørgsmål til CFCS. Som supplement til kontrollen af udvekslingsformularerne udtrak tilsynets sekretariat løbende stikprøver i CFCS hændelseshåndteringssystem for at vurdere, om de udvekslede data var relevante for den konkrete sag. På dette grundlag blev resultatet af kontrollerne forelagt tilsynet, som besluttede, om de enkelte udvekslinger og data var tilstrækkelig belyst, eller om der var behov for indhentelse af yderligere oplysninger eller nærmere drøftelser med centret.!! Tilsynets bemærkninger Kontrollen vedrørende CFCS udveksling af data indeholdende personoplysninger, der stammer fra indgreb i meddelelseshemmeligheden, med den øvrige del af FE viste, at udvekslingerne er sket under iagttagelse af CFCS-retningslinjernes bestemmelser herom, men at der i otte tilfælde ikke forelå forudgående juridisk godkendelse heraf som foreskrevet i centrets interne retningslinjer. CFCS, der sideløbende med tilsynets kontrol blev opmærksom på problemet, foretog efterfølgende juridisk vurdering og godkendelse af de otte udvekslinger med tilbagevirkende kraft. 15
18 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED Kontrol vedrørende videregivelse af oplysninger til andre myndigheder, virksomheder og samarbejdspartnere Tilsynet har i 2017 løbende foretaget stikprøvekontrol af CFCS videregivelse af data indeholdende personoplysninger til andre myndigheder, virksomheder og udenlandske samarbejdspartnere, med fokus på centrets overholdelse af CFCS-lovens 10 og 16 og CFCS-retningslinjernes bestemmelser herom. Efter en konkret vurdering anmodede tilsynets sekretariat CFCS om uddybende bemærkninger, hvorefter sekretariatet vurderede, i hvilket omfang der rent faktisk var sket videregivelse af data indeholdende personoplysninger, og om videregivelserne i givet fald var sket i overensstemmelse med lovgivningens bestemmelser herom. På dette grundlag blev resultatet af kontrollen forelagt tilsynet, som besluttede, om de enkelte videregivelser var tilstrækkelig belyst, eller om der var behov for indhentelse af yderligere oplysninger eller nærmere drøftelser med centret.!! Tilsynets bemærkninger Kontrollen vedrørende CFCS videregivelse af data indeholdende personoplysninger til andre myndigheder, virksomheder og samarbejdspartnere viste, at videregivelserne i alle tilfælde er sket under iagttagelse af lovgivningens bestemmelser herom Kontrol vedrørende arbejdsstationer Tilsynet har i 2017 foretaget kontrol af et antal medarbejderes arbejdsstationer med fokus på medarbejdernes behandling af oplysninger om fysiske personer, herunder de pågældendes kendskab til reglerne herom. Inden for CFCS netsikkerhedstjeneste foretog tilsynets sekretariat kontrol af et antal tilfældigt udvalgte arbejdsstationer, herunder af drev, mailsystemer, eksterne lagringsenheder og fysiske dokumenter. I forbindelse med den stikprøvevise gennemgang af oplysningerne på den enkelte arbejdsstation stillede sekretariatet spørgsmål til vedkommende medarbejder om pågældendes kendskab til reglerne om behandling, herunder sletning, af oplysninger vedrørende fysiske personer. På forespørgsel oplyste størstedelen af medarbejderne, at de forud for kontrollen havde slettet oplysninger på deres arbejdsstationer. Sekretariatet drøftede resultatet af kontrollerne med CFCS og anmodede om centrets uddybende bemærkninger til resultatet af kontrollen, der herefter blev forelagt for tilsynet, som besluttede, om resultatet var tilstrækkelig belyst, eller om der var behov for yderligere oplysninger eller nærmere drøftelser med CFCS.!! Tilsynets bemærkninger Kontrollen af udvalgte arbejdsstationer og den efterfølgende drøftelse heraf med CFCS viste, at samtlige medarbejdere behandlede oplysninger om fysiske personer i overensstemmelse med CFCS-loven, og at medarbejderne generelt var opmærksomme på, at behandling af sådanne oplysninger sker i overensstemmelse med loven og centrets interne retningslinjer. 16
19 TILSYNETS KONTROL AF CFCS I 2017 Kontrollen viste imidlertid, at medarbejderne generelt anvendte en anden proces for behandling og sletning af oplysninger end den, som er foreskrevet i centrets interne retningslinjer. Tilsynet opfordrede derfor centret til at sikre, at der er overensstemmelse mellem foreskreven og faktisk proces for behandling af oplysninger. Dertil opfordrede tilsynet CFCS til i større omfang at systematisere og dokumentere centrets interne kontrol af medarbejdernes behandling af data, herunder med henblik på at sikre, at alle medarbejdere inden for en nærmere angiven periode bliver undergivet kontrol Kontrol vedrørende CFCS interne kontrol Tilsynet har ved sin kontrol af CFCS i 2017 tillige foretaget kontrol af centrets interne kontrol. Kontrollen har omfattet hele CFCS interne kontrol i 2017 og centrets planlægning heraf for 2018, og den er foretaget ved gennemgang af udleveret dokumentation og drøftelser med centret. Ved vurderingen af CFCS interne kontrol har tilsynet blandt andet henset til en rapport vedrørende intern kontrol og tilsynets mulighed for efterprøvning heraf, som er udarbejdet af en revisions- og konsulentvirksomhed. Denne rapport er baseret på internationale standarder og guidelines for god revision og test af interne kontroller (ISA erne) og på Rigsrevisionens God offentlig revisionsskik (GOR). CFCS har løbende orienteret tilsynet om centrets interne kontrol af udvalgte områder. Centret har endvidere skriftligt redegjort for sin tilrettelæggelse af intern kontrol, og status herpå har været drøftet på et møde mellem CFCS og tilsynet.!! Tilsynets bemærkninger Kontrollen har vist, at CFCS generelt har tilrettelagt og gennemført centrets interne kontrol tilfredsstillende. Kontrollen viste imidlertid, at CFCS interne kontrol i 2017 som adviseret i 2016 ikke har været tilrettelagt på baggrund af en dokumenteret risiko- og væsentlighedsvurdering. Tilsynet opfordrede derfor på ny centret til at udfærdige en sådan vurdering med henblik på planlægning af centrets interne kontrol i Kontrollen viste imidlertid, at CFCS interne kontrol i 2017 som adviseret i 2016 ikke har været tilrettelagt på baggrund af en dokumenteret risiko- og væsentlighedsvurdering. Tilsynet opfordrede derfor på ny centret til at udfærdige en sådan vurdering med henblik på planlægning af centrets interne kontrol i
20 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED 18
21 TILSYNETS KONTROL AF CFCS I Opfølgning på kontroller i 2015 og 2016 I tilsynets redegørelse om sin virksomhed vedrørende CFCS for 2014 og 2015, afsnit 3.1.2, beskrev tilsynet en kontrol foretaget i 2015 vedrørende sikkerhedsforanstaltninger i forbindelse med centrets behandling af personoplysninger (informationssikkerhed), som viste, at CFCS ikke fuldt ud levede op til lovgivningens krav om sikkerhedsforanstaltninger eller internt fastsatte retningslinjer herom i forhold til et antal observationer med tilhørende risici inden for 9 af 38 kontrollerede områder. Som beskrevet i tilsynets redegørelse om sin virksomhed vedrørende CFCS for 2016, afsnit 3.2, foretog tilsynet i 2016 en informationssikkerhedskontrol i CFCS, som bestod i en opfølgning på informationssikkerhedskontrollen i 2015 med henblik på at sikre, at CFCS havde implementeret tilstrækkelige sikkerhedsforanstaltninger til afhjælpning af de omhandlede risici. Opfølgningen viste, at dette var tilfældet inden for 4 af de 9 kontrolområder, men at implementering af nødvendige sikkerhedsforanstaltninger i forhold til risici forbundet med et antal observationer inden for de resterende 5 kontrolområder fortsat udestod. CFCS tilkendegav over for tilsynet, at centret ville afhjælpe de resterende risici. Tilsynets kontrol af informationssikkerheden i CFCS har i 2017 bestået af en opfølgning på informationssikkerhedskontrollen i 2015 og 2016 med henblik på at sikre, at CFCS har implementeret tilstrækkelige sikkerhedsforanstaltninger til afhjælpning af de omhandlende risici knyttet til de ovennævnte 5 kontrolområder. Opfølgningen viste, at dette var tilfældet inden for 2 af de 5 kontrolområder, men at implementering af nødvendige sikkerhedsforanstaltninger i forhold til risici forbundet med de resterende 3 kontrolområder fortsat udestår. CFCS tilkendegav over for tilsynet, at afhjælpning af risici forbundet med de resterende kontrolområder fremadrettet håndteres i et samlet ISO implementeringsprojekt for FE og CFCS. 19
22 Eksempler på CFCS håndtering af cyberangreb Ifølge forarbejderne til CFCS-loven skal tilsynets årlige redegørelse om sin virksomhed vedrørende CFCS blandt andet indeholde en fuldt ud anonymiseret beskrivelse af en eller flere konkrete cyberangreb. Efter drøftelse med tilsynet har CFCS bidraget med følgende beskrivelse af cyberangreb i 2017: CFCS netsikkerhedstjeneste har til opgave at opdage, analysere og bidrage til at imødegå it-sikkerhedshændelser hos Forsvaret samt danske myndigheder og virksomheder, der er tilsluttet centrets sensornetværk. CFCS indsats fokuserer på de mest avancerede cyberangreb, der oftest udføres af statsstøttede aktører, og cyberangreb, der i øvrigt kan påvirke samfundsvigtige funktioner i Danmark. I 2017 har CFCS netsikkerhedstjeneste håndteret en række it-sikkerhedshændelser mod centrets tilsluttede kunder. Blandt disse hændelser observeres der fortsat udbredte forsøg på at udføre rekognoscering og social engineering-relaterede angreb. CFCS har i 2017 blandt andet undersøgt årsagen til, at et antal statslige kunders hjemmesider for en periode var utilgængelige. Dette viste sig at skyldes et angreb på en bagvedliggende netværkskomponent hos den udbyder, der blandt andet driver disse kunders hjemmesider. Det blev vurderet, at angrebet var rettet mod en anden hjemmeside hos udbyderen, som ikke havde relation til de statslige kunder. Angrebstypens art resulterede imidlertid i, at hjemmesiderne bag netværkskomponenten blev gjort utilgængelige. I forbindelse med en anden sag rapporterede centret i 2017 om, hvordan en udenlandsk APT-aktør har udført spionage mod dansk infrastruktur. I forbindelse med sagen fandt CFCS netsikkerhedstjeneste blandt andet tegn på, at aktøren havde haft adgang til og eksfiltreret data fra ofrene. Centret har løbende haft fokus på sagen. Centret har også haft skærpet opmærksomhed på de to store ransomware-lignende hændelser, WannaCry og NotPetya, som ramte mange lande, heriblandt Danmark, i I begge tilfælde fulgte CFCS udviklingen og omfanget nøje, undersøgte relevante elementer og udsendte vejledning og trusselsvurderinger på centrets hjemmeside. 20
23 21
24 Statistik vedrørende CFCS behandling af oplysninger Af forarbejderne til CFCS-loven fremgår endvidere, at tilsynets årlige redegørelse om sin virksomhed vedrørende CFCS tillige skal indeholde statistiske oplysninger om centrets behandling af personoplysninger, herunder oplysninger om antallet af modtagne klagesager i såvel centret som tilsynet, oplysninger om antallet af aktindsigtssager og afgørelsen af disse samt oplysninger om antallet af sager med relation til sikkerhedshændelser, der er behandlet i centret. Redegørelsen skal endvidere indeholde en statistik over antallet af tilfælde, hvor en analytiker fra centret på baggrund af indgreb i meddelelseshemmeligheden har foretaget en analyse af data. Denne statistik skal desuden indeholde en overordnet kategorisering af, hvor alvorlige disse tilfælde har været. CFCS har efter drøftelse med tilsynet bidraget med følgende data: Tabel 1 Modtagne klagesager over CFCS behandling af personoplysninger Kategorier 2017 Klagesager modtaget i CFCS 0 Klagesager modtaget i tilsynet 0 Tabel 2 Aktindsigtssager Kategorier 2017 Fuld aktindsigt 0 Delvis aktindsigt 0 Afslag på aktindsigt 1 Ingen dokumenter lokaliseret til at give eller afslå aktindsigt i 1 Total 2 22
25 STATISTIK VEDRØRENDE CFCS BEHANDLING AF OPLYSNINGER Tabel 3 Sager om sikkerhedshændelser, herunder sikkerhedshændelser hvori der er sket indgreb i meddelelseshemmeligheden og foretaget analyse af data, opdelt efter alvorlighed Kategorier 2017 Alvorlige cyberangreb 1 Større cyberangreb 2 Moderate cyberangreb 16 Mindre cyberangreb 147 Falske positiver (falske alarmer) Åbne sager, der endnu ikke er kategoriseret 0 Total Note: Sikkerhedshændelser defineres i overensstemmelse med 2, nr. 1, i lov om Center for Cybersikkerhed. CFCS har herudover oplyst følgende om antallet af videregivelser af oplysninger, herunder personoplysninger, der stammer fra indgreb i meddelelseshemmeligheden, til andre myndigheder, virksomheder og samarbejdspartnere samt antallet af udvekslinger af tilsvarende oplysninger med den øvrige del af FE: Tabel 4 CFCS videregivelser og udvekslinger af oplysninger, herunder personoplysninger, der stammer fra indgreb i meddelelseshemmeligheden Kategorier 2017 Videregivelser 104 Udvekslinger 18 Note: Antallet af CFCS netsikkerhedstjenestes videregivelser af oplysninger, herunder oplysninger, der stammer fra indgreb i meddelelseshemmeligheden, omfatter samtlige videregivne oplysninger, herunder om fysiske og juridiske personer, samt oplysninger, der ikke er personhenførbare. Se desuden tilsynets kontrol heraf, jf. afsnit
26 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED Appendiks RETSGRUNDLAG 1) Lov om Center for Cybersikkerhed (CFCS) (lovbekendtgørelse nr. 713 af 25. juni 2014) (CFCS-loven), og 2) Forsvarsministeriets retningslinjer vedrørende behandling af data i og fra Center for Cybersikkerheds netsikkerhedstjeneste (CFCS-retningslinjerne), udstedt den 30. juni Om CFCS netsikkerhedstjeneste, jf. CFCS-lovens 3 Det følger af lovens 3, at CFCS netsikkerhedstjenestes opgave er at opdage, analysere og bidrage til at imødegå sikkerhedshændelser hos myndigheder på Forsvarsministeriets område samt hos øvrige tilsluttede myndigheder og virksomheder. Det er de øverste statsorganer samt statslige myndigheder, der efter anmodning kan blive tilsluttet netsikkerhedstjenesten, mens regioner og kommuner samt virksomheder, der er beskæftiget med samfundsvigtige funktioner, efter anmodning kan blive tilsluttet netsikkerhedstjenesten, såfremt CFCS konkret vurderer, at tilslutningen vil kunne bidrage til at understøtte et højt informationssikkerhedsniveau i samfundet. CFCS netsikkerhedstjeneste er betegnelsen for CFCS samlede aktiviteter i forbindelse med at opdage, analysere og bidrage til at imødegå sikkerhedshændelser, herunder CERT-aktiviteterne på det civile område (GovCERT), CERT-aktiviteterne på det militære område (MILCERT), sikkerhedstekniske aktiviteter (f.eks. analyse af malware) og støttefunktioner. Ved myndigheders og virksomheders tilslutning til netsikkerhedstjenesten vil der som hidtil blive indgået en tilslutningsaftale, der nærmere regulerer specifikke forhold i relationen mellem netsikkerhedstjenesten og den enkelte tilsluttede myndighed eller virksomhed. På Forsvarsministeriets område er det den militære it-sikkerhedsmyndighed, som pålægger myndigheder at blive tilsluttet netsikkerhedstjenesten, og på dette område indgås ikke tilslutningsaftaler. En myndighed eller virksomhed, der tilsluttes netsikkerhedstjenesten, vil modtage en sikkerhedsydelse, der er tilpasset den enkelte myndigheds eller virksomheds behov. Der vil eksempelvis kunne ske en monitorering af myndighedens eller virksomhedens forbindelse til internettet, således at netsikkerhedstjenesten ved hjælp af f.eks. en lokalt placeret alarmenhed kan opdage og analysere sikkerhedshændelser. På den baggrund og på baggrund af tilsvarende analyser hos de øvrige tilsluttede myndigheder og virksomheder kan netsikkerhedstjenesten dels alar- 24
27 APPENDIKS mere myndigheden eller virksomheden, når der konstateres konkrete sikkerhedshændelser, dels udsende mere generelle varslinger. Desuden vil tilsluttede myndigheder og virksomheder kunne modtage varslinger på baggrund af oplysninger, som CFCS modtager fra FEs udenrigsefterretningstjeneste, andre netsikkerhedstjenester og andre udenlandske samarbejdspartnere. Netsikkerhedstjenesten vil desuden yde rådgivning om informationssikkerhed til de tilsluttede myndigheder og kunne yde bistand, hvis en myndighed eller virksomhed rammes af en alvorlig sikkerhedshændelse. 2 Om indgreb i meddelelseshemmeligheden, jf. CFCS-lovens 4-7 Bestemmelserne i lovens 4 og 5, der indholdsmæssigt er identiske, indebærer, at CFCS netsikkerhedstjeneste uden retskendelse kan behandle pakke- og trafikdata hidrørende fra netværk hos tilsluttede myndigheder og virksomheder og hos myndigheder på Forsvarsministeriets område med henblik på at understøtte et højt informationssikkerhedsniveau i samfundet. Ved pakkedata forstås indholdet af kommunikation, der transmitteres gennem digitale netværk eller tjenester, jf. lovens 2, nr. 2, og ved trafikdata forstås data, som behandles med henblik på at transmittere pakkedata, jf. lovens 2, nr. 3. Reguleringen af netsikkerhedstjenestens adgang til at foretage indgreb i meddelelseshemmeligheden på henholdsvis det civile og det militære område er opdelt i to bestemmelser, da der på enkelte områder gælder særlige regler for det militære område for hermed at sikre, at der ikke foretages en indskrænkning i forhold til de muligheder for monitorering, som MILCERT tidligere har haft. På Forsvarsministeriets område, hvor der i betydeligt omfang håndteres klassificerede oplysninger, vil der således fortsat være behov for en videre adgang til at analysere monitorerede data og til at videregive data til relevante samarbejdspartnere. Det følger af lovens 6, at en myndighed eller virksomhed, som ikke er tilsluttet CFCS netsikkerhedstjeneste, ved begrundet mistanke om en sikkerhedshændelse midlertidigt kan tilsluttes netsikkerhedstjenesten, som herefter uden retskendelse kan behandle pakke- og trafikdata hidrørende fra netværk hos myndigheden eller virksomheden, når 1) myndigheden eller virksomheden har anmodet CFCS om at blive midlertidigt tilsluttet og givet skriftligt samtykke til behandlingen, 2) behandlingen vurderes at kunne bidrage væsentligt til CFCS muligheder for at sikre informations- og kommunikationsteknologisk infrastruktur, som samfundsvigtige funktioner er afhængige af, og 3) den midlertidige tilslutning har en varighed på højst to måneder. En midlertidig tilslutning kan ske i forhold til myndigheder og virksomheder, som ikke normalt er udsat for et sådant trusselsbillede, at en fast tilslutning til netsikkerhedstjenesten er hensigtsmæssig, men som på grund af aktuelle begivenheder i en kortere periode er udsat for et så konkret trusselsbillede, at der er behov for den ekstra sikkerhed, som en tilslutning indebærer. En midlertidig tilslutning kan også ske, hvis virksomheder, der ikke er beskæftiget med samfundsvigtige funktioner, rammes af særligt alvorlige cyberangreb. Ved begrundet mistanke om en sikkerhedshændelse kan netsikkerhedstjenesten efter lovens 7 uden retskendelse behandle data, som er indeholdt i eller hidrører fra et informationssystem, der anvendes af en myndighed eller virksomhed, når 25
28 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED 26
29 APPENDIKS 1) myndigheden eller virksomheden har anmodet CFCS om bistand, stillet informationssystemet eller dataene herfra til rådighed for netsikkerhedstjenesten og givet skriftligt samtykke til, at netsikkerhedstjenesten behandler dataene, og 2) behandlingen vurderes at kunne bidrage væsentligt til CFCS muligheder for at sikre informations- og kommunikationsteknologisk infrastruktur, som samfundsvigtige funktioner er afhængige af. 3 Om behandling af personoplysninger, jf. CFCS-lovens 9-14 Efter lovens 9 skal CFCS indsamling af personoplysninger ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af personoplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet. Personoplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles. Bestemmelsen er identisk med persondatalovens 5, stk. 2 og 3, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis. Behandling af personoplysninger må efter lovens 10 kun finde sted, hvis 1) den pågældende person har givet sit udtrykkelige samtykke hertil, 2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den pågældende person er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den pågældende persons anmodning forud for indgåelsen af en sådan aftale, 3) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse, 4) behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigets forsvar, 5) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som CFCS eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, 6) behandlingen er nødvendig for, at CFCS eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den pågældende person ikke overstiger denne interesse, eller 7) behandlingen vedrører personoplysninger, der er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden). Bestemmelsens nr. 1, 2, 3, 5 og 6 er med sproglige tilpasninger identiske med de tilsvarende bestemmelser i persondatalovens 6 og skal fortolkes i overensstemmelse med disse bestemmelsers forarbejder og relevante praksis. Anvendelse af bestemmelsens nr. 4 forudsætter, at der er fare for, at statens sikkerhed eller rigets forsvar vil lide skade, hvilket eksempelvis kan være tilfældet i forbindelse med cyberangreb mod danske myndigheders informationssystemer. Hensynet til statens sikkerhed eller rigets forsvar skal fortolkes i overensstemmelse med det tilsvarende udtryk i offentlighedslovens 31. Med bestemmelsens nr. 7 fastsættes en generel hjemmel til at behandle personoplysninger, hvis de er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden), hvorved bemærkes, at der med lovens 15 er fastsat nærmere rammer for analyse af pakkedata, der er omfattet af lovens 4, 6 og 7, mens der i lovens 17 er fastsat regler for sletning af de pågældende data. 27
30 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED Der må ikke behandles personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og personoplysninger om helbredsmæssige og seksuelle forhold, jf. lovens 11, stk. 1. Efter bestemmelsens stk. 2 gælder dette dog ikke, hvis 1) den pågældende person har givet sit udtrykkelige samtykke til en sådan behandling, 2) behandlingen vedrører personoplysninger, som er blevet offentliggjort af den pågældende person, 3) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, 4) behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigets forsvar, eller 5) behandlingen vedrører personoplysninger, der er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden). Bestemmelsens stk. 1 og stk. 2, nr. 1-3, er med sproglige tilpasninger identiske med de tilsvarende bestemmelser i persondatalovens 7 og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis. Om stk. 2, nr. 4 og 5, henvises til bemærkningerne ovenfor vedrørende lovens 10, nr. 4 og 7. Det følger af lovens 12, stk. 1, at der ikke må behandles personoplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i 11, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af CFCS opgaver. Efter bestemmelsens stk. 2 må de i stk. 1 nævnte personoplysninger ikke videregives, medmindre 1) den pågældende person har givet sit udtrykkelige samtykke til videregivelsen, 2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår, 3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, 4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige, eller 5) videregivelsen omfatter personoplysninger, der er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden). Bestemmelsens stk. 1 og stk. 2, nr. 1-4, er med sproglige tilpasninger identiske med de tilsvarende bestemmelser i persondatalovens 8 og skal fortolkes i overensstemmelse med disse bestemmelsers forarbejder og relevante praksis. Om bestemmelsens stk. 2, nr. 5, henvises til bemærkningerne ovenfor vedrørende lovens 10, nr. 7. Behandling af personoplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne, jf. lovens 13. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende personoplysninger. Personoplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Bestemmelsen er identisk med den tilsvarende bestemmelse i persondatalovens 5, stk. 4, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis. Indsamlede personoplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den pågældende person i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles, jf. lovens 14. Bestemmelsen er identisk med den 28
31 APPENDIKS tilsvarende bestemmelse i persondatalovens 5, stk. 5, og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis. I den forbindelse bemærkes, at der i lovens 17 er fastsat særlige bestemmelser om sletning af data, der er omfattet af lovens kapitel 4 (indgreb i meddelelseshemmeligheden). 4 Om analyse, videregivelse og sletning af data, jf. CFCS-lovens og CFCS-retningslinjernes 2, 4, 5 og 6 Det følger af lovens 15, at analyse af pakkedata, der er omfattet af lovens 4, 6 og 7 (indgreb i meddelelseshemmeligheden), kun må finde sted ved begrundet mistanke om en sikkerhedshændelse og kun i det omfang, det er nødvendigt for afklaring af forhold vedrørende hændelsen. Bestemmelsen fastsætter rammerne for CFCS netsikkerhedstjenestes adgang til at analysere pakkedata, der er omfattet af de nævnte bestemmelser. Som led i netsikkerhedstjenestens drift sker der løbende en fuldautomatisk behandling af data fra de tilsluttede myndigheder og virksomheders netværkskommunikation med henblik på at identificere mulige sikkerhedshændelser. Bestemmelsen indebærer, at netsikkerhedstjenestens sikkerhedsanalytikere kun må foretage en analyse af pakkedata, hvis der er en begrundet mistanke om en sikkerhedshændelse, og da kun i det omfang, det er nødvendigt for afklaring af forhold vedrørende hændelsen. Netsikkerhedstjenestens aktiviteter på det militære område (lovens 5) er ikke omfattet af lovens 15, men reguleres nærmere af administrative retningslinjer. Ifølge 4 i CFCS-retningslinjerne må analyse af pakkedata hidrørende fra netværk hos myndigheder på Forsvarsministeriets område, jf. lovens 5, kun finde sted 1) ved begrundet mistanke om en sikkerhedshændelse, eller 2) som led i det løbende arbejde med at understøtte et højt informationssikkerhedsniveau på Forsvarsministeriets område, herunder ved kontrol af, om kommunikation indeholder klassificeret materiale, og kun i det omfang, det er nødvendigt for afklaring af forhold vedrørende hændelsen eller nødvendigt for at understøtte et højt informationssikkerhedsniveau på Forsvarsministeriets område. Ifølge lovens 16 kan data, der er omfattet af lovens 4, 6 og 7 (indgreb i meddelelseshemmeligheden), kun videregives i følgende tilfælde: 1) ved begrundet mistanke om en sikkerhedshændelse kan data videregives til politiet, eller 2) ved begrundet mistanke om en sikkerhedshændelse, og hvis det er nødvendigt for udførelsen af netsikkerhedstjenestens opgaver, kan trafikdata videregives til danske myndigheder, udbydere af offentlige elektroniske kommunikationsnet og -tjenester, andre netsikkerhedstjenester og virksomheder, der er omfattet af 4, 6 og 7, samt til myndigheder og virksomheder i øvrigt i forbindelse med CFCS udsendelse af sikkerhedsvarslinger. Bestemmelsen regulerer CFCS muligheder for at videregive data, der er omfattet af lovens 4, 6 og 7 og dermed behandles på baggrund af indgreb i meddelelseshemmeligheden. Med lovens 16, nr. 1, sikres, at centret kan videregive alle relevante oplysninger til politiet i de tilfælde, hvor det kan være relevant for politiet at indlede en strafferetlig efterforskning. Kravet om, at der skal være tale om en begrundet mistanke om en sikkerhedshændelse, indebærer, at CFCS alene kan videregive de pågældende data, hvis der foreligger konkrete indikationer, der peger i retning af, at en sikkerhedshændelse har fundet eller vil finde sted. 29
32 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED Lovens 16, nr. 2, om muligheden for at videregive trafikdata til blandt andre udbydere af offentlige elektroniske kommunikationsnet og -tjenester indebærer, at især teleselskaber kan forbedre deres sikkerhedssystemer, således at den informations- og kommunikationsteknologiske infrastruktur, som samfundsvigtige funktioner i overvejende grad er afhængige af, kan sikres yderligere, f.eks. ved at teleselskaberne informeres om IP-adresser, der anvendes ved cyberangreb. En af CFCS vigtigste forebyggende aktiviteter er udsendelse af sikkerhedsvarslinger, hvor myndigheder, virksomheder, andre netsikkerhedstjenester mv. underrettes om særligt alvorlige sikkerhedshændelser. Sikkerhedsvarslingerne giver modtagerne mulighed for at styrke deres egen forebyggelse mod angreb (f.eks. ved at blokere for trafik fra IP-adresser, der indgår i hackeres angrebsinfrastruktur) og undersøge, om de har været udsat for angreb (f.eks. ved at gennemsøge logfiler for s fra afsendere, der har angrebet andre myndigheder eller virksomheder). Med bestemmelsen i nr. 2 er der derfor givet CFCS mulighed for at udsende sikkerhedsvarslinger, som indeholder trafikdata, der kan styrke modtagernes informationssikkerhed. Videregivelse af trafikdata efter nr. 2 forudsætter, at der er begrundet mistanke om en sikkerhedshændelse, og at det konkret vurderes, at videregivelsen er nødvendig for udførelsen af netsikkerhedstjenestens opgaver. Indeholder videregivelsen personoplysninger, vil principperne om relevans og proportionalitet, jf. lovens 9, stk. 2, tillige skulle iagttages, således at der alene kan videregives personoplysninger, som er relevante og tilstrækkelige for at opnå formålet med den konkrete videregivelse. Lovens 16 skal endvidere ses i sammenhæng med lovens 12, som generelt regulerer CFCS adgang til at videregive personoplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de, der er nævnt i lovens 11, stk. 1. Erfaringsmæssigt har CFCS kun i meget sjældne tilfælde behov for at videregive personoplysninger af de nævnte typer, men i forbindelse med alvorlige cyberangreb kan der være behov for at videregive personoplysninger om strafbare forhold til politiet. Lovens 12, stk. 2, nr. 5, giver hjemmel til videregivelse af de nævnte typer af personoplysninger, hvis oplysningerne er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden). Spørgsmålet om videregivelse skal derefter vurderes efter lovens 16. Netsikkerhedstjenestens aktiviteter på det militære område ( 5) er ikke omfattet af lovens 16, men reguleres nærmere af administrative retningslinjer. Ifølge 6 i CFCS-retningslinjerne må data, der er omfattet af lovens 5, kun videregives af CFCS, når 1) videregivelsen er nødvendig for at understøtte et højt informationssikkerhedsniveau, og 2) videregivelsen sker med udtrykkeligt angivne og saglige formål, idet enhver videregivelse af data skal registreres af CFCS. I lovforslagets almindelige bemærkninger anføres om den interne udveksling af data i FE, at denne i overensstemmelse med almindelige forvaltningsretlige principper ikke er lovreguleret. Dette indebærer, at der som udgangspunkt er fri adgang til at udveksle data internt i FE, herunder mellem CFCS og den øvrige del af efterretningstjenesten, hvis dette er nødvendigt for at løse myndighedens opgaver, og der i øvrigt er tale om et sagligt formål. Det sikrer, at alle de relevante ressourcer i FE hurtigt og effektivt kan indsættes ved den meget store andel af cyberangreb mod Danmark, som hidrører fra udlandet, og hvor FE som udenrigsefterretningstjeneste kan bidrage med en række værdifulde oplysninger. I overensstemmelse hermed er det i 2 i CFCS-retningslinjerne fastsat, at CFCS kun må udveksle data, der er omfattet af lovens 4, 6 og 7, med den øvrige del af FE, når 30
33 31
34 TILSYNET MED EFTERRETNINGSTJENESTERNE // ÅRSREDEGØRELSE 2017 // CENTER FOR CYBERSIKKERHED 1) udvekslingen er nødvendig for at understøtte et højt informationssikkerhedsniveau, 2) udvekslingen sker med udtrykkeligt angivne og saglige formål, og 3) der er begrundet mistanke om en sikkerhedshændelse, idet enhver udveksling af data skal registreres af CFCS. Tilsvarende følger det af 5 i CFCS-retningslinjerne, at CFCS kun må udveksle data, der er omfattet af lovens 5, med den øvrige del af FE, når 1) udvekslingen er nødvendig for at understøtte et højt informationssikkerhedsniveau, og 2) udvekslingen sker med udtrykkeligt angivne og saglige formål, idet enhver udveksling af data skal registreres af CFCS. Ifølge lovens 17, stk. 1, skal data, der er omfattet af kapitel 4 (indgreb i meddelelseshemmeligheden), slettes, når formålet med behandlingen er opfyldt. Bestemmelsen skal ses i sammenhæng med lovens 14, hvorefter indsamlede personoplysninger generelt ikke må opbevares på en måde, der giver mulighed for at identificere den pågældende person i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Mens lovens 14 finder anvendelse på al behandling af personoplysninger i CFCS, finder de særlige regler i lovens 17 alene anvendelse på de data, der behandles på baggrund af indgreb i meddelelseshemmeligheden. Ifølge lovforslagets bemærkninger til 17 vil der på baggrund af denne bestemmelse ske en løbende vurdering af de behandlede data med henblik på at sikre, at data, der ikke længere er relevante i forhold til netsikkerhedstjenestens formål og aktiviteter, straks slettes. Af lovens 17, stk. 2, fremgår, at uanset at formålet med behandlingen ikke er opfyldt, jf. stk. 1, må 1) data, der knytter sig til en sikkerhedshændelse, højst opbevares i tre år, og 2) data, der ikke knytter sig til en sikkerhedshændelse, højst opbevares i 13 måneder. Bestemmelsen fastsætter øvre grænser for, hvor længe data, der ikke er slettet efter lovens 17, stk. 1, kan opbevares, og bestemmelsen finder dermed anvendelse på data, hvor det er blevet vurderet, at der fortsat er behov for behandling i netsikkerhedstjenesten. Uanset at formålet med behandlingen således i disse tilfælde endnu ikke er opfyldt, vil data skulle slettes inden for de absolutte frister, som er fastsat i bestemmelsen. Såfremt data, der knytter sig til en sikkerhedshændelse, inden for den treårige periode igen konstateres anvendt i forbindelse med en sikkerhedshændelse, vil en ny treårig periode begynde. Fristerne i stk. 2, regnes fra tidspunktet for CFCS registrering af de pågældende data, jf. stk. 3. Lovens 17, stk. 1 og 2, finder ikke anvendelse på data, der er videregivet i medfør af lovens 16, jf. lovens 17, stk Om sikkerhedsforanstaltninger i forbindelse med centrets behandling af personoplysninger (informationssikkerhed), jf. CFCS-lovens 18 Ifølge lovens 18 træffer CFCS passende tekniske og organisatoriske foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, og mod, at de kommer 32
35 APPENDIKS til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. For oplysninger, som er af særlig interesse for fremmede magter, skal CFCS træffe foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Bestemmelsen er indholdsmæssigt identisk med de tilsvarende bestemmelser i persondatalovens 41, stk. 3 og 4, og skal fortolkes i overensstemmelse med disse bestemmelsers forarbejder og relevante praksis. Det følger af persondatalovens 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, og tilsvarende gælder for databehandlere. Af lovens 41, stk. 4, fremgår, at der for oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, (sikkerhedsbekendtgørelsen) fastsætter nærmere regler om de i persondatalovens 41, stk. 3, angivne sikkerhedsforanstaltninger. Uanset at bekendtgørelsen ikke gælder for CFCS behandling af personoplysninger, har tilsynet ved sin vurdering af kravene til de sikkerhedsforanstaltninger, der følger af CFCS-lovens 18, henset til bekendtgørelsens bestemmelser, herunder 5. Af denne bestemmelse følger blandt andet, at den ansvarlige datamyndighed skal fastsætte retningslinjer for myndighedens tilsyn med overholdelse af de sikkerhedsforanstaltninger, der er fastsat af myndigheden, jf. bestemmelsens stk. 1, 4. pkt., og at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden, jf. bestemmelsens stk. 2.
36 Årsredegørelse 2017 Center for Cybersikkerhed Udgivet af Tilsynet med Efterretningstjenesterne, maj 2018 Layout + illustrationer: Eckardt ApS Portrætfotos: Lars Engelgaar Publikationen kan downloades fra tilsynets hjemmeside på Medlemmer af Tilsynet med Efterretningstjenesterne Landsdommer Michael Kistrup, Østre Landsret (formand) Juridisk chef Pernille Christensen, Kommunernes Landsforening Professor Henrik Udsen, Københavns Universitet Professor Jørgen Grønnegård Christensen, Aarhus Universitet Bestyrelsesformand Erik Jacobsen, Roskilde Universitet 34
Lov om Center for Cybersikkerhed
LOV nr 713 af 25/06/2014 (Gældende) Udskriftsdato: 27. marts 2019 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., j.nr. 2013/003214 Senere ændringer til forskriften LOV nr 443 af 08/05/2018
Læs mereÅrsredegørelse Center for Cybersikkerhed
Årsredegørelse 2016 Center for Cybersikkerhed Indhold Til forsvarsministeren... 1 Forord... 3 1 Om Center for Cybersikkerhed... 4 2 Tilsynet med Efterretningstjenesterne... 6 2.1 Tilsynets opgaver i forhold
Læs mereTilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K. Årsredegørelse Forsvarets Efterretningstjeneste
Tilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K Årsredegørelse 2017 Forsvarets Efterretningstjeneste Indhold Til forsvarsministeren... 1 Forord... 3 1. Om Forsvarets Efterretningstjeneste...
Læs mereTilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K. Årsredegørelse Center for Cybersikkerhed
Tilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K Årsredegørelse 2018 Center for Cybersikkerhed Indhold. Til forsvarsministeren...1.forord... 2 1.. Tilsynets kontrol... 4 1.1.
Læs mereRedegørelse 2014 og Center for Cybersikkerhed
Redegørelse 2014 og 2015 Center for Cybersikkerhed Redegørelse 2014 og 2015 Center for Cybersikkerhed Udgivet af Tilsynet med Efterretningstjenesterne, maj 2016 Layout: Eckardt ApS Portrætfotos: Lars Engelgaar
Læs mereÅrsredegørelse Forsvarets Efterretningstjeneste
Årsredegørelse 2016 Forsvarets Efterretningstjeneste Indhold Til forsvarsministeren... 3 Forord... 5 1 Om Forsvarets Efterretningstjeneste... 6 2 Tilsynet med Efterretningstjenesterne... 8 2.1 Tilsynets
Læs mereBekendtgørelse af lov om Forsvarets Efterretningstjeneste (FE)
LBK nr 1 af 04/01/2016 (Historisk) Udskriftsdato: 2. december 2017 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., j.nr. 2015/008780 Senere ændringer til forskriften LOV nr 462 af 15/05/2017
Læs mereForsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt
Forsvarsudvalget 2013-14 L 192 endeligt svar på spørgsmål 3 Offentligt Folketingets Forsvarsudvalg Christiansborg FORSVARSMINISTEREN 23. maj 2014 Folketingets Forsvarsudvalg har den 13. maj 2014 stillet
Læs mereBekendtgørelse af lov om Politiets Efterretningstjeneste (PET)
LBK nr 1600 af 19/12/2014 Udskriftsdato: 27. juni 2019 Ministerium: Justitsministeriet Journalnummer: Justitsmin., j.nr. 2014-1924-0222 Senere ændringer til forskriften LOV nr 1881 af 29/12/2015 LOV nr
Læs mereÅrsredegørelse Politiets Efterretningstjeneste
Årsredegørelse 2016 Politiets Efterretningstjeneste Indhold Til justitsministeren... 3 Forord... 5 1 Om Politiets Efterretningstjeneste... 6 2 Tilsynet med Efterretningstjenesterne... 8 2.1 Tilsynets opgaver
Læs mereRetningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste
Sagsbehandler: PAH Sagsnummer: 2012/002293 13. maj 2013 Indledning Retningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste Forsvarets Efterretningstjeneste
Læs mereCenter for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014
Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580
Læs mereBekendtgørelse af lov om Politiets Efterretningstjeneste (PET)
LBK nr 231 af 07/03/2017 (Gældende) Udskriftsdato: 27. juni 2019 Ministerium: Justitsministeriet Journalnummer: Justitsmin., j.nr. 2017-1924-0600 Senere ændringer til forskriften LOV nr 503 af 23/05/2018
Læs mereÅrsredegørelse Politiets Efterretningstjeneste
Årsredegørelse 2015 Politiets Efterretningstjeneste Årsredegørelse 2015 Politiets Efterretningstjeneste Udgivet af Tilsynet med Efterretningstjenesterne, maj 2016 Layout: Eckardt ApS Portrætfotos: Lars
Læs mereÅrsredegørelse Forsvarets Efterretningstjeneste
Årsredegørelse 2015 Forsvarets Efterretningstjeneste Årsredegørelse 2015 Forsvarets Efterretningstjeneste Udgivet af Tilsynet med Efterretningstjenesterne, maj 2016 Layout: Eckardt ApS Portrætfotos: Lars
Læs mereHØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN
Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER
Læs mereNOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)
Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt
Læs mereForslag. Lov om Center for Cybersikkerhed
2013/1 LSF 192 (Gældende) Udskriftsdato: 17. juni 2016 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin. j.nr. 2013/003214 Fremsat den 2. maj 2014 af Forsvarsministeren (Nicolai Wammen) Forslag
Læs mereForslag. Lov om Center for Cybersikkerhed
Forsvarsministeriet Februar 2014 U D K A S T Forslag til Lov om Center for Cybersikkerhed Kapitel 1 Opgaver og organisation 1. Center for Cybersikkerhed har til opgave at understøtte et højt informationssikkerhedsniveau
Læs mereForslag. Lov om Center for Cybersikkerhed
Lovforslag nr. L 192 Folketinget 2013-14 Fremsat den 2. maj 2014 af Forsvarsministeren (Nicolai Wammen) Forslag til Lov om Center for Cybersikkerhed Kapitel 1 Opgaver og organisation 1. Center for Cybersikkerhed
Læs mereHovedpunkterne i lovforslaget om Politiets Efterretningstjeneste og lovforslaget om ændring af den parlamentariske kontrolordning
Hovedpunkterne i lovforslaget om Politiets Efterretningstjeneste og lovforslaget om ændring af den parlamentariske kontrolordning 1. Indledning Justitsministeren vil som led i udmøntningen af den politiske
Læs mereU d k a s t. Forslag til Lov om ændring af lov om Center for Cybersikkerhed
U d k a s t Forslag til Lov om ændring af lov om Center for Cybersikkerhed (Konsekvensændringer som følge af databeskyttelsesforordningen og databeskyttelsesloven) 1 I lov nr. 713 af 25. juni 2014 om Center
Læs mereTilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K. Årsredegørelse Forsvarets Efterretningstjeneste
Tilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K Årsredegørelse 2018 Forsvarets Efterretningstjeneste Indhold Til forsvarsministeren... 1 Forord... 2 1. Tilsynets kontrol...
Læs mereOfte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk
9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation
Læs mereGovCERT-tilsynets årsredegørelse 2013
21. marts 2014 GovCERT-tilsynets årsredegørelse 2013 1/1 Marts 2014 GovCERT tilsynets årsredegørelse 2013 1. Indledning Tilsynet med den statslige varslingstjeneste for internettrusler GovCERT tilsynet
Læs mereTilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K. Årsredegørelse Politiets Efterretningstjeneste
Tilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K Årsredegørelse 2018 Politiets Efterretningstjeneste Indhold. Til justitsministeren... 1.Forord... 2 1.. Tilsynets kontrol...4
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereForslag. Lov om ændring af lov om Center for Cybersikkerhed
Lovforslag nr. L 155 Folketinget 2017-18 Fremsat den 28. februar 2018 af forsvarsministeren (Claus Hjort Frederiksen) Forslag til Lov om ændring af lov om Center for Cybersikkerhed (Konsekvensændringer
Læs mereEvaluering af GovCERT-loven
Forsvarsministeriet Januar 2014 U D K A S T Evaluering af GovCERT-loven 1. Indledning og sammenfatning Forsvarsministeren afgiver hermed redegørelse om den statslige varslingstjeneste for internettrusler
Læs mereHøringsnotat. Høringssvar over udkast til forslag til lov om Center for Cybersikkerhed. (Initiativer til styrkelse af cybersikkerheden).
Høringsnotat København, den 6. februar 2019 Høringssvar over udkast til forslag til lov om Center for Cybersikkerhed. (Initiativer til styrkelse af cybersikkerheden). (Sagsnr. 2018/006599). Ved mail af
Læs mereVedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed.
4. marts 2014 Forsvarsministeriet Att.: Peter Heiberg Holmens Kanal 42 1060 København K Mail: pah@fmn.dk Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed. Rådet for Digital Sikkerhed
Læs mereForsvarsudvalget L 155 endeligt svar på spørgsmål 11 Offentligt
Forsvarsudvalget 2017-18 L 155 endeligt svar på spørgsmål 11 Offentligt Fejl! Ukendt betegnelse for dokumentegenskab. Folketingets Forsvarsudvalg Christiansborg FORSVARSMINISTEREN 20. april 2018 Folketingets
Læs mereH Ø R I N G O V E R U D K A S T T I L F O R S L A G T I L L O V O M
Forsvarsministeriet Holmens Kanal 42 1060 København K Danmark E-mail: fmn@fmn.dk med kopi til tbl@fmn.dk og sbu@fmn.dk W I L D E R S P L A D S 8 K 1 4 0 3 K Ø BENHAVN K T E L E F O N 3 2 6 9 8 8 8 8 M
Læs mereRapport om erfaringerne med lov om Center for Cybersikkerhed
Forsvarsudvalget 2016-17 FOU Alm.del Bilag 97 Offentligt Rapport om erfaringerne med lov om Center for Cybersikkerhed I ndholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 3 2. Oprettelsen af
Læs mereForsvarets videregivelse af personaleoplysninger til brug for markedsføring
Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Brevdato: 19.08.08 Journalnummer: 2008-632-0034 Datatilsynet vender hermed tilbage til sagen, hvor Forsvarets Personeltjeneste
Læs mereImplementering af NIS-direktivet IXP
e layout menuen lpelinjer lpelinjer ik på Vis terlinjer lpelinjer Sundheds- og Ældreudvalget 2017-18 L 143 Bilag 5 Offentligt /design dit slide e layout yt dias, yt slide Implementering af NIS-direktivet
Læs meree êáåö=îéçêk=içî=çã=`éåíéê=ñçê=`óäéêëáââéêüéç=
2. marts 2014 HEM ================= = Forsvarsministeriet Att.: Peter Heiberg Holmens Kanal 42 1060 København K e êáåö=îéçêk=içî=çã=`éåíéê=ñçê=`óäéêëáââéêüéç= DI og DI ITEK takker for henvendelsen vedrørende
Læs mereÅrlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)
Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk
Læs mereRetspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg.
R E T S P O L I T I S K F O R E N I N G Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. Indledende bemærkninger og problemstilling. Retspolitisk
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs mere[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]
!"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne
Læs mereÅrlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)
Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk
Læs mereForslag. Lov om ændring af lov om Center for Cybersikkerhed
Lovforslag nr. L 215 Folketinget 2018-19 Fremsat den 27. marts 2019 af forsvarsministeren (Claus Hjort Frederiksen) Forslag til Lov om ændring af lov om Center for Cybersikkerhed (Initiativer til styrkelse
Læs mereU d k a s t. Forslag til Lov om ændring af lov om Center for Cybersikkerhed
Januar 2019 U d k a s t Forslag til Lov om ændring af lov om Center for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden) 1 I lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, som
Læs mereJustitsministeriet Politi- og Strafferetsafdelingen Sikkerheds- og Forebyggelseskontoret
Justitsministeriet Politi- og Strafferetsafdelingen Sikkerheds- og Forebyggelseskontoret jm@jm.dk W I L D E R S P L A D S 8 K 1 4 0 3 K Ø BENHAVN K T E L E F O N 3 2 6 9 8 8 8 8 D I R E K T E 3 2 6 9 8
Læs mereNy lov for Center for Cybersikkerhed. En analyse blandt IDAs it-politiske panel
Ny lov for Center for Cybersikkerhed En analyse blandt IDAs it-politiske panel Februar 2019 Ny lov for Center for Cybersikkerhed Resume Center for Cybersikkerhed (CFCS), under Forsvarets Efterretningstjeneste,
Læs mereForslag til Lov om net- og informationssikkerhed 1
Forsvarsministeriet 21. april 2015 U D K A S T Forslag til Lov om net- og informationssikkerhed 1 Kapitel 1 Formål og definitioner 1. Lovens formål er at fremme net- og informationssikkerheden i samfundet.
Læs mereLov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter m.v. 1)
LOV nr 437 af 08/05/2018 (Gældende) Udskriftsdato: 28. februar 2019 Ministerium: Forsvarsministeriet Journalnummer: Forsvarsmin., j.nr. 2017/004548 Senere ændringer til forskriften Ingen Lov om sikkerhed
Læs mereHVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet
HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet Om Datatilsynet Datatilsynet er den statslige myndighed, der fører tilsyn med lov om behandling af personoplysninger
Læs mereAnkestyrelsens udtalelse til en journalist. Region Syddanmarks afgørelse om delvist afslag på aktindsigt
Ankestyrelsens udtalelse til en journalist 2017-84059 Dato: 31-01-2018 Region Syddanmarks afgørelse om delvist afslag på aktindsigt Du har den 28. november 2017 klaget over Region Syddanmarks afgørelse
Læs mereRigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb
Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb Juni 2018 NOTAT TIL STATSREVISORERNE, JF. RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning nr. 11/2017 om beskyttelse
Læs mereFolketinget Retsudvalget Christiansborg 1240 København K
Retsudvalget 2014-15 (1. samling) REU Alm.del - endeligt svar på spørgsmål 682 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Politi- og Strafferetsafdelingen Dato: 18. maj 2015 Kontor:
Læs merehos statslige myndigheder
IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet
Læs mereRetningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge.
12. maj 2010 Retningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge. Indledning Forsvarets Efterretningstjeneste har til
Læs mereBeretning. udvalgets virksomhed
Udvalget vedrørende Efterretningstjenesterne Alm.del UET - Beretning 1 Offentligt Beretning nr. 7 Folketinget 2005-06 Beretning afgivet af Udvalget vedrørende Efterretningstjenesterne den 13. september
Læs mereForslag til Lov om Politiets Efterretningstjeneste (PET) (Adgang til aktindsigt i PETs sager om administrative forhold)
Retsudvalget 2012-13 REU Alm.del Bilag 425 Offentligt Dok. 900388 Forslag til Lov om Politiets Efterretningstjeneste (PET) (Adgang til aktindsigt i PETs sager om administrative forhold) 2 I lov nr. 604
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereOplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler
Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig
Læs mereHøringssvar vedr. forslag til lov om ændring af lov om Center for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden)
Forsvarsministeriet fmn@fmn.dk 01-02-2019 EMN-2019-00127 1255493 Høringssvar vedr. forslag til lov om ændring af lov om Center for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden) Danske
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereLunar Way Business Privatlivspolitik
Lunar Way Business Privatlivspolitik 1. Formål og beskyttelse I denne privatlivspolitik henviser Lunar Way, vi, os og vores til Lunar Way A/S. Hos Lunar Way tager vi beskyttelsen af vores brugeres privatliv,
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereRetningslinjer for Politiets Efterretningstjenestes behandling af personoplysninger mv.
Retsudvalget 2009-10 REU alm. del Bilag 159 Offentligt Civil- og Politiafdelingen Dato: 7. december 2009 Kontor: Politikontoret Dok.: JKL40398 Retningslinjer for Politiets Efterretningstjenestes behandling
Læs mereLov om ændring af lov om Center for Cybersikkerhed - høringssvar - deres sagsnummer 2018/006599
Forsvarsministeriet Sendt e-mail til fmn@fmn.dk c.c. tbl@fmn.dk og sbu@fmn.dk Lov om ændring af lov om Center for Cybersikkerhed - høringssvar - deres sagsnummer 2018/006599 (F&P) værdsætter muligheden
Læs mereFolketinget Retsudvalget Christiansborg 1240 København K DK Danmark
Retsudvalget 2018-19 REU Alm.del endeligt svar på spørgsmål 14 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K DK Danmark Dato: 21. november 2018 Kontor: Sikkerhedskontoret Sagsbeh:
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs mereJustitsministeriet Lovafdelingen
Retsudvalget L 14 - O Justitsministeriet Lovafdelingen Kontor: Strafferetskontoret Sagsnr.: 2005-730-0028 Dok.: SAL40039 Besvarelse af spørgsmål nr. 1 af 8. marts 2005 fra Folketingets Retsudvalg vedrørende
Læs mereResumé Statsforvaltningen Sjælland udtaler, at en kommune har overholdt reglerne om aktindsigt efter offentlighedsloven.
Resumé Statsforvaltningen Sjælland udtaler, at en kommune har overholdt reglerne om aktindsigt efter offentlighedsloven. 10-06- 2009 A har ved brev af x. xx 200x med bilag rettet henvendelse til Statsforvaltningen
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereUddrag af lov om behandling af personoplysninger
Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger
Læs mereRetsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt
Retsudvalget, Retsudvalget 2017-18 L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt Spørgsmål 4 fra Folketingets Retsudvalg vedrørende L 68 og L 69: Vil ministeren overveje
Læs mereVejledning. 1 Indledning Den 25. maj 2011 trådte den nye telelov 1 i kraft.
Vejledning Februar 2012 Vejledning om tilsyn, rimelige anmodninger og alternativ tvistbillæggelse i forhold til den sektorspecifikke konkurrenceregulering på teleområdet 1 Indledning Den 25. maj 2011 trådte
Læs mereFOLKETINGETS RETSUDVALG HØRING OM CFCS-LOVEN 8. MAJ 2014
Forsvarsudvalget 2013-14 L 192 Bilag 2 Offentligt FOLKETINGETS RETSUDVALG HØRING OM CFCS-LOVEN 8. MAJ 2014 Rådet for Digital Sikkerhed Birgitte Kofod Olsen, formand Privatlivsbeskyttelse Grundloven Forvaltningsloven
Læs mereSkatteministeriet Nicolai Eigtveds Gade 28 1402 København K
Skatteministeriet Nicolai Eigtveds Gade 28 1402 København K Sendt til: js@skat.dk 4. oktober 2010 Vedrørende høring over forslag til lov om ændring af skattekontrolloven Datatilsynet Borgergade 28, 5.
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereVedtægt for Roskilde Kommunes borgerrådgiver
Vedtægt for Roskilde Kommunes borgerrådgiver Kapitel 1 Generelle bestemmelser Borgerrådgiverens overordnede funktion 1. Roskilde Kommune har etableret en borgerrådgiverfunktion, som er forankret direkte
Læs mereBetænkning. Forslag til lov om Center for Cybersikkerhed
2013/1 BTL 192 (Gældende) Udskriftsdato: 23. juni 2016 Ministerium: Folketinget Journalnummer: Betænkning afgivet af Forsvarsudvalget den 2. juni 2014 Betænkning over Forslag til lov om Center for Cybersikkerhed
Læs mereNotat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014
Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning
Læs mereTitel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler
2016-49433 Titel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler På foranledning af en henvendelse fra en borger har Statsforvaltningen udtalt: Henvendelse
Læs mereCFCS Beretning Center for Cybersikkerhed.
Center for Cybersikkerheds Beretning 2017 Center for Cybersikkerhed www.cfcs.dk 2 Cybertruslen - - - - - - - Center for Cybersikkerheds indsatser i 2017 - rådet. Det er centerets mission at styrke beskyttelsen
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereAftale omkring behandling af persondata.
Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende
Læs mereUddrag af persondataloven
Uddrag af persondataloven Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs mereRigsrevisionens notat om beretning om ministeriernes aktstykker om investeringsprojekter til Folketingets Finansudvalg
Rigsrevisionens notat om beretning om ministeriernes aktstykker om investeringsprojekter til Folketingets Finansudvalg Februar 2018 FORTSAT NOTAT TIL STATSREVISORERNE 1 Opfølgning i sagen om ministeriernes
Læs mereNotat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016
Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver Februar 2016 18, STK. 4-NOTAT TIL STATSREVISORERNE 1 Vedrører: Statsrevisorernes beretning
Læs mereAktindsigt i toldvæsenets materiale fra kontrolbesøg
Aktindsigt i toldvæsenets materiale fra kontrolbesøg Udtalt over for departementet for told- og forbrugsafgifter, at direktoratet for toldvæsenets faste praksis, hvorefter alle begæringer om aktindsigt
Læs mereBekendtgørelse om Forretningsorden for Det Systemiske Risikoråd
BEK nr 977 af 01/07/2013 (Gældende) Udskriftsdato: 4. februar 2017 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., j.nr. 13/02365 Senere ændringer til forskriften Ingen
Læs mereRIGSREVISIONEN København, den 12. februar 2002 RN C504/02
RIGSREVISIONEN København, den 12. februar 2002 RN C504/02 Notat til statsrevisorerne om Lønmodtagernes Dyrtidsfonds engagement i Sevryba International Shipping Ltd. (SISL) I. Indledning 1. Statsrevisorerne
Læs mereRetsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt
Retsudvalget 2016-17 REU Alm.del endeligt svar på spørgsmål 919 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 5. oktober 2017 Kontor: Databeskyttelseskontoret
Læs mereDATABEHANDLERAFTALE [LEVERANDØR]
DATABEHANDLERAFTALE Mellem [KUNDE] og [LEVERANDØR] Der er den [dato] indgået følgende databehandleraftale ("Aftalen") mellem: (A) (B) [VIRKSOMHEDEN], [ADRESSE] et selskab registreret under CVR-nr. [ ]
Læs mereSikkerhedsvurderinger
Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i
Læs mereDatabeskyttelsespolitik (oplysningspligten) 1. Introduktion. 2. Vores behandlingsaktiviteter Kundesamarbejdet
Databeskyttelsespolitik (oplysningspligten) 1. Introduktion Haamann Statsautoriseret Revisionspartnerselskab (Haamann) er forpligtet til at beskytte fortroligheden, integriteten og tilgængeligheden af
Læs mereIngeniørforeningen 20. maj 2014
Ingeniørforeningen 20. maj 2014 Statens planlægning og koordinering af beredskabet for større ulykker og katastrofer Oplæg ved Gitte Korff, sekretariatschef for statsrevisorerne Lene Schmidt, kontorchef
Læs mereVejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden
Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets
Læs mereForslag. Lov om ændring af lov om etablering af et udvalg om forsvarets og politiets efterretningstjenester. Lovforslag nr. L 162 Folketinget
Lovforslag nr. L 162 Folketinget 2012-13 Fremsat den 27. februar 2013 af justitsministeren (Morten Bødskov) Forslag til Lov om ændring af lov om etablering af et udvalg om forsvarets og politiets efterretningstjenester
Læs mereNotat til Statsrevisorerne om beretning om Finanstilsynets aktiviteter i forhold til Roskilde Bank A/S. November 2009
Notat til Statsrevisorerne om beretning om Finanstilsynets aktiviteter i forhold til Roskilde Bank A/S November 2009 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1
Læs mereUDKAST TIL TALE Til brug for besvarelsen den 19. august 2010, kl , af samrådsspørgsmål BI
Retsudvalget 2009-10 REU alm. del, endeligt svar på spørgsmål 1422 Offentligt Dok.: MOA40883 UDKAST TIL TALE Til brug for besvarelsen den 19. august 2010, kl. 10.00, af samrådsspørgsmål BI Samrådsspørgsmål
Læs mereDato: 4. juli 2018 Stats- og Menneskeretskontoret. Sagsbeh: Henrik Skovgaard-Petersen. Sagsnr.: Dok.:
Dato: 4. juli 2018 Kontor: Stats- og Menneskeretskontoret Sagsbeh: Henrik Skovgaard-Petersen Sagsnr.: 2018-750-0159 Dok.: 791222 KOMMISSORIUM for en undersøgelseskommission til gennemførelse af en supplerende
Læs mere