Forslag. Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste. Lovforslag nr. L 197 Folketinget

Størrelse: px
Starte visningen fra side:

Download "Forslag. Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste. Lovforslag nr. L 197 Folketinget 2010-11"

Transkript

1 Lovforslag nr. L 197 Folketinget Fremsat den 27. april 2011 af videnskabsministeren (Charlotte Sahl-Madsen) Forslag til Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste for internettrusler m.v. 1. Loven finder anvendelse på IT- og Telestyrelsens behandling af personoplysninger, som er indeholdt i pakke- og trafikdata, ved driften af den statslige varslingstjeneste for internettrusler. 2. Kommuner og regioner samt private virksomheder, som er beskæftiget med kritisk infrastruktur, kan efter anmodning blive tilsluttet den statslige varslingstjeneste for internettrusler. Stk. 2. Ministeren for videnskab, teknologi og udvikling kan fastsætte nærmere regler for de i stk. 1 nævnte myndigheders og private virksomheders tilslutning til den statslige varslingstjeneste for internettrusler, herunder regler om betaling af gebyr. 3. I denne lov forstås ved: 1) Pakkedata: Indholdet af internetbaseret kommunikation. 2) Trafikdata: Data, som behandles med henblik på overførsel af pakkedata. 3) Sikkerhedshændelse: Hændelse, der påvirker tilgængelighed, integritet eller fortrolighed af information eller tjenester på internettet. 4. Som led i driften af den statslige varslingstjeneste for internettrusler behandler, herunder indsamler, registrerer, analyserer og opbevarer, IT- og Telestyrelsen uden retskendelse tilsluttede myndigheders og private virksomheders indog udgående pakke- og trafikdata. Pakkedata må dog kun analyseres ved begrundet mistanke om en stedfunden eller forventet sikkerhedshændelse og kun i det omfang, det er nødvendigt for at gennemføre den pågældende analyse. Stk. 2. Registreret pakke- og trafikdata, som nævnt i stk. 1, slettes, når formålet med behandlingen er opfyldt. Stk. 3. Uanset, at formålet med behandlingen ikke er opfyldt, kan pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, højst opbevares i tre år, pakkedata, der ikke knytter sig til en sikkerhedshændelse, højst opbevares i 14 dage, og trafikdata, der ikke knytter sig til en sikkerhedshændelse, højst opbevares i 12 måneder. Stk. 4. Fristerne i nr. 1-3 regnes fra tidspunktet for registreringen af de pågældende data i den statslige varslingstjeneste. Stk. 5. Ministeren for videnskab, teknologi og udvikling kan fastsætte nærmere regler for den i stk. 1 nævnte behandling af pakke- og trafikdata i lov om behandling af personoplysninger finder ikke anvendelse på den statslige varslingstjeneste for internettruslers behandling af personoplysninger. Stk. 2. Personer, der virker inden for den statslige varslingstjeneste for internettrusler, har tavshedspligt, jf. straffelovens 152, jf. 152 a-e, med hensyn til oplysninger, som de gennem deres virksomhed i varslingstjenesten får kendskab til, jf. dog Data, der behandles som led i den statslige varslingstjenestes aktiviteter, kan kun videregives i følgende tilfælde: 1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, kan videregives til politiet. 2) Pakkedata, der knytter sig til en sikkerhedshændelse, kan videregives til Forsvarets Efterretningstjenestes militære cert, hvor IT- og Telestyrelsen skønner det nødvendigt for at beskytte nationale digitale infrastrukturer mod sikkerhedsmæssige trusler. Forsvarets Efterretningstjeneste behandler, herunder sletter og opbevarer, disse data i overensstemmelse med bestemmelserne i 4. 3) Trafikdata kan, hvor dette er nødvendigt i henhold til varslingstjenestens formål og aktiviteter, videregives til danske myndigheder, tilsluttede private virksomheder og tilsvarende varslingstjenester i andre lande. 7. Ministeren for videnskab, teknologi og udvikling nedsætter et uafhængigt tilsyn, der følger den statslige varslingstjeneste for internettruslers virksomhed. Videnskabsministeriet, IT- og Telestyrelsen, j.nr BD000642

2 2 Stk. 2. Tilsynet består af en jurist som formand og fire sagkyndige medlemmer. Formanden og medlemmerne beskikkes af ministeren for videnskab, teknologi og udvikling. Ministeren for videnskab, teknologi og udvikling skal ved beskikkelsen af medlemmerne lægge vægt på, at tilsynet samlet repræsenterer juridisk, it-revisionsmæssig og sikkerhedsmæssig sagkundskab. Stk. 3. Formanden og medlemmerne beskikkes for fire år ad gangen og kan genbeskikkes. Stk. 4. Ministeren for videnskab, teknologi og udvikling fastsætter nærmere regler for tilsynets virksomhed. Ministeren for videnskab, teknologi og udvikling kan herunder beslutte, at tilsynet skal udarbejde en årsberetning om den statslige varslingstjeneste for internettruslers virksomhed. Stk. 5. IT- og Telestyrelsen stiller sekretariatsbistand til rådighed for tilsynet. Stk. 6. Staten afholder alle udgifter ved tilsynets virksomhed. 8. Ministeren for videnskab, teknologi og udvikling kan bemyndige en under ministeriet oprettet statslig myndighed eller efter forhandling med vedkommende minister andre statslige myndigheder til at udøve de beføjelser, der i denne lov er tillagt ministeren for videnskab, teknologi og udvikling. Stk. 2. Ministeren for videnskab, teknologi og udvikling kan fastsætte regler om adgangen til at påklage afgørelser, der er truffet i henhold til bemyndigelse efter stk. 1, herunder om, at afgørelserne ikke skal kunne påklages. Stk. 3. Ministeren for videnskab, teknologi og udvikling kan fastsætte regler om udøvelsen af de beføjelser, som en anden statslig myndighed efter forhandling med vedkommende minister bliver bemyndiget til at udøve efter stk Loven træder i kraft den 1. juli Loven gælder ikke for Færøerne og Grønland.

3 3 Bemærkninger til lovforslaget Almindelige bemærkninger Indholdsfortegnelse 1. Indledning 1.1. Lovforslagets formål 1.2. Lovforslagets baggrund Baggrund for varslingstjenestens etablering Internationale erfaringer og anbefalinger Varslingstjenestens opgaver 2. Gældende ret 3. Lovforslagets indhold 3.1. Tilslutning til varslingstjenesten 3.2. Generelt om adgang til data 3.3. Indsamling og opbevaring af data 3.4. Videregivelse af data Videregivelse af pakkedata Videregivelse af trafikdata 3.5. Forholdet til persondataloven Behandling af personoplysninger Den registreredes rettigheder 3.6. Forholdet til grundlovens Forholdet til den europæiske menneskerettighedskonvention 3.8. Uafhængigt tilsyn 4. De økonomiske og administrative konsekvenser for det offentlige 5. De økonomiske og administrative konsekvenser for erhvervslivet 6. De miljømæssige konsekvenser 7. De administrative konsekvenser for borgerne 8. Forholdet til EU-retten 8.1. Generelle overvejelser 8.2. Persondatadirektivet 8.3. E-databeskyttelsesdirektivet 9. De hørte myndigheder og organisationer mv. 10. Sammenfattende skema 1. Indledning 1.1. Lovforslagets formål Formålet med dette lovforslag er at tilvejebringe en særskilt lovhjemmel for behandlingen af personoplysninger ved driften af den statslige varslingstjeneste for internettrusler (Gov- CERT) i IT- og Telestyrelsen. Lovforslaget vedrører blandt andet behandlingen af de personoplysninger indeholdt i pakke- og trafikdata, som Gov- CERT indsamler fra de tilsluttede myndigheder og private virksomheder via det såkaldte GovCERT IDS. GovCERT IDS gennemgås nærmere nedenfor under punkt 3.3. Lovforslaget vedrører desuden videregivelse af data, der behandles som led i den statslige varslingstjenestes aktiviteter. Behandlingen af personoplysninger er nødvendig for, at varslingstjenestens formål kan opfyldes. Som beskrevet med dette lovforslag, er det dog kun i visse specifikke og nærmere afgrænsede tilfælde, at GovCERT vil få adgang til personoplysninger. GovCERT står for Governmental Computer Emergency Response Team og er en tjeneste, som er etableret indenfor IT- og Telestyrelsens ressort under Ministeriet for Videnskab, Teknologi og Udvikling. Det blev aftalt at etablere GovCERT ved en beslutning truffet af regeringens Økonomiudvalg i maj GovCERT er placeret i IT- og Telestyrelsen, idet Ministeriet for Videnskab, Teknologi og Udvikling har ressortansvaret for sager vedrørende it-sikkerhed og tillige varetager koordineringen af it- og teleberedskabet. GovCERT blev ved udgangen af 2010 fuldt funktionsdygtig. GovCERT kan dog først tilbyde alle påtænkte ydelser over for de tilsluttede myndigheder, når der er tilvejebragt den særskilte hjemmel til GovCERT s behandling af personoplysninger indeholdt i pakke- og trafikdata, som foreslås etableret med dette lovforslag. GovCERT s ydelser stilles som udgangspunkt til rådighed for statens institutioner. Det er imidlertid endvidere formålet med lovforslaget, at både kommuner og regioner samt private virksomheder, der

4 4 beskæftiger sig med kritisk infrastruktur, efter anmodning kan blive tilsluttet tjenesten. Kommuner og regioner kan tilslutte sig GovCERT i det omfang, varslingstjenesten har kapacitet hertil. Det er en forudsætning for denne tilslutning, at kommuner og regioner, der vælger at tilslutte sig varslingstjenesten, selv betaler fuldt ud for GovCERT s ydelser i det omfang, kommunernes og regionernes tilslutning ikke er finansieret på anden vis, f.eks. via UMTS-midlerne. UMTS-midlerne er de indtægter, som staten fik ved at sælge rettighederne til 3. generations mobiltelefoni. Dele af den kritiske nationale infrastruktur, som f.eks. elforsyningen, forestås i dag af private virksomheder. Det samfundsmæssige behov for GovCERT s bistand gør sig også gældende for disse virksomheder. Lovforslaget indeholder derfor hjemmel til, at disse virksomheder også kan tilslutte sig varslingstjenesten. Ansvaret for den enkelte myndighed eller private virksomheds it-sikkerhed ændres ikke som følge af GovCERT s aktiviteter. Det er således fortsat den enkelte myndighed eller virksomheds ansvar at opretholde et passende niveau for itsikkerhed. GovCERT vil rådgive og bistå de tilsluttede myndigheder i fornødent omfang, uden at der herved ændres ved den eksisterende ansvarsfordeling Lovforslagets baggrund Baggrund for varslingstjenestens etablering Internettet og informationssystemer er blevet en afgørende faktor for den økonomiske og samfundsmæssige udvikling. Internettets og informationssystemernes sikkerhed og fleksibilitet får stadig større betydning for samfundet. Det er regeringens vision, at Danmark skal være blandt verdens førende højteknologiske samfund. Det kræver, at borgere, virksomheder og det offentlige har adgang til avanceret infrastruktur for informations- og kommunikationsteknologi (ikt) og til effektivt at udnytte de muligheder, der følger med digitaliseringen. Det kræver også, at borgere og virksomheder er trygge ved ikt-anvendelsen og har tillid til tjenester på internettet. Internettet er blevet en del af den kritiske infrastruktur. En række af de funktioner, som udføres af det offentlige, og som er væsentlige for statens virke, afhænger af internettet. Det er derfor nødvendigt at sikre, at it-systemernes sikkerhedsniveau er tilstrækkeligt til at opretholde en fortsat drift af de offentlige it-systemer. Den teknologiske udvikling gør det muligt at iværksætte omfattende elektroniske angreb på den internetbaserede infrastruktur, hvilket kan medføre it-sammenbrud. Sådanne sammenbrud kan få alvorlige konsekvenser for vitale samfundsfunktioner, uanset om de er forårsaget af hændelige uheld eller af bevidste handlinger. Det er en kendsgerning, at angreb på internettet bliver stadig mere sofistikerede, og at hackere stadig bliver hurtigere til at udnytte de sårbarheder, der løbende opstår på internettet. Som eksempler på angreb mod nationale digitale infrastrukturer kan nævnes angrebene i henholdsvis Estland i april 2007 og Georgien i august I begge tilfælde bestod angrebene af meget store mængder internetkommunikation (pakke- og trafikdata) mod vigtige offentlige og private hjemmesider og systemer med den følge, at de ikke længere kunne tilgås, ligesom sikkerhedshuller på hjemmesider blev udnyttet til at udskifte indholdet af disse. Angrebene var primært rettet mod tv-stationer, aviser, ministerier og politiske organisationers hjemmesider og medførte i både Estland og Georgien, at regeringerne fik svækket deres interne kommunikationskanaler samt muligheden for at kommunikere med befolkningen. Angrebene var således rettet mod både statens sikkerhed og pressefriheden. I Estland blev angreb også rettet mod finansinstitutioners hjemmesider med en række alvorlige følger for finanssektoren. En større del af befolkningen kunne således ikke via internettet hæve penge eller udføre finansielle transaktioner i flere dage. Kreditkortterminaler, som kommunikerer med bankerne via internettet, blev også ramt. Disse eksempler understreger, at et moderne samfund er afhængig af et robust internet. I erkendelse af internettets vitale betydning besluttede regeringen således i maj 2009 at etablere en statslig varslingstjeneste for internettrusler. Offentlige myndigheder kommunikerer i dag i høj grad via internettet med borgere og virksomheder. Med oprettelsen af GovCERT ønsker regeringen bl.a. at mindske risikoen for itangreb, herunder at offentlige myndigheders elektroniske kommunikation med omverdenen bliver afskåret i flere dage, eller at dokumenter uden myndighedens vidende bliver sendt til fremmede stater som følge af et virusangreb. Dette kan udgøre en sikkerhedsrisiko og også have store administrative og økonomiske konsekvenser til følge. Tilsvarende gør sig gældende for private virksomheder beskæftiget med kritisk infrastruktur. Formålet med GovCERT er således at være en varslingstjeneste for internettrusler, og herved overordnet medvirke til, at der i staten er overblik over trusler og sårbarheder i tjenester, net og systemer relateret til internettet. GovCERT samarbejder blandt andet med DK-CERT og andre landes nationale CERT er. DK-CERT (Danish Computer Emergency Response Team) er en tjeneste fra styrelsen UNI- C under Undervisningsministeriet. DK-CERT fungerer som CERT for Forskningsnettet og UNI-C's interne net. GovCERT vil endvidere samarbejde med MILCERT, der er Forsvarsministeriets CERT, som er under opbygning. GovCERT indgår i IT- og Telestyrelsens sektorberedskab. Beredskabet har til formål at sikre, at samfundsvigtig elektronisk kommunikation kan opretholdes i en beredskabssituation Internationale erfaringer og anbefalinger Internationalt er det erkendt, at det er af stor betydning at reducere de risici, der er forbundet med anvendelsen af internettet. En række europæiske lande har således etableret var-

5 5 slingstjenester, som varetager overvågnings- og varslingsopgaver for det statslige område. Varslingstjenester i de øvrige europæiske lande er typisk karakteriseret ved, at de er statsligt ejet og drevet, og at målgruppen for deres virke er hele staten. Der er dog nationale forskelle på den organisatoriske placering. Hovedparten af varslingstjenesterne er placeret hos civile myndigheder, og der er etableret et tæt samarbejde med sikkerhedsmyndighederne i de pågældende lande. Nedenfor nævnes en række eksempler på udenlandske varslingstjenester. I Norge blev der i 2000 etableret et Varslingssystem for Digital Infrastruktur (VDI). VDI organiserer og driver et nationalt netværk af indbrudsdetektionssensorer på internettet, som detekterer, om der forsøges udført uønsket aktivitet mod kritisk digital infrastruktur i Norge. VDI omfatter ikke kun de offentlige institutioner, men også en række for samfundet kritiske private virksomheder. I Sverige er der tilsvarende etableret en national GovCERT, og det er efter norsk forbillede yderligere besluttet at undersøge mulighederne for at udbygge og samordne de eksisterende varslingssystemer. I Frankrig er GovCERT funktionen varetaget af CERTA, som er en del af det franske militære og civile sikkerhedssystem. CERTA er ansvarlig for at bistå de franske statslige organer med at sikre, at den fornødne informationssikkerhed er til stede, samt hjælpe med at behandle sikkerhedshændelser eller angreb mod statens it-systemer. Behovet for beskyttelse af it-infrastrukturen berøres i EU- Kommissionens meddelelse»beskyttelse mod storstilede cyberangreb og sammenbrud: Øget beredskab, sikkerhed og robusthed«fra 30. marts Meddelelsen bygger videre på EU s ambition om at styrke sikkerhed i og tilliden til informationssamfundet. Kommissionen fremhæver i meddelelsen særligt strategien for et sikkert informationssamfund fra I meddelelsen lægger Kommissionen vægt på forebyggelse, beredskab og bevidstgørelse og opstiller en plan over øjeblikkelige tiltag, der skal styrke sikkerheden og robustheden i kritisk informationsinfrastruktur. Et af disse tiltag er etablering af velfungerende statslige varslingstjenester i alle medlemslande inden udgangen af Varslingstjenestens opgaver GovCERT vurderer løbende it-sikkerheden for statens anvendelse af internettet og varsler myndigheder om internetbaserede sikkerhedshændelser og trusler. Varslingstjenesten vil også tilbyde bistand med at imødegå konsekvenserne af sikkerhedshændelserne. I fuld drift vil GovCERT desuden kunne tilbyde en række ydelser, som samlet set sikrer, at der kan reageres hurtigt og effektivt over for trusler mod it-sikkerheden i primært den danske stat. GovCERT vil således i høj grad kunne medvirke til at begrænse, afkorte og i visse tilfælde forhindre nedbrud i it-infrastrukturen. GovCERT s ydelser kan overordnet opdeles i to hovedgrupper: Ydelser, der tilbydes med henblik på at forebygge alvorlige internetrelaterede sikkerhedshændelser, og ydelser, som tilbydes, efter en hændelse er indtruffet. Ydelserne er aftalt i en fokusgruppe bestående af Statens It, Udenrigsministeriet og SKAT. Ydelseskataloget har endvidere været forelagt Statens It-sikkerhedsforum, Statens It-forum og Statens It-råd. GovCERT s konkrete opgaver kan opsummeres således: Indhentning af information om sikkerhedshændelser og aktiviteter i net og systemer i staten. Analyse og vurdering af internetsikkerhedsniveauet i staten samt analyse af enkelthændelser. Varsling om internetrelaterede sikkerhedshændelser, rådgivning om modforholdsregler og i særlige tilfælde bistand til myndigheder ved omfattende hændelser. Kontaktpunkt for tilsvarende varslingstjenester i andre lande og løbende udveksling af information med disse. GovCERT s opgaver vedrørende varsling og informationsindsamling forudsætter et opdateret og indgående kendskab til situationen på internettet og især den trafik, som er på den danske del af internettet. Dette kendskab tilegnes gennem analyse af pakke- og trafikdata for virus- og hackerangreb. Det er derfor nødvendigt at etablere et alarmsystem i form af et såkaldt Intrusion Detection System (GovCERT IDS) på tilsluttede institutioners internetlinjer. IDS-tjenesten er et tilbud til institutionerne, som er tilsluttet GovCERT. GovCERT IDS er yderligere beskrevet i afsnit 3.3. Da GovCERT vil få kendskab til oplysninger om sårbarheder i it-systemer i staten, er det nødvendigt, at GovCERT klassificerer informationerne i henhold til Statsministeriets sikkerhedscirkulære (cirkulære nr. 204 af 7. december 2001). GovCERT s lokaler og personale er godkendt til at håndtere informationer klassificeret under cirkulæret til niveauet HEM- MELIG. 2. Gældende ret Lov om behandling af personoplysninger (persondataloven) gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling. Begreberne»personoplysning«og»behandling«er defineret i persondataloven og skal i dette lovforslag forstås i overensstemmelse hermed. Persondataloven indeholder en række grundlæggende principper for den dataansvarliges behandling af oplysninger, herunder regler om indsamling, ajourføring og opbevaring mv. Den registreredes rettigheder er tillige reguleret i persondataloven, herunder ret til information om, at der indsamles oplysninger om den pågældende. Persondataloven vedrører desuden fortrolighed og datasikkerhed. Den dataansvarlige skal bl.a. iværksætte de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Relevante sikkerhedstiltag kan f.eks. være fysisk sikring af datamedier, adgangskontrol og brug af password samt uddannelse og instruktion.

6 6 For offentlige myndigheders behandling af personoplysninger gælder både persondatalovens regler om datasikkerhed og den i medfør heraf udstedte sikkerhedsbekendtgørelse, jf. bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Der henvises til afsnit 3.5 om forholdet til persondataloven. 3. Lovforslagets indhold 3.1. Tilslutning til varslingstjenesten GovCERT bygger på, at først og fremmest statslige myndigheder vurderer, om myndigheden ønsker at tilslutte sig GovCERT. Lovforslaget lægger endvidere op til at kommunale og regionale myndigheder samt private virksomheder beskæftiget med kritisk infrastruktur efter anmodning vil kunne tilslutte sig Generelt om adgang til data Lovforslaget medfører, at GovCERT i et nærmere beskrevet omfang får adgang til både trafikdata og pakkedata. Det er ikke tilstrækkeligt til opfyldelse af GovCERT s formål kun at give GovCERT adgang til trafikdata, men der skal imidlertid være den fornødne proportionalitet mellem adgangen til data, herunder personoplysninger, og hensynet til privatlivets fred. Denne proportionalitetsafvejning er afspejlet i lovforslagets 4 og uddybes nedenfor. GovCERT IDS, som etableres som led i GovCERT s virke, holder via en lokal elektronisk alarmenhed opsat hos de tilsluttede offentlige myndigheder øje med internetkommunikationen (pakke- og trafikdata). Alarmenheden registrer al ind- og udgående internetkommunikation. Enheden sender dog kun pakkedata til GovCERT, hvis der er tegn på en sikkerhedshændelse. Trafikdata vil løbende blive overført til GovCERT. GovCERT IDS er yderligere beskrevet under afsnit 3.3. Hvis GovCERT kun har adgang til at behandle trafikdata, vil blot mulige tegn på it-angreb kunne identificeres. Adgang til pakkedata muliggør derimod en nærmere analyse og beskrivelse af angrebets indhold og karakter, og de relevante modforanstaltninger kan dermed identificeres. For at GovCERT skal kunne få overblik over sikkerheden på internettet og være i stand til at varsle om it-angreb, er det nødvendigt at have adgang til de pakkedata, som er relateret til den pågældende sikkerhedshændelse. Med adgang til pakkedata kan konsekvenserne af sikkerhedshændelsen klarlægges, herunder hvilke dokumenter, s m.v., der f.eks. er blevet kopieret og videresendt fra den tilsluttede myndighed til hackeren. Skadens omfang kan herefter fastslås, og de relevante modforanstaltninger kan besluttes. Som eksempel på en relevant sikkerhedshændelse kan nævnes, at en med et virusinficeret PDF-dokument omgår både antivirusprogrammer og firewall hos en myndighed og herefter kopierer og sender dokumenter fra den inficerede PC tilbage til hackeren uden myndighedens vidende. Hvis Gov- CERT ikke har adgang til pakkedata, vil GovCERT ikke kunne analysere og reagere over for denne virus sammen med den berørte myndighed. Uden adgang til pakkedata vil det endvidere ikke være muligt for GovCERT at fastslå konsekvenserne for den berørte myndighed af et vellykket it-angreb. De nødvendige oplysninger til brug for effektiv analyse og håndtering af angreb ligger således i pakkedata, og GovCERT vil ikke kunne håndtere kritiske it-angreb på betryggende vis uden adgang til pakkedata. Det er dermed nødvendigt og proportionalt at give Gov- CERT adgang til pakkedata. Det skal herefter vurderes, i hvilket omfang GovCERT skal have adgang til pakkedata. Der er med dette lovforslag lagt op til, at pakke- og trafikdata, som knytter sig til en sikkerhedshændelse, kan opbevares i tre år. Pakkedata, der ikke er knyttet til en sikkerhedshændelse, kan højst opbevares i 14 kalenderdage. Som udgangspunkt vil pakkedata dog kun blive opbevaret i seks kalenderdage. Trafikdata, som ikke knytter sig til en sikkerhedshændelse, kan højst opbevares i 12 måneder. Fristerne i lovforslagets 4 er fastlagt på baggrund af en itteknisk vurdering af det nødvendige behov i forhold til Gov- CERT s formål. I forbindelse med denne vurdering er erfaringer fra andre landes CERT'er inddraget. Fristen på tre år for opbevaring af pakke- og trafikdata knyttet til en sikkerhedshændelse er valgt for at kunne sammenholde angreb med tidligere angreb inden for en teknologisk relevant periode, da der fortsat ses angreb rettet mod sårbarheder eller konfigurationsfejl, der er flere år gamle. Tre år betragtes som den teknologiske levealder for mange it-systemer, hvorefter systemerne må udfases eller gennemgribende opdateres. Det er væsentligt at være opmærksom på, at fristerne alle er maksimumfrister. GovCERT vil løbende være forpligtet til at slette data, som ikke længere er relevante for GovCERT s virke, uanset at fristerne beskrevet i 4 ikke er overskredet. Derudover er det i 4 fastsat, at indsamlede pakkedata kun vil kunne analyseres af GovCERT, hvis der er begrundet mistanke om en sikkerhedshændelse. Det er desuden fastsat i 4, at det kun er den relevante del af de indsamlede data, som kan analyseres. Det er i bestemmelsen kvalificeret, at der skal være tale om en begrundet mistanke, for at GovCERT kan få adgang til pakkedata. Formålet hermed er at præcisere, at adgangen til pakkedata er begrænset til de situationer, hvor der ikke blot er tale om en vag og udefineret mistanke om et it-angreb. Det vil kun være i situationer, hvor der er en klar indikation på et itangreb, at GovCERT vil kunne behandle pakkedata. Denne vurdering vil dog være skønsmæssig fra situation til situation. Det er med GovCERT IDS pt. ikke muligt at foretage en teknisk graduering af adgangen til pakkedata på en sådan måde, at der f.eks. kun gives adgang til visse dele af indholdet af en . Der kan kun skelnes mellem adgang til pakkedata eller adgang til trafikdata. GovCERT vil tæt følge mulighederne for at finde en teknisk løsning på denne udfordring. Længden af fristerne i 4 er fastsat på baggrund af en proportionalitetsafvejning af hensynet til GovCERT s formål set i forhold til hensynet til privatlivets fred. Det er i visse situationer væsentligt for GovCERT at kunne sammenholde ny-

7 7 indsamlede data med ældre data for f.eks. at kunne analysere et it-angreb nærmere. Heroverfor står hensynet til de berørte borgeres privatliv. Denne proportionalitetsafvejning har resulteret i de nævnte frister, som også er fastsat under inddragelse af erfaringer fra andre landes CERT er Indsamling og opbevaring af data GovCERT skal for at opfylde sit formål indhente data vedrørende sikkerhedshændelser og aktiviteter i net og systemer hos de tilsluttede myndigheder og private virksomheder, ligesom GovCERT skal varsle ved internetrelaterede sikkerhedshændelser samt generelt vurdere sikkerhedsniveauet på internettet. Der skal endvidere udarbejdes risikoanalyser. GovCERT får herved et løbende og indgående kendskab til sikkerhedssituationen på den danske del af internettet. Forudsætningen for at kunne tilegne sig dette indgående kendskab er, at internetkommunikationen behandles og analyseres for eventuelle virus- og hackerangreb i de enkeltdele, som internetkommunikationen nedbrydes i ved datatransmissionen. En kan bestå af alt fra nogle ganske få til flere tusinde enkeltdele afhængig af ens størrelse. Databehandlingen består eksempelvis af en automatisk scanning af internetkommunikationen efter it-angreb baseret på en angrebssignatur fra kendte it-angreb, og af en manuel vurdering af mulige angrebskarakteristika ved begrundet mistanke om it-angreb. Det er med henblik på denne behandling af internetkommunikationen, at varslingstjenestens Intrusion Detection System (GovCERT IDS) er etableret. GovCERT IDS behandler myndighedernes ind- og udgående internetkommunikation (pakke- og trafikdata). GovCERT IDS består bl.a. af decentrale IDS-enheder, som placeres på de tilsluttede myndigheders internetforbindelse(r). Disse enheder analyserer pakke- og trafikdata for angrebsmønstre på internetforbindelsen og lagrer pakke- og trafikdata i en nærmere afgrænset periode, jf. lovforslagets 4 og nedenfor. Herudover omfatter GovCERT IDS centrale servere hos GovCERT, som anvendes til at lagring og analyse af pakkeog trafikdata. Med etableringen af GovCERT IDS vil varslingstjenesten have mulighed for løbende at analysere netværkstrafikken mellem de tilsluttede myndigheder og internettet og herigennem danne sig et normalbillede, hvilket er centralt for Gov- CERT s virke. Normalbilledet defineres af GovCERT på grundlag af indsamling af oplysninger i GovCERT IDS og består eksempelvis af en oversigt over, hvilke ip-adresser der typisk kommunikeres med, på hvilket tidspunkt, og i hvilket omfang. Hvis der pludselig sker væsentlige ændringer i normalbilledet, som ikke kan begrundes med særlige aktiviteter hos myndigheden selv, vil der være tale om en formodet sikkerhedshændelse. I det tilfælde vil GovCERT kunne gennemføre tilbundsgående tekniske analyser af pakke- og trafikdata, herunder spore hvorfra eventuel anormal trafik udgår og vurdere, om hensigten med dette må formodes at være fjendtlig. Et eksempel på unormal trafik kan være, at en myndighed uden for normal arbejdstid transmitterer store mængder data til en ipadresse, hvortil der ikke plejer at være særlig aktivitet. De oplysninger, som GovCERT behandler, kan betegnes som pakke- og trafikdata. Ved konstatering af bestemte trafikmønstre i pakke- og trafikdata vil GovCERT IDS generere en alarm, som bliver sendt til GovCERT. Pakkedata vil blive slettet umiddelbart efter GovCERT s analyse, hvis denne ikke viser tegn på en sikkerhedshændelse. Analyseret pakkedata vil således kun blive opbevaret i Gov- CERT s system til at registrere sikkerhedshændelser, hvis data er knyttet til en sikkerhedshændelse. De maksimale frister for opbevaring af pakke- og trafikdata og baggrunden for fristernes længde er beskrevet i afsnit 3.2. ovenfor. Det følger af persondataloven, at de oplysninger, som Gov- CERT indsamler, ikke må opbevares, på en måde der giver mulighed for at identificere den registrerede, i et længere tidsrum end det, der er nødvendigt af hensyn til formålet med oplysningernes behandling. Persondataloven har således den konsekvens i forhold til de omtalte tidsfrister for sletning af indsamlede oplysninger, at GovCERT er forpligtet til at slette oplysningerne på et tidligere tidspunkt, hvis varslingstjenestens formål ikke længere gør opbevaringen nødvendig. Se yderligere om lovforslagets forhold til persondataloven i afsnit 3.5. GovCERT IDS indsamler automatisk internetkommunikationen fra de tilsluttede myndigheder og private virksomheder. GovCERT skal således ikke ved denne behandling af data opfylde de af persondatalovens regler, der kun vedrører den form for behandling af personoplysninger, der beskrives som videregivelse. Se i øvrigt om GovCERT s videregivelse af indsamlede data i afsnit 3.4. nedenfor. GovCERT bygger på en forudsætning om, at der ikke kan eller vil blive indhentet samtykke til GovCERT s behandling af personoplysninger, idet GovCERT s indsamling af bl.a. personoplysninger som nævnt sker automatisk, og det vil dermed i praksis være umuligt at indhente samtykke til behandlingen Videregivelse af data Videregivelse af pakkedata Det følger af den foreslåede bestemmelse i 6, at den statslige varslingstjeneste kan videregive pakkedata og trafikdata, der knytter sig til en sikkerhedshændelse, til dansk politi. Formålet hermed er at sikre, at dansk politi kan modtage oplysninger til brug for efterforskning og forfølgelse af strafbare forhold, der kan være begået i forbindelse med en sikkerhedshændelse, som f.eks. et virusangreb. Ligeledes kan GovCERT videregive pakkedata til den særlige MILCERT, som er under etablering i regi af Forsvarets Efterretningstjeneste, og som er en varslingstjeneste svarende til GovCERT på Forsvarsministeriets område. Adgangen til at videregive pakkedata er begrænset mest muligt på baggrund af hensynet til privatlivets fred. GovCERT

8 8 vil således ikke kunne videregive pakkedata i andre tilfælde end de i 6 nævnte, jf. herved nærmere de specielle bemærkninger vedrørende lovforslagets Videregivelse af trafikdata GovCERT har behov for en bredere adgang til at udveksle, herunder videregive, trafikdata, som f.eks. ip-adresser, til andre myndigheder og tilsluttede private virksomheder ved varsling eller i tilfælde af sikkerhedshændelser. Videregivelsen skal sikre, at myndighederne og de pågældende virksomheder kan iværksætte lokale modforanstaltninger over for sikkerhedshændelsen. Det kan f.eks. være blokering af kommunikation med en specifik ip-adresse. GovCERT vil endvidere have behov for at videregive ipadresser og anden trafikdata til tilsvarende varslingstjenester i andre lande i forbindelse med sikkerhedshændelser på internettet. Derved kan en CERT i et andet land f.eks. anmode den lokale internetudbyder om nedtagning af den angribende ipadresse. Tilsvarende er det vigtigt, at GovCERT modtager trafikdata fra udenlandske CERT er til forebyggelse af et itangreb. International koordination af forsvar mod elektroniske angreb i form af udveksling af ip-adresser og anden trafikdata er således væsentligt for GovCERT s aktiviteter Forholdet til persondataloven Behandling af personoplysninger Formålet med GovCERT er ikke at behandle personoplysninger, men GovCERT vil uundgåeligt skulle behandle personoplysninger indeholdt i pakke- og trafikdata i forbindelse med sine aktiviteter. I relation til dette lovforslag er det særligt relevant at bemærke, at ip-adresser betragtes som personoplysninger, hvorfor persondataloven finder anvendelse på behandling af trafikdata, idet trafikdata omfatter ip-adresser, jf. bemærkningerne til lovforslagets 3, nr. 2. Det er nødvendigt, for at GovCERT kan danne det for varslingsopgaven centrale normalbillede for internetkommunikationen (pakke- og trafikdata), at al ind- og udgående internetkommunikation fra en tilsluttet myndighed indsamles. Visse af de personoplysninger, som GovCERT behandler, vil uundgåeligt indeholde både almindelige, ikke-følsomme oplysninger (persondatalovens 6), og følsomme personoplysninger ( 7 og 8). Disse oplysninger kan forekomme f.eks. i ukrypterede s fra borgere til ansatte i de tilsluttede myndigheder. GovCERT s behandling af personoplysningerne skal opfylde persondatalovens 5, der indeholder en række grundlæggende principper for den behandling af personoplysninger, som den dataansvarlige her GovCERT foretager. Kravet om god databehandlingsskik i persondatalovens 5, stk. 1, indebærer, at medarbejderne hos de myndigheder, som bliver omfattet af GovCERT s behandlinger, skal have klar og tydelig forudgående information om, at al brug af internettet, herunder s, vil blive behandlet, herunder eventuelt gennemset og opbevaret med de formål, som varetages af Gov- CERT. I forhold til saglighedskravet i persondatalovens 5, stk. 2, vil det eksempelvis være i strid med bestemmelsen, hvis Gov- CERT s personale i forbindelse med den beskrevne analyse af internetkommunikationen behandler personoplysninger, uden at det sker i forbindelse med forfølgelsen af det saglige formål med bl.a. at begrænse og varsle om hacker- og virusangreb. GovCERT skal således sikre, at behandlingen af personoplysninger ikke sker i videre omfang end dette formål tilsiger. Vedrørende kravet i persondatalovens 5, stk. 2, om formålsbestemthed bemærkes, at den foreslåede ordning netop går ud på (alene) at give GovCERT adgang til at udføre varslingsopgaven bl.a. med henblik på at begrænse hacker- og virusangreb. GovCERT skal i forhold til persondatalovens 5 dermed nøje overveje, hvorvidt en senere brug af de behandlede oplysninger er uforenelig med det oprindelige formål med indsamlingen af oplysningerne. Disse overvejelser har resulteret i lovforslagets 6, hvorefter der kun kan ske videregivelse af data, der er indsamlet som led i GovCERT s aktiviteter og kun i henhold til Gov- CERT s formål. Pakkedata vil kunne videregives til dansk politi og kun, hvis data knytter sig til en sikkerhedshændelse. Pakkedata vil yderligere kunne videregives til Forsvarets Efterretningstjeneste til brug for aktiviteter i forbindelse med den særlige MILCERT, som har tilsvarende funktion og formål, som GovCERT, på Forsvarsministeriets område. På samme måde, som GovCERT sikrer statslige institutioners internetkommunikation, sikrer MILCERT Forsvarsministeriets internetkommunikation. Både GovCERT og MILCERT indgår i det samlede danske beredskab og i tilfælde af et alvorligt it-angreb, skal MIL- CERT og GovCERT kunne dele ressourcer for at sikre en hurtig imødegåelse af angrebet. DK-CERT er ikke en del af det danske beredskab og har derfor ikke samme behov for at kunne udveksle pakkedata. Pakkedata vil ikke kunne videregives i andre tilfælde end de ovenfor nævnte. Derudover indebærer lovforslagets 6, nr. 3, at GovCERT som led i aktiviteterne skal have mulighed for at overføre trafikdata til danske myndigheder, tilsluttede private virksomheder og tilsvarende varslingstjenester i andre lande i henhold til varslingstjenestens formål og aktiviteter. Her er overførselsmuligheden således begrænset til trafikdata, hvorfor f.eks. indholdet af s ikke vil kunne overføres. Persondatalovens 27 regulerer overførsel af oplysninger til tredjelande. Med lovforslaget sikres det, at der i alle nødvendige tilfælde kan videregives oplysninger om trafikdata til tredjelandene. GovCERT kan ikke videregive indholdet af en internetkommunikation (pakkedata), herunder indholdet af en til tredjelande. Der henvises i øvrigt til de specielle bemærkninger nedenfor vedrørende lovforslagets 6.

9 9 I forhold til persondatalovens 5, stk. 3, og spørgsmålet om proportionalitet, indebærer bestemmelsen, at GovCERT s aktiviteter skal gennemføres på en sådan måde, at de virker mindst muligt integritetskrænkende for den almindelige borger, således at det i videst muligt omfang undgås, at personoplysninger behandles, herunder ikke mindst, at indholdet af e- mails ikke behandles. Ud over de generelle betingelser i persondatalovens 5 skal betingelserne i persondatalovens 6-8 være opfyldt. Det er et krav i disse bestemmelser, at behandling (uden samtykke) skal være nødvendig. Der er i den forbindelse overladt den dataansvarlige et vist skøn. Denne vurdering skal i første omgang foretages af IT- og Telestyrelsen som dataansvarlig myndighed. Selve den beskrevne indsamling af al ind- og udgående internetkommunikation og de deri indeholdte personoplysninger vil have den fornødne hjemmel i persondatalovens 6-8. Der findes således i persondatalovens 6, stk. 1, 7, stk. 2, og 8, stk. 1 og 6, mulighed for, at en offentlig myndighed som IT- og Telestyrelsen (GovCERT) kan behandle personoplysninger uden samtykke fra de registrerede. Jo mere indgribende den efterfølgende behandling af personoplysningerne kan siges at være, desto strengere krav stilles der til opfyldelsen af det nødvendighedskrav, der ligger i persondatalovens 6-8 og til opfyldelsen af de beskrevne principper i 5. GovCERT vil skulle vurdere opfyldelsen af disse regler løbende i det daglige arbejde. GovCERT vil således kun kunne behandle og eventuelt nærmere analysere en korrespondance, når det er nødvendigt af hensyn til opfyldelsen af varslingsopgaven, herunder håndteringen af hackerangreb. Til gengæld vurderes det, at der i disse undtagelsesvise situationer, hvor f.eks. et hackerangreb skal håndteres, vil være hjemmel til den behandling af personoplysninger, som opgaven nødvendigvis medfører, inden for rammerne af persondatalovens behandlingsregler. Der er i øvrigt ingen grund til at antage, at vurderingen af nødvendigheden og proportionaliteten i forbindelse med Gov- CERT s behandling af personoplysninger efter persondatalovens 5-8 vil falde anderledes ud efter persondataloven end den tilsvarende vurdering, som foretages nedenfor i afsnit 3.7 vedrørende forholdet til Den Europæiske Menneskerettighedskonventions artikel 8. Disse regler i persondataloven er i forhold til GovCERT s aktiviteter afspejlet i lovforslagets 4, stk. 1. Sammenfattende er det således muligt for IT- og Telestyrelsen (GovCERT) som dataansvarlig i forbindelse med udøvelsen af aktiviteterne at sikre, at beskyttelsen i persondatalovens 5-8 også respekteres Den registreredes rettigheder I forhold til persondatalovens kapitel 8 om den dataansvarliges oplysningspligt over for den registrerede bemærkes, at GovCERT s indsamling af oplysninger i lighed med det for tv-overvågning gældende skal anses for at være foretaget hos andre end den registrerede, jf. persondatalovens 29, stk. 1. Der påhviler derfor som udgangspunkt IT- og Telestyrelsen som dataansvarlig en oplysningspligt over for de registrerede efter persondatalovens 29, stk. 1, men der kan af relevans for GovCERT s aktiviteter - gøres undtagelse herfra, hvis opfyldelse af oplysningspligten er umulig eller uforholdsmæssig vanskelig jf. persondatalovens 29, stk. 3. For så vidt angår indsigtsretten efter persondatalovens 31 bemærkes, at der kan gøres undtagelse herfra i samme omfang som efter reglerne i bl.a. offentlighedslovens 14, jf. persondatalovens 32, stk. 2. Det fremgår af offentlighedslovens 14, at pligten til at meddele oplysninger er begrænset af særlige bestemmelser om tavshedspligt fastsat ved lov eller med hjemmel i lov for personer, der virker i offentlig tjeneste eller hverv. Som følge af den særlige bestemmelse om tavshedspligt, som pålægges GovCERT s personale ved lovforslagets 5, stk. 2, i overensstemmelse med offentlighedslovens 14, er de personoplysninger, som GovCERT behandler i forbindelse med sit virke, undtaget fra indsigtsretten jf. persondatalovens 32, stk. 2. I forhold til retten til at gøre indsigelse, jf. persondatalovens 35, åbner persondatadirektivets artikel 14, stk. 1, litra a, mulighed for, at det kan bestemmes ved lov, at indsigelsesretten afskæres. På den baggrund er der indsat en undtagelsesbestemmelse i lovforslaget, som lægger op til, at persondatalovens 35 ikke skal finde anvendelse på GovCERT s aktiviteter. Dette medfører, at registrerede ikke vil kunne gøre indsigelse over for GovCERT s behandling af personoplysninger. En registreret kan dog fortsat klage til Datatilsynet over GovCERT s behandling af personoplysninger vedrørende den pågældende, jf. persondatalovens 40 og kapitel Forholdet til grundlovens 72 Grundlovens 72 har følgende ordlyd: Boligen er ukrænkelig. Husundersøgelse, beslaglæggelse og undersøgelse af breve og andre papirer samt brud på post-, telegraf- og telefonhemmeligheden må, hvor ingen lov hjemler en særegen undtagelse, alene ske efter en retskendelse. Det antages i den juridiske litteratur, at indholdet af s også er omfattet af grundlovens beskyttelse af meddelelseshemmeligheden (brud på post-, telegraf- og telefonhemmeligheden). En myndigheds brud på meddelelseshemmeligheden forudsætter uden for strafferetsplejens område som udgangspunkt dels en udtrykkelig lovhjemmel og dels en forudgående retskendelse i det konkrete tilfælde, med mindre der også foreligger en udtrykkelig lovhjemmel til at undtage kravet om retskendelse. Retskendelse behøves heller ikke i situationer, hvor den, som foranstaltningen vedrører, giver samtykke til, at undersøgelsen bliver foretaget. Den foreslåede ordning går ud på, at GovCERT skal behandle, herunder efter omstændighederne analysere, tilsluttede myndigheders og private virksomheders ind- og udgående trafik- og pakkedata. GovCERT skal i den forbindelse i et vist

10 10 omfang have ret til at skaffe sig adgang til pakkedata, eksempelvis indholdet af s. Ordningen efter lovforslaget vil uundgåeligt i visse tilfælde indebære et indgreb i meddelelseshemmeligheden i grundlovens forstand. Der vil dog i vidt omfang foreligge et samtykke, som indebærer, at det ikke vil være nødvendigt at indhente retskendelse efter grundlovens 72. Der vil imidlertid også forekomme tilfælde, hvor et sådant samtykke ikke foreligger, og eftersom det i praksis ikke vil være muligt at indhente en retskendelse, indeholder lovforslaget på den baggrund en undtagelse fra grundlovens 72 s krav herom. Videnskabsministeriet har bl.a. af hensyn til grundlovens 72 overvejet nødvendigheden og proportionaliteten af den foreslåede ordning. Der henvises i den forbindelse til bemærkningerne ovenfor under afsnit 3.2, hvoraf det fremgår, at der med lovforslaget er fundet den påkrævede proportionalitet mellem hensynet til GovCERT s formål og hensynet til privatlivets fred for de berørte borgere Forholdet til Den Europæiske Menneskeretskonvention Ifølge artikel 8, stk. 1, i Den Europæiske Menneskerettighedskonvention (EMRK) har enhver ret til respekt for sit privatliv og familieliv. Beskyttelsen efter artikel 8 omfatter både indgreb i meddelelseshemmeligheden, f.eks. overvågning af korrespondance og internetkommunikation, og offentlige myndigheders indsamling, opbevaring og anvendelse mv. af personoplysninger generelt. Indgreb i kommunikation via bl.a. s vil som udgangspunkt udgøre et indgreb efter EMRK artikel 8. Hvis en offentlig arbejdsgiver overvåger en ansats brug af og internet, vil det således udgøre et indgreb i den ansattes ret til privatliv og korrespondance, når den ansatte med rimelighed kunne forvente ikke at blive overvåget (se Copland mod Storbritannien, dom af 3. april 2007, præmis 41-42). Det samme vil være tilfældet, hvor en arbejdsgiver tillader en (anden) myndighed at overvåge den ansattes brug af og internet. Det forudsættes imidlertid, at den ansatte i forbindelse med afsendelse af privat giver samtykke til GovCERT-behandlingen. Når det er op til myndighedens personalepolitik, om medarbejderne må sende eller modtage privat , må myndigheden således også kunne fastsætte, at medarbejderne kun må sende privat mod at samtykke til GovCERTbehandlingen. Det antages på den baggrund, at iværksættelsen af overvågningen af udgående s med privat indhold ikke i sig selv vil udgøre et indgreb i rettighederne efter EMRK artikel 8. For så vidt angår indgående private s samt offentlige myndigheders indsamling, opbevaring og anvendelse mv. af personoplysninger vil der derimod være tale om et indgreb i borgernes ret til privatliv. Da det som følge af den ovenfor beskrevne tekniske opbygning af GovCERT ikke kan udelukkes, at GovCERT vil behandle personoplysninger om en persons privatliv, må aktiviteterne anses for et indgreb i retten til respekt for privatlivet, jf. konventionens artikel 8, stk. 1. Det følger herefter af konventionens artikel 8, stk. 2, at et sådant indgreb kun kan foretages, hvis det er foreskrevet ved lov og er nødvendigt i et demokratisk samfund til varetagelse af nærmere bestemte anerkendelsesværdige formål. Med den foreslåede lov vil der blive klar lovhjemmel for GovCERT s aktiviteter, som bygger på en legitim og helt åbenlys samfundsmæssig interesse i at håndtere sikkerhedshændelser af it-mæssig karakter for offentlige myndigheder i Danmark. Indgrebet i privatlivet skal herudover efter artikel 8, stk. 2, have et sagligt formål og være proportionalt. GovCERT har til formål at mindske konsekvenserne af sikkerhedshændelser på internettet gennem analyse, information, varsling og koordination. GovCERT s aktiviteter tilsigter således at beskytte den nationale sikkerhed, den offentlige tryghed og landets økonomiske velfærd samt andres rettigheder og friheder. Formålet må således anses for sagligt. IT- og Telestyrelsens rapport om varsling af internettrusler fra 2007 konkluderede, at der i Danmark er behov for en særskilt tjeneste til at håndtere sådanne sikkerhedshændelser for det danske samfund som et led i den nationale it-sikkerhedsstrategi. Den varslingsopgave mv., som er tiltænkt GovCERT, må således siges at være både egnet til og nødvendig for at nå det beskrevne saglige mål om at forhindre hacker- og virusangreb mv. Der kan i den forbindelse også henvises til den nedenfor i afsnit 8.1 beskrevne meddelelse fra EU-Kommissionen og resolution fra Europarådet om, at oprettelsen af statslige itberedskabsenheder (»GovCERT er«) er en måde, hvorpå medlemsstaterne kan løse de notoriske trusler mod staternes it-sikkerhed. Den samfundsmæssige interesse i at forhindre og håndtere sikkerhedshændelser af it-mæssig karakter for offentlige myndigheder i Danmark må således anses at overstige hensynet til privatlivet for de personer, om hvilke GovCERT behandler personoplysninger. Aktiviteterne er endvidere begrænset til de tilsluttede myndigheder og virksomheders ind- og udgående data. GovCERT s formål er som nævnt ikke i sig selv at indsamle personoplysninger. Indsamlingen er i stedet en uundgåelig konsekvens af varslingsopgaven. GovCERT vil i øvrigt kun opbevare oplysningerne, så længe opbevaringen er nødvendig i forhold til varslingsopgaven. Personoplysningerne vil derudover heller ikke blive offentliggjort; tværtimod er opbevaringen af oplysningerne underlagt strenge sikkerhedsforanstaltninger, så bl.a. offentliggørelse undgås. Hertil kommer, at GovCERT efter lovforslagets 7 i supplement til Datatilsynets kontrol vil blive underlagt kontrol af et uafhængigt tilsyn. Sammenfattende er det opfattelsen, at den behandling af personoplysninger, som er en nødvendig del af GovCERT s

11 11 aktiviteter, vil opfylde betingelserne i artikel 8, stk. 2, i Den Europæiske Menneskerettighedskonvention Uafhængigt tilsyn Lovforslaget indeholder en bestemmelse om, at ministeren for videnskab, teknologi og udvikling nedsætter et uafhængigt tilsyn, som skal følge nærmere angivne dele af GovCERT s virksomhed. Tilsynet vil blandt andet kunne bestå i en årlig afrapportering til ministeren for videnskab, teknologi og udvikling om GovCERT s virksomhed. Lovforslaget ændrer ikke på Datatilsynets tilsynskompetence i henhold til persondataloven. Der henvises i øvrigt til de specielle bemærkninger vedrørende lovforslagets 7 4. De økonomiske og administrative konsekvenser for det offentlige Regeringen besluttede i forbindelse med oprettelsen af den danske GovCERT, at opgaverne skal finansieres inden for Ministeriet for Videnskab, Teknologi og Udviklings eksisterende ramme. I efteråret 2009 blev det i forbindelse med udmøntningen af UMTS-midlerne besluttet at give yderligere midler til udvidelse af GovCERT s dækningsområde for perioden 2010 til UMTS-midlerne er de indtægter, som staten fik ved at sælge rettighederne til 3. generations mobiltelefoni I denne UMTS-finansierede periode vil ministeriet udvide dækningen i et nærmere bestemt omfang og indenfor de UMTS-finansierede rammer til også at omfatte kommuner og regioner samt private virksomheder beskæftiget med kritisk infrastruktur (f.eks. finans-, energi-, samt it- og telesektoren). Ministeriet vil endvidere i perioden iværksætte en informationsindsats rettet mod borgere, små og mellemstore virksomheder. GovCERT vil i det udvidede dækningsområde køre et testforløb med fem kommuner eller regioner, som vil blive finansieret via UMTS-midlerne. Alle øvrige varslings- og overvågningsaktiviteter i det udvidede dækningsområde vil blive gebyrfinansieret. Tilsluttede statslige institutioner vil blive tilbudt en alarmenhed. Ønskes yderligere alarmenheder opstillet vil der skulle betales gebyr herfor. De tilsluttede myndigheder kan få forøgede administrative byrder i mindre omfang. Tilslutning til GovCERT er frivillig for det offentlige. 5. De økonomiske og administrative konsekvenser for erhvervslivet Lovforslaget har ingen økonomiske eller administrative konsekvenser for erhvervslivet, idet tilslutning til GovCERT er frivillig. Tilsluttede private virksomheder beskæftiget med kritisk infrastruktur vil dog kunne have begrænsede økonomiske omkostninger, der dækker GovCERT's udgifter til levering af varslingsydelsen, herunder etablering og løbende servicering af GovCERT IDS hos den tilsluttede virksomhed. 6. De miljømæssige konsekvenser Lovforslaget har ingen miljømæssige konsekvenser. 7. De administrative konsekvenser for borgerne Lovforslaget har ingen administrative konsekvenser for borgerne. 8. Forholdet til EU-retten Lovforslaget implementerer ikke EU-regulering. Lovforslaget indeholder dog regler af relevans for to EU-direktiver Generelle overvejelser Der er på EU-niveau foretaget en række overvejelser, der i høj grad svarer til overvejelserne bag iværksættelsen af Gov- CERT, vedrørende behovet for, at medlemsstaterne iværksætter en eller anden form for statslig overvågningstjeneste for internettrusler. EU-Kommissionen vedtog således den 30. marts 2009 en meddelelse om beskyttelse af kritisk informationsinfrastruktur med undertitlen»beskyttelse mod storstilede cyber-angreb og sammenbrud: Øget beredskab, sikkerhed og robusthed«. I denne handlingsplan opfordrer Kommissionen således medlemsstaterne til bl.a. at oprette»landsdækkende statslige CERT-enheder«og sikre, at disse GovCERT er»fungerer som nøglekomponent i det nationale beredskab og i informationsudveksling, koordinering og reaktion på sikkerhedshændelser«. Der kan i den forbindelse bl.a. også henvises til Rådets resolution af 18. december 2009 om en samordnet europæisk strategi for net- og informationssikkerhed (EUT 2009/C 321/01). EU har ikke ønsket at fastlægge det nærmere indhold af de statslige varslingstjenester Persondatadirektivet Persondatadirektivet (direktiv 95/46/EF med senere ændringer) er gennemført i dansk ret med persondataloven. Persondatadirektivet må anses for at omfatte GovCERT s aktiviteter, i det omfang disse inkluderer behandling af personoplysninger. Da lovforslaget i videst muligt omfang er indrettet i overensstemmelse med persondataloven, vil Danmarks forpligtelser efter persondatadirektivet ikke blive beskrevet detaljeret i det følgende. I det tilfælde, hvor lovforslaget er udtryk for en undtagelsesvis fravigelse af persondataloven, er der ovenfor i afsnit nærmere redegjort for, hvorfor lovforslaget er i overensstemmelse med persondatadirektivet. Det vurderes således, at lovforslaget ligger inden for rammerne af persondatadirektivet E-databeskyttelsesdirektivet Det generelle persondatadirektiv er suppleret af det specifikke direktiv om elektronisk kommunikation, herefter e-

12 12 databeskyttelsesdirektivet (direktiv 2002/58/EF med senere ændringer). E-databeskyttelsesdirektivet blev således vedtaget for at supplere persondatadirektivet med en række særlige bestemmelser inden for den elektroniske kommunikation. E-databeskyttelsesdirektivet finder anvendelse på behandling af personoplysninger i forbindelse med brug af internettet (elektronisk kommunikation, herunder internet og s). I forhold til GovCERT s aktiviteter er det relevant at bemærke, at det følger af direktivets artikel 5, stk. 1, at medlemsstaterne skal sikre kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, dvs. f.eks. ved brug af internettet og s. Kommunikationshemmeligheden skal både sikres for så vidt angår selve indholdet af kommunikationen og de dermed forbundne trafikdata om brugen af internettet. Det vil f.eks. sige, at afsenderen af en skal sikres imod, at en opsnappes, åbnes og læses af andre end adressaten. Som beskrevet ovenfor i afsnit 3.3 ligger det i GovCERT IDS, at oplysninger af privat karakter i en undtagelsesvist kan blive afsløret over for GovCERT s personale og således andre end adressaten, hvilket vil være i konflikt med artikel 5, stk. 1, i e-databeskyttelsesdirektivet, selvom det måtte ske sjældent. Der henvises i den forbindelse også til afsnit 3.6 ovenfor vedrørende den tilsvarende problemstilling i forhold til grundlovens 72. Efter artikel 15, stk. 1, i e-databeskyttelsesdirektivet er der dog adgang til at indskrænke rækkevidden af direktivet med hensyn til bl.a. kommunikationshemmeligheden, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem. Direktivets artikel 15 tillader således, at der i national lovgivning fastsættes regler, der indskrænker beskyttelsen af kommunikationshemmeligheden. Betingelsen er imidlertid, at det sker for at varetage et eller flere af de hensyn, der er nævnt i artikel 15, stk. 1, herunder især i forhold til Gov- CERT s aktiviteter hensynet vedrørende uautoriseret brug af det elektroniske kommunikationssystem og den offentlige sikkerhed. Det vurderes på den baggrund, at den indskrænkning i kommunikationshemmeligheden, som GovCERT s beskrevne aktiviteter måtte medføre, er proportional og i overensstemmelse med e-databeskyttelsesdirektivet, da indskrænkningen indføres for, i direktivets forstand, at undgå uautoriseret brug af det elektroniske kommunikationssystem og beskytte den offentlige sikkerhed. Det vurderes således, at lovforslaget ligger inden for rammerne af e-databeskyttelsesdirektivet. 9. De hørte myndigheder og organisationer mv. Et udkast til lovforslag har været sendt i høring hos: AC, BaneDanmark, Beredskabsstyrelsen, Brancheforum Digitale Medier, Dansk Energi, Dansk Erhverv, Danske Regioner, Dansk Industri, Dansk IT, Datatilsynet, Domstolsstyrelsen, Energinet.dk, Energistyrelsen, Finansrådet, Foreningen Danske Olieberedskabslagre, Forbrugerombudsmanden, Forbrugerrådet, Foreningen Danske Internet Medier, Foreningen for Open Source Leverandører i Danmark, Forsvarets Efterretningstjeneste, FTF, ISP-sikkerhedsforum, IT-Brancheforeningen, ITEK, It-politisk forening, It-sikkerhedskomiteen, Kommunernes Landsforening, Konkurrence- og Forbrugerstyrelsen, LO, Politiets Efterretningstjeneste, PRO- SA, Rigspolitiet, Rigsrevisionen, Rådet for persondata og informationssikkerhed, Rådet for større IT-sikkerhed, Statens It-forum, Statens It-råd, Telekommunikationsindustrien i Danmark, UNI C (DK-CERT). 10. Sammenfattende skema Positive konsekvenser /mindre udgif-negativter konsekvenser/ merudgifter Økonomiske konsekvenser for det of-ingefentligslingstjeneste er frivillig. De tilslutte- Tilslutningen til den statslige varde statslige myndigheder kan få øgede udgifter til it-udstyr i mindre omfang. Fem kommuner eller regioner vil af UMTS-midlerne få finansieret et testforløb indtil Øvrige regionale og kommunale myndigheder kan tilslutte sig mod betaling af gebyr. Administrative konsekvenser for det offentlige Økonomiske konsekvenser for erhvervslivet Ingen Ingen Tilslutningen til den statslige varslingstjeneste er frivillig. De tilsluttede myndigheder kan i mindre omfang få forøgede administrative byrder. Tilslutningen til den statslige varslingstjeneste er frivillig. Tilsluttede

13 13 private virksomheder kan få begrænsede økonomiske omkostninger. Administrative konsekvenser for erhvervslivet Ingen Ingen Miljømæssige konsekvenser Ingen Ingen Administrative konsekvenser for bor-ingegere Ingen Forholdet til EU-retten Lovforslaget implementerer ikke EU-regulering. Det vurderes, at lovforslaget ligger inden for rammerne af e-databeskyttelsesdirektivet og persondatadirektivet. Bemærkninger til lovforslagets enkelte bestemmelser Til 1 Den foreslåede bestemmelse angiver, at formålet med lovforslaget er at skabe klare rammer for GovCERT s behandling af personoplysninger indeholdt i de indsamlede pakke- og trafikdata. Til 2 Med stk. 1 ønskes indført mulighed for, at også kommuner og regioner samt private virksomheder, der beskæftiger sig med kritisk infrastruktur, skal kunne vælge at tilslutte sig varslingstjenesten. Det er hensigten, at kommuner og regioner kun skal kunne tilslutte sig GovCERT, i det omfang varslingstjenesten har kapacitet hertil. Det forudsættes i den forbindelse, at de kommuner og regioner, der vælger at tilslutte sig varslingstjenesten, selv betaler fuldt ud for GovCERT s ydelser i det omfang kommunernes og regionernes tilslutning ikke er finansieret på anden vis, som f.eks. via UMTS-midlerne. Dele af den kritiske infrastruktur i Danmark er ejet af private virksomheder. Det gælder f.eks. elforsyningen. Dette afføder et samfundsmæssigt behov for, at også sådanne sektorer kan omfattes af GovCERT s dækningsområde for at sikre samfundets samlede sikkerhed og robusthed på internettet. Private virksomheder beskæftiget med kritisk infrastruktur har dermed også mulighed for at anmode om tilslutning til den statslige varslingstjeneste for internettrusler. Begrebet»kritisk infrastruktur«omfatter her, i overensstemmelse med begrebets fortolkning på det beredskabsmæssige område, de sektorer, der forestår vitale samfundsmæssige interesser, f.eks. finans-, energi samt it- og telesektoren. Begrebet skal fortolkes dynamisk og vil således udvikle sig over tid i takt med samfundsudviklingen, som kan gøre det relevant at inddrage nye sektorer under begrebet kritisk infrastruktur. For så vidt angår tilslutningen til GovCERT, kan ministeren for Videnskab, teknologi og udvikling ifølge stk. 2 fastsætte nærmere regler herom, herunder om vilkår og betaling for tilslutning til GovCERT. De anførte myndigheder og virksomheder kan herefter vælge at tilslutte sig GovCERT på baggrund af disse regler. De anførte myndigheder og private virksomheder, der måtte tilslutte sig varslingstjenesten, vil ved pålæggelse af et gebyr selv skulle finansiere tjenestens ydelser. Til 3 Den foreslåede bestemmelse definerer tre centrale begreber i loven. Pakkedata er i denne lov afgrænset til kun at omfatte indholdet af internetbaseret kommunikation. Begrebet omfatter det semantiske indhold af en internetbaseret kommunikation, herunder indholdet af en korrespondance eller indholdet af tilgåede websider, og derudover det tekniske indhold af kommunikationen, som f.eks. HTML- eller XML-koder. I forbindelse med GovCERT s analyse af sikkerhedshændelser er det primært det tekniske indhold af kommunikationen og ikke det semantiske indhold af kommunikationen, som er interessant for analysen. Ved trafikdata forstås i dette lovforslag data, som beskriver overførsel af pakkedata i en internetkommunikation, herunder ip-adresser, internetkommunikationens varighed og tidspunkt, adresser, hjemmesideadresser mv. Trafikdata er tillige defineret i bekendtgørelse nr. 714 af 26. juni 2008 om udbud af elektroniske kommunikationsnet og - tjenester (udbudsbekendtgørelsen) og identisk i e-databeskyttelsesdirektivet (direktiv 2002/58/EF med senere ændringer). Definitionen af trafikdata i dette lovforslag er justeret i forhold til denne definition. Sidste led i definitionen vedrørende debitering er således udeladt, idet data vedrørende debitering ikke har relevans for dette lovforslag. Derudover er det præciseret, at det kun er internetbaseret kommunikation, som er omfattet af begrebet trafikdata. Der er herudover ikke med dette lovforslag tiltænkt nogen fravigelse af definitionen af trafikdata i e-databeskyttelsesdirektivet og udbudsbekendtgørelsen. Ved en sikkerhedshændelse forstås, at der enten sker en påvirkning af tilgængelighed, integritet eller fortrolighed af information eller tjenester på internettet. Et eksempel på en sikkerhedshændelse, der påvirker tilgængelighed, kan være et såkaldt denial-of-service angreb, hvor en internettjeneste, f.eks. en hjemmeside, rammes af et stort antal forespørgsler, således at andre brugere ikke kan få adgang til hjemmesiden. En sikkerhedshændelse, der påvirker integritet, kan eksempelvis være et indbrud i en database, hvor tal ændres uden myndighedens vidende. En sikkerhedshændelse, der påvirker fortrolighed, kan være en såkaldt»trojansk hest«, der stjæler data fra en myndighed. Begrebet er defineret i loven med henblik på at præcisere afgrænsningen af de tilfælde, hvor GovCERT har mulighed for at opbevare pakke- og trafikdata i op til tre år.

14 14 Til 4 Det er formålet med den foreslåede bestemmelse, at der tilvejebringes klar lovhjemmel til GovCERT s behandling af personoplysninger i forbindelse med analyse- og varslingsopgaverne, herunder til indsamling, registrering og opbevaring af oplysninger om de tilsluttede myndigheders og virksomheders ind- og udgående internetkommunikation, dvs. pakke- og trafikdata, med henblik på varetagelsen af varslingsopgaven. For så vidt angår hjemmearbejdspladser, som medarbejdere i de tilsluttede myndigheder og virksomheder måtte have behandler GovCERT pakke- og trafikdata, når hjemmearbejdspladsen er koblet op til myndighedens eller virksomhedens itsystemer. Der sker således samme behandling af pakke- og trafikdata, som hvis medarbejderen befinder sig på sit arbejdssted. Internetkommunikation til og fra hjemmearbejdspladsen vil ikke blive registreret af GovCERT IDS-enheden opsat hos arbejdsgiveren, når medarbejderen ikke er koblet op til arbejdsgiverens it-systemer. GovCERT IDS er nærmere beskrevet i afsnit 3.3. i de almindelige bemærkninger. I de tilfælde, hvor der kommunikeres fra en hjemmearbejdsplads til et arbejdssted, som er tilknyttet GovCERT, vil denne trafik i sagens natur blive registreret i samme omfang, som al anden kommunikation til og fra arbejdsstedet. GovCERT s aktiviteter vil omfatte behandling af bl.a. personoplysninger, således som dette defineres i 3, nr. 1, i persondataloven. IT- og Telestyrelsen (GovCERT) betragtes i den forbindelse som dataansvarlig, jf. persondatalovens 3, nr. 4. I tilfælde af begrundet mistanke om en stedfunden eller forventet sikkerhedshændelse vil indholdet af f.eks. borgeres private s til tilsluttede myndigheder eller virksomheder uundgåeligt kunne blive afsløret over for GovCERT s personale og således andre end adressaten. Der vil f.eks. være tale om en begrundet mistanke om en sikkerhedshændelse, hvis der er klare tegn på, at en afsendt har været anvendt til at aflevere et it-angreb, f.eks. en virus, mod en myndighed. GovCERT s personale vil i forbindelse med alarmer og øvrige sikkerhedshændelser nærmere analysere pakkedata for den pågældende periode, hændelsen vedrører. Meddelelseshemmeligheden efter grundlovens 72 kan dermed i disse tilfælde blive brudt. Ved en alarm forstås, at der fra GovCERT IDS bliver sendt data, som er indsamlet hos den tilsluttede myndighed, til GovCERT, fordi der er konstateret en afvigelse fra»normalbilledet«af internetkommunikationen til og fra myndigheden. Normalbilledet er beskrevet i afsnit 3.3. i de almindelige bemærkninger. En alarm indikerer, at en sikkerhedshændelse har fundet sted. Når det således af stk. 1 følger, at GovCERT s aktiviteter foretages»uden retskendelse«skyldes det, at der med bestemmelsen, udover at skabe en klar hjemmel for de undtagelsesvise brud på meddelelseshemmeligheden, sigtes til at skabe klar hjemmel for at fravige udgangspunktet i grundlovens 72 om retskendelse. Det er i den forbindelse væsentligt at være opmærksom på, at GovCERT med den foreslåede lov kun får hjemmel til at analysere pakkedata ved begrundet mistanke om en stedfunden eller forventet sikkerhedshændelse. Adgangen til pakkedata er yderligere begrænset af, at kun den del af de indsamlede pakkedata, som er relevant for den pågældende analyse af sikkerhedshændelsen, vil kunne analyseres. Adgangen for GovCERT til pakkedata er herved begrænset mest muligt for at imødekomme hensynet til privatlivets fred. GovCERT vil som udgangspunkt ikke afkryptere en krypteret eller andet indhold af en internetkommunikation. Den eneste undtagelse hertil er, hvis ikke-krypteret kommunikation, som GovCERT har modtaget fra GovCERT IDS, indeholder en skadelig fil, f.eks. en virus, med et krypteret indhold. I dette tilfælde vil GovCERT kunne afkryptere indholdet af denne fil for nærmere at analysere virussen. Gov- CERT vil ikke kunne foretage denne delvise afkryptering, hvis hele kommunikationen er krypteret. Opbevaringsperioden for indsamlede oplysninger om de tilsluttede myndigheders ind- og udgående internetkommunikation vil højst være tre år for så vidt angår pakke- og trafikdata, der knytter sig til en sikkerhedshændelse på internettet. Opbevaringsperioden påregnes dog i de mange tilfælde at være væsentligt kortere, idet GovCERT er forpligtet til at slette data, så snart data ikke længere er relevant i forhold til GovCERT s formål og aktiviteter. Såfremt der ikke foreligger en sikkerhedshændelse, er de maksimale opbevaringstider væsentligt kortere, henholdsvis 14 kalenderdage for pakkedata og 12 måneder for trafikdata. Pakkedata vil som udgangspunkt blive slettet efter seks kalenderdage, men hvis yderligere undersøgelser er påkrævet for at afgøre, om der er tale om en sikkerhedshændelse, vil Gov- CERT kunne anvende op til i alt 14 kalenderdage, inden pakkedata skal slettes. Det vurderes, at de foreslåede maksimale opbevaringsperioder er de kortest mulige i forhold til formålet med Gov- CERT. Fristerne regnes fra tidspunktet for registreringen af data i GovCERT, hvilket skal forstås som tidspunktet for lagringen af data i IDS-enheden. Baggrund for fristernes længde er nærmere beskrevet i afsnit 3.2. Den behandling af personoplysninger, som GovCERTs adgang til de tilsluttede myndigheders ind- og udgående internetkommunikation (pakke- og trafikdata) uundgåeligt vil afstedkomme, vil til enhver tid skulle overholde reglerne i persondatalovens 5-8 om behandling af personoplysninger. I bestemmelsens stk. 3 foreslås det, at den nærmere tekniske udmøntning kan ske ved, at ministeren for videnskab, teknologi og udvikling fastsætter nærmere regler herom. Disse regler kan blandt andet omfatte specifikke beskrivelser af, hvordan den tekniske behandling af data skal ske fra data bliver indsamlet af GovCERT IDS, og indtil data bliver lagret på centrale servere hos GovCERT. Til 5 I bestemmelsens stk. 1 foreslås det, at persondatalovens 35 om retten til at gøre indsigelse ikke skal finde anvendelse i forbindelse med GovCERT s aktiviteter. Bestemmelsen vil

15 15 medføre, at registrerede ikke vil kunne gøre indsigelse mod GovCERT s behandling af personoplysninger. Det vurderes således, at behovet for at gøre indsigelse i denne situation, hvor indsamlingen af personoplysninger er en nødvendig konsekvens af GovCERT s virke, er mindre fremtrædende end de administrative byrder, det vil kunne pålægge GovCERT, hvis registrerede kunne gøre indsigelse. Der henvises i den forbindelse til afsnit i de almindelige bemærkninger, og det dér anførte om persondatalovens 35. Bestemmelsen i stk. 2 indebærer, at GovCERT s personale er underlagt en særlig tavshedspligt i forhold til de oplysninger, som personalet bliver bekendt med i kraft af deres stilling. De oplysninger, som GovCERT behandler, kan derfor ikke videregives til uvedkommende. Baggrunden for denne særlige tavshedspligt for GovCERT s personale er den særligt fortrolige karakter og omfanget af de oplysninger, som personalet potentielt har adgang til. De personer, som GovCERT indsamler oplysninger om, har som følge af bestemmelsen ikke ret til indsigt i oplysningerne efter persondatalovens 31, jf. persondatalovens 32, stk. 2. Der henvises til det i afsnit i de almindelige bemærkninger anførte om de to bestemmelsers forhold til lovforslaget. Bestemmelsen udelukker ikke en berettiget videregivelse af oplysninger efter lovforslagets 6. Til 6 Det følger af den foreslåede bestemmelse i nr. 1, at den statslige varslingstjeneste (GovCERT) kan videregive pakkeog trafikdata, der knytter sig til en sikkerhedshændelse, til dansk politi. Formålet hermed er at sikre, at politiet kan modtage oplysninger til brug for efterforskning og forfølgelse af strafbare forhold, der kan være begået i forbindelse med en sikkerhedshændelse, som f.eks. et virusangreb. GovCERT indgår i det statslige teleberedskab, der skal sikre, at internetkommunikation kan opretholdes i en beredskabssituation. GovCERT s aktiviteter dækker statslige myndigheders internetkommunikation bortset fra internetkommunikationen på Forsvarsministeriets område. Under Forsvarsministeriet er der indledt en opbygning af en militær CERT (MILCERT), der, ligesom GovCERT sikrer øvrige statslige myndigheders internetkommunikation, sikrer Forsvarsministeriets klassificerede og ikke klassificerede kommunikation og indgår i forsvarets beredskab. GovCERT og MILCERT er blandt de centrale aktører i statens samlede beredskab over for trusler og angreb rettet mod nationale digitale infrastrukturer. MILCERT er som del af den militære sikkerhedstjeneste organisatorisk forankret i Forsvarets Efterretningstjeneste. I tilfælde af en sikkerhedshændelse vil det i visse tilfælde være nødvendigt meget hurtigt at iværksætte en koordineret indsats mellem GovCERT og MILCERT for at sikre et sammenhængende beredskab og en effektiv anvendelse af samfundets samlede ressourcer i forsvaret mod trusler rettet mod de statslige myndigheders kritiske digitale infrastrukturer. Denne indsats forudsætter, at GovCERT og MILCERT meget hurtigt kan udveksle relevant information, herunder pakkedata relateret til sikkerhedshændelsen. Med forslaget til nr. 2, skabes således hjemmel til, at GovCERT i visse tilfælde kan videregive pakkedata til Forsvarets Efterretningstjeneste. Denne videregivelse af data er betinget af, at data er knyttet til en sikkerhedshændelse, og af, at videregivelsen er nødvendig for det it-sikkerhedsmæssige samarbejde mellem de to CERTer. Forsvarets Efterretningstjeneste skal behandle, herunder slette og opbevare, de videregivne pakkedata i overensstemmelse med de regler i dette lovforslags 4, som tilsvarende gælder for GovCERT s virke. Videregivelse af trafikdata til Forsvarets Efterretningstjeneste vil skulle reguleres i henhold til reglen i den foreslåede bestemmelses nr. 3. Med forslaget i nr. 3 sikres det, at den statslige varslingstjeneste kan videregive trafikdata til danske myndigheder det kan f.eks. være DK-CERT, som overvåger forskningsnettet og tilsluttede private virksomheder beskæftiget med kritisk infrastruktur, hvor dette er nødvendigt som led i varslingstjenestens aktiviteter og i henhold til varslingstjenestens formål. Det kan f.eks. være information om en konkret ip-adresse, som har angrebet en myndighed til forebyggelse af yderligere angreb. Nr. 3 sikrer herudover, at GovCERT kan udveksle trafikdata, herunder ip-adresser, med tilsvarende varslingstjenester i andre lande, også uden for EU, i forbindelse med sikkerhedshændelser på internettet. Der vil ikke efter bestemmelsen i nr. 3, kunne videregives pakkedata, herunder eksempelvis indholdet af en korrespondance. Det følger af den foreslåede bestemmelse, at andre regler i lovgivningen om indsamling og videregivelse af oplysninger mellem forvaltningsmyndigheder ikke vil kunne anvendes i forhold til data, der er indsamlet af den statslige varslingstjeneste som led i varslingstjenestens aktiviteter. Heri ligger bl.a., at hvis politiet til brug for f.eks. efterforskning af et strafbart forhold, der ikke er begået i forbindelse med en sikkerhedshændelse (jf. nr. 1), ønsker pakkedata eller trafikdata fra den statslige varslingstjeneste, må politiet gå frem efter de almindelige straffeprocessuelle regler i retsplejelovens fjerde bog og i den forbindelse efter omstændighederne indhente retskendelse. Til 7 Formålet med 7 er at pålægge ministeren for videnskab, teknologi og udvikling at nedsætte et uafhængigt tilsyn, der skal følge nærmere angivne dele af GovCERT s virksomhed. Ministeren for videnskab, teknologi og udvikling fastsætter nærmere regler for tilsynets virksomhed. Tilsynet vil f.eks. skulle føre tilsyn med informationer om it-angreb på offentlige myndigheder eller private virksomheder, herunder angrebsmetoden og effekten af angrebet. Tilsynet vil desuden skulle føre tilsyn med informationer, der kan anvendes til berigelseskriminalitet eller til at gøre skade på itsystemer, it-net, produktionssystemer eller lignende (tekniske oplysninger om sikkerhedshændelser). Det foreslås, at tilsynet skal forestås af en jurist som formand og fire sagkyndige medlemmer, der må betragtes som

16 16 upolitiske, og som beskikkes som følge af den almindelige tillid og agtelse, der er knyttet til deres person. Det er en endvidere en forudsætning, at tilsynets medlemmer kan sikkerhedsgodkendes. Lovforslaget ændrer ikke på Datatilsynets kompetence i henhold til persondataloven. Tilsynet ifølge dette lovforslags 7 vil således ikke behandle forhold, som hører under andre myndigheders kompetence. Til 8 En beslutning om, at en kompetence overlades generelt, f.eks. af en minister til en styrelse, bør af hensyn til borgernes mulighed for at kunne vide, hvem der er rette myndighed, altid angives i en bekendtgørelse, jf. afsnit 4 i Justitsministeriets vejledning nr. 153 af 22. september 1987 om udarbejdelse af administrative forskrifter. Det foreslås derfor, at der i loven indsættes en hjemmel for ministeren for videnskab, teknologi og udvikling til at bemyndige en under Ministeriet for Videnskab, Teknologi og Udvikling oprettet styrelse eller tilsvarende institution til at udøve de beføjelser, der i loven er tillagt ministeren. Ministeren kan herefter i en bekendtgørelse udnytte adgangen til at delegere opgaver og beføjelser til en statslig myndighed under ministeriet. Bemyndigelseshjemlen er formuleret, så den med sikkerhed kan rumme statslige myndigheder under Ministeriet for Videnskab, Teknologi og Udvikling, som organisatorisk er underordnet styrelserne. Ministeren kan således efter den foreslåede bestemmelse delegere sine beføjelser efter loven til enhver myndighed inden for ministeriets administrative hierarki uanset myndighedens placering i det administrative hierarki, herunder myndigheder, som er underordnet styrelser. Endvidere foreslås det, at ministeren for videnskab, teknologi og udvikling efter forhandling med vedkommende minister kan bemyndige andre statslige myndigheder til at udøve de beføjelser, som i loven er tillagt ministeren for videnskab, teknologi og udvikling. Der er kun tale om statslige myndigheder. Der kan således ikke i medfør af denne bestemmelse ske delegation til private virksomheder eller organisationer. Omfanget af delegationen til den pågældende statslige myndighed skal ske efter forhandling med vedkommende minister. Forslaget i stk. 2 er en konsekvens af det foreslåede stk. 1. Det foreslås derfor, at ministeren for videnskab, teknologi og udvikling får hjemmel til at fastsætte regler om adgangen til at påklage afgørelser vedrørende GovCERT s virksomhed, der er truffet i henhold til bemyndigelse efter stk. 1, herunder at afgørelserne ikke skal kunne påklages. Ministeren vil herved kunne afskære klageadgangen fra organisatorisk underordnede statslige myndigheder til styrelserne eller for andre statslige myndigheder. Ministeren kan f.eks. således ikke blot afskære klageadgang til ministeren, men også klageadgang til styrelserne. Adgangen til at afskære klage knytter sig kun til afgørelser på områder, som er delegeret fra ministeren i henhold til loven. Lovforslaget berører ikke øvrige klagemuligheder. Det foreslås i stk. 3, at ministeren for videnskab, teknologi og udvikling får hjemmel til at fastsætte regler om udøvelsen af de beføjelser, som en anden statslig myndighed efter forhandling med vedkommende minister bliver bemyndiget til at udøve efter stk. 1. Bestemmelsen omhandler de tilfælde, hvor ministeren udnytter sin adgang til at delegere beføjelser til andre statslige myndigheder uden for Ministeriet for Videnskab, Teknologi og Udvikling. Til 9 Det foreslås, at loven træder i kraft den 1. juli Til 10 Den foreslåede bestemmelse angår lovens territoriale gyldighed. Det er hensigten med bestemmelsen at fastlægge, at GovCERT s aktiviteter ikke vedrører de grønlandske og færøske dele af riget.

Forslag. Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger

Forslag. Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger Forslag til Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger 1. Loven regulerer den under Ministeriet for Videnskab, Teknologi og Udvikling etablerede statslige

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

GovCERT og DK CERT. Forskningsnettet 17. november 2010

GovCERT og DK CERT. Forskningsnettet 17. november 2010 GovCERT og DK CERT Forskningsnettet 17. november 2010 Hvad er GovCERT? GovCERT står for Government Computer Emergency Response Team, og er en statslig internet varslingstjeneste plaseret i IT- og Telestyrelsen

Læs mere

Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed.

Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed. 4. marts 2014 Forsvarsministeriet Att.: Peter Heiberg Holmens Kanal 42 1060 København K Mail: pah@fmn.dk Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed. Rådet for Digital Sikkerhed

Læs mere

Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg.

Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. R E T S P O L I T I S K F O R E N I N G Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. Indledende bemærkninger og problemstilling. Retspolitisk

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Du har søgt om aktindsigt i en sag om A Banks redegørelse om køb og salg af egne aktier sendt til Finanstilsynet i oktober 2007.

Du har søgt om aktindsigt i en sag om A Banks redegørelse om køb og salg af egne aktier sendt til Finanstilsynet i oktober 2007. Kendelse af 13. oktober 2009 (J.nr. 2009-0019579) Anmodning om aktindsigt ikke imødekommet. Lov om finansiel virksomhed 354 og 355 samt offentlighedslovens 14. (Niels Bolt Jørgensen, Anders Hjulmand og

Læs mere

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014 Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Retningslinier. for. Video-overvågning i Faxe Kommune

Retningslinier. for. Video-overvågning i Faxe Kommune Retningslinier for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre tryghed for ansatte i kommunen

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven Til samtlige kommuner, regioner og ministerier (underliggende myndigheder og institutioner bedes venligst orienteret) 28. juni 2007 Orientering til offentlige myndigheder om de nye regler i persondataloven

Læs mere

Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3.

Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3. Notat Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3. 15. februar 2011 Holsteinsgade 63 2100 København Ø Telefon 3545 0000 Telefax 3545 0010 E-post itst@itst.dk Netsted www.itst.dk CVR-nr. 26769388

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

OFFENTLIGE MYNDIGHEDER HAR FORTSAT VID ADGANG TIL AT FORETAGE TVANGSINDGREB I PRIVATE HJEM OG VIRKSOMHEDER

OFFENTLIGE MYNDIGHEDER HAR FORTSAT VID ADGANG TIL AT FORETAGE TVANGSINDGREB I PRIVATE HJEM OG VIRKSOMHEDER Af Chefjurist Jacob Mchangama Direkte telefon +45244220 31. maj 2011 OFFENTLIGE MYNDIGHEDER HAR FORTSAT VID ADGANG TIL AT FORETAGE TVANGSINDGREB I PRIVATE HJEM OG VIRKSOMHEDER Retssikkerhedsloven fra 2005

Læs mere

UDKAST (17/4 08) Forslag. Lov om ændring af lov om arbejdsmiljø (Gennemførelse af dele af Anerkendelsesdirektivet m.v.)

UDKAST (17/4 08) Forslag. Lov om ændring af lov om arbejdsmiljø (Gennemførelse af dele af Anerkendelsesdirektivet m.v.) Arbejdsmarkedsudvalget (2. samling) AMU alm. del - Bilag 178 Offentligt UDKAST (17/4 08) Forslag til Lov om ændring af lov om arbejdsmiljø (Gennemførelse af dele af Anerkendelsesdirektivet m.v.) 1 I lov

Læs mere

Justitsministeriet Lovafdelingen Strafferetskontoret E-mailes til jm@jm.dk

Justitsministeriet Lovafdelingen Strafferetskontoret E-mailes til jm@jm.dk Justitsministeriet Lovafdelingen Strafferetskontoret E-mailes til jm@jm.dk STRANDGADE 56 DK-1401 KØBENHAVN K TEL. +45 32 69 88 88 FAX +45 32 69 88 00 CENTER@HUMANRIGHTS.DK WWW.MENNESKERET.DK WWW.HUMANRIGHTS.DK

Læs mere

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget

Læs mere

X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere

X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere regler om, i hvilke tilfælde en forvaltningsmyndighed

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

Justitsministeriet Udlændingekontoret udlafd@jm.dk mkm@jm.dk

Justitsministeriet Udlændingekontoret udlafd@jm.dk mkm@jm.dk Justitsministeriet Udlændingekontoret udlafd@jm.dk mkm@jm.dk W I L D E R S P L A D S 8 K 1 4 0 3 K Ø BENHAVN K T E L E F O N 3 2 6 9 8 8 8 8 D I R E K T E 3 2 6 9 8 8 1 6 L U J J @ H U M A N R I G H T

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Brevdato: 19.08.08 Journalnummer: 2008-632-0034 Datatilsynet vender hermed tilbage til sagen, hvor Forsvarets Personeltjeneste

Læs mere

Overvågningen og beskyttelsen af den amerikanske ambassade

Overvågningen og beskyttelsen af den amerikanske ambassade Dato: 16. november 2010 Overvågningen og beskyttelsen af den amerikanske ambassade 1. Indledning I den seneste tid har der været omtale i medierne af, at amerikanske repræsentationer foretager overvågning

Læs mere

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk

Læs mere

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Lovafdelingen Dato: 15. november 2010 Kontor: Statsretskontoret Sagsnr.: 2010-7614-0030 Dok.: OTE40148 G R U N D - O G N Æ R H E D S N O T A T vedrørende

Læs mere

Forslag. Lov om ændring af lov om ligestilling af kvinder og mænd

Forslag. Lov om ændring af lov om ligestilling af kvinder og mænd Lovforslag nr. L 88 Folketinget 2010-11 Fremsat den 1. december 2010 af ministeren for ligestilling (Hans Christian Schmidt, fg.) Forslag til Lov om ændring af lov om ligestilling af kvinder og mænd (Ophævelse

Læs mere

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING Risikostyring - tag vare på dit, mit og vores - og på dig selv og os PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING 1 Definition Ved videoovervågning forstås vedvarende eller periodisk gentagen overvågning

Læs mere

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? 1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er

Læs mere

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Civil- og Politiafdelingen Supplerende samlenotat vedrørende de sager inden for Justitsministeriets ansvarsområde, der forventes behandlet på

Læs mere

Lov om indfødsretsprøve

Lov om indfødsretsprøve Høringsudkast af 09. marts 2006. Fremsat den af integrationsministeren (Rikke Hvilshøj) Forslag til Lov om indfødsretsprøve 1. Ministeren for flygtninge, indvandrere og integration bemyndiges til at etablere

Læs mere

Forslag. Lov om ændring af lov om finansiel virksomhed

Forslag. Lov om ændring af lov om finansiel virksomhed Forslag til Lov om ændring af lov om finansiel virksomhed (Det Systemiske Risikoråd) 1 I lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 705 af 25. juni 2012, som ændret ved 2 i lov nr. 512 af 16.

Læs mere

Forslag. Lov om ændring af lov for Færøerne om rettens pleje

Forslag. Lov om ændring af lov for Færøerne om rettens pleje Til lovforslag nr. L 185 Folketinget 2013-14 Vedtaget af Folketinget ved 3. behandling den 3. juni 2014 Forslag til Lov om ændring af lov for Færøerne om rettens pleje (Indgreb i meddelelseshemmeligheden,

Læs mere

H Ø R I N G O V E R U D K A S T T I L F O R S L A G T I L L O V F O R

H Ø R I N G O V E R U D K A S T T I L F O R S L A G T I L L O V F O R Justitsministeriet Udlændingeafdelingen Udlændingekontoret udlafd@jm.dk med kopi til asp@jm.dk W I L D E R S P L A D S 8 K 1 4 0 3 K Ø BENHAVN K T E L E F O N 3 2 6 9 8 8 8 8 D I R E K T E 3 2 6 9 8 8

Læs mere

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finanstilsynet Mai-Brit Campos Nielsen Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finansrådet og Børsmæglerforeningen har modtaget Finanstilsynets

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Statens strategi for overgang til IPv6

Statens strategi for overgang til IPv6 Notat Statens strategi for overgang til IPv6 Overgangen til en ny version af internetprotokollen skal koordineres såvel internationalt som nationalt. For at sikre en smidig overgang har OECD og EU anbefalet,

Læs mere

Borgernes rettigheder ved anvendelse af video

Borgernes rettigheder ved anvendelse af video Borgernes rettigheder ved anvendelse af video I løbet af de seneste år er anvendelsen af video og tv blevet stadig mere udbredt på de danske veje. Video og tv anvendes i en række sammenhænge: Trafikinformation

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Persondataloven kort fortalt

Persondataloven kort fortalt Persondataloven kort fortalt Den 27. februar 2013 Indhold Indledning... 2 Lov om behandling af personoplysninger... 3 På hvilke områder gælder loven?... 3 Hvilke typer behandling?... 3 Undtagelser fra

Læs mere

Europaudvalget 2013 KOM (2013) 0048 Bilag 1 Offentligt

Europaudvalget 2013 KOM (2013) 0048 Bilag 1 Offentligt Europaudvalget 2013 KOM (2013) 0048 Bilag 1 Offentligt GRUND- OG NÆRHEDSNOTAT TIL FOLKETINGETS EUROPAUDVALG Net- og informationssikkerhedsdirektivet (NIS) 1. Resumé Forslaget har til formål at sikre et

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt

Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt GRUNDNOTAT TIL FOLKETINGETS EUROPAUDVALG 30. maj 2008 Forslag til Europa-Parlamentets og Rådets direktiv om ændring af Rådets direktiv 68/151/EØF

Læs mere

Bank & Finans IP & Technology

Bank & Finans IP & Technology Den 7. november 2013 Nyhedsbrev Bank & Finans IP & Technology Forslag til obligatoriske interne whistleblowerordninger i finansielle virksomheder Finanstilsynet sendte den 15. august 2013 forslag til lov

Læs mere

Lov om ændring af lov om valg til Folketinget og lov om valg af danske medlemmer til Europa-Parlamentet

Lov om ændring af lov om valg til Folketinget og lov om valg af danske medlemmer til Europa-Parlamentet Forslag til Lov om ændring af lov om valg til Folketinget og lov om valg af danske medlemmer til Europa-Parlamentet (Digitalisering af proceduren for indsamling af vælgererklæringer) 1 I lov om valg til

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Revisionsregulativ. for. Københavns Kommune

Revisionsregulativ. for. Københavns Kommune Revisionsregulativ for Københavns Kommune I medfør af 5, stk. 3, i Bekendtgørelse nr. 392 af 2. maj 2006 om kommunernes budget- og regnskabsvæsen, revision m.v. fastsættes: Kapitel 1 Indledning 1. Revisor

Læs mere

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Ændret forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Ændret forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV DA DA DA KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 31.5.2005 KOM(2005) 246 endelig 2004/0209 (COD) Ændret forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om ændring af direktiv 2003/88/EF

Læs mere

LOVFORSLAG OM SKATS ADGANG TIL DATASPEJLING UDEN RETSKENDELSE ER I STRID MED EMRK

LOVFORSLAG OM SKATS ADGANG TIL DATASPEJLING UDEN RETSKENDELSE ER I STRID MED EMRK Af Chefjurist Jacob Mchangama Direkte telefon 22664220 11. oktober 2010 LOVFORSLAG OM SKATS ADGANG TIL DATASPEJLING UDEN RETSKENDELSE ER I STRID MED EMRK Ifølge et nyt lovforslag vil SKAT få hjemmel til

Læs mere

Forslag. Lov om ændring af forskellige lovbestemmelser om obligatorisk digital kommunikation m.v. Lovforslag nr. L 16 Folketinget 2012-13

Forslag. Lov om ændring af forskellige lovbestemmelser om obligatorisk digital kommunikation m.v. Lovforslag nr. L 16 Folketinget 2012-13 Lovforslag nr. L 16 Folketinget 2012-13 Fremsat den 3. oktober 2012 af erhvervs- og vækstministeren (Ole Sohn) Forslag til Lov om ændring af forskellige lovbestemmelser om obligatorisk digital kommunikation

Læs mere

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET EUROPA- KOMMISSIONEN Bruxelles, den 30.3.2015 COM(2015) 138 final RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET om udøvelse af de delegerede beføjelser, der tillægges Kommissionen i henhold

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

EU-FORORDNING OM PERSONDATA I UDKAST

EU-FORORDNING OM PERSONDATA I UDKAST Indsæt billede: et billede skal du skifte til placeringen: PowerPointBilleder (L:), hvor alle Bech-Bruun billederne er gemt og Skift billede: Du skifter til et andet billede, ved at slette det eksisterende

Læs mere

Domstolsstyrelsens årsberetning 2005 om persondataloven

Domstolsstyrelsens årsberetning 2005 om persondataloven Domstolsstyrelsen Administrationskontoret KFJ12188/Sagsbeh. KFJ J.nr. 2205-2006-1.2 11. januar 2006 Domstolsstyrelsens årsberetning 2005 om persondataloven Indhold: Domstolsstyrelsens tilsynsopgave s.

Læs mere

UDKAST. Loven træder i kraft den 15. juni 2012. Loven gælder ikke for Færøerne og Grønland. Socialudvalget 2011-12 SOU alm. del Bilag 148 Offentligt

UDKAST. Loven træder i kraft den 15. juni 2012. Loven gælder ikke for Færøerne og Grønland. Socialudvalget 2011-12 SOU alm. del Bilag 148 Offentligt Socialudvalget 2011-12 SOU alm. del Bilag 148 Offentligt UDKAST Forslag til Lov om ændring af lov om medlemskab af folkekirken, kirkelig betjening og sognebåndsløsning (Præsters ret til at undlade at vie

Læs mere

Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt

Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 14. november 2014 Kontor: Forvaltningsretskontoret

Læs mere

Fremsat den {FREMSAT} af økonomi- og erhvervsministeren (Bendt Bendtsen) Forslag. til

Fremsat den {FREMSAT} af økonomi- og erhvervsministeren (Bendt Bendtsen) Forslag. til Fremsat den {FREMSAT} af økonomi- og erhvervsministeren (Bendt Bendtsen) Forslag til Lov om administration af Europa-Parlamentets og Rådets forordning (EF) Nr. 1082/2006 af 5. juli 2006 om oprettelse af

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Arbejdsgruppen under Akademisk Råd vedr. named person. Named person ordning på HUM. Vedr.: Sagsbehandler: Inge-Lise Damberg

Arbejdsgruppen under Akademisk Råd vedr. named person. Named person ordning på HUM. Vedr.: Sagsbehandler: Inge-Lise Damberg DET HUMANISTISKE FAKULTET KØBENHAVNS UNIVERSITET Arbejdsgruppen under Akademisk Råd vedr. named person SAGSNOTAT 31. OKTOBER 2013 Vedr.: Named person ordning på HUM HR- OG PERSONALEAFDELINGEN Sagsbehandler:

Læs mere

Forældreansvarslov. 1) den separerede mand ifølge anerkendelse eller dom anses som barnets far eller

Forældreansvarslov. 1) den separerede mand ifølge anerkendelse eller dom anses som barnets far eller Forældreansvarslov Kapitel 1 Indledende bestemmelser 1. Børn og unge under 18 år er under forældremyndighed, medmindre de har indgået ægteskab. 2. Forældremyndighedens indehaver skal drage omsorg for barnet

Læs mere

Forbrugerombudsmanden. Carl Jacobsens vej 35. 2500 Valby. Att.: Chefkonsulent Tina Morell Nielsen. Frederiksberg, 19.

Forbrugerombudsmanden. Carl Jacobsens vej 35. 2500 Valby. Att.: Chefkonsulent Tina Morell Nielsen. Frederiksberg, 19. Forbrugerombudsmanden Carl Jacobsens vej 35 2500 Valby Att.: Chefkonsulent Tina Morell Nielsen Frederiksberg, 19. december 2011 Vedrørende standpunkt til markedsføring via sociale medier. Indledende bemærkninger.

Læs mere

2013 Udgivet den 11. januar 2014. 19. december 2013. Nr. 1678. Bekendtgørelse af lov om ligestilling af kvinder og mænd 1)

2013 Udgivet den 11. januar 2014. 19. december 2013. Nr. 1678. Bekendtgørelse af lov om ligestilling af kvinder og mænd 1) Lovtidende A 2013 Udgivet den 11. januar 2014 19. december 2013. Nr. 1678. Bekendtgørelse af lov om ligestilling af kvinder og mænd 1) Herved bekendtgøres lov om ligestilling af kvinder og mænd, jf. lovbekendtgørelse

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

Bekendtgørelse af lov om vagtvirksomhed

Bekendtgørelse af lov om vagtvirksomhed Bekendtgørelse af lov om vagtvirksomhed Herved bekendtgøres lov nr. 266 af 22. maj 1986 om vagtvirksomhed med de ændringer, der følger af 2 i lov nr. 936 af 27. december 1991, 2 i lov nr. 386 af 20. maj

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

Brugen af personoplysninger

Brugen af personoplysninger Gode råd om Brugen af personoplysninger Kend reglerne for håndtering af personlige oplysninger om medarbejderne! Udgivet af Dansk Handel & Service Brugen af personoplysninger 2006 Gode råd om Brugen af

Læs mere

Bekendtgørelse af lov om ligestilling af kvinder og mænd

Bekendtgørelse af lov om ligestilling af kvinder og mænd Lovbekendtgørelse nr. 1527 af 19. december 2004 Bekendtgørelse af lov om ligestilling af kvinder og mænd Herved bekendtgøres lov om ligestilling af kvinder og mænd, jf. lovbekendtgørelse nr. 553 af 2.

Læs mere

lov om Forsvarets Efterretningstjeneste

lov om Forsvarets Efterretningstjeneste 1. Indledning Den 19. februar 2015 fremlagde regeringen sin seneste terrorpakke Et stærkt værn mod terror 12 nye tiltag mod terror. Denne plan indeholdt bl.a. et tiltag, der skulle give Forsvarets Efterretningstjeneste

Læs mere

Ved skrivelse af 16. marts 1999 har klageren indbragt afgørelsen for Erhvervsankenævnet, idet klageren bl.a. har anført:

Ved skrivelse af 16. marts 1999 har klageren indbragt afgørelsen for Erhvervsankenævnet, idet klageren bl.a. har anført: Kendelse af 12. oktober 1999. 99-67.906 Aktindsigt nægtet Realkreditlovens 98 (Peter Erling Nielsen, Connie Leth og Vagn Joensen) Advokat K har ved skrivelse af 16. marts 1999 klaget over, at Finanstilsynet

Læs mere

Fremsat den {FREMSAT} af undervisningsministeren (Christine Antorini) Forslag. til

Fremsat den {FREMSAT} af undervisningsministeren (Christine Antorini) Forslag. til Fremsat den {FREMSAT} af undervisningsministeren (Christine Antorini) Forslag til Lov om ændring af lov om institutioner for almengymnasiale uddannelser og almen voksenuddannelse m.v., lov om institutioner

Læs mere

Europaudvalget 2004 KOM (2004) 0730 Bilag 1 Offentligt

Europaudvalget 2004 KOM (2004) 0730 Bilag 1 Offentligt Europaudvalget 2004 KOM (2004) 0730 Bilag 1 Offentligt Medlemmerne af Folketingets Europaudvalg og deres stedfortrædere Bilag Journalnummer Kontor 1 400.C.2-0 EUK 3. december 2004 Til underretning for

Læs mere

Bankerne kan nu oplyse identitet på kunder, der har betalt for lidt

Bankerne kan nu oplyse identitet på kunder, der har betalt for lidt Bankerne kan nu oplyse identitet på kunder, der har betalt for lidt BILAG TIL ORIENTERING Loven og dens forarbejder Bestemmelsen lyder således:» 117 a. Et pengeinstitut kan videregive oplysninger om en

Læs mere

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS BESLUTNING

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS BESLUTNING DA DA DA KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 29.10.2009 KOM(2009)608 endelig Forslag til RÅDETS BESLUTNING om bemyndigelse af Republikken Estland og Republikken Slovenien til at

Læs mere

1. Indledning. Retsplejelovens 114 har følgende ordlyd:

1. Indledning. Retsplejelovens 114 har følgende ordlyd: Civil- og Politiafdelingen Dato: 10. juli 2009 Kontor: Politikontoret Sagsnr.: 2009-945-1384 Dok.: LMD41023 Vejledning om politiets samarbejde med de sociale myndigheder og psykiatrien som led i indsatsen

Læs mere

Lov om Hav- og Fiskerifonden 1)

Lov om Hav- og Fiskerifonden 1) (Gældende) Udskriftsdato: 19. januar 2015 Ministerium: Fødevareministeriet Journalnummer: Fødevaremin., j.nr. 13-8343-000001 Senere ændringer til forskriften Ingen Lov om Hav- og Fiskerifonden 1) VI MARGRETHE

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET

ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET Udfyld venligst formular på skærmen og send den til Dátueftirlitið ved at trykke på knappen Submit form. 1. DATAANSVARLIG Offentlig institution

Læs mere

43. Ingen skat kan pålægges, forandres eller ophæves uden ved lov; [ ]

43. Ingen skat kan pålægges, forandres eller ophæves uden ved lov; [ ] Lovafdelingen Dato: 22. maj 2013 Kontor: Statsrets- og Menneskeretskontoret Sagsbeh: Thomas Klyver Sagsnr.: 2013-750-0098 Dok.: 773805 Notat om visse juridiske aspekter i forbindelse med overvejelser om

Læs mere

Arbejdsmarkedsudvalget 2009-10 AMU alm. del Bilag 289 Offentligt

Arbejdsmarkedsudvalget 2009-10 AMU alm. del Bilag 289 Offentligt Arbejdsmarkedsudvalget 2009-10 AMU alm. del Bilag 289 Offentligt Folketingets Arbejdsmarkedsudvalg Christiansborg 1240 København K Beskæftigelsesministeriet Ved Stranden 8 1061 København K T 72 20 50 00

Læs mere

Forslag. Lov om ændring af lov om markedsføring

Forslag. Lov om ændring af lov om markedsføring Forslag til Lov om ændring af lov om markedsføring (Indsættelse af faktureringspligt for regningsarbejde og ændring af Forbrugerombudsmandens ansættelsesvilkår) 1 I markedsføringsloven, jf. lovbekendtgørelse

Læs mere

Del 3. Elementer til kontrakt

Del 3. Elementer til kontrakt Del 3 Elementer til kontrakt 1 Indholdsfortegnelse 1. Kontraktens parter...4 2. Formål med kontrakten...4 3. Kontraktens omfang og indhold...4 4. Myndighedsopgaver og ansvar...5 5. Samarbejdsmodel...5

Læs mere

Europaudvalget 2013-14 EUU Alm.del EU Note 17 Offentligt

Europaudvalget 2013-14 EUU Alm.del EU Note 17 Offentligt Europaudvalget 2013-14 EUU Alm.del EU Note 17 Offentligt Europaudvalget, Erhvervs-, Vækst og Eksportudvalget EU- konsulenten EU-note Til: Dato: Udvalgenes medlemmer 8. februar 2015 Nye forslag vil påvirke

Læs mere

Strategi for politiets indsats over for æresrelaterede forbrydelser

Strategi for politiets indsats over for æresrelaterede forbrydelser 22. januar 2007 POLITIAFDELINGEN Polititorvet 14 1780 København V Telefon: 3314 8888 Telefax: 3343 0006 E-mail: Web: rpcha@politi.dk www.politi.dk Strategi for politiets indsats over for æresrelaterede

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Konsekvensanalyse/Data Protection Impact Assessment (DIA) /Data Protection Impact Assessment (DIA) Nye instrumenter i persondataretten Janne Glæsel (Gorrissen Federspiel) Max Sørensen () Oversigt 01 Kort om konsekvensanalyse/data Protection Impact Assessment

Læs mere

Kontrolforanstaltninger

Kontrolforanstaltninger Cirkulære om aftale om Kontrolforanstaltninger 2010 Cirkulære af den 1. november 2010 Perst. nr. 031-10 J.nr. 08-320-6 2 Indholdsfortegnelse Cirkulære Generelle bemærkninger... 5 Ikrafttræden mv.... 5

Læs mere

ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK

ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK OVERSÆTTELSESCENTRET FOR DEN EUROPÆISKE UNIONS ORGANER AFGØRELSE AF 10. februar 2000 OM EN ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK OVERSÆTTELSESCENTRET FOR DEN EUROPÆISKE

Læs mere

Justitsministeriet Civil- og Politiafdelingen

Justitsministeriet Civil- og Politiafdelingen Justitsministeriet Civil- og Politiafdelingen Dato: 2. marts 2006 Kontor: Politikontoret Sagsnr.: 2005-945-0019 Dok.: TFR40093 N O T I T S om logning af Internet-oplysninger, oplysninger om Internet-baserede

Læs mere

Databeskyttelse og cyber risk-forsikringer

Databeskyttelse og cyber risk-forsikringer Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg Persondataretlige aspekter Personoplysninger kun

Læs mere