Tilsynet med Efterretningstjenesternes årsredegørelser 2018 vedrørende FE og CFCS
Forsvarsministeriet har i dag publiceret Tilsynet med Efterretningstjenesternes årsredegørelser om tilsynet med Forsvarets Efterretningstjeneste (FE) og Center for Cybersikkerhed (CFCS)
16. juli, 2019 - Kl. 12.10
[Oprindeligt publiceret af Center for Cybersikkerhed]
Redegørelsen om FE
Det fremgår af tilsynets redegørelse om FE, at tjenesten generelt overholder de krav, som følger af lovgivningen. Det gælder både FE’s tilvejebringelse og interne behandling af oplysninger om i Danmark hjemmehørende personer, herunder reglerne om lovlig politisk virksomhed, samt FE’s videregivelse af oplysninger til udenlandske samarbejdspartnere.
På nogle punkter har tilsynets kontrol i 2018 imidlertid givet tilsynet anledning til bemærkninger. Det drejer sig bl.a. om søgning i rådata, hvor tilsynet konstaterer, at tjenesten fortsat har en udfordring, men samtidig konstaterer, at der i alle tilfælde er tale om uagtsomme fejl og anerkender, at tjenesten har et betydeligt fokus på at nedbringe antallet af fejl. Tilsynet anfører, at de har afdækket risici for, at FE’s indhentning via et besigtiget system uberettiget kan målrettes i Danmark hjemmehørende personer.
”Vi er i løbende dialog med tilsynet om de forhold, som har givet tilsynet anledning til bemærkninger, ligesom tilsynets kontroller inddrages i tilrettelæggelsen af vores interne kontrol. En kontrol, som tilsynet vurderer, at tjenesten generelt har tilrettelagt og gennemført tilfredsstillende”, udtaler Chefen for FE, Lars Findsen.
Tilsynet påser løbende og af egen drift, at FE overholder reglerne i FE-loven. Tilsynet har i den forbindelse direkte adgang til alle relevante oplysninger i FE og har mulighed for at spørge nærmere ind til forhold, som har betydning for dets tilsynsvirksomhed.
Tilsynet har i 2018 gennemført en særlig kontrol af FE’s pligt til af egen drift at orientere tilsynet om forhold af væsentlig betydning. Tilsynet vurderer i den forbindelse, at FE ikke har iagttaget denne pligt vedrørende ét af tjenestens indhentningssystemer, idet FE allerede ved tilsynets opstart burde have orienteret om en række forhold i relation til systemet. Tilsynet har haft indseende med det pågældende indhentningssystem siden tilsynets opstart, og har i flere år ført kontrol.
”Vi tager tilsynets kritik til efterretning. Vi tager altid bemærkninger fra tilsynet meget alvorligt. For mig er det afgørende, at der er et velfungerende og effektivt tilsyn, og vi lægger i FE selvsagt betydelig vægt på at bidrage hertil”, udtaler Chefen for FE, Lars Findsen.
Redegørelsen om CFCS
Det fremgår af tilsynets redegørelse om CFCS, at centret generelt overholder de krav, som følger af lovgivningen om indgreb i meddelelseshemmeligheden, behandling af personoplysninger, analyse, videregivelse og sletning af data.
På et par områder er tilsynet kommet med bemærkninger. Det drejer sig særligt om iagttagelse af sikkerhedsforanstaltninger i forhold til medier såsom computere, harddiske, mobiltelefoner mv., som CFCS modtager fra kunder m.fl. med henblik på teknisk analyse. Som det fremgår af tilsynets redegørelse har CFCS iværksat en række tiltag med henblik på at rette op på de forhold, som tilsynet har påpeget.
Endvidere har tilsynet fundet det kritisabelt, at CFCS ikke tidligere har tilrettelagt sin interne kontrol på baggrund af en dokumenteret og ledelsesgodkendt risiko- og væsentlighedsvurdering. Tilsynet noterer sig imidlertid, at CFCS efterfølgende har fremsendt en sådan vurdering, ligesom centret har afrapporteret på afviklede interne kontroller i 2018.
”Vi tager tilsynets kritik til efterretning, og vi vil sikre os, at den interne kontrol også i CFCS fremover baserer sig på en dokumenteret og ledelsesgodkendt risiko- og væsentlighedsvurdering, samt at der løbende sker afrapportering til tilsynet på afviklede interne kontroller”, udtaler Chefen for FE, Lars Findsen.
Tilsynet med Efterretningstjenesternes årsredegørelser kan læses her
Redegørelsen om FE
Det fremgår af tilsynets redegørelse om FE, at tjenesten generelt overholder de krav, som følger af lovgivningen. Det gælder både FE’s tilvejebringelse og interne behandling af oplysninger om i Danmark hjemmehørende personer, herunder reglerne om lovlig politisk virksomhed, samt FE’s videregivelse af oplysninger til udenlandske samarbejdspartnere.
På nogle punkter har tilsynets kontrol i 2018 imidlertid givet tilsynet anledning til bemærkninger. Det drejer sig bl.a. om søgning i rådata, hvor tilsynet konstaterer, at tjenesten fortsat har en udfordring, men samtidig konstaterer, at der i alle tilfælde er tale om uagtsomme fejl og anerkender, at tjenesten har et betydeligt fokus på at nedbringe antallet af fejl. Tilsynet anfører, at de har afdækket risici for, at FE’s indhentning via et besigtiget system uberettiget kan målrettes i Danmark hjemmehørende personer.
”Vi er i løbende dialog med tilsynet om de forhold, som har givet tilsynet anledning til bemærkninger, ligesom tilsynets kontroller inddrages i tilrettelæggelsen af vores interne kontrol. En kontrol, som tilsynet vurderer, at tjenesten generelt har tilrettelagt og gennemført tilfredsstillende”, udtaler Chefen for FE, Lars Findsen.
Tilsynet påser løbende og af egen drift, at FE overholder reglerne i FE-loven. Tilsynet har i den forbindelse direkte adgang til alle relevante oplysninger i FE og har mulighed for at spørge nærmere ind til forhold, som har betydning for dets tilsynsvirksomhed.
Tilsynet har i 2018 gennemført en særlig kontrol af FE’s pligt til af egen drift at orientere tilsynet om forhold af væsentlig betydning. Tilsynet vurderer i den forbindelse, at FE ikke har iagttaget denne pligt vedrørende ét af tjenestens indhentningssystemer, idet FE allerede ved tilsynets opstart burde have orienteret om en række forhold i relation til systemet. Tilsynet har haft indseende med det pågældende indhentningssystem siden tilsynets opstart, og har i flere år ført kontrol.
”Vi tager tilsynets kritik til efterretning. Vi tager altid bemærkninger fra tilsynet meget alvorligt. For mig er det afgørende, at der er et velfungerende og effektivt tilsyn, og vi lægger i FE selvsagt betydelig vægt på at bidrage hertil”, udtaler Chefen for FE, Lars Findsen.
Redegørelsen om CFCS
Det fremgår af tilsynets redegørelse om CFCS, at centret generelt overholder de krav, som følger af lovgivningen om indgreb i meddelelseshemmeligheden, behandling af personoplysninger, analyse, videregivelse og sletning af data.
På et par områder er tilsynet kommet med bemærkninger. Det drejer sig særligt om iagttagelse af sikkerhedsforanstaltninger i forhold til medier såsom computere, harddiske, mobiltelefoner mv., som CFCS modtager fra kunder m.fl. med henblik på teknisk analyse. Som det fremgår af tilsynets redegørelse har CFCS iværksat en række tiltag med henblik på at rette op på de forhold, som tilsynet har påpeget.
Endvidere har tilsynet fundet det kritisabelt, at CFCS ikke tidligere har tilrettelagt sin interne kontrol på baggrund af en dokumenteret og ledelsesgodkendt risiko- og væsentlighedsvurdering. Tilsynet noterer sig imidlertid, at CFCS efterfølgende har fremsendt en sådan vurdering, ligesom centret har afrapporteret på afviklede interne kontroller i 2018.
”Vi tager tilsynets kritik til efterretning, og vi vil sikre os, at den interne kontrol også i CFCS fremover baserer sig på en dokumenteret og ledelsesgodkendt risiko- og væsentlighedsvurdering, samt at der løbende sker afrapportering til tilsynet på afviklede interne kontroller”, udtaler Chefen for FE, Lars Findsen.
Tilsynet med Efterretningstjenesternes årsredegørelser kan læses her
FAKTABOKS:
FE er bl.a. Danmarks udenrigs- og militære efterretningstjeneste. FE’s efterretningsmæssige virksomhed er rettet mod forhold i udlandet, og som det fremgår af bemærkningerne til FE-loven vedrører den altdominerende del af de rådata, som FE indhenter, derfor udenlandske forhold. Som det ligeledes fremgår af lovbemærkningerne, vil der dog i disse data kunne forekomme oplysninger om ”i Danmark hjemmehørende personer”. Dette begreb dækker personer med en kvalificeret tilknytning til Danmark, herunder navnlig danskere eller personer med opholdstilladelse i Danmark.
Henset til FE’s virksomhed som udenrigsefterretningstjeneste vil FE’s indhentning og efterfølgende søgning i rådata i altovervejende grad alene omfatte udenlandsk data. FE kan dog bl.a. efter at have indhentet en retskendelse på terrorområdet i medfør af FE-loven indhente og fremsøge data målrettet efter danskere.
Center for Cybersikkerheds (CFCS) opgaver er selvstændigt reguleret i CFCS-loven. Den efterretningsmæssige del af FE har ikke adgang til søgning i de data, som CFCS har tilvejebragt ved indgreb i meddelelseshemmeligheden i medfør af CFCS-loven, men alene i de data, som indhentes i medfør af FE-loven.
Tilsynet med Efterretningstjenesternes opgave i forhold til FE er at påse, at FE i relation til i Danmark hjemmehørende personer og personer, der opholder sig i Danmark, overholder reglerne i FE-loven og regler udstedt i medfør heraf.
I forhold til CFCS har tilsynet til opgave at på se, at centret behandler oplysninger om fysiske personer i overensstemmelse med reglerne herom i CFCS-loven og regler udstedt i medfør heraf.
Tilsynet afgiver årligt en redegørelse om sin kontrol med henholdsvis FE og CFCS til Forsvarsministeren. Redegørelserne forelægges af Forsvarsministeren for Folketingets udvalg om forsvarets og politiets efterretningstjenester. Redegørelserne offentliggøres.
Tilsynets kontrolmetode er nærmere beskrevet i tilsynets årsredegørelser.
FE er bl.a. Danmarks udenrigs- og militære efterretningstjeneste. FE’s efterretningsmæssige virksomhed er rettet mod forhold i udlandet, og som det fremgår af bemærkningerne til FE-loven vedrører den altdominerende del af de rådata, som FE indhenter, derfor udenlandske forhold. Som det ligeledes fremgår af lovbemærkningerne, vil der dog i disse data kunne forekomme oplysninger om ”i Danmark hjemmehørende personer”. Dette begreb dækker personer med en kvalificeret tilknytning til Danmark, herunder navnlig danskere eller personer med opholdstilladelse i Danmark.
Henset til FE’s virksomhed som udenrigsefterretningstjeneste vil FE’s indhentning og efterfølgende søgning i rådata i altovervejende grad alene omfatte udenlandsk data. FE kan dog bl.a. efter at have indhentet en retskendelse på terrorområdet i medfør af FE-loven indhente og fremsøge data målrettet efter danskere.
Center for Cybersikkerheds (CFCS) opgaver er selvstændigt reguleret i CFCS-loven. Den efterretningsmæssige del af FE har ikke adgang til søgning i de data, som CFCS har tilvejebragt ved indgreb i meddelelseshemmeligheden i medfør af CFCS-loven, men alene i de data, som indhentes i medfør af FE-loven.
Tilsynet med Efterretningstjenesternes opgave i forhold til FE er at påse, at FE i relation til i Danmark hjemmehørende personer og personer, der opholder sig i Danmark, overholder reglerne i FE-loven og regler udstedt i medfør heraf.
I forhold til CFCS har tilsynet til opgave at på se, at centret behandler oplysninger om fysiske personer i overensstemmelse med reglerne herom i CFCS-loven og regler udstedt i medfør heraf.
Tilsynet afgiver årligt en redegørelse om sin kontrol med henholdsvis FE og CFCS til Forsvarsministeren. Redegørelserne forelægges af Forsvarsministeren for Folketingets udvalg om forsvarets og politiets efterretningstjenester. Redegørelserne offentliggøres.
Tilsynets kontrolmetode er nærmere beskrevet i tilsynets årsredegørelser.