Tilsynet med Efterretningstjenesternes årsredegørelse 2019 vedrørende Center for Cybersikkerhed
Forsvarsministeriet har i dag offentliggjort Tilsynet med Efterretningstjenesternes årsredegørelse 2019 om tilsynet med Center for Cybersikkerhed (CFCS)
Det fremgår af tilsynets redegørelse om CFCS, at centeret generelt overholder de krav, som følger af lovgivningen om indgreb i meddelelseshemmeligheden, behandling af personoplysninger, analyse, og videregivelse. På enkelte punkter har tilsynets kontrol i 2019 imidlertid givet anledning til bemærkninger.
Det drejer sig bl.a. om CFCS’ overholdelse af kravene til sletning. I en kontrol af CFCS’ anvendelse af centerets sensornetværk, som overvåger internettrafik hos tilsluttede myndigheder og virksomheder, har tilsynet således fundet, at kravene til løbende sletning af data i størstedelen af de kontrollerede tilfælde ikke var overholdt.
”Lad mig først og fremmest sige, at vi altid tager bemærkninger fra tilsynet meget alvorligt. I det konkrete tilfælde, som omhandler tilsynets kontrol med CFCS’ anvendelse af centrets sensornetværk, er der imidlertid tale om, at CFCS har en anden forståelse af, hvornår formålet med behandling af data fra sensornetværket i CFCS-lovens forstand må anses for opfyldt med deraf følgende krav om sletning, end den, som tilsynet har lagt til grund i sin kontrol. Det er vigtigt for mig at understrege, at tilsynets bemærkninger således ikke er et udtryk for, at centerets medarbejdere har begået fejl i form af tilsidesættelse af interne retningslinjer eller lignende.
Der er i CFCS-loven taget højde for, at der kan opstå den slags situationer, hvor CFCS og tilsynet ikke har samme opfattelse af, hvordan lovgivningen skal fortolkes. Der er nu igangsat en proces, som har til formål at finde en fælles forståelse”, udtaler chefen for CFCS, Thomas Lund-Sørensen.
På enkelte andre punkter har tilsynets kontrol også givet tilsynet anledning til bemærkninger. Det drejer sig bl.a. om iagttagelse af sikkerhedsforanstaltninger i forhold til medier såsom computere, harddiske, mobiltelefoner mv., som CFCS modtager fra kunder mv. med henblik på teknisk analyse.
”Vi tager naturligvis tilsynets bemærkning meget alvorligt og vil inddrage den i tilrettelæggelsen af vores interne kontrol. En kontrol, som jeg er meget tilfreds med, at tilsynet vurderer, er tilrettelagt og gennemført tilfredsstillende”, udtaler chefen for CFCS, Thomas Lund-Sørensen.
Endvidere har tilsynet ved en kontrol af udvalgte arbejdsstationer i ét tilfælde fundet, at det af centeret oplyste formål med behandlingen af nærmere angivne oplysninger ikke udgjorde et tilstrækkeligt grundlag for behandlingen. For så vidt angår forløbet af den sidstnævnte kontrol har tilsynet kritiseret, at CFCS i sit oprindelige høringssvar afgav fejlagtige oplysninger, som først efter 5 måneders sagsbehandlingstid blev berigtiget i et svar på en supplerende høring fra tilsynet.
”I det konkrete tilfælde var der først tale om, at utilstrækkelig intern kommunikation gav anledning til fejlagtige oplysninger, som vi senere selv berigtigede, men berigtigelsen blev forsinket af principielle juridiske overvejelser. Det er ikke godt nok, og det er bestemt noget, som vi vil gøre bedre fremadrettet. Jeg kan tilføje, at CFCS har brugt tilsynets kritik til at udarbejde nye retningslinjer, så vi kan undgå lignende tilfælde i fremtiden”, udtaler chefen for CFCS, Thomas Lund-Sørensen.
Læs tilsynets redegørelse her.