Høringssvar vedr. udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed (Initiativer til styrkelse af cybersikkerheden)
Lovforslaget indeholder en række meget brede beføjelser til Center for Cybersikkerhed, som er formuleret på en særdeles uklar måde, hvor de kan betyde næsten hvad som helst.
Konstruktionen omkring Center for Cybersikkerhed indebærer allerede i dag meget omfattende indgreb i borgernes grundlæggende rettigheder til privatliv og beskyttelse af personlige oplysninger. Lovudkastet medfører en betydelig udvidelse af disse allerede meget omfattende indgreb, men det er umuligt at vurdere rækkevidden af de nye udvidede indgreb på grund af lovtekstens meget brede og upræcise formuleringer.
Udvidelsen af Center for Cybersikkerheds beføjelser gælder både i forhold til antallet af tilsluttede virksomheder og offentlige institutioner og mængden af personoplysninger som Center for Cybersikkerhed kan få adgang til. Hvor der tidligere alene var adgang til nettrafik, er der med lovforslaget adgang til alle data via det nye begreb ”stationære data”. Alle afgrænsninger af disse meget vidtgående beføjelser er alene overladt til Center for Cybersikkerheds egne vurderinger uden nogen uafhængig kontrolfunktion.
IT-Politisk Forening vil anbefale, at lovforslaget i den nuværende affatning ikke fremsættes i Folketinget, og at Forsvarsministeriet i stedet udarbejder et helt nyt lovforslag, hvor det reelt er muligt for høringsparterne (i en ny høring) at vurdere hvilke beføjelser som Center for Cybersikkerhed får og hvordan disse beføjelser er afgrænset af objektive bestemmelser. En ”collect it all” beføjelse, som derefter alene begrænses af Center for Cybersikkerheds egne vurderinger, er ikke acceptabelt i et demokratisk samfund.
Indgreb i grundlæggende rettigheder og EMRK
Når staten gør indgreb i borgernes grundlæggende ret til privatliv, er det et krav efter retspraksis fra den Europæiske Menneskerettighedsdomstol (EMD), at disse indgreb sker via et retsgrundlag, som er klart og præcist, og at anvendelsen af dette retsgrundlag skal være forudsigeligt for de personer, som er omfattet af dets anvendelsesområde. Det lovudkast, som er sendt i høring, lever ikke op til disse krav, fordi det er totalt umuligt at vurdere rækkevidden af lovforslagets bestemmelser.
Det er også et krav, at indgreb i retten til privatliv skal være egnet til at forfølge et formål af almen interesse, samt være nødvendigt og proportionalt. Et indgreb kan kun anses for at være nødvendigt, såfremt der ikke findes mindre indgribende foranstaltninger, som kan opfylde formålet af almen interesse.
IT-Politisk Forening anser samfundets cybersikkerhed for at være et formål af almen interesse, som kan begrunde visse indgreb i retten til privatliv, men vi vil stille os stærkt tvivlende over for, om den potentielt meget omfattende bulkindhentning overhovedet er egnet til at opfylde formålet. Derudover er der i lovforslaget absolut ingen overvejelser om, hvorvidt andre, mindre indgribende foranstaltninger kan opfylde formålet. I afsnittet om nødvendighed henviser lovforslagets bemærkninger pkt. 4.3 alene meget overordnet til den skønsmargin, som EMD anerkender at stater har. Det ændrer imidlertid ikke ved, at Forsvarsministeriet skal overveje, om der er andre, mindre indgribende foranstaltninger, som kan opfylde det almene formål vedr. cybersikkerhed.
I forhold til kravet om proportionalitet henviser Forsvarsministeriet til, at Tilsynet med Efterretningstjenesterne (TET) fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Dette tilsyn er imidlertid alene en legalitetskontrol med de indhentede personoplysninger. Der er ingen uafhængige kontrolforanstaltninger vedrørende omfanget af selve indhentningen, som sker uden retskendelse og alene efter vurderinger foretaget af Center for Cybersikkerhed. Sammenholdt med de meget generelle beføjelser kan det på ingen måde sikres, at kravene om proportionalitet overholdes.
Det nævnes i lovforslagets pkt. 3.3.2, at overvågning (bulkindhentning) på interne netværk og enheder ikke vurderes til at være ”egnet til domstolsprøvelse”. På den baggrund er den uafhængige forhåndskontrol fravalgt. Den begrundelse er helt og aldeles uacceptabel i et demokratisk samfund. Hvis de nuværende uafhængige kontrolfunktioner som domstolene ikke er egnede til at udføre kontrolopgaven med bulkindhentningen hensigtsmæssigt, bør der oprettes nye uafhængige kontrolfunktioner for denne aktivitet. Her kunne man givetvis med fordel søge inspiration hos europæiske lande, som har mere veludviklede systemer for uafhængig kontrol og tilsyn med efterretningstjenesterne end Danmark.
Det fremhæves i lovforslaget, at Center for Cybersikkerheds indgreb i retten til privatliv modsat den almindelige bulkindhentning hos efterretningstjenester (som Forsvarets Efterretningstjeneste) ikke foretages med henblik på at udfinde målpersoner, og at indgrebet i retten til privatliv derfor skulle være ”mindre intensivt”. Det er imidlertid temmelig misvisende, idet Center for Cybersikkerhed har specifikke beføjelser til at videregive oplysninger om udfundne målpersoner til politiet ved begrundet mistanke om en sikkerhedshændelse, og med det nye lovforslag får Center for Cybersikkerhed sågar hjemmel til at indhente yderligere oplysninger til identifikation af udfundne målpersoner med editionskendelser (lovforslagets kapitel 4 a).
Af de ovennævnte grunde, altså de meget uklare men omfattende beføjelser til Center for Cybersikkerhed og en helt utilstrækkelig og mangelfuld vurdering af om lovforslaget er foreneligt med Den Europæiske Menneskerettighedskonvention (EMRK), har IT-Politisk Forening ikke fundet det formålstjenstligt at komme med mere detaljerede kommentarer til lovforslagets bestemmelser på nuværende tidspunkt.
Tvangsmæssig tilslutning til uønsket tjeneste
Som en overordnet kommentar vil IT-Politisk Forening dog påpege, at Center for Cybersikkerhed trods meget store bevillinger ikke har været i stand til at tilbyde en netsikkerhedstjeneste, som danske virksomheder ønsker at gøre brug af. Hverken Forsvarsministeriet eller Center for Cybersikkerhed har udvist nogen interesse for at afdække årsagerne til dette. Den manglende tilslutning fra private virksomheder kunne i høj grad indikere, at der er behov for grundlæggende reformer af den måde, som Center for Cybersikkerhed er organiseret på og samarbejder med det øvrige samfund (offentlige institutioner, private virksomheder og organisationer, samt borgere). Det er næppe udgiften på 400.000 kr. om året, som får store private virksomheder af ”samfundsvigtig karakter” til at gå uden om Center for Cybersikkerhed.
I den forbindelse vil det være oplagt at vurdere, om det er hensigtsmæssigt at placere opgaver som næsten udelukkende er civile og som indebærer behandling af omfattende mængder personoplysninger hos Forsvarets Efterretningstjeneste, en offentlig myndighed som er undtaget fra væsentlige retsgarantier for beskyttelse af borgerne som databeskyttelsesforordningen (GDPR) og betydelige dele af offentlighedsloven og forvaltningsloven. Med lovforslaget tilføjes i øvrigt en undtagelse fra retssikkerhedsloven, som åbenbart blev glemt på listen med undtagelser i 2014.
I stedet for disse helt nødvendige og essentielle overvejelser om hvorfor det nuværende setup ikke skaber værdi for samfundet, vælger Forsvarsministeriet med lovforslaget at indføre mulighed for tvangsmæssig tilslutning for de virksomheder og offentlige myndigheder, som Center for Cybersikkerhed finder tilpas interessante for tjenestens opgavevaretagelse. Det sker samtidig med at overvågningsbeføjelsen udvides fra indgående og udgående nettrafik til at omfatte samtlige data, som behandles i IT-systemer (”stationære data”).
Det anføres i lovforslagets bemærkninger, at den tvungne tilslutning kun forventes at ske i sjældne tilfælde (under 10 gange om året). Men det er langtfra sikkert (der er ikke en juridisk bindende kvote for antallet af tvungne tilslutninger), og fremadrettet kan det i øvrigt blive særdeles vanskeligt at vurdere, hvor mange tilslutninger der reelt er tvungne. Udsigten til at kunne modtage et pålæg om tilslutning kan meget vel få flere private virksomheder til at vælge en ”frivillig” tilslutning til Center for Cybersikkerhed. Disse bemærkninger gælder også for den nye overvågning på interne netværk og enheder (adgang til ”stationære data”), som er frivillig for de tilsluttede organisationer, undtagen når den i særlige tilfælde er tvungen. Hvad det betyder er selvsagt meget uklart.
For de borgere, som får deres personoplysninger videregivet til Center for Cybersikkerhed, er der principielt ingen forskel på om tilslutningen er frivillig eller tvungen. Men den nye mulighed for tvungen tilslutning vil uundgåeligt medføre, at der videregives langt flere personoplysninger til Center for Cybersikkerhed, også via de formelt frivillige (men i praksis måske reelt tvungne) tilslutninger.
Transparens om tilsluttede organisationer fjernes
Transparensen omkring de tilsluttede virksomheder og offentlige myndigheder fjernes fuldstændigt, uden at Forsvarsministeriet på nogen måde redegør for motivationen til dette. I bemærkningerne til den nuværende § 3 i lov om Center for Cybersikkerhed står der:
Center for Cybersikkerhed vil regelmæssigt offentliggøre, hvilke myndigheder og virksomheder der er tilsluttet netsikkerhedstjenesten efter § 3, stk. 2 og 3.
Uden nogen kommentarer eller begrundelser er denne transparensbestemmelse (der i øvrigt ikke var med i det lovudkast, som blev sendt i høring i 2014) erstattet med:
Center for Cybersikkerhed vil regelmæssigt offentliggøre, hvor mange myndigheder og virksomheder, der er tilsluttet netsikkerhedstjenesten efter stk. 2 og 3, samt fordelingen på sektorer.
Det er helt uacceptabelt, at borgerne på den måde bliver frataget muligheden for at få information om hvornår de kan blive overvåget af Center for Cybersikkerhed. Det udelukker blandt andet, at borgerne selv kan træffe passende foranstaltninger mod denne overvågning ved eksempelvis at undgå de danske virksomheder, som er under overvågning af Center for Cybersikkerhed, enten frivilligt eller via tvangsmæssig foranstaltninger (påbud).