Høringssvar om udkast til evaluering af GovCERT-loven

IT-Politisk Forening har følgende korte bemærkninger til evalueringen af GovCERT-loven.

Tilsynet med GovCERT

Det er beklageligt at tilsynet med GovCERT, jf. lovens § 7, først blev nedsat i september 2013, og at der derfor ikke foreligger en årsrapport fra tilsynet. Det kunne have været væsentlig information i forhold til at vurdere de opgaver, som tilsynet med Center for Cybersikkerhed skal varetage, herunder hvilke faglige kompetencer (sagkundskab) som tilsynet bør besidde.

Bidrag til cybersikkerheden

Under punktet GovCERT's konkrete bidrag til cybersikkerheden nævnes kompromitteringen af Erhvervs- og Vækstministeriets systemer samt den meget omtalte hackersag hos CSC.

IT-Politisk Forening undrer sig over at CSC nævnes i den forbindelse, da CSC ikke er tilsluttet GovCERT, og kompromitteringen af CSC's systemer blev først opdaget, da svenske myndigheder gjorde de danske myndigheder opmærksom på at der var sket indtrængen i CSC's systemer.

I begge sager har GovCERT givetvis ydet væsentlige bidrag til opklaring af hvad der er sket, men hovedformålet med IT-sikkerhed, hvad enten det er i statsligt eller privat regi, er at stoppe uautoriseret indtrængen og kompromittering af data. Desværre kan det ikke ud fra evalueringen vurderes i hvilket omfang GovCERT har bidraget til dette.

Konsekvenserne for borgernes ret til privatliv

Evalueringen omfatter desværre ikke GovCERT's konsekvenser for borgernes ret til privatliv. IT-Politisk Forening vil opfordre til at evalueringsrapporten udvides med et afsnit om dette inden lovforslaget om Center for Cybersikkerhed fremsættes i Folketinget.

GovCERT's funktionen indebærer et indgreb i meddelelses­hemmeligheden uden krav om mistanke eller nogen form for domstolskontrol. Det giver anledning til væsentlige betænkeligheder i forhold til bl.a. EMRK artikel 8.

Retten til privatliv efter EMRK artikel 8 er ikke absolut, men indskrænkninger af denne ret skal opfylde en række betingelser om især nødvendighed og proportionalitet. Det bør løbende vurderes dels om disse betingelser er opfyldt, dels om en mindre vidtgående indskrænkning kunne være tilstrækkelig i forhold til opfyldelse af formålet om sikring af den danske cybersikkerhed.