Sigtet med redegørelserne er at give en generel information om karakteren af det til­syn, der udøves vedrørende PET, FE og CFCS. Redegørelserne indeholder blandt andet oplysninger om de forhold, som tilsynet har valgt særligt at interessere sig for, og om i hvor mange tilfælde tilsynet har fundet, at tjenesternes eller centrets behandling af personoplysninger ikke har været i overensstemmelse med reglerne.

Det bemærkes, at nedenstående dele alene udgør et mindre udsnit af tilsynets kontrol af PET, FE og CFCS i 2020, hvor tilsynet har haft særlige eller principielle bemærkninger. For det fulde billede af tilsynets kontrol af PET, FE og CFCS skal redegørelserne læses i deres helhed.

Tilsynets kontrol af PET

Vedrørende PET fremhæves følgende centrale og principielle dele af tilsynets redegørelse:

  • Tilsynets afsluttede kontroller af PET i 2020 viste, at tjenesten i alle tilfælde har overholdt lovgivningens bestemmelser om tilvejebringelse og videregivelse af oplysninger.
  • Tilsynets afsluttede kontroller af PET i 2020 viste endvidere, at tjenesten efter årsskiftet 2020/2021 har implementeret ISO 27001-standarden tilfredsstillende.
  • Tilsynets kontrol af PETs sager vedrørende demonstrationer viste imidlertid, at tjenesten i forbindelse med en sag har behandlet oplysninger vedrørende 21 personers samt medlemmerne af to bands lovlige politiske virksomhed i strid med PET-lovens § 11, stk. 1 og 2.
  • Tilsynets kontrol viste endvidere, at PET generelt har vanskeligheder med at iagttage lovgivningens krav om, at journalsager skal slettes eller forlænges, når den overordnede slettefrist herfor udløber, hvilket tilsynet finder kritisabelt.
  • Tilsynet har endvidere på baggrund af sin kontrol af PET i 2020 fundet anledning til at udtale kritik af

    • at tjenesten behandler oplysninger i 37 databaser og journalsystemer, samt i et transitsystem, som tjenesten ikke har orienteret tilsynet om, jf. PET-bekendtgørelsens § 2, stk. 2, og § 15,
    • at tjenesten behandler oplysninger i fem databaser, som tjenesten ikke har fastsat en slettefrist for, jf. PET-bekendtgørelsens § 2, stk. 2,
    • at tjenesten på tidspunktet for tilsynets kontrol behandlede personoplysninger i fire databaser, som tjenesten selv vurderede ikke længere er nødvendige. De fire databaser indeholdt ca. 1 mio. poster, herunder formentligt oplysninger, som tjenesten har slettet i andre systemer i forbindelse med tilsynets tidligere kontroller og anmodninger om indirekte indsigt,
    • at tjenesten gentagne gange har givet mangelfulde oplysninger til tilsynet, jf. PET-lovens § 20, stk. 3, og at tjenesten ikke har stillet de nødvendige medarbejdere til rådighed ved gennemførelsen af kontrol af relationelle databaser i 2020, jf. PET-lovens § 20, stk. 2 og 4, og
    • at tjenesten i syv procent af fællespostkasserne på et netværk behandlede oplysninger i strid med PET-lovgivningen, jf. PET-lovens § 7, stk. 2, og § 8, stk. 2, jf. PET-sikkerhedsbekendtgørelsen og tjenestens vejledning for brug af transitsystemer.
  • Tilsynet finder, at det ikke har været muligt at gennemføre en kontrol af PETs indhentning af PNR-oplysninger (oplysninger om flypassagerer) i 2020 på grund af den lange sagsbehandlingstid i tjenesten. Tilsynet finder det kritisabelt, at leveringen af teknisk og juridisk materiale vedrørende kontrollen var henholdsvis 6 og 7 måneder forsinket, og at etableringen af tilsynets adgang til logningsmodulet på systemet tog mere end 2 ½ måned. Tilsynet er opmærksom på, at denne forsinkelse delvist skyldes COVID-19.

Tilsynets kontrol af FE

Vedrørende FE fremhæves følgende centrale og principielle dele af tilsynets redegørelse:

  • Tilsynet kom, som offentliggjort ved tilsynets pressemeddelelse af 24. august 2020, i november 2019 ved en eller flere whistleblowere i besiddelse af en betydelig mængde materiale vedrørende FE, som tilsynet ikke hidtil har haft kendskab til eller mulighed for at tilvejebringe. Materialet havde en sådan karakter, at tilsynet besluttede at fokusere sin kontrol af FE med henblik på at foretage en tilbundsgående undersøgelse af de foreliggende omstændigheder.

    Tilsynets beslutning om at fokusere kontrollen af FE på den særlige undersøgelse af indleveret materiale, har haft væsentlig betydning for tilsynets prioritering af ressourcer i 2020. Antallet af øvrige kontroller, som tilsynet i 2020 har iværksat af egen drift, er derfor væsentligt lavere end i foregående år.

    Tilsynets særlige undersøgelse, herunder konklusioner og anbefalinger, er beskrevet nærmere i tilsynets årlige redegørelse vedrørende FE for 2019.
  • FE underrettede i oktober 2020 tilsynet om, at tjenesten i forlængelse af opfølgningen på tilsynets særlige undersøgelse af tjenesten i 2019 og 2020, havde givet tilsynet urigtige oplysninger om udvalgte dele af tjenestens indhentningskapaciteter. Tilsynet kan konstatere, at FE så tidligt som august 2018 har afgivet de konkrete urigtige oplysninger til tilsynet, og at de urigtige oplysninger har været en ikke uvæsentlig mitigerende faktor i tilsynets hidtidige risikovurdering af de pågældende indhentningskapaciteter.

    Tilsynet finder, at afgivelsen af de konkrete urigtige oplysninger alene er udtryk for en fejl fra FEs side. Tilsynet har imidlertid anmodet FE om at gennemgå og foretage en vurdering af, hvorvidt der er øvrige forhold vedrørende indhentningskapaciteterne, som kræver en berigtigelse.
  • Tilsynet igangsatte i 2020 – blandt andet på baggrund af sagen om Rigspolitiets håndtering af teledata (teledatasagen) – en nærmere kontrol af FEs håndtering af indhentet rådata. Med henblik på kontrol heraf foretog tilsynet høring af FE, og anmodede tjenesten om en nærmere redegørelse for en række forhold i relation til tjenestens håndtering af indhentet rådata, herunder hvordan tjenesten sikrer integriteten af oplysningerne, når rådata bearbejdes. FE har overskredet den af tilsynet fastsatte svarfrist, hvorfor kontrollen vil blive nærmere omtalt i tilsynets redegørelse for 2021.
  • Tilsynets kontrol vedrørende FEs målrettede elektroniske indhentning af oplysninger viste, at FE i fire tilfælde uberettiget har foretaget indhentning mod i Danmark hjemmehørende personer i henholdsvis 2 dage, 34 dage og 55 dage (to tilfælde), hvoraf tre af tilfældene fandt sted på baggrund af anmodninger fra PET.
  • Tilsynets kontrol vedrørende FEs søgning i rådata viste, at tjenesten i 15 af 68 udtrukne tilfælde uberettiget har foretaget søgning i rådata.

    Det er tilsynets vurdering, at FE fortsat har en væsentlig udfordring i forhold til overholdelse af reglerne om tilvejebringelse af oplysninger om i Danmark hjemmehørende personer, når tjenesten foretager søgning i rådata.

Tilsynets kontrol af CFCS

Vedrørende CFCS fremhæves følgende centrale og principielle dele af tilsynets redegørelse:

  • Tilsynets kontrol af CFCS i 2020 viste, at centret generelt har overholdt CFCS-lovgivningens bestemmelser om indgreb i meddelelseshemmeligheden, om behandling af personoplysninger samt om analyse og videregivelse.
  • Tilsynet har imidlertid på baggrund af sin kontrol af CFCS’ anvendelse af centrets sensornetværk, konstateret, at centret behandlede sensordata på to af de tilfældigt udtrukne sensorer på sensornetværket i strid med CFCS-lovens § 17, stk. 2.
  • Tilsynet har desuden på baggrund af sin kontrol af oplysninger i CFCS’ separate it-miljøer og analyseværktøjer, konstateret, at centret behandlede 13 filer i strid med CFCS-lovens § 17, stk. 1, samt at oplysningerne i to analysesystemer ikke behandles i overensstemmelse med tilsynets fortolkning af CFCS-lovens § 17, stk. 1, henset til, at centret ikke foretager en løbende vurdering af, om der fortsat er behov for at behandle sensordata i analysesystemerne.
  • Tilsynet har i forbindelse med en afsluttet kontrol fra 2019 vedrørende CFCS’ anvendelse af centrets sensornetværk efterfølgende drøftet fortolkningen af sletteforpligtelsen i CFCS-lovens § 17, stk. 1, med centret, som er uenig i tilsynets vurdering og derfor i juli 2020 har indbragt spørgsmålet for forsvarsministeren.

    Tilsynet har efter indbringelse af spørgsmålet for forsvarsministeren ikke foretaget fokuseret kontrol af CFCS’ overholdelse af sletteforpligtelsen i CFCS-lovens § 17, stk. 1, da tilsynet afventer forsvarsministerens afgørelse.

    Tilsynets fortolkning af CFCS-lovens § 17, stk. 1, er behandlet nærmere i redegørelsens afsnit 2.
  • Tilsynet har i 2020 ikke kunne foretage den ønskede kontrol af CFCS’ videregivelser af data indeholdende personoplysninger, der stammer fra indgreb i meddelelseshemmeligheden, på grund af forhold hos centret.

    Tilsynet finder det problematisk, at CFCS ikke har etableret logning af systemer, som anvendes til videregivelse af data indeholdende personoplysninger, der stammer fra indgreb i meddelelseshemmeligheden umiddelbart efter tilsynets anmodning i januar 2020.

Fakta om Tilsynet med Efterretningstjenesterne

Tilsynet med Efterretningstjenesterne er et uafhængigt kontrolorgan, der fører tilsyn med, at Politiets Efterretningstjeneste (PET), Forsvarets Efterretningstjeneste (FE) og Center for Cybersikkerhed (CFCS) behandler personoplysninger i overensstemmelse med lovgivningen. Tilsynet fører tillige tilsyn med, at Rigspolitiets PNR-enhed (RPNR) behandler personoplysninger på vegne af PET og FE i overensstemmelse med lovgivningen.

Tilsynet består af fem medlemmer, der er udpeget af justitsministeren efter forhandling med forsvarsministeren. Formanden, der skal være landsdommer, er udpeget efter indstilling fra præsidenterne for Østre Landsret og Vestre Landsret, mens de øvrige medlemmer er udpeget efter drøftelser med Folketingets Udvalg vedrørende Efterret­ningstjenesterne.

Medlemmerne er:

  • Landsdommer Michael Kistrup, Østre Landsret (formand)
  • Juridisk chef Pernille Christensen, Kommunernes Landsforening
  • Professor Henrik Udsen, Københavns Universitet
  • Professor Rebecca Adler-Nissen, Københavns Universitet
  • Koncerndirektør, David Hellemann, Nykredit

Tilsynet bistås af et sekretariat, der i udøvelsen af sit hverv alene er undergivet tilsynets instruktion. Tilsynet bestemmer selv, hvem der skal ansættes til sekretariatet, og herunder hvilken uddannelsesmæssig baggrund og øvrige kvalifikationer de pågældende skal have.

Redegørelserne kan læses på tilsynets hjemmeside www.tet.dk.

Tilsynet har i juni 2021 tillige udgivet standarder for sin virksomhed vedrørende kontrol af PET, FE, CFCS og RPNR. Standarderne kan ligeledes læses på tilsynets hjemmeside.

Skriv en kommentar