Nyhed

Kamp mod cyberkriminalitet udfordrer retten til privatliv

Kamp mod cyberkriminalitet udfordrer retten til privatliv
Nyt lovforslag skal give øgede beføjelser til Center for Cybersikkerhed. Det kan føre til indgreb i retten til privatliv, påpeger instituttet.

Der er i disse år et stigende fokus på at styrke indsatsen for at sikre Danmark mod cybertrusler i form af blandt andet cyberspionage, cyberkriminalitet og infrastrukturangreb. En del af denne indsats varetages af Center for Cybersikkerhed, og nu lægger Forsvarsministeriet op til at øge beføjelserne for centeret, der derved kommer i besiddelse af en betydelig mængde personoplysninger, herunder følsomme personoplysninger.

Det sker blandt andet ved, at virksomheder og myndigheder omfattes af tvungen tilslutning til centerets netsikkerhedstjeneste. Herfra kan centret monitorere al digital korrespondance til og fra virksomheden eller myndigheden samt såkaldt stationær data, som for eksempel private data på en medarbejders pc, ligesom der gives adgang til private data hos virksomheder og myndigheder, der ikke er tilsluttet netsikkerhedstjenesten – og uden et krav om retskendelse.

”Det er bekymrende, at der er en væsentlig mangel på retsgarantier for borgerne, når Center for Cybersikkerhed får adgang til personfølsomme oplysninger i så vidt omfang, som der er lagt op til. Derfor anbefaler vi, at der indføres krav om, at centeret efterfølgende skal indhente en retskendelse, så borgerne sikres en vis grad af beskyttelse,” siger Marya Akhtar, der er seniorrådgiver ved Institut for Menneskerettigheder.

Læsfra Institut for Menneskerettigheder høringssvar til lovforslagether.

Risiko for uproportionale indgreb

Et andet element i lovforslaget medfører, at Center for Sikkerhed får mulighed at opbevare den indhentede data i en længere periode end det hidtil har været muligt. I særlige tilfælde kan data opbevares op til 5 år mod det hidtidige maksimum på 3 år, og selv i tilfælde, hvor der ikke vurderes at være særlig risiko, kan data opbevares i op til 3 år, hvor grænsen i dag går ved 13 måneder.

”Det er vores vurdering, at det indebærer en risiko for store indgreb i privatlivet, når persondata kan opbevares op til tre år, selv om den indsamlede data ikke har nogen forbindelse til sager, der har betydning for statens datasikkerhed. Forsvarsministeriet bør derfor redegøre for, hvordan de vil sikre, at loven ikke vil føre til uproportionalt store indgreb i borgernes rettigheder,” siger Marya Akhtar.

Institut for Menneskerettigheder har tidligere påpeget det problematiske i, at Center for Cybersikkerhed er placeret under Forsvarets Efterretningstjeneste (FE), med de begrænsninger, det giver i forhold til indsigt og databeskyttelseskrav. De udvidede beføjelser til centeret giver fornyet aktualitet til denne bekymring.

Instituttets anbefalinger

Institut for Menneskerettigheder anbefaler navnlig:

  • at ministeriet overvejer at indsætte et krav om efterfølgende retskendelse ved Center for Cybersikkerheds indhentelse af oplysninger, som udgør indgreb i meddelelseshemmeligheden.
  • at ministeriet i lovbemærkningerne nøje redegør for, hvorledes det vil sikres, at en udvidelse af slettefristen fra 13 måneder til 3 år ikke vil føre til uproportionale indgreb i retten til respekt for privatliv.
  • at der i udkastet indføres en bestemmelse om betingelserne for videregivelse af data fra centret til resten af Forsvarets Efterretningstjeneste, således at forholdet reguleres på lovniveau.

Kontakt

Afdelingsleder, Juridisk afdeling