Tilsynet med Efterretningstjenesterne offentliggør i dag sine årlige redegørelser om kontrollen af henholdsvis Politiets Efterretningstjeneste (PET), Forsvarets Efterretningstjeneste (FE) og Center for Cybersikkerhed (CFCS) i 2018.
Sigtet med redegørelserne er at give en generel information om karakteren af det tilsyn, der udøves vedrørende PET, FE og CFCS. Redegørelserne indeholder blandt andet oplysninger om de forhold, som tilsynet har valgt særligt at interessere sig for, og om i hvor mange tilfælde tilsynet har fundet, at tjenesternes eller centrets behandling af personoplysninger ikke har været i overensstemmelse med reglerne.
Foruden tilsynets almindelige kontroller har tilsynet i 2018 foretaget en vurdering af PET og FEs praksis, hvorefter PET ikke indhentede retskendelse til at foretage indgreb i meddelelseshemmeligheden, når tjenesten anmodede FE om at foretage søgning i rådata. Tilsynet konkluderede, at den af tjenesterne etablerede praksis ikke ligger inden for de rammer, som er fastsat i lovgivningen. På baggrund af tilsynets vurdering besluttede PET og FE den 4. juli 2018 at indstille den pågældende praksis.
Tilsynets kontrol af FE
Tilsynet kom i 2018 i besiddelse af oplysninger, der indikerede, at tilsynet i dets kontrol af FE er givet mangelfulde eller vildledende oplysninger. Henset til sagens alvorlige karakter igangsatte tilsynet en særlig kontrol af FE med henblik på at afklare rigtigheden af oplysningerne, og hvorvidt tjenesten har foretaget tilstrækkelig underretning af tilsynet. Kontrollen viste, at FE ikke har iagttaget pligten til løbende at orientere tilsynet om alle væsentlige spørgsmål vedrørende tjenestens behandling af oplysninger om i Danmark hjemmehørende personer, som følger af FE-loven. Tilsynet finder FEs manglende orientering kritisabel.
Tilsynets kontrol af FE i 2018 viste i øvrigt, at tjenesten generelt overholder FE-lovgivningens bestemmelser om intern behandling og videregivelse af oplysninger samt bestemmelsen om lovlig politisk virksomhed.
Kontrollen af FEs tilvejebringelse af oplysninger viste, at tjenesten ved den elektroniske indhentning anlægger et generelt saglighedskrav. Kontrollen afdækkede imidlertid risici for, at tjenestens indhentning via et besigtiget indhentningssystem uberettiget kan målrettes i Danmark hjemmehørende personer.
Endvidere viste kontrollen af FEs tilvejebringelse af oplysninger, at tjenesten i 13 procent af de udtrukne tilfælde uberettiget har foretaget søgning i rådata.
Det er på den baggrund tilsynets vurdering, at FE fortsat har en udfordring i forhold til overholdelse af reglerne om tilvejebringelse af oplysninger om i Danmark hjemmehørende personer, når tjenesten foretager søgning i rådata. Tilsynet noterer sig imidlertid, at fejlraten er nedbragt i forhold til resultatet af kontrollen af området i 2017, og at FE har et betydeligt fokus på at nedbringe antallet af fejl, herunder ved at intensivere tjenestens interne kontrol på området samt styrke og målrette undervisningen af tjenestens medarbejdere.
Herudover viste tilsynets kontrol af FEs informationssikkerhed, at tjenestens implementering af ISO 27001-standarden har en realistisk tidsplan, at antallet af medarbejdere til at drive tjenestens implementering og efterfølgende drift af ISO 27001 er passende, samt at tjenesten allokerer de nødvendige ressourcer til projektet. Kontrollen har imidlertid givet anledning til en række anbefalinger, som tilsynet finder det vigtigt, at FE følger med henblik på at sikre en fuld implementering af ISO 27001-standarden.
Tilsynets kontrol af PET
Tilsynets kontrol af PET i 2018 viste blandt andet, at tjenesten overholder PET-lovgivningens bestemmelser om tilvejebringelse og videregivelse af oplysninger samt bestemmelsen om lovlig politisk virksomhed, og at tjenesten generelt overholder PET-lovgivningens behandlingsbestemmelser.
Kontrollen viste imidlertid, at PET i et ikke ubetydeligt omfang ikke har overholdt slettefristerne i PET-bekendtgørelsen. Endvidere viste kontrollen af PETs anvendelse af udvidet indhentning, at tjenesten i forhold til 27 procent af de udtrukne indhentninger af oplysninger fra SKAT om passagerer og besætning på luftfartøjer ikke har iagttaget oprydningsforpligtelsen i bekendtgørelsen.
Endvidere viste tilsynets kontrol af PETs arbejdsstationer og transitsystemer, som PET anvender i forbindelse med operative opgaver, at tjenesten har iagttaget PET-loven, PET-bekendtgørelsen og PET-sikkerhedsbekendtgørelsens regler om frister for journalisering og sletning af personoplysninger. Kontrollen af seks fællesdrev viste imidlertid, at PET ikke behandlede personoplysninger i overensstemmelse med PET-lovgivningen.
Desuden viste tilsynets kontrol af PETs behandling af materiale klassificeret YDERST HEMMELIGT, at tjenesten ikke hurtigst muligt har gennemført tjenestens revisionsprojekt vedrørende materiale klassificeret YDERST HEMMELIGT.
Herudover viste tilsynets kontrol af PETs informationssikkerhed, at PETs implementering af ISO 27001-standarden forløber i overensstemmelse med tjenestens egen plan herfor, at antallet af medarbejdere til at drive tjenestens implementering og efterfølgende drift af ISO 27001 er passende, samt at tjenesten allokerer de nødvendige ressourcer til projektet. Tilsynet har således på nuværende tidspunkt tillid til, at PETs implementering af ISO 27001-standarden vil være gennemført ultimo december 2021.
Tilsynets kontrol af CFCS
Kontrollen af CFCS i 2018 viste blandt andet, at centret generelt overholder CFCS-lovgivningens bestemmelser om indgreb i meddelelseshemmeligheden, om behandling af personoplysninger samt om analyse, videregivelse og sletning af data.
Tilsynets kontrol vedrørende CFCS’ behandling af oplysninger i relation til indleverede medier viste imidlertid, at centret på tidspunktet for tilsynets indledende inspektionsbesøg ikke iagttog lovgivningens krav til sikkerhedsforanstaltninger i CFCS-lovens § 18, stk. 1. Kontrollen viste tillige, at centrets interne retningslinjer indeholdt procedurer, som ikke var i overensstemmelse med CFCS-lovens bestemmelser. På tidspunktet for tilsynets opfølgende inspektionsbesøg havde CFCS imidlertid iværksat en række tiltag, med henblik på at sikre at behandlingen af oplysninger i relation til indleverede medier finder sted i overensstemmelse med CFCS-lovens § 18, stk. 1, herunder revideret sine interne retningslinjer for behandling af indleverede medier.
Endvidere viste tilsynets kontrol, at CFCS’ interne kontrol i 2018 ikke – som adviseret i 2016 og 2017 – har været tilrettelagt på baggrund af en dokumenteret og ledelsesgodkendt risiko- og væsentlighedsvurdering. Sammenholdt med manglende afrapportering vedrørende CFCS’ interne kontroller i 2018 har tilsynet på det grundlag, som forelå på tidspunktet for afslutningen af kontrollen, ikke kunnet vurdere, hvorvidt centrets interne kontrol i 2018 har været tilfredsstillende.
Fakta om Tilsynet med Efterretningstjenesterne
Tilsynet med Efterretningstjenesterne er et særligt uafhængigt kontrolorgan, der fører tilsyn med, at PET behandler oplysninger om fysiske og juridiske personer i overensstemmelse med lovgivningen, og at FE behandler oplysninger om i Danmark hjemmehørende fysiske og juridiske personer i overensstemmelse med lovgivningen. Tilsynet blev oprettet ved lov om Politiets Efterretningstjeneste (PET), der ligesom lov om Forsvarets Efterretningstjeneste (FE) trådte i kraft den 1. januar 2014.
Efter ikrafttrædelsen den 1. juli 2014 af lov om Center for Cybersikkerhed (CFCS) har tilsynet tillige ført kontrol med, at CFCS behandler oplysninger om fysiske personer i overensstemmelse med lovgivningen.
Tilsynet består af fem medlemmer, der er udpeget af justitsministeren efter forhandling med forsvarsministeren. Formanden, der skal være landsdommer, er udpeget efter indstilling fra præsidenterne for Østre Landsret og Vestre Landsret, mens de øvrige medlemmer er udpeget efter drøftelser med Folketingets Udvalg vedrørende Efterretningstjenesterne.
Medlemmerne er:
- landsdommer Michael Kistrup, Østre Landsret (formand)
- professor Jørgen Grønnegård Christensen, Aarhus Universitet
- bestyrelsesformand Erik Jacobsen, Roskilde Universitet
- juridisk chef Pernille Christensen, Kommunernes Landsforening
- professor Henrik Udsen, Københavns Universitet
Redegørelserne kan læses på tilsynets hjemmeside www.tet.dk.