Tilsynet med Efterretningstjenesterne har offentliggjort sin redegørelse vedrørende PET for 2022

Det fremgår blandt andet af årsredegørelsen, at TET har afsluttet 53 ud af 54 planlagte kontroller, at PET i forbindelse med gennemførelsen af TET's kontroller i 2022 generelt har ydet en stor indsats for at bistå tilsynet, at TET ikke har haft kritik af tjenestens sletning af journalsager, og at PET's arbejde på flere områder ikke gav anledning til bemærkninger fra TET.

 

Årsredegørelsen indeholder dog også en række punkter, som giver tilsynet anledning til at udtale kritik af PET eller komme med anbefalinger til ændringer.

 

"Vi er tilfredse med, at det nu ser ud til, at vi endelig har løst de udfordringer, vi i flere år har haft med sletning af journalsager. Vi tager naturligvis de andre kritikpunkter, som Tilsynet med Efterretningstjenester har peget på, meget alvorligt. Vi vil derfor nu gennemgå redegørelsen grundigt og iværksætte en opfølgningsproces for at implementere de nødvendige ændringer. Dette vil ske i tæt dialog med tilsynet for at håndtere de identificerede udfordringer", oplyser chefen for PET, Finn Borch Andersen

 

Kritik af opbevaring af oplysninger

TET peger blandt andet på, at PET ikke har opbevaret en række oplysninger i overensstemmelse med PET's interne retningslinjer for opbevaring af personoplysninger i transitsystemer - heriblandt 104.818 filer fra sager, som PET har efterforsket i samarbejde med politikredsene, da oplysningerne lå på et drev i over 28 dage, hvilket er i strid med PET's interne retningslinjer. Ifølge TET er filerne opbevaret i strid med PET-loven og PET-sikkerhedsbekendtgørelsen, da PET er underlagt krav vedrørende opbevaring af personoplysninger af fortrolig karakter.

 

PET bemærker, at transitsystemer som udgangspunkt ikke må anvendes til systematisk opbevaring af oplysninger. Der kan dog forekomme situationer, hvor det f.eks. kan være nødvendigt at opbevare personoplysninger af fortrolig karakter i et transitsystem i mere end 28 dage.

 

Det kan eksempelvis være i forbindelse med, at PET overdrager sager til politikredsene, hvor der i en periode er behov for et lettilgængeligt overblik over de dokumenter, der er udleveret til politikredsene, så PET i forbindelse med straffesager hurtigt kan dokumentere over for blandt andet forsvarere, hvad der er udleveret eller fremfinde øvrig dokumentation efter retsplejeloven.

 

"Vi tager selvfølgelig kritikken til efterretning. Vores hensigt har udelukkende været at understøtte en effektiv overdragelse af dokumenter til politikredsene. De 104.818 filer stammer fra sager, som vi har arbejdet på i samarbejde med politikredsene. Det er vigtigt at bemærke, at disse filer indeholder oplysninger om et begrænset antal personer i forhold til det samlede antal filer. Det drejer sig hovedsageligt om kopier af uklassificerede dokumenter, som også opbevares i politikredsene", forklarer PET's juridiske chef Rasmus Kieffer-Kristensen

Konsoliderede oplysninger

TET peger desuden på, at PET har vanskeligheder med at iagttage lovgivningens krav om, at konsoliderede oplysninger skal slettes, når tilknyttet kildedata slettes. Konsoliderede oplysninger er et andet udtryk for stamblade. TET bemærker i den forbindelse, at tilsynet i tidligere årsredegørelser også har påpeget tjenestens udfordringer med stamblade.

 

PET bemærker, at udfordringerne med sletning af konsoliderede oplysninger skyldes, at revisionen af oplysningerne er bundet op på manuelle processer. PET har imidlertid gennemført ændringer af de manuelle sletteprocesser, og det er tjenestens vurdering, at tiltagene virker efter hensigten. PET arbejder videre med at forbedre sletteprocesserne, og tjenesten har blandt andet igangsat et arbejde, der skal afdække mulighederne for hel eller delvis teknisk understøttelse af revisionsprocessen.

"Det er selvfølgelig beklageligt, at der gennem årene har været udfordringer med rettidig sletning af konsoliderede oplysninger, også kendt som stamblade. Der tale om manuelle processer som er sårbare over for menneskelige fejl, og der har været perioder med ressourcemæssige begrænsninger, der har medført forsinkelser. Vi arbejder fortsat ihærdigt på at forbedre sletteprocessen og finde mere effektive metoder", forklarer Rasmus Kieffer-Kristensen

 

PET's behandlingssikkerhed og informationssikkerhed

TET peger desuden på, at PET i konkrete tilfælde har vanskeligheder ved at overholde PET-lovgivningens regler om logning. I tre tilfælde fandt TET grundlag for at udtale kritik af, at PET som følge af manglende it-understøttelse ikke havde etableret logning i tre databaser.

 

"Vi har i en årrække arbejdet på at udvikle vores it-systemer, og er i gang med et større oprydningsarbejde. Generelt arbejder vi på at sikre compliance, og vi er blandt andet ved at etablere en ny it-platform, hvilket er et meget stort it-projekt. PET arbejder i den forbindelse på løbende at forbedre logningsløsningerne for tjenestens systemer, og vi har foreløbigt etableret midlertidige logningsløsninger i de konkrete databaser, som TET nævner," forklarer Rasmus Kieffer-Kristensen.

 

TET peger herudover på, at det ikke kunne gennemføre sin generelle kontrol af PET's overholdelse af reglerne om behandlingssikkerhed samt dele af fire øvrige kontroller, idet tjenesten ikke besvarede nogle af tilsynets spørgsmål herom, da spørgsmålene efter tjenestens opfattelse angik informationssikkerhed og ikke behandlingssikkerhed.

 

Rasmus Kieffer-Kristensen uddyber:

 

"Det er et principielt spørgsmål, om det ligger inden for TET's lovmæssige mandat at føre tilsyn med PET's arbejde med informationssikkerhed. Det har en række praktiske implikationer for PET, fordi vi også er underlagt kravet om, at statslige myndigheder skal implementere informationssikkerhedsstandarden ISO 27001, der følger af den nationale strategi for cyber- og informationssikkerhed. Vi har derfor bedt om, at Justitsministeriets tager stilling til det".

TET i forbindelse med deres kontroller bemærket, at PET ikke har fremlagt dokumentation for deres vurdering af de nødvendige foranstaltninger for at opnå et tilstrækkeligt sikkerhedsniveau i håndteringen af oplysninger og beskyttelsen af oplysningernes art.

 

"Generelt har vi stort fokus på overholdelse af regler og procedurer. Det skal bemærkes, at vi ikke nødvendigvis er enige i TET's fortolkning i alle tilfælde. I denne specifikke situation mener vi, at kravene i PET-sikkerhedsbekendtgørelsen om risikobaserede overvejelser ikke er bundet til en bestemt form eller niveau. Vi foretrækker i stedet at anvende en risikobaseret tilgang, der giver os fleksibilitet i en skiftende og dynamisk verden og muliggør en mere effektiv ressourceallokering. Det har vi nu en dialog med tilsynet om" udtaler Rasmus Kieffer-Kristensen

 

Ny differentieret model for sagsbehandlingsfrister vil understøtte samarbejde

TET har gentagne gange de seneste år udtrykt kritik over for PET for overskridelse af den fastsatte standardfrist på 20 dage i visse sagsbehandlinger. Dette har skabt udfordringer for tilsynets planlægning af deres kontrolarbejde. PET har argumenteret for, at disse forsinkelser primært skyldes kompleksiteten og omfanget af visse kontroller, såsom omfattende kortlægning af IT-systemer, hvilket har gjort det urealistisk at svare inden for standardfristen. I år har tilsynet igen udtrykt utilfredshed med sagsbehandlingstider på henholdsvis 200, 161, 134 og 110 dage i specifikke kontroller.

 

PET og TET har haft en konstruktiv dialog om dette spørgsmål og er blevet enige om at implementere en ny differentieret model. Denne model vil fastsætte mere realistiske frister for sagsbehandling, især i tilfælde af komplekse sager. Dette initiativ har til formål at forbedre planlægningen og gennemførelsen af kontrolarbejdet for både PET og TET.

"Vi lægger stor vægt på at støtte tilsynets arbejde optimalt og arbejder målrettet på at imødekomme deres anmodninger, herunder høringsbesvarelser og lignende. Vi er dog enige med TET i, at sagsbehandlingstiden i nogle tilfælde har været for lang. Det har primært skyldes kompleksiteten og omfanget af høringerne. Vi har derfor nu i dialog med TET indgået en aftale om differentierede svarfrister for høringer, kortlægninger mv. Vi er overbeviste om, at denne aftale vil gavne begge parter og bidrage til et endnu mere effektivt samarbejde om kontrolarbejdet i fremtiden," udtaler Rasmus Kieffer-Kristensen.

 

Læs mere om Tilsynet med Efterretningstjenesterne

Læs årsredegørelsen for 2022 vedrørende PET

 

Fakta om PET-lovens og UET-lovens bestemmelser om tilsynets årlige redegørelser:

 

Tilsynet med Efterretningstjenesterne er et særligt kontrolorgan, der fører kontrol med, at blandt andet PET og FE behandler oplysninger om fysiske og juridiske personer i overensstemmelse med de nærmere bestemmelser herom i PET-loven og FE-loven samt regler udstedt i medfør heraf. Der henvises til kapitel 9 i PET-loven og kapitel 7 i FE-loven. PET har en tæt, løbende dialog med tilsynet om, hvordan kontroller gennemføres, og det sikres, at PET lever op til gældende regler og retningslinjer.

Tilsynet udøver sine funktioner i fuld uafhængighed og afgiver årlige redegørelser om sin virksomhed vedrørende blandt andet PET og FE til henholdsvis justitsministeren og forsvarsministeren. Årsredegørelserne skal offentliggøres, og regeringen skal forud for offentliggørelsen forelægge redegørelserne for Folketingets Udvalg vedrørende Efterretningstjenesterne, jf. § 2 a, stk. 2, i lov om etablering af et udvalg om forsvarets og politiets efterretningstjenester (UET-loven). Det fremgår af bemærkningerne til bestemmelsen, at redegørelserne vil kunne danne grundlag for drøftelser mellem udvalget og regeringen, og at redegørelserne således skal sendes til udvalget forud for deres offentliggørelse.