Tilsynet med Efterretningstjenesterne har offentliggjort sin redegørelse vedrørende PET for 2023
Tilsynet med Efterretningstjenesternes (TET) årlige redegørelse vedrørende Politiets Efterretningstjeneste (PET) for 2023 er i dag blevet offentliggjort. Årsredegørelsen indeholder overordnet set resultaterne af de kontroller, som TET har ført med PET i 2023.
Det fremgår af årsredegørelsen, at TET har udført 51 kontroller i PET i 2023. Dermed har TET gennemført 48 ud af 49 planlagte kontroller og 3 ud af 3 planlagte kontroller af politiets PNR-enhed.
Årsredegørelsen viser, at PET's arbejde på flere områder ikke gav anledning til bemærkninger fra TET, og at PET i modsætning til tidligere ikke har haft udfordringer med sagsbehandlingstiden ved besvarelse af TET's høringer, hvilket TET finder positivt.
Årsredegørelsen indeholder dog også en række punkter, som giver TET anledning til at udtale kritik af PET eller komme med anbefalinger til ændringer.
"Det er meget positivt at se, at vi ikke længere står over for de samme udfordringer med sagsbehandlingstiden eller sletning af oplysninger, som vi har gjort tidligere. Dette indikerer, at de tiltag, vi har implementeret, har haft en positiv effekt. Når det er sagt, er der fortsat områder, hvor PET kan forbedre sig. Som vi tidligere har oplyst, er vi udfordret af gamle IT-systemer, som på nogle områder gør det vanskeligt for os at leve op til reglerne. Vi vil nu bruge den feedback, vi får i årsredegørelsen, til at styrke vores procedurer og praksis, hvor det er nødvendigt. Samtidig vil vi fortsætte arbejdet med at forbedre vores IT-understøttelse," siger chefen for PET, Finn Borch Andersen.
Behandling af testfiler i præproduktionsmiljø
TET har blandt andet kritiseret, at PET i forbindelse med udviklingen og implementeringen af et nyt it-system har behandlet 67.459 filer i et præproduktionsmiljø. Ifølge PET-lovens § 9 a, stk. 1 skulle disse filer have været slettet efter endt test.
TET har anerkendt, at de pågældende oplysninger, som udelukkende er blevet brugt til testformål, ikke er af fortrolig karakter, og at der derfor ikke var krav om logning af anvendelsen, jf. PET-sikkerhedsbekendtgørelsens § 18, jf. § 17. TET har dog fundet, at PET burde have sikret, at testdata i præproduktionsmiljøet ikke senere kunne anvendes operativt. Dette kunne eksempelvis gøres ved at udarbejde en politik og ved konkret implementering heraf gennem actioncards, uddannelse af medarbejdere, awareness, kontroller og lignende tiltag. Desuden finder TET, at PET bør udarbejde en risikovurdering af, om oplysninger fra præproduktionsmiljøet hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt om de kan komme til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med PET-loven.
"De omhandlede filer stammer fra et testmiljø og var kopier af et andet datasæt. Disse filer skulle være blevet slettet efter afslutningen af udviklingen af den pågældende IT-løsning, hvilket nu er gjort. Vi har også indført en ny proces for håndtering af data i udviklingsmiljøer. Vi må erkende, at der skete en fejl i sletteprocessen, men det er vigtigt at understrege, at hver fil kun indeholdt en enkelt oplysning, som ikke kunne knyttes til bestemte personer uden yderligere kontekst. Desuden blev datakopien opbevaret i et afgrænset og adgangsbegrænset udviklingsmiljø, adskilt fra PET's operative systemer. Kun ansatte i PET's IT-afdeling, som arbejder med udvikling, har haft adgang til oplysningerne," forklarer PET's juridiske chef, Rasmus Kieffer-Kristensen.
Oplysninger i transitsystem
TET har også peget, at PET i forbindelse med modtagelsen af række oplysninger fra politiet ikke overholdt pligten til at orientere TET i henhold til PET-bekendtgørelsens § 3, stk. 2. Ifølge denne bestemmelse skal oplysninger, som ikke inden fire uger fra modtagelsen eller tilvejebringelsen lagres i en journal eller database, slettes. Hvis PET undtagelsesvist ikke kan overholde fristen på fire uger, skal tjenesten orientere TET.
"Der var tale om oplysninger, som PET modtog på en harddisk fra politiet. Der var tale om følsomme oplysninger, som PET ønskede at gennemgå enkeltvis, før de blev overført til PET's systemer. Desværre blev dette arbejde forsinket og tidsfristen for orientering af tilsynet blev derfor ikke overholdt. Det er er en klar fejl, som vi er kede af, men det er vigtigt at være opmærksom på, at harddisken i hele perioden var placeret i et aflåst pengeskab, og oplysningerne ikke blev anvendt af andre," forklarer Rasmus Kieffer-Kristensen.
TET har også fundet andre tilfælde, hvor PET ikke har opbevaret oplysninger i overensstemmelse med sine interne retningslinjer for opbevaring af personoplysninger i transitsystemer. Der har typisk været tale om oplysninger, som har ligget i transitsystemer, såsom drev og Outlook, i mere end 28 dage.
PET anvender som udgangspunkt ikke transitsystemet til systematisk opbevaring af oplysninger i stedet for tjenestens journalsystemer eller særlige databaser. Der kan dog opstå situationer, hvor det bliver nødvendigt at opbevare fortrolige personoplysninger i et transitsystem i mere end 28 dage. Dette kan ske, hvis det på grund af arbejdsmængde eller kompleksitet er svært at gennemgå alle oplysninger og enten slette eller flytte dem inden for den fastsatte tidsramme. I sådanne tilfælde kan det være udfordrende at overholde de interne retningslinjer fuldt ud.
"Behandling af oplysninger i transitsystemer er et område, der giver os betydelige udfordringer, som ikke kan løses hurtigt på grund af vores gamle IT-systemer. Derfor får vi tilbagevendende kritik på dette område. Vi har konstant fokus på, hvordan vi kan forbedre os. I disse år arbejder vi på at etablere en ny IT-platform, hvilket er et meget stort projekt. Når vi bygger nyt, omrokerer og udvikler nye IT-løsninger, fokuserer vi hele tiden på at implementere automatiserede løsninger og compliance by design for at gøre det nemmere at overholde reglerne. I en organisation som PET, der behandler meget store informationsmængder, kommer vi aldrig til helt at undgå fejl, men ved at designe vores IT-systemer rigtigt kan vi minimere risikoen betydeligt, og det har vi en meget stor interesse i," siger Rasmus Kieffer-Kristensen.
Læs årsredegørelsen fra Tilsynet med Efterretningstjenesterne
Fakta om PET-lovens og UET-lovens bestemmelser om tilsynets årlige redegørelser:
Tilsynet med Efterretningstjenesterne er et særligt kontrolorgan, der fører kontrol med, at blandt andet PET og FE behandler oplysninger om fysiske og juridiske personer i overensstemmelse med de nærmere bestemmelser herom i PET-loven og FE-loven samt regler udstedt i medfør heraf. Der henvises til kapitel 9 i PET-loven og kapitel 7 i FE-loven. PET har en tæt, løbende dialog med tilsynet om, hvordan kontroller gennemføres, og det sikres, at PET lever op til gældende regler og retningslinjer.
Tilsynet udøver sine funktioner i fuld uafhængighed og afgiver årlige redegørelser om sin virksomhed vedrørende blandt andet PET og FE til henholdsvis justitsministeren og forsvarsministeren. Årsredegørelserne skal offentliggøres, og regeringen skal forud for offentliggørelsen forelægge redegørelserne for Folketingets Udvalg vedrørende Efterretningstjenesterne, jf. § 2 a, stk. 2, i lov om etablering af et udvalg om forsvarets og politiets efterretningstjenester (UET-loven). Det fremgår af bemærkningerne til bestemmelsen, at redegørelserne vil kunne danne grundlag for drøftelser mellem udvalget og regeringen, og at redegørelserne således skal sendes til udvalget forud for deres offentliggørelse.