Læsetid: 4 min.

Forsvarets Efterretningstjeneste ryddede op på computerne, inden tilsynet kom på besøg

Tilsynet med efterretningstjenesterne skal kontrollere, at ansatte i Forsvarets Efterretningstjenestes ikke gemmer personoplysninger om danskere på deres computere længere end højst nødvendigt. Men når tilsynet varsler et kommende kontrolbesøg, minder tjenesten systematisk medarbejderne om, at de skal huske at få ryddet op
Forsvarets Efterretningstjeneste med chef Lars Findsen i spidsen sørger forud for tilsyn systematisk for at sende påmindelse til deres medarbejdere om, at de skal rense deres computere for data om danskere, som loven foreskriver.

Forsvarets Efterretningstjeneste med chef Lars Findsen i spidsen sørger forud for tilsyn systematisk for at sende påmindelse til deres medarbejdere om, at de skal rense deres computere for data om danskere, som loven foreskriver.

Jens Dresling

3. februar 2018

Der var hovedrengøring hos Forsvarets Efterretningstjeneste (FE), inden Tilsynet med Efterretningstjenesterne (TET) i 2016 kom på besøg for at kontrollere, om tjenesten lever op til reglerne om, at personoplysninger skal slettes fra medarbejdernes computere, når de ikke længere er relevante for deres arbejde.

Det fremgår af et afsnit i tilsynets seneste redegørelse, der hidtil er undsluppet offentlighedens opmærksomhed.

Direkte adspurgt af tilsynet fortalte »størstedelen« af de FE-medarbejdere, som blev udtrukket til stikprøvekontrol, »at de forud for kontrollen havde slettet oplysninger på deres arbejdsstationer«, skriver TET.

Det var ikke en tilfældighed. Da TET cirka en måned forinden havde varslet den kommende kontrol, orienterede FE’s juridiske afdeling ifølge Informations oplysninger medarbejderne og benyttede samtidig lejligheden til at erindre dem om reglerne for sletning. Det er FE’s faste praksis, når TET varsler en kommende inspektion, erfarer Information.

Sagen undrer formand for IT-politisk forening Jesper Lund.

»Hvis det får medarbejderne til at rydde op, er det jo positivt. Men det ville man nok også opnå, hvis det hele tiden lå i luften, at tilsynet kunne dukke op, hvilken dag det skulle være,« siger han.

»Man skal huske, at FE har et stort incitament til selv at sørge for, at medarbejderne lever op til de her regler for at undgå en dansk Snowden-lækage.«

Ikke en fejl

TET selv har ikke noget problem med, at FE rydder op, inden de kommer på inspektion.

For kontrollens fokus var ikke »de enkelte medarbejdere, men tjenestens samlede organisering af behandlingen af oplysninger i de pågældende afdelinger, samt effektiviteten af tjenestens oplysning af medarbejderne om gældende regler for behandling af oplysninger«, skriver TET’s formand, landsdommer Michael Kistrup, i en mail til Information.

Derfor orienterede TET på forhånd FE om, at »generel oprydning på medarbejdernes arbejdsstationer forud for tilsynets kontrol ikke ville blive betragtet som en fejl«.

Når sagen alligevel fremgår af tilsynets redegørelse, skyldes det, at det »naturligvis har en betydning for vurderingen af kontrollens resultat, at størstedelen af medarbejderne forud for kontrollen havde foretaget oprydning på deres arbejdsstationer i større eller mindre omfang«, skriver Michael Kistrup.

Med andre ord skal man altså have det forbehold i baghovedet, når man læser tilsynets konklusion.  På baggrund af kontrolbesøget og nogle efterfølgende »drøftelser« med FE konkluderede tilsynet, at »samtlige medarbejdere behandlede oplysninger om i Danmark hjemmehørende personer i overensstemmelse med FE-loven«.

Nogle havde dog ikke fået ryddet helt op. I »flere tilfælde« behandlede medarbejdere »oplysninger om i Danmark hjemmehørende personer i strid med tjenestens interne retningslinjer«, tilføjede tilsynet. Blandt andet »opbevarede« de »oplysninger, som de selv vurderede ikke længere var relevante at behandle det pågældende sted«. Men tilsyneladende var det altså kun i strid med FE’s interne retningslinjer og ikke loven som sådan.

Kan give dårlige vaner

Om indretningen af kontrollen er hensigtsmæssig afhænger af, hvad man ønsker at opnå med den, siger lektor ved Roskilde Universitet Pernille Boye Koch, der har forsket i demokratisk kontrol med efterretningstjenester.

»Hvis man er ude efter, at tilsynet giver et repræsentativt billede af virkeligheden, er det ikke særligt smart at melde sit besøg på forhånd,« siger hun.

»På den anden side virker det, som om FE har eller i hvert fald har haft massive problemer med at få ryddet op i gamle data. I så fald kan det give mening at benytte den anledning, at tilsynet kommer på besøg, til at få gjort noget ved det.«

Risikoen ved den måde, tilsynet foregår på, er, at FE’s medarbejdere vænner sig til kun at slette oplysninger, når tilsynet kommer – og ikke løbende, som de bør, vurderer Pernille Boye Koch.

»Det er bagsiden af medaljen,« siger hun.

På den måde aktualiserer sagen efter lektorens opfattelse en mere generel problemstilling ved Tilsynet med Efterretningstjenesterne.

»Tilsynets effektivitet afhænger meget af, hvor mange ressourcer de har, og hvor finmasket deres stikprøvekontrol kommer til at være. Det bliver sat på spidsen af en sag som den her,« siger Pernille Boye Koch.

»For hvis de på et tidspunkt bliver nødt til at nedprioritere kontroller af arbejdsstationerne til fordel for noget andet, kan man risikere, at der opstår en uholdbar situation.«

Ulovlige søgninger

I 2016, da kontrollen fandt sted, var FE efter loven forpligtet til at slette oplysninger om »i Danmark hjemmehørende fysiske og juridiske personer«, når oplysningerne ikke længere var relevante for tjenestens arbejde. Siden er loven blevet ændret, så oplysningerne først skal slettes, når tjenesten selv bliver opmærksom på, at de ikke længere er relevante.

Dertil kommer de interne retningslinjer, som indebærer, at medarbejderne kun må have oplysninger liggende på deres arbejdsstationer – altså f.eks. på deres computere, på USB-drev, i deres mailboks, eller i form af fysiske papirer – mens de arbejder med dem.

Så snart de er færdige med at arbejde med oplysningerne, skal de uploade det færdige ’produkt’ til tjenestens fælles it-system og slette dem fra deres egen arbejdsstation. Det er vigtigt for at sikre, at tjenesten rent faktisk kan overholde reglerne om sletning. For det nytter ikke meget at slette en oplysning, der ikke længere er relevant, fra det fælles it-system, hvis medarbejderne har kopier liggende på deres computere.

FE har ikke ønsket at udtale sig til denne artikel og henviser i stedet til TET. Tilsynets formand Michael Kistrup skriver i en mail til Information, at kontrollen af arbejdsstationer skal ses »som en del af tilsynets samlede kontrol af efterretningstjenesternes virksomhed«. Kontrollen med »konkrete lovbrud« sker »i højere grad« i forbindelse med tilsynets kontrol af FE’s »indhentnings-, analyse- og dokumentationssystemer«. Her har tilsynet selv »direkte adgang til de for kontrollerne relevante informationer« og varsler ikke tjenesten om tidspunktet.

I 2016 afslørede de kontroller, at 12 procent af FE’s elektroniske søgninger på personer hjemmehørende i Danmark i opsnappet »rådata« var ulovlige. Da det kom frem sidste sommer, forklarede FE’s chef Lars Findsen, at der var tale om »fejltagelser«, og at tjenesten tog sagen alvorligt.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.

Prøv en måned gratis.

Klik her

Er du abonnent? Log ind her

Anbefalinger

  • Hans Aagaard
  • Katrine Damm
  • Eva Schwanenflügel
Hans Aagaard, Katrine Damm og Eva Schwanenflügel anbefalede denne artikel

Kommentarer

René Arestrup

Varslede kontrolbesøg.... Det er tilsyneladende en udbredt praksis i det offentlige. En rendyrket absurditet!

Vibeke Hansen, Tue Romanow, Allan Stampe Kristiansen, Flemming Berger, Verner Nielsen, Ken Sass, Hans Aagaard, Ib Christensen, Niels Duus Nielsen, John Andersen, Espen Bøgh, Katrine Damm, Bjarne Andersen, Tommy Clausen og Eva Schwanenflügel anbefalede denne kommentar
Peter Traasdahl Staal

Som artiklen påpeger er det ikke varslingen der er problemet men at der er en fare for at FE kun rydder op, umiddelbart før et kontrolbesøg og lader hånt om reglerne i resten af tiden. Et kontrol system baseret på tillid er vel at foretrække. Man må gå ud fra at kontrollen består i at undersøge hvorvidt den kontrollerede har procedurer der skal sikre at reglerne bliver overholdt i det daglige fremfor at tjekke at de netop på dagen for kontrollen ser ud til være det. Det lyder dog vildt at følsomme data kan (og øjensynligt også må) lande på et usb drev.

Allan Stampe Kristiansen, Eva Schwanenflügel, Karsten Lundsby, Hans Aagaard, Niels Duus Nielsen, Lars Jørgensen, Tommy Clausen og Kim Houmøller anbefalede denne kommentar
Eva Schwanenflügel

Cybersikkerhed er en joke i Danmark.

Allan Stampe Kristiansen, Karsten Lundsby, Martin Rønnow Klarlund, Ib Christensen, Katrine Damm og Tommy Clausen anbefalede denne kommentar
Bettina Jensen

Cybersikkerhed svarer til forestillingen om det frie marked, som ikke findes.

Uanset hvor. Men der er rigtigt mange penge i det.

Eva Schwanenflügel

Hvis nogen er interesserede i at vide mere om, hvordan politikerne igennem længere tid har holdt udsalg af vores allesammens cybersikkerhed, kan I med fordel læse Anders Kjærulffs kronik i Altinget fra 2/2:
"Journalist: Et dødt it-netværk kan være ligeså slemt som en a-bombe i baghaven".
Her er linket:

https://www.altinget.dk/digital/artikel/journalist-et-doedt-it-netvaerk-...

Vibeke Hansen, Flemming Berger, Niels Duus Nielsen og Katrine Damm anbefalede denne kommentar

Absurd It-håndtering af registreringspolitik hos FE.

En decentral datamodel overfor en central datamodel virker vanvittig set i samarbejdsmæssig henseende, med andre og eller tværgående viden, - for meget vil let kunne gå tabt med sådan en ordning.

Det er uholdbart i længden med sådan decentrale oplysninger i sager, og som siden uploades til et centralt system - !sådan efter behag"!

Det passer ikke til en efterretningstjeneste, uanset fra hvilken side man anskuer det.

@Peter Traasdahl Staal, "er kontrolsystem baseret på tillid"? Overfor en efterretningstjeneste, som selv med et kontrolsystem baseret på regler og kontrolbesøg tilsyneladende ikke kan overholde reglerne?

Det er absurd!

Der ser ud at være behov for uvarslede kontrolbesøg til af kontrollere 1) at der er regler, 2) at der er procedurer, der sikrer, at reglerne overholdes og 3) at det hele efterleves i det daglige.

Hvorfor er det helt konsekvent sådan, at offentlige instanser har en elendig respekt for regler. Hvad er det for en ligegyldighed overfor borgerne og samfundet, der breder sig i det offentlige? Det er fuldstændig undergravende for borgernes respekt for og villighed til at at betale for det offentlige system!

Flemming Berger, Martin Rønnow Klarlund, Bjarne Bisgaard Jensen og Niels Duus Nielsen anbefalede denne kommentar
Niels Duus Nielsen

Jens Winther: "Hvorfor er det helt konsekvent sådan, at offentlige instanser har en elendig respekt for regler."

Måske fordi private instanser ved overtrædelse af reglerne kan dømmes til at betale bøder ud af huset, mens en bøde til det offentlige ikke er en udgift - offentlige instanser blot flytter rundt på bødepengene internt i systemet?

Så længe en regelovertrædelse begået af en offentlig ansat ikke har personlige konsekvenser for regelbryderen, vil vedkommende ikke ændre praksis - i modsætning til indenfor en privat virksomhed, hvor en bøde til firmaet betyder en reel udgift, som ledelsen selvfølgelig vil forsøge at finde den ansvarlige for.

Espen Bøgh, Karsten Lundsby, Flemming Berger og Jens Winther anbefalede denne kommentar
Odin Rasmussen

I Danmark er der ikke noget, der er hemmeligt alle kan gå rundt på Kastellet og jogge en tur på volden. Selvfølgelig kan de ikke komme ind i FEs kontorer og hvis der er et virkeligt top-secret information - var det ikke FE, der havde en ansat der google-translatede top-secret dokumenter til arabisk og lagde det ud på internettet. Men selvfølgelig har vi den frie presse i Danmark og de undersøgte sagen og fandt den ansatte som stod bag. Han undskyldte og sagde jeg ville bare se hvordan google-translate virkede.

Jeg synes TET skal varsle kontrolbesøg hver d. 1. og så aflyse (eller ej) dagen forinden.

Så kan vi da i det mindste være rimelig sikre på, at PET overholder reglerne - eller at hammeren falder rigtig hårdt når et besøg så faktisk ikke aflyses.

Eva Schwanenflügel, Niels Duus Nielsen og Karsten Lundsby anbefalede denne kommentar
Eva Schwanenflügel

Tænk hvis fødevarekontrollen foregik med forudgående varsel.. Jeg gad nok høre det ramaskrig der ville følge i kølvandet på et utal af skandaler !!