Det er ikke realistisk, at Datatilsynet vil kunne afsløre en større IT-virksomheds udlevering af oplysninger til en fremmed efterretningstjeneste.

Sådan lyder meldingen, efter at politisk uro i forbindelse med salget af Nets, der blandt andet ejer NemID og Dankortet, har åbnet for en række spørgsmål med forbindelse til sikkerheden omkring danskernes personlfølsomme oplysninger.

Konstateringen fremgår af et svar til Folketingets Retudsvalg, som på vegne af Enhedslistens retsordfører, Pernille Skipper, har stillet justitsminister Karen Hækkerup (S) et spørgsmål om, hvorvidt det kan garanteres, at den amerikanske efterretningstjeneste NSA ikke kommer i besiddelse af danskernes personfølsomme oplysninger, hvis Nets sælges til en amerikanskejet eller -baseret virksomhed.

»Hvis en større IT-virksomhed på ledelsesniveau samarbejder med og udleverer oplysninger til en fremmed efterretningstjeneste, er det ikke umiddelbart realistisk at forvente, at Datatilsynets tilsyn vil kunne afsløre dette,« lyder det i svaret til Folketingets Retsudvalg, som justitsministeren har indhentet hos Datatilsynet.

Det skriver sig ind i den nuværende debat om salget af Nets, hvor datasikkerheden har været en af de store bekymringer. Som Berlingske tidligere har beskrevet, kan amerikanske myndigheder kræve følsomme NemID-data udleveret, hvis Nets kommer på amerikanske hænder – også selv om det vil stride imod dansk lov. Bekymringen er, at den amerikanske lov Patriot Act overtrumfer den danske lovgivning, og at NSA derfor kan få fat i danskernes oplysninger.

I svaret til Folketingets Retsudvalg slås det fast, at en databehandler, der er placeret i et såkaldt »usikkert tredjeland« uden for EU – som eksempelvis USA – ganske rigtigt kan være underlagt det pågældende lands lov og dermed komme i konflikt med overholdelsen af den danske persondatalov, som det har været i forbindelse med salget af Nets.

Det bemærkes dog, at et eventuelt samarbejde mellem en IT-virksomhed og en efterretningstjeneste kan afsløres på en anden måde:

»F.eks. hvis oplysninger dukker op i udlandet hos myndigheder eller andre, der ikke har lovlig adgang til oplysningerne,« som det lyder i svaret.

»Regeringen skylder nogle svar«

Pernille Skipper kalder den manglende kontrol for »et kæmpe problem«. Det står ifølge hende i skærende kontrast til, hvad regeringen løbende har meldt ud om datasikkerhed.

»Vi har en regering, som nægter, at der skulle være problemer eller indikationer på problemer. Den holdning står jo i skærende kontrast til Edward Snowdens afsløringer og i skærende kontrast til, at der er stadig flere datalæk. Vi vil gerne have flere bevillinger til Datatilsynet og forbedrede kontrolmuligheder,« siger Pernille Skipper.

Venstres IT-ordfører, Michael Aastrup Jensen, mener, at regeringen skylder nogle svar.

»Vi må kunne forvente, at regeringen kan ligge en plan frem for, hvordan vi sikrer vores oplysninger. Der er mange spørgsmål, som vi ikke har fået besvaret om overvågning og IT-sikkerhed, og så er det svært at lave en proaktiv indsats, som kan sikre vores data. Det er ved at være der, hvor vi skal inddrage statsministeren,« siger han.

Berlingske har sendt en lang række spørgsmål til justitsminister Karen Hækkerup, men hun har ikke ønsket at stille op til et interview. I en mail henviser hun i stedet til førnævnte svar til Retsudvalget. Hun skriver desuden, at den nuværende kontrolmodel på området fungerer:

»Det er helt naturligt, at den myndighed, der er ansvarlig for databehandlingen, også har pligt til at føre kontrol med den leverandør, som den overlader sine oplysninger til. Det er en ordning, som i øvrigt også følger af EU-reglerne på området. Oven i denne kontrol kommer så den kontrol, der udføres af Datatilsynet«.