Når PET banker på døren!
Af advokat Henrik Mansfeldt Witt.
En af de mere usædvanlige hændelser for et hosting firma er, når PET banker på døren, og beder om at få adgang til data hos hosting firmaet.
Hvad gør man så i den situation?
Det første man skal huske er, at man ikke har pligt til at bistå PET, og da slet ikke, hvis de ikke kan dokumentere grundlaget for deres henvendelse, og præcist fortælle hosting firmet, hvad de ønsker adgang til, og på hvilken måde.
Når så de gode PET-folk har legitimeret sig skal man starte med at få fortalt PET, at ens bistand, herunder eventuel advokatbistand, vil blive faktureret til PET.
Det næste man så bør gøre, er at bede om at få PETs faktureringsoplysninger og navnet på den, der skal godkende regningen for bistanden.
Så beder man om at se retskendelsen da udlevering af, eller adgang til data kræver en retskendelse.
Dette vil PET typisk nægte da man ikke er sikkerhedsgodkendt hertil, og hvis det sker, beder man om at få forevist en anonymiseret kopi af kendelsen med en tydelig angivelse af præcis, hvad det er PET vil have adgang til. Har PET ikke sådan en kendelse med, beder man dem pænt om at komme igen, når de har en anonymiseret kopi af kendelsen med.
Husk også at beder man PET om, på skrift, at oplyse om de i forbindelse med deres efterforskning er bekendt med, at der er sket eller kan være sket en uautoriseret adgang til personoplysninger. Det skal man gøre, forbi de typer af kriminalitet som PET efterforsker er alvorlige forbrydelser, der involverer sikkerhedsbrud. Det er derfor vigtigt for hosting firmaet at vide, om sikkerhedsbruddet også omfatter uautoriseret adgang til personoplysninger.
Hvis PET bekræfter, at der kan være, der har været eller kan være sket en uautoriseret adgang til personoplysninger beder man PET om skriftligt at bekræfte at, hosting firmaet ikke skal foretage sig noget i relation til sikkerhedsbruddet, eller det mulige sikkerhedsbrud, indtil PET giver lov da dette kan påvirke den igangværende efterforskning.
Grunden til at man skal bede om at få en sådan erklæring er, at så har man en gyldig, såkaldt nødig forsinkelse af ens pligt til at rapportere sikkerhedsbrud.
Vil man slippe for ovenstående kan man, med fordel, koble sin advokat på.
Advokaten kan gennemse kendelsen, og det øvrige skriftlige materiale som PET præsenterer hosting firmaet for, og hvis advokaten er enig i indholdet, kan advokaten påtegne dokumenterne med, at advokaten har set grundlaget og kan tiltræde dets indhold.
Herefter skal Hosting firmaet alene tage stilling til i hvilket omfang, det er praktisk muligt at efterkomme PET’s instrukser. Er det ikke praktisk muligt, så har man ikke pligt til at efterkomme instrukserne om at tage kopi af data, udleverer kopi af backup, installere overvågningsudstyr, eller hvad man nu kan tænkes at blive bedt om.