Høringsmøte DLD konsesjon

Transkript

1 Høringsmøte DLD konsesjon 27. januar 2012 Introduksjon

2 Kort historikk Drøftelser om datalagringsdirektivet Vedtaket i Stortinget - innstilling Oppdragsbrev fra justisdepartementet til andre departementer Oppdragsbrev fra departementer til tilsyn/direktorat Samarbeidet mellom PT og DT De to regelsettet Side 2

3 Organisering av tilsyn og annen oppfølging To tilsynsmyndigheter Samarbeidsavtale Forventninger fra Stortinget hva gjelder tilsyn Datatilsynets planer hva gjelder tilsyn Tilsyn etter to regimer Side 3

4 Økonomiske og administrative forhold Ikke uttømmende behandlet i stortingsproposisjon Føringer gitt i forbindelse med Stortingets behandling Datatilsynet har laget forslag til kostnadsberegningsmodell, men har ikke offisielt tallfestet kostnader Kostnadsfordelingsutvalget Inviterer til innspill/dialog Side 4

5 Rettslige utgangspunkt Ekomloven 2-7a Personopplysningsloven 5 Forholdet til andre lover Bestemmelsene i loven gjelder for behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten Side 5

6 Aktuelle rettigheter etter personopplysningsloven - retten til å bli informert, lovens 20 - retten til innsyn i egne opplysninger, lovens Side 6

7 Hva bør reguleres i konsesjon: slå fast grunnleggende personvernrettigheter krav om lukket lagring krav om kryptering og krypteringsgrad fysisk og elektronisk sikring av lagringsmediet nærmere regulering av den registrertes innsynsrett Side 7

8 Alternative modeller for håndtering av innsynsbegjæringer A. Utlevering fra ekomtilbyder og dekryptering av data hos relevant myndighet B. Innsynsbegjæringer håndteres av den enkelte ekomtilbyder C. Det etableres en uhildet enhet (tredjepart) som håndterer innsynsbegjæringer Side 8

9 ETSI TR Side 9

10 Functional architecture for the secure DR operation Side 10

11 Protection of retained data Side 11

12 ETSI-løsning Det tas utgangspunkt i et lagringspliktig dataelement som beskrevet ovenfor Det skal bli brukt symmetriske tilfeldig genererte nøkler for dataelement Disse skal krypteres med asymmetriske RSA-nøkler (offentlige/private) for mottak hos relevant myndighet Innholdsfortegnelse lages via en hash før lagring Søkeopplysninger fra relevant myndighet hashes på samme måte og søket gjøres i hashet innholdsfortegnelse Ved treff sendes krypterte data til relevant myndighet Relevant myndighet benytter sin private nøkkel eller nøkler for dekryptering av dataelement Side 12

13 Løsningens fordeler for personvernet All lagring av lagringspliktige data vil være beskyttet (kryptert) Det vil ikke være mulig for uvedkommende å lese/benytte lagringspliktige data Denne krypteringsløsningen vil gjøre det enklere og sikrere å også benytte 3. parter for lagring, spesielt for små pliktsubjekter Det vil kun være mulig for politiet eller annen relevant myndighet å dekryptere lagringspliktige data Søk i hashede innholdsdata vil medføre at treff bekreftes. Bekreftede treff kan utleveres Det vil være enkelt å sende over beskyttede data fra ekomtilbyder til relevant myndighet, siden data allerede er beskyttet Side 13

14 Felles format for overlevering av lagringspliktige data Fakturering i forhold til forbruk: Fastnettelefoni, mobiltelefoni, telefoni via internett Ulik faktureringsløsning: Internetttilgang, epost Side 14

15 Integritetsbeskyttelse Svenske Antipiratbyråets sak Tingrättens dom ble opphevet av Svea Hovrett. Mangel på standardisering av data. Ikke verifiserbare tidssoner Skjermdump ble fremlagt uten dato og tidspunkt Umulig å entydig knytte IP-adresse til en viss bruker. Det var flere feilkilder som kunne lede til en uriktig fastslåing av identitet. Det er derfor viktig at man håndterer lagringspliktige data systematisk og umiddelbart via metoder som sikrer dataenes integritet for bruk i eventuelle rettssaker Side 15