Direktiv 2006/24 EF. Plan om regelverk, konsesjonsplikt, sikkerhetstiltak og tilsyn

Størrelse: px
Begynne med side:

Download "Direktiv 2006/24 EF. Plan om regelverk, konsesjonsplikt, sikkerhetstiltak og tilsyn"

Transkript

1 Direktiv 2006/24 EF Plan om regelverk, konsesjonsplikt, sikkerhetstiltak og tilsyn Datatilsynet, 15. november

2 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: Telefon:

3 0 INNHOLDSFORTEGNELSE Sammendrag Innledning Implementering av datalagringsdirektivet Direktivets virkeområde Hvilke virksomheter omfattes av lagringsplikten? Tilbydere av offentlige kommunikasjonstjeneste Geografisk virkeområde Kort om hvilke opplysninger som omfattes av lagringsplikten Gjeldende rettslig regulering og behov for justeringer Dagens regulering Hva blir nytt? Behov for justering av eksisterende regelverk Lagring av trafikkdata Skillet mellom trafikkdata og opplysninger om innhold Hvor kan opplysningene lagres? Rettigheter etter personopplysningsloven Retten til innsyn i egne opplysninger Retten til å kreve retting Retten til å bli informert Sikring av lagringspliktige data, utlevering og sletting Særlig om integritetsbeskyttelse Direktivets krav til sikkerhet Føringer fra Stortingsbehandlingen med hensyn til sikkerhet Presisering fra EUs ekspertgruppe Tilbydere av lagringstjenester lagringsmåte Informasjon om sikkerhet og kryptering gitt i ETSI TR Datatilsynets vurdering Utlevering Tiltak

4 6.9 Beslutningselementer fra dette kapittel Tilsyn og annen oppfølging Om deling av tilsynsansvaret De to tilsynsmyndigheter Drøftelser om ansvarsområde Forventninger hva gjelder tilsyn Samordning av tilsyn Samarbeidsavtale Gjennomføring av tilsyn Internasjonal forvaltning Hva Datatilsynet bør føre tilsyn med Tilsyn etter to regimer Tilsynsmetodikk Beslutningselementer fra dette kapittel Økonomiske og administrative forhold Utforming av konsesjonssøknad Forbredelsene og utforming av søknad Sikringstiltak Bør krav om kryptering etter ETSI standarden gjelde alle lagringspliktige virksomheter? Hva kan kostnadene estimeres til? Initialkostnader Driftsfase Er kostnadene forholdsmessig? Beslutningselementer fra dette kapittel Fremdrift i arbeidet Beslutningselementer fra dette kapittel Kilder Vedlegg 1 kostnadsområder Initielle kostnader Driftskostnader

5 SAMMENDRAG Den 4. april 2011 vedtok Stortinget at direktiv 2006/24 EF (datalagringsdirektivet) skulle implementeres i norsk rett. Implementeringen blir gjennomført ved justeringer i eksisterende regelverk, primært ved justeringer i lov om elektronisk kommunikasjon og rettspleielovene. Endringen innebærer at tilbydere av offentlig kommunikasjonstjenester blir pliktig til å lagre såkalte trafikkdata. Normalt vil trafikkdata inneholde informasjon om hvem som er i kontakt med hvem, når kommunikasjon skjedde, hvor de kommuniserende befant seg og hvilket utstyr som ble benyttet. Det foreligger allerede et dokument som drøfter de økonomiske og administrative konsekvenser for Datatilsynet som følge av det nye regelverket. I herværende dokument trekkes imidlertid problemstillinger opp i et bredere og regulatorisk perspektiv, drøfter disse og gir et beslutningsgrunnlag for tilsynets ledelse. Videre vil dokumentet kunne tjene som støtte for tilsynets eget personell i forbindelse med pågående drøftninger med departementer, andre myndighet og sektor. Det nye regelverket innebærer at Datatilsynet må utarbeide nye konsesjoner for lagringspliktige virksomheter. Disse kommer i tillegg til de eksisterende som er avgrenset til virksomheter som tilbyr fast- og mobiltelefoni. Det nye lagringsregimet strekker seg utover det. Nye aktører som sannsynligvis blir omfattet av en ny konsesjonsplikt vil være offentlige tilbydere av Internett og e-post. Det er Post- og teletilsynet som endelig vil fastsette hvilke virksomheter som er lagringspliktige. I dokumentet drøftes en rekke detaljer omkring lagring av data, både i forhold til hvem som berøres, hva som omfattes, geografisk sted for lagring og krav til sikring av lagringspliktige data. Flere av disse detaljene vil reguleres i Post- og teletilsynets regelverk. Det er likevel viktig at tilsynet har oppfatninger om foretrukket løsning ut fra et personvernperspektiv (ombudsrollen). I de bilaterale drøftelsene vil Datatilsynet kunne gi uttrykk for synspunkter innenfor beslutningen som Stortinget har foretatt, for å sikre at et best mulig personvern blir ivaretatt. Hva gjelder krav til sikring av lagringspliktige data, har Datatilsynet tatt utgangspunkt i Stortingets føringer om såkalt lukket lagring, krav om kryptering og henvisning til internasjonale standarder. Datatilsynet har sett hen til standarder eller tilsvarende utarbeidet av standardiseringsorganisasjonen for telekommunikasjonssektoren (ETSI). Datatilsynet mener at føringene i Stortingets innstilling 275L (2010/2011) klart peker i en slik retning. Stortinget har besluttet å videreføre et delt tilsynsansvar mellom Post- og teletilsynet og Datatilsynet. Det innebærer behov for en tett samordning av myndighetenes aktiviteter. Dokumentet peker på behovet for å oppdatere eksisterende samarbeidsavtale. Datatilsynet og Post- og teletilsynet har hatt et godt og tett samarbeid for å følge opp Stortingets vedtak. Det har vært bilaterale drøftelser mellom etatene, men også samarbeid om dialog med berørt sektor. Dette har vært en viktig faktor for å sikre en helhetlig drøftelse av aktuelle problemstillinger. Datatilsynets forvaltningsmessige hovedmandat etter ikrafttredelse av det nye regelverket, vil være å gi konsesjoner med vilkår til lagringspliktige virksomheter samt føre tilsyn med etterlevelse av disse. Selv om Datatilsynet allerede i dag fører tilsyn med de samme objektene, vil implementeringen av direktivets krav innebære forventninger om en langt tettere oppfølging av virksomheter innen berørt sektor. Stortingen skriver i forbindelse med sin behandling om behovet for en betydelig økning av Datatilsynets tilsynsvirksomhet mot de berørte virksomhetene. I dokumentet skisseres en overordnet plan for innfasing av ulike virkemidler, med spesiell vekt på tilsynsvirksomhet. Det foreslås en myk opptrapping av håndhevelse, kort tid etter regelverkets ikrafttredelse. 5

6 1 INNLEDNING Datalagringsdirektivet er et kortnavn på EU-direktiv 2006/24/EF om lagring av såkalte trafikkdata. Slike data oppstår gjennom bruk av moderne telekommunikasjonsprodukter. Direktivet ble vedtatt av EU i 2006, blant annet påvirket av terrorangrepene i New York den 11. september 2001, i Madrid den 11. mars 2004 og i London den 7. juli Direktivets påbud om datalagring begrunnes med at de lagrede opplysningene kan benyttes til å bekjempe alvorlig kriminalitet. Den 4. april 2011 vedtok Stortinget at direktivet skal implementeres i norsk rett. Vedtaket kom etter en lengre politisk debatt, hvor de to partiene Høyre og Arbeiderpartiet til slutt dannet nødvendig flertall. Beslutningen i Stortingen skal nå implementeres, som innebærer behov for uttømmende regulering. Post- og teletilsynet planlegger å gjøre dette i form av justeringer i forskrifter til lov om elektronisk kommunikasjon, mens det for Datatilsynets del primært vil skje ved utstedelse av nye konsesjoner ovenfor berørte aktører. Det samlede antall virksomheter som omfattes av konsesjonsplikt vil øke. Årsaken til det er at de tradisjonelle konsesjonene innen sektoren har vært avgrenset til fast- og mobiltelefontilbydere. I det nye regimet vil også tilbydere av internettilgang, IP-telefoni og visse former for e-post kunne omfattes. Tradisjonelt har det vært et delt tilsynsansvar mellom Post- og teletilsynet og Datatilsynet hva gjelder telekommunikasjonssektoren. Stortinget har besluttet videreføring av dette delte tilsynsansvaret. Det innebærer behov for samordning av aktiviteter også innenfor det nye regelverket. Datatilsynet har hatt et godt samarbeid med Post- og teletilsynet i mange år. Drøftelser har vært gjennomført når det har vært nødvendig, enkeltsaker har vært løst på en konstruktiv måte og det har vært løpende kontakt både på ledelsesnivå og saksbehandlernivå. Det nye regelverket krever imidlertid etter Datatilsynets vurdering enda tettere samordning av aktivitetene mot berørt bransje. Det nye regelverket innebærer utvidede arbeidsoppgaver for begge etatene. Datatilsynet har i tillegg fått føringer fra lovgivers side som på mange måter er nytt for tilsynet. Selv om etaten allerede i dag fører tilsyn med de samme objektene, vil implementeringen av direktivets krav innebære forventninger om en langt tettere oppfølging av pliktsubjektene. Stortinget skriver under sin behandling en forventning om en betydelig økning av Datatilsynets tilsynsvirksomhet mot de berørte virksomhetene. Formålet med dette dokumentet er å gi en helhetlig vurdering av hva implementeringen av direktivet innebærer for Datatilsynet, dets regulering og håndhevelse ovenfor telekommunikasjonstilbyderne. Videre drøfter dokumentet grenseflaten mot Post- og teletilsynet, organisering av tilsynsvirksomheten og krav til sikring av lagringspliktige data. Det er en forventning fra flere hold om at når lagring av omtalte trafikkdata først skal skje, så skal dette skje på en sikker og forsvarlig måte. Datatilsynet har fått ansvar for å fylle denne relativt vage formuleringen med et innhold. Datatilsynet har to roller i anledning denne saken, den ene går på rollen som regulator og myndighet, den andre som ombud for personvernet. Hva gjelder sistnevnte rolle, så omfatter denne ikke lenger spørsmålet om direktivet skal implementeres, men hvordan beslutningen best kan gjennomføres. Datatilsynet vil selvsagt fortsatt være opptatt av godt personvern innenfor de rammer Stortinget har bestemt. Som ombud for personvernet har Datatilsynet i beslutningsprosessen gitt uttrykk for sine motforestillinger i forhold til innføring av direktivet i norsk rett. Tilsynet tar imidlertid Stortingets vedtak til etterretning og setter nå fokuset på å få implementeringen på plass. Dette vil skje i en tett dialog med departement, Post- og teletilsynet samt berørte bransjer. Gjennomføring av direktivet må skje på en måte hvor hensynet til borgerens personvern balanseres mot hensynet til at markedsaktørene skal ha betingelser det er mulig å etterleve. 6

7 2 IMPLEMENTERING AV DATALAGRINGSDIREKTIVET I dette kapittel drøftes de juridiske implikasjoner ved implementering av direktivet. Det redegjøres kort for hvilke virksomheter som vil være lagringspliktige, opplysningene som skal lagres og geografisk virkeområde. Flere av de nevnte forhold vil reguleres av Post- og teletilsynet. Datatilsynet ønsker imidlertid å gjøre en egen kvalifisert vurdering av egen posisjon i forhold til de omtalte tema. 2.1 DIREKTIVETS VIRKEOMRÅDE HVILKE VIRKSOMHETER OMFATTES AV LAGRINGSPLIKTEN? Hvilke virksomheter som pålegges å lagre trafikkopplysninger er i direktivet definert som providers of publicly available electronic communications services or of a public communications network. I ekomloven 2-7a første ledd defineres pliktsubjektene som Tilbyder av elektronisk kommunikasjonsnett som anvendes til offentlig elektronisk kommunikasjonstjeneste og tilbyder av slik tjeneste. Ordlyden i både direktivet og ekomloven synes altså klart å trekke i retning av at både tilbydere av kommunikasjonstjenester og kommunikasjonsnett vil ha en plikt til å lagre opplysninger. I kapittel 7 i Prop. 49 L ( ) tar Justisdepartementet til orde for at det er mest hensiktsmessig å legge ekomlovens definisjon av tilbyder av offentlig elektronisk kommunikasjonstjeneste eller offentlig elektronisk kommunikasjonsnett til grunn når det skal avgjøres hvem som skal omfattes av lagringsplikten. Pliktsubjektene skal altså være de samme aktører som i dag omfattes av ekomregelverket for øvrig. Det synes opplagt at både tilbydere av teletjenester og nettverksoperatører kan pålegges å lagre de relevante data. Datatilsynet tilrår at det legges stor vekt på at det etableres klare ansvarsforhold og at det legges til rette for praktiske ordninger som bidrar til å sikre direktivets formål og som ivaretar hensynet til et best mulig personvern. I avtalen mellom Høyre og Arbeiderpartiet, som inngår som et element i Stortingets vedtak om å innføre Datalagringsdirektivet i norsk rett, sies det klart at det er ekomtilbyderne selv som skal ha ansvaret for lagringen. Personvern- og sikkerhetsmessige hensyn taler også for at det ikke opprettes en sentral lagringsløsning. I Norge benyttes det tre nettverk for mobiltelefoni som eies og driftes av henholdsvis Telenor, Netcom og Network Norway. Alle de øvrige offentlige tilbyderne av mobile teletjenester benytter seg av disse nettverkene. Opplysninger om de mobile enhetenes lokasjon registreres av eieren av de nærmeste basestasjonene. Tilbyderne av teletjenester er imidlertid ikke avhengige av lokasjonsopplysninger, all den tid de ikke er nødvendige for deres driftsformål. Nettverksoperatørene, som sørger for at nettverkene fungerer er på sin side midlertidig avhengige av disse opplysningene for å drifte sine nett. Datatilsynet er opptatt av å komme frem til løsninger som innebærer at samme opplysninger ikke blir lagret flere steder (dobbeltlagring). At dobbeltlagring skal unngås fremkommer av punkt 13 i fortalen til datalagringsdirektivet der det slås fast at data should be retained in such a way as to avoid their being retained more than once. Hvis nettverksoperatørene står for lagringen av lokasjonsopplysningene mens tjenesteleverandørene får ansvaret for å registrere og lagre de øvrige opplysningene direktivet omfatter, unngår man dette. En slik modell vil samsvare med hvilke behov for opplysninger virksomhetene allerede har TILBYDERE AV OFFENTLIGE KOMMUNIKASJONSTJENESTE En naturlig forståelse av begrepet offentlig elektronisk kommunikasjonstjeneste inkluderer kommersielle aktører som tilbyr sine tjenester på det åpne markedet og utelukker lukkede nettverk som eksempelvis tilbys 7

8 på læresteder, større institusjoner, borettslag eller hoteller. Slike aktører faller, etter det Datatilsynet erfarer, heller ikke inn under virkeområdet til ekomlovens øvrige bestemmelser. Etter Datatilsynets vurdering ville det for øvrig vært uheldig og i strid med direktivet om lagringsplikten utvides til å omfatte andre virksomheter enn de som normalt omtales som tele- og internettleverandører. Det bør også i fremtiden være mulig å oppsøke et bibliotek eller en kafé og benytte seg av det trådløse nettverket som tilbys der, uten at man på forhånd må legitimere seg og bli registrert som bruker. At det i ekomloven vises til offentlig tilbyder legges det til grunn at private infrastruktureiere, eksempelvis en studentsamskipnad, ikke er omfattet. Datatilsynet er kjent med at det i Danmark er innført en plikt for hoteller til å registrere brukerne av hotellets nettverk. Tilsynet ville imidlertid stilt seg kritisk til at det innføres tilsvarende krav i Norge. At man gjennom lovgivning skal forsøke å begrense muligheten til å logge seg på Internett uten at man har gitt seg tilkjenne og registreres, vil få store konsekvenser for personvernet og kan etter tilsynets oppfatning ikke sies å være et forholdsmessig tiltak. Når man leser forarbeider til de nye bestemmelsene i ekomregelverket synes det dessuten klart at det er nettopp de tradisjonelle tilbyderne av teletjenester man har hatt i tankene, ikke enhver virksomhet som tilbyr Internett til sine besøkende. Stortinget har besluttet at de lagringspliktige virksomhetene må ha konsesjon fra Datatilsynet. Dette er også et moment som trekker i retning av at det er tilbydere av tele- og internettjenester i tradisjonell forstand lovgiver hadde i tankene GEOGRAFISK VIRKEOMRÅDE Regelverket som skal gjennomføre direktivet i norsk rett bør kun pålegge virksomheter som er etablert i Norge plikter etter direktivet. Regelverkets nedslagsfelt bør svare til den reelle kontrollmyndighet som norske tilsynsmyndigheter besitter. Det antas på den annen side at hensynet til konkurranse på like vilkår mellom de ulike aktørene i markedet vil tilsi at alle virksomheter som ønsker å tilby tele- og internettjenester i Norge bør være underlagt den samme lagringsplikt KORT OM HVILKE OPPLYSNINGER SOM OMFATTES AV LAGRINGSPLIKTEN Hvilke ulike typer opplysninger som lagringsplikten omfatter fremkommer av direktivets artikkel 5. Den uttømmende opplistingen av kategorier er detaljert, og angir nokså presist hva virksomhetene skal pålegges å lagre. Essensen i direktivet er å innhente opplysninger om hvem som har vært i kontakt med hvem. Sted og tidspunkt for kommunikasjonen skal også lagres. Både opplysninger om bruk av fast- og mobiltelefoni, telefoni via internettjenester og SMS, MMS og e-post skal registreres og lagres. I bestemmelsen slås det videre klart fast at direktivet ikke åpner for lagring av data som avslører kommunikasjonens innhold. I Stortingsproposisjonen sies det også at Innhold eller noe som avslører innholdet i kommunikasjonen skal i henhold til direktivet ikke lagres. Dette bør også, etter Datatilsynets vurdering, komme til uttrykk i forskriften som er under utarbeiding. Det er av avgjørende betydning for personvernet at ikke direktivet implementeres på et vis som innebærer at også innholdet i borgernes kommunikasjon lagres. Dette spørsmålet vil berøres nærmere under punkt 4. 8

9 3 GJELDENDE RETTSLIG REGULERING OG BEHOV FOR JUSTERINGER I dette kapittel redegjøres for eksisterende rettslig regulering innen Datatilsynets forvaltningsområde. Videre drøftes behov for justeringer av eksisterende regelverk og fremsettes forslag til ordlyd i nytt regelverk. 3.1 DAGENS REGULERING I dag registrerer og lagrer tilbyderne trafikk- og lokasjonsdata for å sikre driften av sine nettverk og for å kunne fakturere kundene for faktisk bruk. Denne behandlingen av personopplysninger er delvis regulert av ekomloven med forskrift, personopplysningsloven med forskrift og teletilbydernes konsesjon fra Datatilsynet. I konsesjonen stilles det blant annet konkrete slettekrav. Opplysninger som registreres ut fra faktureringsformål skal slettes etter henholdsvis tre måneder ved månedsvis fakturering og fem måneder ved kvartalsvis fakturering. Personopplysninger som genereres for teknisk å kunne gjennomføre teletrafikken, skal slettes etter at tjenestene er nedkoblet. 3.2 HVA BLIR NYTT? Innføring av Datalagringsdirektivet innebærer at man beveger seg fra en rettstilstand der registrering og lagring av kommunikasjonsdata er basert på en privatrettslig, administrativt begrunnet lagring med relativt strenge krav til sletting, til en statspålagt lagringsplikt for et mer omfattende sett av kommunikasjonsdata. Det følger av Stortingets vedtak at tilbyderne må få innvilget konsesjon fra Datatilsynet til å kunne lagre opplysninger i medhold av Datalagringsdirektivet. Samtidig vil tilbyderne ha en ubetinget lagringsplikt som skal håndheves av Post- og teletilsynet. Tilsynet ser det som hensiktsmessig at de krav som Datatilsynet stiller til lagringen som pålegges gjennom direktivet fastsettes i en egen konsesjon som kommer i tillegg til den eksisterende standardkonsesjonen som tilbyderne må følge i medhold av dagens regleverk. Etter vårt syn er det kravene til virksomhetens internkontrollsystem og etterlevelse av kravene til informasjonssikkerhet som bør reguleres i en konsesjon, og håndheves av Datatilsynet. Regulering av disse temaene krever en detaljgrad og en terminologi som egner seg bedre i en konsesjon enn i en forskrift. Dessuten er det områder der Datatilsynet besitter den fagkunnskap og erfaring som er nødvendig for å utarbeide en hensiktsmessig og effektiv regulering. I konsesjonen vil det kunne stilles helt konkrete krav til eksempelvis: Krypteringsgrad lukket lagring Fysisk og elektronisk sikring av lagringsmediet Nærmere regulering av de registrertes innsynsrett Rutiner for utlevering til politiet (reguleres av PT) Loggføring av oppslag i opplysninger Autorisering av personell Regelmessig gjennomgang av internkontrollsystem Når det gjelder krav til autorisering av personell har Datatilsynet lagt til grunn at det er Post- og teletilsynet som vil sørge for å få på plass den rettslige reguleringen. Arbeidet med regelverket skal imidlertid skje i nært samarbeid med Datatilsynet 1. Krav om innhenting av politiattest for autorisering av personell må uansett hjemles i lov. Datatilsynet har ikke innvendinger mot at det stilles et slikt krav. Hensynet til abonnentenes personvern vil i denne sammenheng veie tyngre enn hensynet til de ansatte som vil ha tilgang til trafikkdata. 1 Det vises til Stortingets forutsetninger i innstilling 275L 2010/2011 9

10 Når man ser hen til formålet bak direktivet fremstår det som helt avgjørende at man avverger at personer som står i ledtog med kriminelle kan få tilgang til opplysningene og korrumpere disse. Et krav om politiattest antas i det minste å kunne gjøre slike forsøk vanskeligere. For øvrig er Datatilsynet av den oppfatning at reguleringen av lagringsplikten bør nedfelles i lov og forskrift. Dette av hensyn både til pliktsubjektenes rettsikkerhet og de registrertes. En så vidtrekkende regulering av betydningsfulle og omstridte spørsmål bør av demokratiske hensyn underlegges de grundige prosesser som lov- og forskriftsarbeid innebærer. Kravene som stilles til tilbyderne bør primært ikke fremkomme av en konsesjon utformet og vedtatt av et forvaltningsorgan. Imidlertid vil en konsesjon kunne inneholde avklaringer og presiseringer av krav og rettigheter som nedfelles i forskriften. 3.3 BEHOV FOR JUSTERING AV EKSISTERENDE REGELVERK I sitt brev av 5. juli 2011 ber FAD Datatilsynet: om å utarbeide forslag til en eller flere bestemmelser som hjemler pålegg om kryptering etter særskilte standarder. Vi ber om at dette arbeidet utføres i dialog og forståelse med Post- og teletilsynet, som fører tilsyn med ekomtilbydernes generelle virksomhet. Vi ber om at forslag til bestemmelse som kan sendes på høring oversendes FAD innen 15. november FAD har lagt til grunn at eksisterende forskrifter vil kunne være tilstrekkelig hjemmelsgrunnlag for slike sikringstiltak, selv om det ikke spesifikt er angitt at det skal være anledning til å fastsette krav med referanse til anerkjente standarder. Slik Datatilsynet ser det bør dette imidlertid fremkomme entydig av lov eller forskrift. En viktig begrunnelse for det er at mange av pliktsubjektene vil kunne komme til å motsette seg slike krav. De vil kunne hevde at tiltak av denne typen er kostnadsdrivende og forventer solid legalitet omkring slike pålegg. Flere vil trolig vurdere å påklage et konsesjonsvedtak som viser til standarder. Da er det viktig at hjemmelen er entydig fastsatt i lov eller forskrifts form. En nylig fastsatt forskriftstekst vil kunne virke klargjørende i forhold samfunnets forventninger til lagringspliktige virksomheter. De vil forvalte opplysninger som har meget høy beskyttelsesverdi. Datatilsynet foreslår en kort og konsis forskriftstekst, med noe utfyllende veiledningstekst. Etter tilsynets vurdering vil det være tilstrekkelig med et nytt ledd i eksisterende forskriftsbestemmelse 2-2. Denne kan lyde som følger: 2-2 annet ledd: Datatilsynet kan gi pålegg om særskilte sikkerhetstiltak for behandlinger som omfattes av konsesjonsplikten etter personopplysningslovens 33. Slike pålegg skal baseres på internasjonalt anerkjente standarder, tekniske rapporter eller tilsvarende dersom dette foreligger. Kommentar til forskriften: Bestemmelsen innebærer at Datatilsynet kan kreve at en konsesjonspliktig behandling skal sikres i samsvar med prinsipper nedtegnet i en nærmere angitt internasjonal anerkjent standard eller teknisk rapport. Formuleringen i samsvar med prinsipper innebærer at standarden kan fravikes, men at den behandlingsansvarlige da må sørge for å sikre personopplysningene tilsvarende eller bedre. Ved avvik fra kravene i de relevante standarder må den behandlingsansvarlige kunne dokumentere at tilsvarende sikkerhetsnivå er oppnådd. Bestemmelsen er særlig aktuell ved sikring av lagringspliktige trafikkdata i henhold til lov om elektronisk kommunikasjon. 10

11 Etter Datatilsynets oppfatning bør Stortingets formuleringer om at..datatilsynet skal vurdere behov for være en underbygging av behov for forskriftsteksten. Formuleringen innebærer i seg selv ikke pålegg om sikring etter en bestemt standard, men en utvetydig hjemmel til å kunne fastsette en referanse til standarder eller andre tilsvarende dokumenter. Uavhengig av Stortingets føringer har Datatilsynet på eget initiativ vurdert forholdsmessigheten med referanse til den såkalte ETSI TR Det er foretatt tekniske vurderinger i kapittel 6 og tilsvarende vurdering av økonomiske og administrative forhold i kapittel 8. 4 LAGRING AV TRAFIKKDATA I dette kapittel drøftes skillet mellom trafikkdata og innholdsdata. Videre omtales geografisk lagringssted for data og hvilke implikasjoner dette kan ha for personvernet til brukere av norske kommunikasjonstjenester. 4.1 SKILLET MELLOM TRAFIKKDATA OG OPPLYSNINGER OM INNHOLD Lagringsplikten gjelder trafikkdata, ikke innholdsdata. Det vil ikke være tillatt å lagre kommunikasjonens innhold. Det er åpenbart at lagring av kommunikasjonens innhold ville innebære en betydelig større krenkelse av borgerens frihet og personvern, enn ved lagring av rene trafikkdata. Kontroll av innholdet i kommunikasjon (kommunikasjonskontroll) krever spesielle hjemler og spesielle anledninger. Annen praksis vil være uforenelig med tanken om et fritt og demokratisk samfunn. Det er også bakgrunnen for det ikke var aktuelt å vedta et direktiv som påla en plikt til å lagre kommunikasjonens innhold. Når det er benyttet ulike internettbaserte kommunikasjonstjenester vil det imidlertid ofte være vanskelig å bringe på det rene hvorvidt det er snakk om kommunikasjon mellom to individ, og eventuelt hvem som er i kontakt med hvem, uten at pakkene med informasjon åpnes. Eksempel på teknologi som benyttes i slike sammenhenger er for eksempel DPI (Deep Packet Inspection). Fordi det kan være vanskelig å skille trafikkdata fra innhold ved bruk av visse former for IP-basert kommunikasjon, kan det være fare for at deler av den informasjonen som kommunikasjonen består av blir lagret. Det vil imidlertid være brudd på gitte forutsetninger og må bestemt unngås. Datatilsynet vil måtte ha fokus på sistnevnte problemstilling i forbindelse med sin tilsynsvirksomhet. 4.2 HVOR KAN OPPLYSNINGENE LAGRES? Gjeldende regelverk er ikke til hinder for at opplysningene som direktivet omfatter lagres utenfor landets grenser. Personverndirektivet legger opp til at personopplysninger skal kunne flyte uhindret av landegrenser innenfor EØS-området. Denne hovedregelen vil i utgangspunktet også gjelde for data som lagres i medhold av datalagringsdirektivet. Like fullt kan sikkerhetspolitiske aspekter formodentlig tale for at en så omfattende kilde til detaljert informasjon om norske borgere bør innebære lagring i Norge og under norske myndigheters kontroll. Det antas imidlertid at eventuelle pålegg om at lagring må skje i Norge vil være i strid med våre internasjonale forpliktelser etter EØS-avtalen. Dette med mindre de kan sies å være nødvendige for å ivareta hensynet til nasjonal sikkerhet eller andre formål som nevnes i personverndirektivets artikkel 13 første ledd. Datatilsynet er ikke rette instans til å foreta denne avveiningen, men vil i denne sammenheng uansett advare mot at det åpnes for at de aktuelle data flyttes utenfor EØS-området. Det vil innebære en stor risiko dersom en 11

12 så omfattende og detaljert mengde opplysninger overføres til stater som ikke kan garantere for registrertes personvern. Selv om det aktuelle mottakerlandet har et tilfredsstillende regelverk for ivaretakelse av personvernet i dag, eller det inngås privatrettslige kontrakter som skal beskytte opplysningene, vil opplysningene uansett ikke lenger være underlagt en tilfredsstillende kontroll. Private virksomheter kan komme på nye hender, politiske omveltninger og andre omfattende samfunnsendringer kan skje raskt. Av den grunn bør opplysningene som minst standard til enhver tid underlegges det europeiske personverndirektivets virkeområde. All den tid opplysningene lagres for å kunne benyttes i etterforskningsøyemed tilsier rettssikkerhetshensyn meget strenge krav til datakvalitet. Opplysninger av denne typen bør heller ikke være tilgjengelige for fremmede etterretningstjenester, noe som kan være en fare om opplysningene flyttes innen en annen jurisdiksjon. Det finnes videre mangelfull oversikt over om fremmede etterretningstjenester er underlagt tilstrekkelig demokratisk kontroll. Dersom data blir lagret i et annet EØS-land forutsetter Datatilsynet at de norske kravene til eksempelvis slettefrister som skal legges til grunn, ikke regelverket i det land opplysningene deponeres. Videre vil lagring i øvrige medlemsland kreve et utstrakt samarbeid mellom norske tilsynsmyndigheter og tilsynsmyndigheter i de land dataene befinner seg. I kapittel 5 kommer tilsynet tilbake til sistnevnte problemstilling, når informasjonsplikten til telekom virksomhetene omtales. 5 RETTIGHETER ETTER PERSONOPPLYSNINGSLOVEN Det europeiske personverndirektivet (95/46/EF) oppstiller rettigheter som skal sikre den registrertes grunnleggende rett til et personvern. Disse rettighetene er videre nedfelt i personopplysningsloven og vil kunne gjøres gjeldende også overfor tilbyderne av kommunikasjonstjenester. I det følgene vil det bli knyttet noen kommentarer til de mest sentrale rettigheter regelverket gir de registrerte. 5.1 RETTEN TIL INNSYN I EGNE OPPLYSNINGER Retten til å kunne gjøre seg kjent med hvilke opplysninger som behandles om en selv, herunder det konkrete innholdet i disse opplysningene, er en helt grunnleggende bestanddel i personvernet og er også helt avgjørende for at den enkelte skal kunne ivareta sine rettigheter. Dette gjelder rettigheter som følger av personvernregelverket for øvrig, men også eventuelle rettigheter etter annet regelverk. For å kunne imøtekomme en mistanke er man eksempelvis avhengig av å vite hvilke opplysninger mistanken grunner på. Retten til innsyn har også stor betydning i et videre perspektiv fordi den bidrar til å opprettholde en balanse mellom de registrerte og den behandlingsansvarlige. I denne sammenheng vil altså innsynretten medføre at maktforholdet mellom borgerne og myndighetene ikke forrykkes mer enn nødvendig. Det må etableres ordninger for hvordan den registrerte skal kunne få innsyn i egne trafikkdata som både er praktisk håndterbare for virksomhetene og tilstrekkelig brukervennlige, slik at terskelen for å få innsyn ikke blir for høy eller innebærer for mye plunder og heft for den registrerte. Samtidig må ordningene som etableres ivareta en meget høy grad av sikkerhet for å avverge at trafikkdata kommer på avveie. Datatilsynet vil ikke utelukke at det kan etableres løsninger som gir mulighet for innsyn via Internett. En manuelt betjent ordning vil kunne bli ressurskrevende for tilbyderne og upraktisk for kundene. Det vil imidlertid by på store utfordringer å bygge inn garantier som sikrer at tilbyder vet at man har med rett person å gjøre, før det gis innsyn. 12

13 Retten til innsyn skaper samtidig utfordringer i forhold til sikkerhetstiltakene. Det vises i denne sammenheng til kapittel RETTEN TIL Å KREVE RETTING Personopplysningsloven pålegger den behandlingsansvarlige å sørge for at opplysningene som behandles er korrekte. At det stilles strenge krav til opplysningenes kvalitet er helt avgjørende for at innføringen av direktivet skal kunne tjene sitt formål. For at opplysningene skal ha verdi ved etterforskning og straffeforfølgelse av er man avhengig av at det kan festes lit til at opplysningene stemmer og bidrar til å tegne et korrekt bilde. Når formålet med lagringen av personopplysningene er å kunne granske dem for å forebygge og oppklare alvorlig kriminalitet, vil det dessuten kunne få fatale følger for den registrerte hvis opplysninger som registreres ikke er korrekte. Opplysningene må derfor behandles på en måte som oppfyller meget strenge krav til integritet. Personopplysningsloven gir den registrerte adgang til å kreve at uriktige opplysninger rettes. Denne retten vil også gjelde for opplysningene som skal lagres i medhold av datalagringsdirektivet. Det antas imidlertid at så lenge virksomheten kan dokumentere at tilfredsstillende prosedyrer følges ved registrering av opplysningene, vil det være den registrerte som må kunne sannsynliggjøre at opplysningene ikke er riktige og således ha bevisbyrden mot seg. 5.3 RETTEN TIL Å BLI INFORMERT Det følger av hovedregelen i personopplysningsloven at man som registrert har rett til å bli informert når ens egne personopplysninger behandles, herunder om formålet med behandlingen og hvem som er ansvarlig. Det er gjort unntak fra denne retten når behandlingen av opplysningene har en tilstrekkelig eksplisitt hjemmel i lov, noe som vil være tilfellet i denne sammenheng. Datatilsynet vil likevel anbefale at forskriften som nå utarbeides pålegger tilbyderne å informere abonnenter om lagringen av trafikkdata ved inngåelse av avtaler om levering av tele- og internettjenester. Det må gis informasjon om hvordan kunden kan gjøre sine rettigheter gjeldende og hvor personopplysningene rent faktisk vil bli lagret, herunder om bruk av databehandlere og om eventuell overføring av opplysningene til utlandet. Etter Datatilsynets oppfatning kan informasjon om hvilket land lagringspliktige data deponeres være viktig for den registrerte. I slike tilfeller vil forvaltningen av informasjonen avtalereguleres mellom partene, dette uten at norsk regelverk kommer til anvendelse ovenfor den utenlandske aktøren (med mindre denne er etablert i Norge). Avtalen mellom partene er dermed det som avgjør hvor trygt opplysningene behandles. Tilsynet vil ikke utelukke at informasjon av denne type kan være en faktor ved valg av leverandør av kommunikasjonstjenester. Ved bruk av norske databehandlere vil personopplysningslovens regler om forholdmessig sikkerhet også komme til anvendelse ovenfor databehandler, men som nevnt ikke ovenfor en utenlandsk virksomhet (som ikke er etablert i Norge). 6 SIKRING AV LAGRINGSPLIKTIGE DATA, UTLEVERING OG SLETTING I dette kapittel presenteres tekniske aspekter ved sikring av lagringspliktige data. Det redegjøres om hvordan krav til sikring er fremstilt fra Stortingets side, anbefalinger fra EUs ekspertgruppe og hvordan problemstillingen presenteres og behandles i den tekniske rapporten ETSI TR Datatilsynet har notert seg Stortingets formuleringer rundt kryptering av data, men vil også på selvstendig initiativ foreta en vurdering av forholdet. 13

14 Det drøftes også forhold rundt den tekniske rapporten, men det gjøres oppmerksom på supplerende vurdering av økonomiske bærekraft i kapittel 8. Hva gjelder sikring av lagringspliktige data så vil dette måtte vurderes i forhold til følgende tre aspekt: Konfidensialitet, integritet og tilgjengelighet Konfidensialitet dreier seg om å beskytte informasjonen fra uvedkommende. Integritet dreier seg om å verne opplysningene fra uautorisert endring, mens tilgjengelighet dreier seg om å beskytte informasjonen fra å gå tapt eller ikke være tilgjengelig ved behov. Alle disse hensyn er likeverdig og må adresseres ved diskusjon om nødvendige sikkerhetstiltak. 6.1 SÆRLIG OM INTEGRITETSBESKYTTELSE Datatilsynet vil i denne sammenheng trekke integritetsbeskyttelse frem som avgjørende forhold til formålet. Personopplysningene er ment å benyttes som bevis eller spor i straffesaker. Dermed må det stilles strenge krav til informasjonens integritetsbeskyttelse. For å illustrere problemstillingen vil Datatilsynet trekke veksler på en domstolsbehandling i Svea Hovrett 2. I denne saken, som dreide seg om brudd på opphavsretten, oppheves en dom fra tingsrätten på grunn av bevisenes manglende integritet. Saken viser hvordan uklarheter i håndteringen av IP-adresser påvirker bevisets integritet. Retten peker blant annet på at det ikke fremkommer hvordan Svenske Antipiratbyrån har gått frem når de har sikret bevisene. Dette peker i retning av bruk av standardiserte løsninger. Videre fremkom det heller ikke hvilke verifiserbare tidssoner som ble brukt. Skjermdump som ble fremlagt i retten manglet angivelse av dato og tidspunkt. Av ytterligere flere grunner var det, i følge retten, umulig å knytte IP-adressen til en viss bruker. Det var flere feilkilder som kunne lede til en uriktig fastslåing av identitet. Det er derfor viktig at man håndterer lagringspliktige data systematisk og umiddelbart via metoder som sikrer dataenes integritet for bruk i eventuelle rettssaker. 6.2 DIREKTIVETS KRAV TIL SIKKERHET Krav til sikring av lagringspliktige opplysninger er behandlet i direktivets artikkel 7. Her oppstilles følgende krav til databeskyttelse og datasikkerhet: Artikel 7 Databeskyttelse og datasikkerhed Med forbehold af bestemmelser vedtaget i medfør af direktiv 95/46/EF og direktiv 2002/58/EF skal hver medlemsstat sikre, at udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet som et minimum respekterer følgende atasikkerhedsprincipper for data, der lagres i overensstemmelse med nærværende direktiv: a) de lagrede data skal være af samme kvalitet og være omfattet af den samme sikkerhed og beskyttelse som de data, der findes på nettet b) dataene skal være omfattet af de fornødne tekniske og organisatoriske foranstaltninger, så de er beskyttet mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab, mod forringelse, ubeføjet eller ulovlig lagring, behandling, adgang eller udbredelse 2 Svea Hovrett Dom Stockholm, Mål nr: B Brott mot upphovsrättslagen. Hovrättens opphevet tingrättens domsbeslutning. 14

15 c) dataene skal være omfattet af de fornødne tekniske og organisatoriske foranstaltninger, så det sikres, at kun særligt autoriserede personer får adgang til dataene, og d) dataene skal tilintetgøres ved udløbet af lagringstiden, bortset fra data, der har været givet adgang til, og som er blevet gemt. Datalagringsdirektivet etablerer ikke en høyere standard for datasikkerhet enn det som gjøres i personverndirektivet og kommunikasjonsdirektivet. Men en rekke faktorer, herunder beskyttelsesbehov, type data, formål og lagringslengden indikerer høye krav til sikkerhet. Dataene vil kunne avsløre vesentlige opplysninger om en persons privatliv. Følgelig vil det kunne gjøres betydelig skade på personlig integritet dersom disse dataene skulle begynne å lekke eller være tilgjengelig for uautoriserte personer. 6.3 FØRINGER FRA STORTINGSBEHANDLINGEN MED HENSYN TIL SIKKERHET I forbindelse med høringsprosessen kom det inn en rekke synspunkter på behov for å etablere en god sikkerhet for lagringspliktige data. Stortinget foretok i sin behandling også en vurdering av forholdet. I avtalen mellom Arbeiderpartiet og Høyre, som også er inkorporert i innstilling 275L 2010/2011 er det satt følgende krav for sikkerhet: Kryptering og lukket lagring Partene er enige om at kryptering er et godt tiltak for å sikre dataenes konfidensialitet. Partene er enige om at Datatilsynet gis myndighet til å gi pålegg til tilbydere om å foreta kryptering av data som faller under lagringsplikten etter (ny) ekomlov 2-7 a. Omfanget av krypteringen, herunder knyttet både til lagring og forsendelse, fastsettes nærmere av Datatilsynet i det enkelte pålegg. Det skal utarbeides forskriftsbestemmelser for kryptering, som skal tilfredsstille etablerte internasjonale standarder. Partene er enige om at data undergis nødvendig sikring (lukket lagring): Krav om identitetskontroll ved innpassering til de lokaler hvor data lagres. Adgang til de lokaler hvor data lagres og tilgang til data som er omfattet av lagringsplikten gis kun til personell som har tjenstlig behov for adgang og tilgang og har autorisasjon til det. Lagringsmediet og omgivelsene rundt sikres fysisk, slik at uvedkommende ikke får adgang til området uten at det etterlater spor. Lagringsmediet sikres elektronisk ( brannmur mv). Det skal ikke være anledning til eksternt å koble seg til lagringsmediet, dvs. at data ikke kan hentes ut on-line. Enhver forsendelse av lagringspliktige data over landegrensene skal sikres ved at krypteringsteknologi anvendes. Nasjonal sikkerhetsmyndighet gir retningslinjer for hvilken krypteringsgrad som er nødvendig for å ivareta sikkerheten. Det nest siste punktet om at det ikke skal være anledning til eksternt å koble seg til lagringsmediet og at data ikke skal kunne hentes ut on-line har vært noe vanskelig å tolke. Saken har vært drøftet bilateralt mellom de to tilsynsmyndighetene og har også vært drøftet internt i Datatilsynet. Konklusjonen fra denne prosessen er at tilsynet tolker Stortingets beslutning dit hen at Politiet må basere sin uthenting av data basert på en begjæring om utlevering, og at de dermed ikke kan gjøre søk direkte i databasene selv. Forholdet må ses i sammenheng med tilbydernes tilretteleggelsesplikt. 15

16 Det har videre vært drøftet i hvilken grad nevnte formulering påvirker løsningene rundt innsyn fra registrertes side. I den grad det skulle bli et stort volum på slike forespørsler, vil situasjonen raskt kreve effektive løsninger hvor on-line løsninger kan tvinge seg frem. Datatilsynet har imidlertid lagt til grunn at nevnte formulering er myntet på myndighetens direkte tilgang. I innstilling til Stortinget 275 L nevnes det en referanse til ETSI TR , uten at denne tas med i komiteens flertallsbeslutning. Stortingets føringer går dermed på referanse til internasjonale standarder generelt. Datatilsynet må derfor på selvstendig grunnlag vurdere hvilke standarder som er hensiktsmessige. 6.4 PRESISERING FRA EUS EKSPERTGRUPPE Her følger eksempler fra EUs ekspertgruppe 3, som kan gi en indikasjon på data sikkerhetstiltak som kan avhjelpe økt risiko for data innhentet i henhold til direktivet: Dokumenterte spesielle sikkerhetspolicyer som dekker direktivdataene, som definerer ansvar, roller og organisatoriske og tekniske tiltak; Lagringspliktige data skal lagres i et sikkert fysisk miljø; Lagringspliktige data skal oppbevares atskilt fra kommersielle data (eller i det minste, effektiv separasjon mellom de forskjellige sett av data, herunder streng tilgangskontroll); Effektiv sikkerhetskopierings- og gjenopprettingsmekanismer for å sikre systeminnhold; Tekniske tiltak for å hindre uautorisert tilgang til eller endring av lagringspliktige data under overføring eller sikkerhetskopiering, herunder ved bruk av kryptering. Høyt nivå for inntrengingskontroll fra eksterne angrep og begrense tilgangen til kun godkjente autoriserte personer; Automatisert logging av all tilgang til, søk i og annen behandling av lagringspliktige data; Dokumentert instruksjoner til alt autorisert personell på hvordan å unngå sikkerhetsrisikoer og brudd; Klart skille mellom funksjoner og kompetanse for de kategoriene av personer med ansvar for å administrere systemet og de som har fullmakt til å bruke systemet for å avdekke systemfeil; Regelmessig uavhengig revisjon av alle data sikkerhetstiltak. EUs Experts Group on Data Retention har laget en guide for implementering av datalagringsdirektivet, som omfatter behov for standardisering. ETSI/TC LI har utarbeidet en spesifikasjon med overleveringskrav og overleveringsspesifikasjoner for lagringspliktige data. ETSI TS omfatter krav for politiets håndtering av lagringspliktige data. ETSI TS omhandler overleveringsløsningen for forespørsel og utlevering av lagringspliktige data. Mest relevant for sikring av lagrede opplysninger i henhold til DLD er imidlertid ETSI TR som setter rammeverket for sikkerhetsfeltet for kommunikasjonskontroll og lagringspliktige data. Det må bemerkes at en Technical Report (TR) fra ETSI bare i hovedsak inneholder informative elementer, og er godkjent av den tekniske komiteen som skrev den. Derimot vil en ETSI Technical Specification (TS) være et dokument som inneholder normative krav og vil når tid, stadfesting og vedlikehold er viktig, bli godkjent av den tekniske komiteen som skrev den. En ETSI Standard (ES) inneholder normative krav og sendt på godkjenning til ETSI-medlemmer. Dette betyr at ETSI TR dermed står noe svakt som dokument, men er etter tilsynets vurdering det eneste relevante dokumentet for nevnte formål. 3 EXPERTS GROUP, "THE PLATFORM FOR ELECTRONIC DATA RETENTION FOR THE INVESTIGATION, DETECTION AND PROSECUTION OF SERIOUS CRIME" ESTABLISHED BY COMMISSION DECISION 2008/324/EC, SERIES A: GUIDANCE DOCUMENTS, Document 7, Closer understanding of the term Data Security in relation to its application in Directive 2006/24/EC, Version of 5 October 2010 approved 11 October

17 6.5 TILBYDERE AV LAGRINGSTJENESTER Det har dukket opp virksomheter på det europeiske markedet som tilbyr tilpassede lagringstjenester. Disse kan påta seg alt arbeid for pliktsubjektet for å ivareta de krav som stilles for lagring og utlevering. Dette omfatter alle de forskjellige elementene som kreves lagret i henhold til det nye regelverket. Aktørene tilbyr den sikkerhet som oppdragsgiver ønsker, som for eksempel kryptert lagring og rollebasert tilgangskontroll. Datatilsynet er ikke kjent med om noen av disse aktørene opererer på det norske markedet, men antar at i den grad slike tjenester etterspørres, så vil tjenestene også være tilgjengelig for de norske virksomhetene. I slike virksomheters markedsføringsmateriell fremgår det i hvert fall ikke noen informasjon om at tjenestene er avgrenset til visse land. 6.6 LAGRINGSMÅTE I forbindelse med de møtene som Post- og teletilsynet og Datatilsynet har hatt med sentrale aktører som vil få lagringsplikt har det fremkommet visse signaler om ønsket lagringsmåte for lagringspliktige data. Pliktsubjektene, som består av offentlige teletilbydere, ga signaler om at de så for seg lagring av lagringspliktige data i egen database. Det ble også nevnt at det er naturlig at dette skjer fortløpende. Datatilsynet har registrert ovennevnte uttalelser, men legger samtidig til grunn at det kan være høyst ulike synspunkter på nevnte forhold hos ulike tilbydere. Tilsynet må derfor foreta en selvstendig vurdering av forholdet før det stadfestes konsesjonskrav. 6.7 INFORMASJON OM SIKKERHET OG KRYPTERING GITT I ETSI TR ETSI TR har tittelen: Lawfull Interception (LI); Security framework in Lawful Interception and Retained Data environment. Rapporten setter opp en rekke mål for sikkerhet, slik som sikkerhetspolicy for personell; hendelseshåndtering; fysisk sikkerhet og sikkerhetsmiljø, håndtering av forskjellig lagringsmedia konfidensialitet data- og systemintegritet ikke-benektning tilgang sikker, verifiserbar og tydelig logging sikker sletting Utvikling, vedlikehold og gjenoppretting Som punktene over viser, gir rapporten en bred og helhetlig tilnærming til forsvarlig sikring av data. Den omtaler ikke bare de rent tekniske sikkerhetstiltakene, men adresserer også sikkerhetsadministrasjon. Når det gjelder konfidensialitet beskriver rapporten at sensitive personopplysninger for hver datalagringssesjon i henhold til DLD bør være beskyttet under overføring eller lagring, ved å benytte egnede krypteringsalgoritmer. ETSI rapporten definerer 3 forskjellige dataelementer: 17

18 Lagrede telekommunikasjonsdata (trafikkdata) Sesjonshåndteringsdata (data opprettet i forbindelse med uthenting) Relaterte loggdata Det er i nevnte rapport anbefalt at disse data blir holdt kryptert under hele deres lagringsperiode på lagringsmediet. Prosedyrer for nøkkelhåndtering, nødvendige for å følge enhver krypteringsprosedyre, må også tas med i beregningen. Hver krypteringsnøkkel skal ha en lagringstid lik den lagringstid som de lagrede krypterte data har. Krypteringsnøkkelen skal så slettes samtidig med de data som er kryptert med den. Fullstendig tekst kan leses i ETSI TR , spesielt kapittel 5 og DATATILSYNETS VURDERING Selv om ETSI TR er en teknisk rapport som i hovedsak inneholder informative og ikke normative elementer, anser Datatilsynet at rapportens elementer er relevante og i god harmoni med de krav som stilles i personopplysningslovens 13 om forholdsmessig sikkerhet. Det vises videre til personopplysningsforskriftens kapittel 2 og i sær 2-4 om å dokumentere forholdsmessig sikkerhet. Ved bruk av rapporten og de løsninger som der foreskrives vil lagringspliktige virksomheter lettere kunne underbygge et godt sikkerhetsnivå. Våren 2010 engasjerte Datatilsynet Svein Willassen 4 til å lage en rapport om Datalagringsdirektivet verdi i etterforskning og risikofaktorer for personvern 5. I rapportens punkt 4.5 om Begrensning av leverandørens egen tilgang til lagrede data beskrives fordeler med datakryptering ved bruk av krypteringsnøkler. Her tar Willassen utgangspunkt i ETSI TR Det blir vist til at krypteringen og håndteringen av krypteringsnøkler kan benyttes for de lagrede data, både for operatørene selv, samt for eventuelle underleverandører av lagringstjenester. Det vises også til at løsningen kan brukes for utlevering til politiet med bruk av politiets offentlige krypteringsnøkler. Slik kan man både forhindre at operatørene misbruker de lagringspliktige data de selv lagrer, samt at andre enn politiet kan benytte lagringspliktige data oversendt politiet med bruk av politiets krypteringsnøkler. Figur 1 Tilbyders funksjonelle arkitektur for DLD-lagring, hentet fra ETSI TR Svein Willassen er en uavhengig konsulent med bakgrunn fra blant annet Politiet (spesialetterforsker ved Datakrimteamet i ØKOKRIM), IBAS, Akademia og egen konsulentvirksomhet

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Høringsuttalelse gjennomføring av datalagringsdirektivet i Norge

Høringsuttalelse gjennomføring av datalagringsdirektivet i Norge Samferdselsdepartementet Postboks 8010 Dep 0030 OSLO Oslo, 12.4.2010 Høringsuttalelse gjennomføring av datalagringsdirektivet i Norge Innledning NetCom viser til høringsnotat fra 8.1.2010 utarbeidet i

Detaljer

DET KONGELIGE SAMFERDSELSDEPARTEMENT

DET KONGELIGE SAMFERDSELSDEPARTEMENT DET KONGELIGE SAMFERDSELSDEPARTEMENT Statsråden Stortingets transport- og kommunikasjonskomit Stortinget 0026 OSLO Deres ref Vår ref Dato 11/94-1-1K 29.03.2011 Datalagring 2011 - Svar på spørsmål fra Transport-

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Som følge av denne avtalen styrkes den enkeltes rettssikkerhet, personvern og trygghet.

Som følge av denne avtalen styrkes den enkeltes rettssikkerhet, personvern og trygghet. Avtale mellom Arbeiderpartiet og Høyre om Prop. 49 L (2010-2011) Innledning Partene er enige om å gjøre endringer i norsk lovgivning om lagring og sletting av elektroniske trafikkdata som følger av herværende

Detaljer

Datalagringsdirektivet: Nei til EUs styremøte. Gisle Hannemyr. 22. august 2009

Datalagringsdirektivet: Nei til EUs styremøte. Gisle Hannemyr. 22. august 2009 Datalagringsdirektivet: Nei til EUs styremøte. Gisle Hannemyr 22. august 2009 Datalagringsdirektivet Europaparlaments- og rådsdirektiv 2006/24/EF av 15. mars 2006, samt endring i europaparlaments- og rådsdirektiv

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Høring utkast til forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse (datalagringsforskriften)

Høring utkast til forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse (datalagringsforskriften) Post- og teletilsynet Postboks 93 4791 Lillesand Att: Hans Olav Røyr/Fredrik W. Knudsen Oslo, 10.4.2012 Høring utkast til forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse (datalagringsforskriften)

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01149-23/HTL XX.XX.20XX. Konsesjon til å behandle personopplysninger - ekomloven 2-7a

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01149-23/HTL XX.XX.20XX. Konsesjon til å behandle personopplysninger - ekomloven 2-7a Datati Isynet Siste pr. 11. mai kl: 13:00 Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01149-23/HTL XX.XX.20XX Konsesjon til å behandle personopplysninger - ekomloven 2-7a Vi viser til

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Høring - Politiets adgang til å benytte et fremtidig nasjonalt ID-kortregister

Høring - Politiets adgang til å benytte et fremtidig nasjonalt ID-kortregister Justis- og beredskapsdepartementet Politiavdelingen Att: Merethe Rein Postboks 8005 Dep 0030 OSLO Deres ref: Vår ref: 14/2453-3/UKOT 22.08.2014 Høring - Politiets adgang til å benytte et fremtidig nasjonalt

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

Forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften)

Forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften) Forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften) Fastsatt av Post- og teletilsynet den [dd. måned år] med hjemmel i lov 4. juli 2003 om elektronisk

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

[start kap] Innholdsoversikt

[start kap] Innholdsoversikt personvern BOOK.book Page 7 Thursday, December 23, 2010 1:32 PM [start kap] Innholdsoversikt 1 Innledning... 17 2 Personvernteori... 21 3 Internasjonalt personopplysningsvern... 81 4 Personopplysningsloven...

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Veileder for spesifisering av faktura. Nærmere retningslinjer etter ekomforskriften 1-9, tredje ledd

Veileder for spesifisering av faktura. Nærmere retningslinjer etter ekomforskriften 1-9, tredje ledd Veileder for spesifisering av faktura Nærmere retningslinjer etter ekomforskriften 1-9, tredje ledd Innledning (Nkom) har utarbeidet denne veilederen for tilbydere av elektronisk kommunikasjonstjeneste,

Detaljer

Veileder utlevering av trafikkdata etter fullmakt

Veileder utlevering av trafikkdata etter fullmakt Veileder utlevering av trafikkdata etter fullmakt Innledning Nasjonal kommunikasjonsmyndighet (Nkom) ønsker en felles forståelse mellom tilbydere, politi/påtalemyndighet og Nkom om rekkevidden av samtykke/fullmakt

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet Skytjenester Status for Riksarkivets arbeid Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim Olav Sataslåtten Riksarkivet 1 Utfordringene Arkivloven pålegger offentlige organer å ha

Detaljer

Det er forbudt å lagre unødvendige personopplysninger

Det er forbudt å lagre unødvendige personopplysninger Datalagringsdirektivet og arbeidsgivers innsyn i elektroniske spor Atle Årnes UiB, 19. April 2007 Det er forbudt å lagre unødvendige personopplysninger Personopplysninger skal ikke lagres lenger enn det

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Vår ref: 09/4568 /TLB

Vår ref: 09/4568 /TLB // Arbeids- og inkluderingsdepartementet Postboks 8019 Dep 0030 Oslo ARBEIDS OG tnkluder1nusuepammentet MOTTATT 0'4JUN2009 Deres ret 200901113/MCH Vår ref: 09/4568 /TLB Vår dato: 29.05.2009 Høringskommentarer

Detaljer

POLITIET KRIPOS HØRINGSUTTALELSE FORSLAG TIL KRAV OM POLITIATTEST FOR PERSONELL I DEN KOMMUNALE HELSE OG OMSORGSTJENESTEN

POLITIET KRIPOS HØRINGSUTTALELSE FORSLAG TIL KRAV OM POLITIATTEST FOR PERSONELL I DEN KOMMUNALE HELSE OG OMSORGSTJENESTEN POLITIET KRIPOS Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 OSLO NCIS Norway Deres referanse: Vår referanse: Sted, dato 15/3138 2015/02632 Oslo, 18.12.2015 HØRINGSUTTALELSE FORSLAG TIL KRAV

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endringer i åndsverkloven (tiltak mot krenkelser av opphavsrett m.m. på Internett)

Endringer i åndsverkloven (tiltak mot krenkelser av opphavsrett m.m. på Internett) Endringer i åndsverkloven (tiltak mot krenkelser av opphavsrett m.m. på Internett) I lov 12. mai 1961 nr. 2 om opphavsrett til åndsverk m.v. gjøres følgende endringer: 38b nytt tredje ledd skal lyde: Organisasjon

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

1 Ot.prp. nr. 58 (2002-2003), pkt. 12.2.1 (s. 68).

1 Ot.prp. nr. 58 (2002-2003), pkt. 12.2.1 (s. 68). Forbrukerrådet Postboks 4594 Nydalen 0404 OSLO 17.08.05 Brukerklagenemnda for elektronisk kommunikasjon kommentarer til utkast Det vises til Forbrukerrådets oversendelse av utkast til avtale og drift av

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Hvordan blir Norge berørt av den svenske signalspaningsloven? Anne-Marie Varen og Torgeir Alvestad Post- og teletilsynet

Hvordan blir Norge berørt av den svenske signalspaningsloven? Anne-Marie Varen og Torgeir Alvestad Post- og teletilsynet Hvordan blir Norge berørt av den svenske signalspaningsloven? Anne-Marie Varen og Torgeir Alvestad Post- og teletilsynet Bakgrunn Ny lov om signalspaning ( FRA-loven ) ble vedtatt 18.juni 2008 av den svenske

Detaljer

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Detaljer

Ot.prp. nr. 42 (2007 2008) Om lov om endringer i straffeprosessloven (DNA-etterforskningsregister)

Ot.prp. nr. 42 (2007 2008) Om lov om endringer i straffeprosessloven (DNA-etterforskningsregister) Ot.prp. nr. 42 (2007 2008) Om lov om endringer i straffeprosessloven (DNA-etterforskningsregister) Tilråding fra Justis- og politidepartementet av 14. mars 2008, godkjent i statsråd samme dag. (Regjeringen

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Personvernpolicy for forbrukerkunder

Personvernpolicy for forbrukerkunder Personvernpolicy for forbrukerkunder 1. Kontrollør av filer med personlige data Tikkurila Norge AS (heretter kalt Tikkurila) Stanseveien 25 0976 Oslo Tlf.: (+47) 22 80 32 90 Faks: (+47) 22 80 32 91 2.

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: 12/01084-21/EOL Vår ref.: 2012/4266-6 Saksbehandler/dir.tlf.: Trude Johannessen, 77 62 76 69 Dato: 09.04.2013 Klage på vedtak om pålegg - informasjonsplikt

Detaljer

Forslag til revidert forskrift om barnets talsperson i saker som skal behandles i fylkesnemnda - høringsuttalelse fra Redd Barna

Forslag til revidert forskrift om barnets talsperson i saker som skal behandles i fylkesnemnda - høringsuttalelse fra Redd Barna Barne-, likestillings- og inkluderingsdepartementet Vår ref. #196161/1 Deres ref. Oslo, 26.09.2011 Forslag til revidert forskrift om barnets talsperson i saker som skal behandles i fylkesnemnda - høringsuttalelse

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

12-2. Ansvarlig søkers ansvar

12-2. Ansvarlig søkers ansvar 12-2. Ansvarlig søkers ansvar Lastet ned fra Direktoratet for byggkvalitet 08.01.2016 12-2. Ansvarlig søkers ansvar I tillegg til ansvar etter plan- og bygningsloven 23-4 har ansvarlig søker ansvar for

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet Bjørn Erik Thon direktør 23.09.2010 Side 1 Dagens tekst - Kort om Datatilsynet - Kommentarer til undersøkelsen - Supplering: Hva vi

Detaljer

Personvernpolicy for markedsføringsregister

Personvernpolicy for markedsføringsregister Personvernpolicy for markedsføringsregister 1. Kontrollør av filer med personlige data Tikkurila Norge AS (heretter kalt Tikkurila) Stanseveien 25 0976 Oslo Tlf.: (+47) 22 80 32 90 Faks: (+47) 22 80 32

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Hvordan blir Norge berørt av den svenske signalspaningsloven? Anne-Marie Varen og Torgeir Alvestad Post- og teletilsynet

Hvordan blir Norge berørt av den svenske signalspaningsloven? Anne-Marie Varen og Torgeir Alvestad Post- og teletilsynet Hvordan blir Norge berørt av den svenske signalspaningsloven? Anne-Marie Varen og Torgeir Alvestad Post- og teletilsynet Bakgrunn Ny lov om signalspaning ( FRA-loven ) ble vedtatt 18.juni 2008 av den svenske

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport

Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport Tafjord Marked AS Serviceboks 1 6025 ÅLESUND Deres referanse 10/00139-6-464- GH-HN Vår referanse (bes oppgitt ved svar) Dato 10/00192-10/HTE 12. april 2012 Kontroll hos Tafjord Markeds AS - vedtak - endelig

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Finansdepartementet Postboks 8008 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/01410 SL HS/KR 13/00439-2/JSK 10. juni 2013 Dato Høringsuttalelse - Om gjennomføring av avtale mellom

Detaljer

Personvern og sikkerhet

Personvern og sikkerhet Personvern og sikkerhet Formålet med personvern er å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger. Behandlingen av personopplysninger

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Merknader til personopplysningsforskriften kapittel 9:

Merknader til personopplysningsforskriften kapittel 9: Merknader til personopplysningsforskriften kapittel 9: Til 9-1 Virkeområdet for bestemmelsene er innsyn i arbeidstakers e-postkasse mv. Mv viser til 9-1 2. ledd, der det er nærmere angitt hvilke elektroniske

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Håndtering av personlig informasjon

Håndtering av personlig informasjon Håndtering av personlig informasjon Håndtering av personlig informasjon Du kan alltid besøke vår hjemmeside for å få informasjon og lese om våre tilbud og kampanjer uten å oppgi noen personopplysninger.

Detaljer

Regelverk. Endringer i regelverk for digital forvaltning

Regelverk. Endringer i regelverk for digital forvaltning Regelverk Endringer i regelverk for digital forvaltning Offentlig sektors dataforum Oslo 28. november 2013 Nina Fladsrud Sikkerhet, robusthet og personvern rege Sikkerhet, robusthet og personvern Digital

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

12/2724 12/00953-2/JSK 7.

12/2724 12/00953-2/JSK 7. Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO 12/2724 12/00953-2/JSK 7. januar 2012 Høringsuttalelse - Digital kommunikasjon som hovedregel - Endringer i Forvaltningsloven

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer