KOMMENTARER TIL UTKAST TIL FORSKRIFT OM LAGRINGSPLIKT FOR BESTEMTE DATA OG OM TILRETTELEGGING AV DISSE DATA (DATALAGRINGSFORSKRIFTEN)

Like dokumenter
Forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften)

Høring utkast til forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse (datalagringsforskriften)

Høring utkast til forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften)

Samferdselsdepartementet Postboks 8030 Dep., 0030 OSLO. Fetsund, 30. september 2010 HØRING ENDRINGER I EKOMLOV OG FORSKRIFT

1. lnnledning. ventelo. HøRING - DATALAGRINGSFORSKRIFTEN

Veileder utlevering av trafikkdata etter fullmakt

3. Generelt om endringene i forslaget til forskrift. Statens vegvesen. Likelydende brev Se vedlagt liste

HØRINGSSVAR FRA HORDALAND POLITIDISTRIKT ENDRINGER I UTLENDINGSFORSKRIFTENS REGLER OM TIDLIG ARBEIDSSTART OG FAMILIEGJENFORENING MED EØS- BORGERE

Høringsnotat - Unntak fra taushetsplikt for Norges Bank ved utlevering av opplysninger til skatte- og avgiftsmyndighetene

Høringsbrev - Endringer i utlendingsforskriften vilkår for tvangsretur av barn med lang oppholdstid i Norge

Høringsnotat - unntak fra reglene om beskatning av lån fra selskap til aksjonær

Tilsyn med brukeromtaler på

Veileder for spesifisering av faktura. Nærmere retningslinjer etter ekomforskriften 1-9, tredje ledd

Forslag til lov om omsetning av bøker (boklov) - høring Fylkesrådets innstilling til vedtak: generell Høringsspørsmål 1. Høringsspørsmål 2.

DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT

Saksframlegg. Høring - Reservasjon for fastleger

HØRINGSNOTAT LUFTFART ENDRINGER I UTLENDINGSFORSKRIFTEN

1800 MHz-auksjon. Oppsummeringsdokument Nkoms vurderinger etter høring av overordnede rammer for tildelingen. 20. april 2015

Forespørsel under nasjonal terskel Ved anskaffelse av: Rammeavtale Blomster

DISTRIBUERT UTVIKLING AV NETTTJENESTER ( BARE UTDRAG)

Spørsmål og svar til konkurransegrunnlaget Anskaffelsens navn: Anskaffelse av rammeavtale - ingeniørtjenester

TILLEGG SAKSLISTE FOR HOVEDUTVALG FOR TEKNISK SEKTOR DEN

ORDFØREREN I ØVRE EIKER,

BERGEN KOMMUNE Byutvikling, klima og miljø/etat for byggesak og private planer

V Avtale mellom ElTele-selskapene og Bane Tele - forholdet til konkurranseloven dispensasjon etter konkurranseloven 3-9

Høringsnotat 1. juli Forslag til lovendringer for å innføre et register for offentlig støtte

Avvisning av klage på offentlig anskaffelse

Vedrørende høring NOU 2010:7 Mangfold og mestring

Del 2 Vedlegg 2 Kravspesifikasjon

STRATEGISK TILBUDSARBEID FOREDRAG FOR VETERINÆRFORENINGEN. Oslo 20. juni 2013 ALT advokatfirma AS

Fylkesmannen i Nordland

Høringssvar fra Universitetet i Oslo Endring i eforvaltnignsforskriften digital kommunikasjon som hovedregel.

LYDOPPTAK AV SAMTALER Veileder

Choose an item. Høring veileder om spesifisert faktura. Nasjonal kommunikasjonsmyndighet Postboks Lillesand

NOTAT. Dokumentasjon av tidsforbruk ved offentlige anskaffelser. Til: DIFI Fra: LFH v/hartvig Munthe-Kaas Dato:

Sammenslåing av avklarings- og oppfølgingstiltak overgangsregler og gjennomføringsplan

Saksbehandler: Hege Bull-Engelstad Nordstrand Arkiv: F13 &13 Arkivsaksnr.: 14/ Dato:

statens vegvesen Retningslinjer for innløsning av boliger i framtidige veglinjer

Bilag 8 til Avtale om «Jobb og muligheter» med leveringssted i Sandvika. Databehandleravtale

Høring endring av lov og forskrifter om offentlige anskaffelser

Stein Ove S. Gordner Advokat

1 Ot.prp. nr. 58 ( ), pkt (s. 68).

Kunnskap om regelverket en forutsetning for gode innkjøp Espen I. Bakken/Ronny Rosenvold

Vedlikeholdsavtalen Avtale om vedlikehold og service

Først vil jeg takke for invitasjonen til lanseringen av Rovdata.

Deres ref: Vår ref: Arkivkode: Sak/Saksb: Dato: 745/15 B30 &00 14/6292-2/TEPE ALTA

11/ Klager mener Phoung Storkjøkken og Asiamat avdeling Larvik ikke oppfyller

Sideordnede spesifikasjoner

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 2011/ / /MAB /3. september 2011 ME/ME1

Regler og rammer for anbudsprosesser

Ny dispensasjonsbestemmelse

Forelesning 9 mandag den 15. september

TILBUDSVEILEDER HVORDAN LAGE TIL BERGEN BRANNVESEN. Side 1

Del 2 Bilag 1 Kravspesifikasjon. Nynorsk -oversettelse Saksnr: Integrerings og mangfoldsdirektoratet Dato: Åpen anbudskonkurranse

På lederutviklingsprogrammene som ofte gjennomføres på NTNU benyttes dette verktøyet. Du kan bruke dette til inspirasjon.

IA-funksjonsvurdering Revidert februar En samtale om arbeidsmuligheter

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Besl. O. nr. 5. ( ) Odelstingsbeslutning nr. 5. Jf. Innst. O. nr. 4 ( ) og Ot.prp. nr. 54 ( )

Troms fylkeskommune ønsker tilbud på levering av vikarbyråtjenester. Tilbud skal være basert på følgende kravspesifikasjon gitt i dette vedlegg.

Saksbehandler: Ellen Benestad Saksnr.: 14/ Det innføres alternative skolegrenser for å utnytte skolekapasiteten på Kroer og Brønnerud skole

Konkurransegrunnlag Del C utkast til kontrakt for levering av tjenester. AVTALE OM LEVERING AV Rammeavtale for klarspråksarbeid.

Høring - finansiering av private barnehager

Utvalg Utvalgssak Møtedato Formannskapet 48/ Kommunestyret

Saksbehandler: Glenny Jelstad Arkiv: A1 &13 Arkivsaksnr.: 03/ Dato:

Etiske retningslinjer for MOVAR.

Høringsuttalelse gjennomføring av datalagringsdirektivet i Norge

Arkivnr. Saksnr. 2008/ Utvalg Utvalgssak Møtedato Utvalg for oppvekst og kultur Saksbehandler: Bodil Brå Alsvik

Høringsuttalelse - forslag til sterkere rettighetsfesting av ordningen med brukerstyrt personlig assistanse (BPA)

Anonymisert versjon av uttalelse - oppsigelse på grunn av epilepsi

Høring - finansiering av private barnehager

Tiltaksutredning for lokal luftkvalitet i Oslo

VEDTAK NR 42/12 I TVISTELØSNINGSNEMNDA. Tvisteløsningsnemnda avholdt møte torsdag 6. september 2012.

Barneforsikring veiledende bransjenorm ved flytting av avtale til nytt forsikringsselskap

Veileder for utarbeidelse av nasjonale retningslinjer. - for god hygienepraksis og anvendelse av HACCP prinsippene

Svar på høring om datalagring - forslag til regler om kostnadsfordeling, nødrettssituasjoner og taushetsbelagte data

Høring - finansiering av private barnehager

Konkurransegrunnlag KONKURRANSEGRUNNLAG RAMMEAVTALE KJØP AV UNIFORMER. Tilbudsfrist: 12. juni 2013 kl Arkivref: 13009

Vedlegg til rapport «Vurdering av eksamen i matematikk, Matematikksenteret 2015»

FYLKESNEMNDA FOR BARNEVERN OG SOSIALE SAKER, SENTRALENHETEN. Deres ref Vår ref Dato 13/ mai 2014

Positiv og virkningsfull barneoppdragelse

Oversendelse av klage fra TeliaSonera Norge AS på vedtak om minstekrav til reservestrømkapasitet i landmobile nett

Endringer i introduksjonsloven

Høringsbrev - unntak fra fylkesbinding ved generasjonsskifte

Vedlegg 1 Høringsnotat

Solberg skole - flytting av elever skoleårene 2016/17 og 2017/18. Saksbehandler: Ellen Benestad Saksnr.: 16/

Avhending av tidligere Ankerskogen videregående skole, Hamar kommune, gårds- og bruksnummer 1/2262

HØRINGSSVAR FRA DRAMMEN KOMMUNE OM ET FORSVARLIG SYSTEM I OPPLÆRINGSLOVEN

Samferdselsdepartementet Vår dato Vår referanse

Høring - finansiering av private barnehager

Spektrumstillatelse for 900 MHz-båndet

BÆRUM KOMMUNE. Bilag 1: Kundens kravspesifikasjon

Høring - Forskrift om styringssystem i helse- og omsorgstjenesten

Lynkurs om bransjenormen

Hvilken ferietype er du? PERSONVERN

Post- og teletilsynet Norwegian Post and Telecommunications Authority

Saksbehandler: Mari Kristine Rollag Arkiv: F00 &13 Arkivsaksnr.: 14/ Dato:

Konkurransegrunnlag Del C utkast til kontrakt for levering av tjenester

Høring utkast til forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften)

Opphør av arbeidsforhold grunnet alder oppdatert juni 2016

IV.3.3) Frist for mottak av tilbud eller forespørsel om deltakelse

Transkript:

Post- og teletilsynet Postboks 93 4791 Lillesand Vår dato Vår referanse 10.4.2012 Tnr-2012-012 Deres dato Deres referanse 7.2.2012 1102068-22-417.1 Vår saksbehandler Per Mognes KOMMENTARER TIL UTKAST TIL FORSKRIFT OM LAGRINGSPLIKT FOR BESTEMTE DATA OG OM TILRETTELEGGING AV DISSE DATA (DATALAGRINGSFORSKRIFTEN) Telenor viser til Post- og teletilsynets høringsbrev av 7. februar 2012 vedrørende utkast til forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften). Telenor ønsker med dette å gi sine kommentarer til høringsnotatet og utkastet til forskrift. Kommentarene er beskrevet i vedlagte notat. Med hilsen Telenor Norge AS Harald Krohg, Divisjonsdirektør Telenor Norge AS Kontoradresse: Snarøyveien 30 1331 Fornebu Postadresse: 1331 Fornebu Telefon: 810 77 000 Telefaks: 67 89 49 64 Bankgiro: 7058 06 34336 Postgiro: 0914 32 75443 Hovedkontor: Snarøyveien 30 1331 Fornebu Organisasjonsnummer: NO 976 967 631 MVA

KOMMENTARER TIL HØRINGSNOTAT OG UTKAST TIL FORSKRIFT OM LAGRINGSPLIKT FOR BESTEMTE DATA OG OM TIL RETTE- LEGGING AV DISSE DATA (DATALAGRINGSFORSKRIFTEN) Innledning Telenor viser til Post- og teletilsynets høringsbrev av 7. februar 2012 vedrørende utkast til forskrift om lagringsplikt for bestemte data og om tilrettelegging av disse data (datalagringsforskriften). Telenor vil i dette notatet gi sine kommentarer til høringsnotatet og utkastet til forskrift. Sammendrag Telenor støtter PTs konklusjon om at det ikke er aktuelt på nåværende tidspunkt å utvide kretsen av lagringspliktige subjekter til å omfatte leverandører av innholdstjenester. Telenor støtter også tilsynet i at det ikke er hensiktsmessig å forskriftsfastsette unntak fra lagringsplikten for mindre tilbydere av mobiltelefontjeneste, fasttelefontjeneste, internettelefontjeneste, mobil internettaksess eller e-post. Telenor er enig med PT i at et eventuelt slikt unntak for mindre tilbydere vil kunne uthule formålet med lagringsplikten og berede grunnen for forretningsvirksomhet basert på at virksomheten er unntatt lagringsplikt. Samferdselsdepartementet vil vurdere hvorvidt Svalbard skal unntas lagringsplikten. Telenor vil oppfordre myndighetene til å vurdere konsekvensene av et unntak før en slik beslutning eventuelt tas. Telenor mener primært at den lagringspliktige bare skal lagre data knyttet til egne abonnenter. Således skal den lagringspliktige kun lagre trafikkdata for kommunikasjonen som egen kunde gjennomfører, samt lokasjons- og abonnementsdata for egne kunder. PT foreslår imidlertid at netteier må lagre alle trafikk- og lokasjonsdata generert i eget nett og behandle og utlevere slike data ifm basestasjonsøk. Dersom PT opprettholder sitt standpunkt, forutsetter Telenor at tilsynet avklarer med Datatilsynet at et slikt pålegg ikke medfører at netteier må kunne håndheve innsynsretten til disse dataene for kunder av andre lagringspliktige tilbydere. Det må stadfestes at innsynsrett til både abonnements-, trafikk- og lokasjonsdata kun skal ivaretas av kundens egen tjenestetilbyder. Dette vil være mulig fordi det forutsettes at alle lagringspliktige tilbydere skal lagre alle slike data om egne abonnenter for å kunne utlevere slike data ifm personsøk. PT vurderer e-posttjeneste til ikke å være en elektronisk kommunikasjonstjeneste, men en applikasjon som benytter Simple Mail Transfer Protocol (SMTP) for å overføre informasjon fra en bruker til en annen i et underliggende elektronisk kommunikasjonsnett. Av dette konkluderer PT at de aktører som kun tilbyr e-posttjenester ikke oppfyller forskriftens krav til å være lagringspliktige tilbydere fordi de ikke tilbyr en elektronisk kommunikasjonstjeneste. De tilbydere som derimot tilbyr en underliggende elektronisk kommunikasjonstjeneste eller et underliggende elektronisk kommunikasjonsnett i tillegg til en SMTP-basert e-posttjeneste, vil bli pålagt å lagre visse data knyttet til bruken av sin e-posttjeneste. Dette vil føre til at 1

tilbydere av samme type e-posttjeneste blir regulert forskjellig mhp krav om datalagring avhengig av om tilbyderen kun tilbyr e-posttjeneste eller om tilbyderen også leverer de underliggende kommunikasjonstjenestene. Telenor mener at dette er konkurransevridende og ikke i henhold til intensjonen i Prop. 50 S (2010-2011). Telenor vil derfor oppfordre PT til å revurdere sine konklusjoner og innføre et reguleringsregime som er mer konkurransenøytralt ved at tilbydere av samme type e-posttjeneste reguleres likt. Telenor foreslår at det innarbeides i forskriften at kravet om lagringsplikt for e-post, kun bør omfatte løsninger som brukes av sluttbrukere. Telenor støtter PTs konklusjon om at det ikke skal pålegges lagring av informasjon som er nødvendig for å identifisere abonnenten når den lagringspliktige benytter NAT selv om dette vil gjøre det vanskelig å identifisere brukere på mobilt internett. PT foreslår at det for mobiltelefontjenester skal lagres lokaliseringsinformasjon både ved kommunikasjonens begynnelse og avslutning fordi det er beskrevet i proposisjonen, mens datalagringsdirektivet bare krever ved kommunikasjonens begynnelse. For Telenor er dette en overraskende konklusjon, fordi hele den politiske prosessen (både hos politiske tilhengere og motstandere av datalagringsdirektivet) var gjennomsyret av et ønske om at det hvis direktivet i det hele tatt skulle implementeres ikke skulle pålegges noen lagringsplikt utover det direktivet krevde. Telenor mener derfor at det er all grunn til å tro at uoverensstemmelsene mellom direktivet og proposisjonen ikke er tiltenkt fra departementet sin side (og tilsvarende for vedtaket i Stortinget), og at direktivet derfor bør legges til grunn for kravene i forskriften. Med cellens geografiske lokalisering forstår PT det arealet som basestasjonen/senderen dekker. Dette vil etter Telenors oppfatning, utvide de norske kravene i forhold til direktivet. Direktivets krav er klart mer rettet mot hvor selve basestasjonen/senderen er posisjonert (koordinater) og eventuelt skyteretning, enn mot arealet som basestasjonen/senderen dekker. Telenor vil derfor anbefale at PT benytter direktivets definisjon av cellens geografiske lokalisering og kun henviser til en geografisk posisjonsangivelse og eventuelt skyteretning dersom det er tilgjengelig. Siden kravene til lagring og tilrettelegging av data ikke blir avklart i tilstrekkelig detalj før datalagringsforskriften er satt i kraft og siden kravene til sikring og kryptering heller ikke blir avklart før de endelige konsesjonskravene foreligger, i tillegg til at et felles utleveringsformat (bransjestandard) heller ikke kan fastlegges før datalagringsforskriften foreligger, er det vanskelig for de lagringspliktige virksomheter å starte prosessen med å spesifisere sine anbudskrav (RFQ) overfor mulige leverandører av datalagringsløsninger. Dersom datalagringsforskriften og konsesjonskravene foreligger som varslet innen 1. juli 2012, vil en bransjestandard for utlevering til politiet kunne utarbeides etter dette. Først når bransjestandarden foreligger og nødvendige detaljer i forskrift og konsesjon er avklart, vil lagringspliktig tilbyder kunne starte opp hoveddelen av spesifikasjonsarbeidet. Telenor vil derfor oppfordre PT til å lage overgangsbestemmelser som tar høyde for at lagringspliktig tilbyder får tilstrekkelig implementeringstid til å etablere en fullverdig og pålitelig datalagringsløsning og at denne tiden ikke er kortere enn den implementeringstid politiet og de andre relevante myndigheter trenger for å være i stand til å ta i mot dataene. Stortinget la i sin behandling betydelig vekt på at sikkerheten må ivaretas ved de løsningene som skal etableres for datalagring, og det vil derfor være uheldig dersom myndighetene strammer inn på kravene til implementeringstid slik at en risikerer at løsningene både blir 2

dårligere og vil kunne inneholde sikkerhetshull samt bli mye dyrere enn de behøver. Telenor foreslår derfor at det innvilges en implementeringsperiode på minst 2,5 år etter at det foreligger enighet mellom de berørte parter om en bransjestandard for utleveringsformat. Telenor forutsetter i denne sammenheng at lagringspliktig tilbyder ikke blir pålagt å etablere mellomløsninger - for å kunne gi politiet og andre relevante myndigheter mer data enn i dag - i et eventuelt tidsrom fra loven trer i kraft til den fullstendige datalagringsløsningen er operativ. Telenors kommentarer til utkastet til forskriftstekst er beskrevet i et eget kapittel senere i notatet. Kommentarer til enkelte punkter i høringsnotatet I det etterfølgende er Telenors kommentarer knyttet til de respektive kapitler i høringsnotatet. 3. Hvem skal lagre 3.2 Pliktsubjekter etter loven Plikten til å lagre data påhviler bl a tilbyder av offentlig elektronisk kommunikasjonstjeneste. Ekomlovens definisjon av offentlig elektronisk kommunikasjonstjeneste avgrenser slike tjenester til bl a å omfatte de tjenester som normalt ytes mot vederlag. Telenor vil her påpeke at mange tjenester som faller under de kategorier av tjenester som er lagringspliktige, ikke ytes mot vederlag i markedet i dag. Telenor mener derfor at dette utvalgskriteriet ikke bør tillegges særlig vekt ift hvem som er pliktsubjekt ift lagringsplikten. PT vurderer det slik at en tilbyder som retter tjenestene sine mot bedriftsmarkedet, er å anse som offentlig tilbyder og dermed underlagt plikten til å lagre data. Når det gjelder f eks bedrifter, sykehus, hoteller og kafeer, vurderer imidlertid PT det slik at disse normalt ikke er å anse som tilbydere av offentlig elektronisk kommunikasjonstjeneste, fordi deres tjenester er forbeholdt virksomheten selv eller dens kunder som vil befinne seg i virksomhetens lokaler og benytte seg av virksomhetens øvrige tjenester. I mange tilfeller vil det imidlertid være slik at f eks bedrifter, sykehus, hoteller og kafeer, vil kjøpe de tjenestene de tilbyr fra tilbydere av offentlig elektronisk kommunikasjonsnett og tilbydere av offentlig elektronisk kommunikasjonstjeneste (f eks realisert gjennom fast/mobilt bedriftsnett, Trådløs sone eller roamingavtale). Det er uklart for Telenor i hvilke tilfeller lagringsplikten inntrer i slike tilfeller, og det er derfor behov for at PT avklarer dette. Det vil være uheldig dersom den interne kommunikasjonen i bedrifter, sykehus og hoteller blir behandlet forskjellig mhp lagringsplikt avhengig av hvordan deres interne tjenester er realisert. 3.3 Behovet for å endre kretsen av lagringspliktige subjekter 3.3.2 Behov for å utvide kretsen av lagringspliktige subjekter Det er etter PTs oppfatning ikke aktuelt på nåværende tidspunkt å utvide kretsen av lagringspliktige subjekter til å omfatte leverandører av innholdstjenester slik Kripos har gitt uttrykk for. Telenor støtter PTs konklusjon på dette punkt. 3

3.3.3 Behov for å innskrenke kretsen av lagringspliktige subjekter PT ser det ikke som hensiktsmessig å forskriftsfastsette unntak fra lagringsplikten for mindre tilbydere av mobiltelefontjeneste, fasttelefontjeneste, internettelefontjeneste, mobil internettaksess eller e-post. PT vurderer at det vil kunne uthule formålet med lagringsplikten dersom man gjennom forskrift fastsetter at tilbydere som er mindre enn et gitt nivå, skal være unntatt lagringsplikt. En slik bestemmelse vil kunne berede grunnen for forretningsvirksomhet basert på at virksomheten er unntatt lagringsplikt. Telenor vil støtte tilsynet på dette punkt. I høringsnotatet på side 7, nest siste avsnitt, omtales den lagring av trafikkdata som skjer, uavhengig av lagringsplikten i ekoml. 2-7a. Det anføres her at slik lagring skjer i medhold av ekoml. 2-7. Telenor vil for ordens skyld påpeke at dette er feil. Slik lagring skjer i medhold av personvernkonsesjonen fra Datatilsynet. Derimot forutsetter ekoml. 2-7 at slik lagring foregår. 3.4 Svalbard PT varsler at Samferdselsdepartementet vil følge opp hvorvidt Svalbard skal unntas lagringsplikten. Telenor vil oppfordre myndighetene til å vurdere konsekvensene av et unntak før en slik beslutning eventuelt tas. Det bør vurderes hva et eventuelt fritak skal innebære. Av spørsmål som i så fall bør avklares er bl a: Skal alle samtaler formidlet av en tilbyder etablert på Svalbard unntas lagringsplikt, uavhengig av hvor abonnentene faktisk befinner seg? Skal en samtale som enten originerer eller terminerer på Svalbard unntas lagringsplikt? Skal e-post til en bruker som er bosatt på Svalbard, unntas lagringsplikt? 4. Lagringspliktige data 4.1 Innledning 4.1.1 Hovedregelen om hvem som skal lagre hva Telenor mener primært at den lagringspliktige bare skal lagre data knyttet til egne abonnenter. Således skal den lagringspliktige kun lagre trafikkdata for kommunikasjonen som egen kunde gjennomfører, samt lokasjons- og abonnementsdata for egne kunder. Underleverandører av tilgang til nett eller tjeneste skal dermed ikke lagre data som blir generert av kunder hos andre virksomheter. Slik unngås det, som PT selv påpeker, at samme informasjon lagres hos ulike lagringspliktige. 4.1.2 Særregulering for tjenester over landmobile offentlige kommunikasjonsnett PT mener at det for gjennomføringen av basestasjonsøk er hensiktsmessig at det er eieren av nettet hvor trafikk- og lokasjonsdata blir generert, som også lagrer og utleverer informasjonen. Datatilsynet har imidlertid, som PT påpeker, gitt uttrykk for at det er den som har et kundeforhold til abonnenten som bør lagre, og at det vil være problematisk med en løsning hvor netteier skal behandle personopplysninger tilhørende en abonnent til en annen lagringspliktig tilbyder. Telenor er bekymret for at dersom netteier blir påtvunget lagring og behandling av trafikk- og lokasjonsdata for andre lagringspliktiges abonnenter for at dette skal kunne benyttes ved gjennomføring av basestasjonsøk, slik PT foreslår, så kan det reises spørsmål om ikke netteier da blir behandlingsansvarlig for disse data i følge personopplysningsloven. Hvis så er tilfelle, 4

vil dette kunne føre til at andre lagringspliktiges abonnenter vil kunne be netteier om innsyn i de data som er lagret om dem. Det vil være problematisk for netteier å ivareta innsynsretten for andre lagringspliktiges abonnenter, fordi netteier ikke har tilstrekkelig informasjon til å autorisere innsynet (dvs at det er vanskelig å verifisere at forespørrer har eierskap til data). Telenor mener derfor primært at den lagringspliktige bare skal lagre trafikk- og lokasjonsdata knyttet til egne abonnenter. Dersom imidlertid PT vil opprettholde sitt standpunkt om at netteier må lagre alle trafikk- og lokasjonsdata generert i eget nett og behandle og utlevere slike data ifm basestasjonsøk, forutsetter Telenor at tilsynet avklarer med Datatilsynet at et slikt pålegg ikke medfører at netteier må kunne håndheve innsynsretten til disse dataene for kunder av andre lagringspliktige tilbydere. Det må stadfestes at innsynsrett til både abonnements-, trafikk- og lokasjonsdata kun skal ivaretas av kundens egen tjenestetilbyder. Dette vil være mulig fordi det forutsettes at alle lagringspliktige tilbydere skal lagre alle slike data om egne abonnenter for å kunne utlevere slike data ifm personsøk. Som en konklusjon av dette, mener Telenor at det kun er PTs løsningsalternativ 2 (av PTs tre alternative løsninger) som er den akseptable løsning dersom tilsynet opprettholder sitt standpunkt om at netteier må lagre alle trafikk- og lokasjonsdata generert i eget nett. PTs løsningsalternativ 2 forutsetter at den lagringspliktige som har et kundeforhold til abonnenten, lagrer alle lagringspliktig data om egne kunder (abonnementsdata og trafikk- og lokasjonsdata) og at eier av landmobilt offentlig kommunikasjonsnett i tillegg lagrer alle trafikk- og lokasjonsdata for mobiltelefoni og mobil internettaksess generert i eget nett. Eventuelle trafikk- og lokasjonsdata generert hos roaming-partnere forutsettes lagret av den lagringspliktige som har kundeforholdet til abonnenten. PT forutsetter også at eiere av landmobilt offentlig kommunikasjonsnett skal lagre og behandle data generert av utenlandsk abonnent som roamer i norske nett. PTs løsningsalternativ 2 legger dessuten til grunn at eiere av landmobilt offentlig kommunikasjonsnett kun kan behandle trafikk- og lokasjonsdata om andre tilbyderes kunder ved utlevering ifm basestasjonsøk. Ekomloven 2-7a omhandler plikten til å lagre data som genereres eller behandles i tilbyders elektroniske kommunikasjonsnett. Det er uklart om og eventuelt i hvilken grad denne plikten inkluderer lagring av data når norske mobilkunder roamer i andre tilbyderes nett i utlandet (både innenfor og utenfor EØS). Er det tilstrekkelig å påpeke at siden kundens norske tjenestetilbyder mottar roaming-informasjon fra sine roaming-partnere i utlandet (i form av TAP-filer), så er disse dataene lagringspliktige? Etter Telenors oppfatning bør dette avklares i forskriften. 4.3 Definisjoner 4.3.1 Lagringspliktig telefontjeneste Se kommentar til utkast til forskrift 1-3. 4.3.3 Mobiltelefontjeneste I siste avsnitt i dette kapitlet, henviser PT til forskriftutkastet 2-3 første ledd nr 9 der det foreslås at dato, klokkeslett og lokaliseringskode (celleidentitet) skal lagres ved aktivering av forhåndsbetalte anonyme tjenester. PT ber om innspill på om slik regulering av forhåndsbetalte anonyme mobiltelefontjenester er nødvendig og særlig om norske netteiere for landmobile offentlige kommunikasjonsnett vil kunne lagre slik informasjon ved internasjonal roaming i deres nett. 5

Telenor forstår forskriftutkastet 2-3 første ledd nr 9 slik at det kun foreslår lagring av dato, klokkeslett og lokaliseringskode ved første gangs aktivering av en forhåndsbetalt anonym mobiltelefontjeneste slik at tjenesten etter dette åpnes for bruk (dvs at det med begrepet aktivere betyr at kunden har kjøpt et kort/telefon og ønsker å aktivere denne for bruk). Telenor vet ikke hva som er aktiveringstidspunktet for et forhåndsbetalt anonymt abonnement ved internasjonal roaming i vårt nett fordi slik aktivering kan skje på flere måter og fordi det er roaming-partneren som eier abonnementet som avgjør om og når abonnementet blir aktivert. I mange tilfeller vil aktivering være knyttet til den første samtalen som gjennomføres med det forhåndsbetalte anonyme abonnementet. Telenor kan derfor ikke lagre aktiveringsdata. Siden internasjonal roaming-kunders samtaler blir registrerer på vanlig måte, blir det generert TAP-filer for alle samtaler som inkluderer tidspunkt og celleidentitet, og disse blir oversendt til internasjonal roaming-partner. Telenor vil således lagre data om alle samtaler tilknyttet forhåndsbetalte anonyme abonnement når disse har funnet sted (inklusive den første samtalen som kan være en aktiveringssamtale), men for oss er det ikke kjent om den første samtalen er en aktiveringssamtale eller en vanlig samtale. Det er, etter Telenors oppfatning, roaming-partneren som eier abonnementet som bør ha ansvar for å registrere aktiveringstidspunkt og celleidentitet ved aktivering av et forhåndsbetalt anonymt abonnement. Siden forhåndsbetalte anonyme mobiltelefonabonnement ikke selges i Norge, vil Telenor foreslå at forskriftutkastet 2-3 første ledd nr 9 ikke blir tatt med i forskriften. 4.3.4 Internettelefontjeneste I forskriftutkastet 2-4 første ledd nr 5 er det foreslått at man skal lagre hvilken tjeneste som er benyttet for internettelefontjeneste. Dette kravet fremgår av datalagringsdirektivet, men PT er usikre på hvilken relevans informasjonen vil ha slik direktivet foreslås implementert i Norge. PT ber om tilbakemelding på hvilke ulike tjenester som den lagringspliktige for internettelefontjeneste vil kunne identifisere som tilbyder av internettelefontjeneste alene. Telenor er enig med PT i at dette synes å ha liten relevans i dag. 4.3.6 E-posttjeneste Hvem skal lagre PT vurderer e-posttjeneste til ikke å være en elektronisk kommunikasjonstjeneste, men en applikasjon som benytter Simple Mail Transfer Protocol (SMTP) for å overføre informasjon fra en bruker til en annen i et underliggende elektronisk kommunikasjonsnett. Av dette konkluderer PT at de aktører som kun tilbyr e-posttjenester ikke oppfyller forskriftens krav til å være lagringspliktige tilbydere fordi de ikke tilbyr en elektronisk kommunikasjonstjeneste. De tilbydere som derimot tilbyr en underliggende elektronisk kommunikasjonstjeneste eller et underliggende elektronisk kommunikasjonsnett i tillegg til en SMTP-basert e-posttjeneste, vil bli pålagt å lagre visse data knyttet til bruken av sin e-posttjeneste. Dette vil føre til at tilbydere av samme type e-posttjeneste blir regulert forskjellig mhp krav om datalagring avhengig av om tilbyderen kun tilbyr e-posttjeneste eller om tilbyderen også leverer de underliggende kommunikasjonstjenestene. Telenor mener at dette er konkurransevridende og ikke i henhold til intensjonen i Prop. 50 S (2010-2011). I proposisjonen kapittel 10.3 understreker departementet viktigheten av at plikten til å lagre data ikke skal føre til vridning av konkurransen innenfor markedet for elektronisk 6

kommunikasjon. Departementet kommenterer riktignok at enkelte tjenester vil omfattes av lagringskravene, mens andre ikke vil det og at dette kan være en utfordring for konkurransen i markedet (her refereres det til tradisjonelle e-posttjenester versus web-baserte e-posttjenester). Det er imidlertid etter Telenors oppfatning ingen signaler i departementets vurderinger i proposisjonen som skulle tyde på at de ikke mener at tilbydere av samme type e-posttjeneste skal behandles likt mhp krav til datalagring uavhengig av om de tilbyr de underliggende elektroniske kommunikasjonstjenester eller ikke. Telenor vil derfor oppfordre PT til å revurdere sine konklusjoner og innføre et reguleringsregime som er mer konkurransenøytralt ved at tilbydere av samme type e- posttjeneste reguleres likt. Telenor er en av de større tilbyderne av e-posttjenester i det norske markedet. Vi tilbyr flere typer e-posttjenester, og det er viktig for oss at lagringsplikten ikke pålegges alle våres tjenester som en helhet, men at den vurderes separat for hver type e-posttjeneste. Dette er viktig fordi de aller fleste konkurrentene på e-posttjenester vi møter, ikke vil ha lagringsplikt etter PTs nåværende vurdering fordi de ikke tilbyr de underliggende elektroniske kommunikasjonstjenester. Det fremgår ikke av PTs utkast til forskrift at det skal skilles mellom de forskjellige e-posttjenestene en tilbyder har. Forskriften bør endres til å reflektere dette. Lagringsplikten relatert til typer e-posttjenester Telenor forutsetter at bedriftsinterne e-postsystemer generelt ikke er omfattet av lagringsplikt. Likeledes forutsetter vi at Telenors interne e-postsystemer, som kun benyttes av våre ansatte, ikke er omfattet av lagringsplikten selv om andre av våre e-posttjenester vil bli underlagt lagringsplikt. Telenor tilbyr en e-postløsning som filtrerer og videresender e-post slik at spam og virus i meldingsstrømmen fjernes. Dette er en betalt tjeneste som tilbys bedrifter. Løsningen har ikke noe begrep om sluttbrukere og inneholder ikke postbokser. Telenor vil derfor oppfordre PT til ikke å la slike løsninger omfattes av lagringsplikten. Dersom slike løsninger skulle bli omfattet av lagringsplikten, vil det føre til et stort konkurransemessig problem: Det er stor konkurranse på dette markedet og marginene er derfor presset. Dersom slike løsninger blir omfattet av lagringsplikten for noen tilbydere mens andre konkurrenter ikke pålegges det samme, vil dette være konkurransevridende. Det må forventes at enkelte kunder vil preferere løsninger som ikke er omfattet av lagringsplikt. Det vil derfor svekke en tilbyders argumentasjon ovenfor markedet dersom denne tilbyderens løsning blir omfattet av lagringsplikten uten at konkurrentenes tilsvarende løsninger blir pålagt det samme. Telenor vil foreslå at PT generelt stadfester at spam- og virus-post ikke skal lagres. Det finnes dessuten en del e-posttjenester som kun fungerer som transittløsninger og som ikke forholder seg til sluttbrukere. Det at en løsning ikke tilbys sluttbrukere betyr at den ikke inneholder e-postbokser og ikke har brukeridentiteter. Eksempler på slike tjenester er løsninger for filtrering av spam og virus (som nevnt over), mulige e-postportaler mellom IP4 og IP6, e-postløsninger som kun tilbyr e-postdomener med videresending av all e-post, etc. Slike løsninger bør etter Telenors oppfatning ikke omfattes av lagringsplikten. 7

Lagringsplikt for transittløsninger vil bryte med prinsippet om at data i hovedsak skal lagres av den tilbyder som gir kunden tilgang til tjenesten (ref høringsnotatet kapittel 4.1.1 der PT fastslår at underleverandører av tilgang til nett eller tjeneste skal som hovedregel ikke lagre data som blir generert av kunder hos andre virksomheter. Slik unngås det at samme informasjon lagres hos ulike lagringspliktige ). Lagring av data fra disse transittløsningene vil dessuten ha mindre verdi da de ikke kan levere data om kundens identitet. Kravet om at lagringsplikt kun skal omfatte løsninger som brukes av sluttbrukere, ligger ikke i forskriften i dag og bør innarbeides. 4.3.7 Network Address Translation (NAT) Telenor støtter PTs konklusjon om at det ikke skal pålegges lagring av informasjon som er nødvendig for å identifisere abonnenten når den lagringspliktige benytter NAT selv om dette vil gjøre det vanskelig å identifisere brukere på mobilt internett. 4.3.8 Mislykkede og tapte telefontjenesteanrop PT foreslår å forskriftfastsette at data om mislykkede og tapte telefontjenesteanrop kun skal lagres såfremt slike data blir behandlet, logget og lagret. PT ber om tilbakemelding på hvilke virksomheter som i dag behandler, logger og lagrer slik informasjon. I Telenors driftsystemer blir all signaleringstrafikk monitorert og logget i en kort periode (variabelt) for driftsformål (såkalte passive data ). Dette omfatter også mislykkede og tapte telefonanrop. Dette er ikke CDR-informasjon, og formatet på denne informasjonen er på et slikt nivå at det kan bli vanskelig å få overført disse til datalagringsdatabasen uten å generere store kostnader og endringer i nettet. Det finnes imidlertid funksjonalitet i våre sentraler som det er mulig å slå på for å generere CDRer for mislykkede og tapte anrop. Denne funksjonaliteten benytter Telenor seg ikke av fordi den vil føre til en sterk økning av CDRer som vil spise av kapasiteten i nettet. Telenor mener at vi ikke kan pålegges å slå på denne funksjonen kun for datalagringsformål. Dessuten er data fra signaleringstrafikk ikke omfattet av lagringsplikten etter ekomloven 2-7a slik PT slår fast i høringsnotatet kapittel 4.3.12. Telenor er derfor av den oppfatning at vi i normal forstand ikke behandler, logger og lagrer data om mislykkede og tapte anrop. 4.3.9 Lokaliseringsinformasjon ved kommunikasjonens begynnelse og slutt I dette kapitlet og i kapittel 4.3.10, henviser PT til at det i proposisjonen foreslås at det for mobiltelefontjeneste skal lagres lokaliseringsinformasjon både ved kommunikasjonens begynnelse og avslutning, mens datalagringsdirektivet bare krever ved kommunikasjonens begynnelse. PT har bortsett fra for mobil internettaksess lagt seg på proposisjonens forslag, altså lagring både ved begynnelse og avslutning. For Telenor er dette en overraskende konklusjon, fordi hele den politiske prosessen (både hos politiske tilhengere og motstandere av datalagringsdirektivet) var gjennomsyret av et ønske om at det hvis direktivet i det hele tatt skulle implementeres ikke skulle pålegges noen lagringsplikt utover det direktivet krevde. Det er for Telenor også litt merkelig at PT i denne saken følger proposisjonen, mens det f eks i kapittel 4.3.4 foreslås inntatt et ledd i forskriftutkastet ( 2-4 første ledd nr 5 vedrørende lagring av hvilken internettelefontjeneste som benyttes) for å ivareta et krav som fremgår av direktivet, selv om dette kravet ikke 8

fremgår av proposisjonen. Telenor mener at det er all grunn til å tro at uoverensstemmelsene mellom direktivet og proposisjonen ikke er tiltenkt fra departementet sin side (og tilsvarende for vedtaket i Stortinget), og at direktivet derfor bør legges til grunn for kravene i forskriften. 4.3.10 Cellens geografiske lokalisering Med cellens geografiske lokalisering forstår PT det arealet som basestasjonen/senderen dekker. Dette vil etter Telenors oppfatning, utvide de norske kravene i forhold til direktivet. Datalagringsdirektivet krever lagring av the location labell (Cell ID) at the start of the communication. Direktivets krav er klart mer rettet mot hvor selve basestasjonen/senderen er posisjonert (koordinater) og eventuelt skyteretning, enn mot arealet som basestasjonen/senderen dekker. Med areal vil en naturlig forstå en beskrivelse av et område. I så fall må dette innebære en teoretisk beregnet dekning. Å beregne dekningsarealet av en antenne er svært avhengig av terrenget, type mobilteknologi og det aktuelle trafikkpåtrykket. Skal dekningsbeskrivelsen ha noen verdi, bør den i tillegg kombineres med en kartpresentasjon for å gi en mening. Telenor vil derfor anbefale at PT benytter direktivets definisjon av cellens geografiske lokalisering og kun henviser til en geografisk posisjonsangivelse og eventuelt skyteretning dersom det er tilgjengelig. PT bør i tillegg klargjøre at mobilstasjoner som beveger seg er unntatt kravet om posisjonsangivelse. Årsaken er vel selvsagt. Dersom PT vil opprettholde sin forståelse av "cellens geografiske lokalisering", må dette kravet spesifiseres nærmere slik at informasjonen kan overføres på en entydig måte til politiet og andre relevante myndigheter. 5. Krav til behandling av lagrede data 5.6 Beviskvalitet Når det gjelder krav til kvaliteten på de lagringspliktige data, legger PT til grunn det som proposisjonen og datalagringsdirektivet uttaler om at dataene skal ha samme kvalitet som de har i nettet. PT legger også til grunn at departementet uttaler i proposisjonen at tilbyderne ikke kan pålegges å skulle utføre kvalitetshevende tiltak på de data som de skal lagre. Som konklusjon på dette mener PT at det kun skal settes krav om at kvaliteten på dataene ikke må bli forringet ved lagringen. Telenor er enig i dette. PT mener imidlertid at dette også må omfatte krav til at den bevismessige verdien av de lagrede data ikke må forringens gjennom lagringen. Telenor oppfatter dette som at integriteten til dataene må bevares. Vi mener imidlertid at begrepet bevismessig verdi mer er knyttet til den ønskede kvaliteten på dataene når disse skal anvendes etter at de er utlevert til politiet og andre relevante myndigheter og ikke til den kvaliteten dataene bør ha ved utlevering fra den lagringspliktige virksomhet. Telenor vil derfor foreslå at begrepet beviskvalitet endres til f eks datakvalitet i dette kapitlet og i forskriftutkastet 3-1. 5.8 Sletteplikt PT vurderer det slik at lagringstiden på 6 måneder skal gjelde fra det tidspunkt kommunikasjonen fant sted og ikke fra lagringstidspunktet. Telenor antar at PT med begrepet fra det tidspunkt kommunikasjonen fant sted mener fra det tidspunkt da kommunikasjonen ble avsluttet. Telenor oppfordrer imidlertid PT til å avklare dette. 9

6. Behandling og uthenting av lagringspliktige data/ tilgjengeliggjøring 6.2 Uthenting av lagringspliktige data 6.2.2 Rett til innsyn for den registrerte Se kommentarer til kapittel 4.1.2. 6.3 Retting av data Se kommentarer til kapittel 4.1.2. 6.4 Tilretteleggingsplikten 6.4.2 Felles format PT vurderer det slik at "for så vidt gjelder tilgjengeliggjøring av data for den registrerte innebærer dette at dataene blir presentert på en slik måte at den enkelte sluttbruker er i stand til å tolke dataene". Telenor vil her kommentere at den lagringspliktiges mulighet for å gi den registrerte en tolkbar presentasjon av sine data, er avhengig av Datatilsynets krav til kryptering og derav lagringspliktiges mulighet til å få innsyn i dataene. Ved krav om enfasekryptering (dvs at lagringspliktig virksomhet ikke kan dekryptere dataene), er det rådata som krypteres, og det er derfor kun mulig for den instans som kan dekryptere dataene å lage en tolkbar rapport. Telenor forventer at PTs krav i forskriften på dette punkt blir koordinert med Datatilsynets konsesjonskrav. 6.4.3 Frist for klargjøring og samling av lagringspliktige data PT kan ikke se at det foreligger grunner til å kreve raskere prosessering av de lagringspliktige data enn hva som gjøres i dag. Telenor støtter PT i denne vurderingen. PT uttaler i dette kapitlet at selve prosesseringen av trafikk- og lokasjonsdata gjøres i dag ferdig innen få timer, i noen tilfeller i underkant av en halvtime. Telenor vil kommentere at dette ikke er helt korrekt. Det er store variasjoner ift når dataene er ferdig prosesserte i de forskjellige typer nett. 6.4.4 Responstid 6.4.4.2 Tilrettelegging for politi, påtalemyndighet og Finanstilsynet I siste avsnitt på s. 26, sies det at hastekompetansen og vaktordningen ved Oslo tingrett skal sikre rask etablering av fritak fra taushetsplikten. Dette er feil. Disse hasteordningene skal gi grunnlag for pålegg om utlevering overfor de lagringspliktige. Fritaket for taushetsplikt er løst gjennom nytt femte ledd i ekoml. 2-9. 7. Overgangsregler Behov for tilstrekkelig implementeringstid Siden kravene til lagring og tilrettelegging av data ikke blir avklart i tilstrekkelig detalj før datalagringsforskriften er satt i kraft og siden kravene til sikring og kryptering heller ikke blir avklart før de endelige konsesjonskravene foreligger, i tillegg til at et felles utleveringsformat (bransjestandard) heller ikke kan fastlegges før datalagringsforskriften foreligger, er det vanskelig for de lagringspliktige virksomheter å starte prosessen med å spesifisere sine anbudskrav (RFQ) overfor mulige leverandører av datalagringsløsninger. Dersom 10

datalagringsforskriften og konsesjonskravene foreligger som varslet innen 1. juli 2012, vil en bransjestandard for utlevering til politiet kunne utarbeides etter dette. Først når bransjestandarden foreligger og nødvendige detaljer i forskrift og konsesjon er avklart, vil lagringspliktig tilbyder kunne starte opp hoveddelen av spesifikasjonsarbeidet. Siden Datatilsynet har varslet at de vil stille krav til sikkerhet, kryptering og innsyn som går utover det som finnes av løsninger på markedet i dag, vil dette føre til at både spesifikasjons-, implementasjons- og tilpasningsarbeidet hos lagringspliktig tilbyder og implementeringstiden hos leverandør vil ta betydelig mer tid enn dersom hyllevare kunne benyttes. Det innebærer igjen at lagringspliktig tilbyder vil ha behov for en betydelig implementeringstid fra det tidspunkt datalagringsforskriften, konsesjonen og utleveringsformatet foreligger. Telenor estimerer at det er behov for en periode på 2,5 år pluss tiden for etablering av en bransjestandard for utleveringsformat, før alle systemer, løsninger og bemanning er på plass og testet ut og vi er i stand til å begynne å utlevere data til politiet og andre relevante myndigheter samt å kunne gi de registrerte innsyn i egne data. Dette er nærmere begrunnet i kapittelet under. Nærmere om implementeringstid Telenor har lang erfaring med implementering av komplekse IT-systemer både når det gjelder å vurdere kompleksiteten i kravene som stilles og den tiden det tar å implementere disse. Systemene som skal utvikles for datalagring, er svært komplekse siden det skal hentes data fra svært mange av våre tekniske og administrative systemer i tillegg til at det stilles svært strenge krav til sikkerhet og kryptering ved løsningen. Telenor vil trekke frem følgende forhold som vil ha betydning for implementering av datalagringsløsningen i Norge: Utvikling av en datalagringsløsning skiller seg fra andre systemer ekomtilbydere utvikler for egne formål ved at kravene til datalagring er fastsatt av myndighetene, mens tilbyderne har full kontroll over kravene som fastsettes for egne systemer. I dette ligger at tolkningskompetansen for kravene til datalagring ligger hos myndighetene, til forskjell fra annen systemutvikling der tilbyderne har full tolkningskompetanse selv. o Telenors egne systemarkitekter vil normalt spesifisere produkter slik at det passer til vår it-systemarv og slik at produktene kan tilpasses i et kost/nyttemulighetsrom. Dette er vanskeligere for utviklingsprosjekter der kravene fastsettes eksternt. o Uklare krav i forskrift og konsesjon og forventninger hos brukerne (politiet, etc) samt tolking av kravene, kan påvirke implementeringskrav og implementeringstid. Endring av krav eller uenighet i tolkning av krav/forventninger vil kunne innebære behov for endringer i eksisterende systemarkitektur. o Felles utleveringsformat til politiet er avhengig av samarbeid på tvers av de lagringspliktige tilbydere, politiet og PT. Omfang og tidsaspektet for dette er ukjent. Generell erfaring ved innkjøp av IT-systemer er at jo mer en presser ned kravene til implementeringstid, jo dyrere blir løsningen. o Dersom normal innkjøpsprosess blir fulgt, vil løsningen bli billigst. o Systemleverandører vil ofte utnytte krav om forkortet implementeringstid til å øke prisen vesentlig. o Dersom spesifikasjons- og kontraktsfase blir presset på tid, vil risikoen for feil i kravspesifikasjonene bli stor, og dette vil kunne få følgekonsekvenser for både kostnader og en kompliserende implementering med endringsløp. 11

o Behov for senere endringer koster og tar tid og kan øke risiko for feil i systemet. o Risikoen for feil i systemet øker med økende tidspress på implementeringen Data kan komme på avveie eller bli tilgjengelig for uvedkommende. Skadevirkningene ved sikkerhetsbrudd i datalagringsløsningen vil kunne gi ekstreme skadevirkninger både for våre kunder og Telenor. Risikoen for havari eller nedetid øker. Jo lenger og mer normal implementeringstid de lagringspliktige tilbydere får i Norge jo mer modent vil produktene som tilbys av leverandørene være (dvs mer hyllevare - produkter). Sikkerhet er mye viktigere i en datalagringsløsning enn de fleste andre prosjekter. Dette forlenger implementeringstiden. Alle lagringspliktige tilbydere bør få samme implementeringstid. Implementeringstiden bør ikke være basert på størrelse av virksomheten eller andre parametere. Telenor har de mest komplekse tjenester/produkter og verdikjeder av alle tilbydere, og vi tilbyr alle kategorier lagringspliktige tjenester. I tillegg henger våre produkter til dels sammen. Telenor har derfor reelt sett det største behovet for implementeringstid. Telenor har estimert hvor lang implementeringstid vi trenger som et minimum for å etablere en fullverdig løsning for lagring av lagringspliktige data. Vi tar da utgangspunkt i tidspunktet når datalagringsforskriften og konsesjonen foreligger (tidligere varslet av PT og Datatilsynet til å være 1. juli 2012). Følgende faser vil måtte gjennomføres: Etablere et felles utleveringsformat til politiet, etc (bransjestandard). Denne fasen er delvis utenfor Telenors kontroll og vil kreve et samarbeid mellom alle berørte parter. Det er derfor vanskelig å forutse hvor lang tid dette vil ta, men det er realistisk å regne med at det vil ta minimum 3 måneder. Spesifisere anbudskrav (RFQ): 2 måneder. Svarfrist for leverandørene: 6 uker. Velge hvilke leverandører en vil forhandle med: 4 uker. Forhandle med leverandørene: 4 uker. Velge leverandør og inngå kontrakt (antar at ved tett kommunikasjon med leverandør kan en unngå oppstarttid hos leverandør). Normal leveringstid fra leverandør: 12-24 måneder for prosjekter med liknende teknisk kompleksitet. Siden krav til sikkerhet og kompleksitet ved denne løsningen er så høy, forventer vi at leveringstiden fra leverandør vil ligge på nærmere 24 måneder. Test av løsningen: Ca 2-3 måneder. Det vil være behov for en omfattende testing pga de høye sikkerhetskrav til løsningen. Telenor estimerer ut fra dette at vi trenger en implementeringstid på 2,5 år pluss tiden for etablering av en bransjestandard for utleveringsformat. Ingen krav om mellomløsninger Vurderingene som er beskrevet i kapittelet over, forutsetter at lagringspliktig tilbyder ikke blir pålagt å etablere mellomløsninger - for å kunne gi politiet og andre relevante myndigheter mer data enn i dag - i et eventuelt tidsrom fra loven trer i kraft til den fullstendige datalagringsløsningen er operativ. Etablering av en mellomløsning om det i hele tatt er mulig - vil for de fleste lagringspliktige tilbydere kreve betydelig ressursinnsats og tilpasninger internt, noe som vil gå ut over arbeidet med å få den endelige løsning på plass. 12

Telenor forutsetter derfor at det i perioden frem til endelig løsning er på plass, ikke vil bli stilt krav om utlevering av andre data eller data for et lenger tidsrom, enn de vi levere i dag. Telenor vil også påpeke at det er viktig at myndighetene ikke setter et krav til implementeringstid for de lagringspliktige tilbyderne som er kortere enn det politiet og andre relevante myndigheter selv legger opp til for sine systemer som skal ta i mot dataene. Det vil gi dårlig samfunnsøkonomi om de lagringspliktige blir avkrevd å ha sine systemer operative lenge før politiet og de andre relevante myndighetene er i stand til å ta i mot dataene. Dessuten vil det føre til at de lagringspliktige vil måtte operere både nye og gamle løsninger over en lengre tidsperiode. Det er derfor viktig at myndighetene harmoniserer kravene til implementeringstid slik at denne blir en felles periode (eller et felles tidspunkt) som gjør at alle de berørte parter har sine systemer operative stort sett samtidig. Konklusjon Telenor vil oppfordre PT til å lage overgangsbestemmelser som tar høyde for at lagringspliktig tilbyder får tilstrekkelig implementeringstid til å etablere en fullverdig og pålitelig datalagringsløsning og at denne tiden ikke er kortere enn den implementeringstid politiet og de andre relevante myndigheter trenger for å være i stand til å ta i mot dataene. Stortinget la i sin behandling betydelig vekt på at sikkerheten må ivaretas ved de løsningene som skal etableres for datalagring, og det vil derfor være uheldig dersom myndighetene strammer inn på kravene til implementeringstid slik at en risikerer at løsningene både blir dårligere og vil kunne inneholde sikkerhetshull samt bli mye dyrere enn de behøver. Telenor foreslår derfor at det innvilges en implementeringsperiode på minst 2,5 år etter at det foreligger enighet mellom de berørte parter om en bransjestandard for utleveringsformat. Kommentarer til utkast til forskrift I det etterfølgende er Telenors kommentarer knyttet til de respektive paragrafer i forskriftutkastet. Kapittel 1 Innledende bestemmelser 1-3 Definisjoner Telenor har følgende kommentarer til 1-3 nr 1 om definisjonen av lagringspliktig telefontjeneste som nå lyder elektronisk kommunikasjonstjeneste som oppretter og mottar innenlandske eller innenlandske og internasjonale toveis taleforbindelser direkte eller indirekte ved hjelp av et eller flere numre i en nasjonal eller internasjonal telefonnummerplan, samt tilleggstjenester og eventuelle meldings- og multimedietjenester : Det er en språkfeil i tredje linje der det er brukt den ubestemte artikkel et i stedet for tallordet ett. Første delen av definisjonen kan synes uklar fordi det refereres til som oppretter og mottar innenlandske eller innenlandske og internasjonale (vår understreking). Mangler det et og/eller her for å dekke også tjenester som bare initierer eller bare terminerer nasjonale og internasjonale anrop? Definisjonen refererer til tilleggstjenester uten å spesifisere hva dette omfatter. I direktivet refereres det til call forwarding og call transfer. PT bør spesifisere nærmere hvilke tjenester som her skal inngå, herunder å avklare om det kun omfatter 13

tilleggstjenester tilknyttet abonnementet eller om det også omfatter tilleggstjenester på kommunikasjonen. Definisjonen refererer til meldings- og multimedietjenester uten å spesifisere hva dette omfatter. I direktivet refereres det til SMS-, EMS- og MMS-tjenester. PT bør spesifisere nærmere hvilke tjenester som her skal inngå. I 1-3 nr 6, defineres e-post som elektronisk meldingstjeneste som blir tilbudt av en lagringspliktig. I definisjonen av lagringspliktig telefontjeneste benyttes også begrepet meldingstjeneste (ref. over) og da inkluderer begrepet tjenesten SMS. Telenor antar at det ikke er tilsiktet at e-post skal omfatte denne tjenesten. Telenor vil derfor oppfordre PT til å endre en av definisjonene slik at begrepet meldingstjeneste kun benyttes i en av definisjonene. Kapittel 2 Lagringspliktige data 2-1 Lagringspliktens subjekt og omfang I 2-1 andre ledd, beskrives data som tilbyder av landmobile offentlige elektroniske kommunikasjonsnett skal lagre vedrørende andre tilbyderes abonnenter. Som beskrevet i våre kommentarer til høringsnotatet kapittel 4.1.2, mener Telenor primært at den lagringspliktige bare skal lagre trafikk- og lokasjonsdata knyttet til egne abonnenter. Dersom imidlertid PT vil opprettholde sitt standpunkt om at netteier må lagre alle trafikk- og lokasjonsdata generert i eget nett og behandle og utlevere slike data ifm basestasjonsøk, forutsetter Telenor at tilsynet avklarer med Datatilsynet at et slikt pålegg ikke medfører at netteier må kunne håndheve innsynsretten til disse dataene for kunder av andre lagringspliktige tilbydere. Det må stadfestes at innsynsrett til trafikk- og lokasjonsdata kun skal ivaretas av kundens egen tjenestetilbyder. PT henviser i 2-1 andre ledd ikke til 2-3 første ledd nr 7 og 8. Dette innebærer at politiet ikke kan gjennomføre søk basert på IMEI like effektivt som ved basestasjonsøk (de kan ikke henvende seg bare til netteierne). Dersom netteierne kunne lagre både IMEI og IMSI når de har denne informasjonen, vil det kunne både forenkle IMEI-søk og også lette det videre arbeidet med å finne ut hvilken tilbyder som eier abonnenten. I 2-1 tredje ledd, beskrives ytterligere data som tilbyder av landmobile offentlige elektroniske kommunikasjonsnett skal lagre vedrørende andre tilbyderes abonnenter. PT henviser her ikke til 2-5 første ledd nr 4, noe som Telenor mener er nødvendig for at denne lagringen skal gi mening. 2-2 Fasttelefontjeneste I 2-2 første ledd nr 2, henvises det til telefonnummer til den som blir anropt (B-nummer) (vår understreking). I direktivet henvises det imidlertid til the number(s) dialled (the telephone number(s) called) for å inkludere en samtale satt opp med flere B-abonnenter. Det må avklares om dette er en bevisst innskrenking ift direktivet. I 2-2 første ledd nr 4, henvises det til at abonnentens og den registrerte brukerens navn og adresse (vår understeking) skal lagres. Direktivet fastlegger at det er abonnentens eller den registrerte brukerens navn og adresse som skal lagres. Telenor vil her bemerke at abonnenten (eller mer presist: juridisk eier) alltid er registrert i våre systemer, mens bruker er registrert der abonnenten eller brukeren ønsker det. Kvaliteten på hva som er oppgitt av 14

brukerinformasjon kan derfor være varierende. Selv om Telenor prinsipielt mener at PT bør følge direktivet i de norske kravene, ser vi fordelene med at det i denne sammenheng lagres både abonnentens og den registrerte brukerens navn og adresse for å gjøre informasjonen mer fullstendig der bruker ikke er riktig registrert. Hemmelig nummer vil også bli lagret i denne sammenheng. Det er uklart hva som skal utleveres til en Telenor-abonnent/bruker ifm krav om innsynsrett i egne data. For anrop til abonnenten/brukeren fra andre tilbyderes nett der A-nummeret er et hemmelig nummer, vil Telenor registrere samtalen og A-nummeret sammen med abonnentens nummer (dvs B- nummer), men vi vil ikke vite eller ha registrert at A-nummeret er et hemmelig nummer. Skal Telenors abonnent/bruker alltid få utlevert A-nummeret ved innsyn uavhengig om det er et hemmelig nummer? Hvis ikke må konsekvensen være at ingen A-nummer utleveres i slike tilfeller. Tilsvarende problemstilling gjelder for alle lagringspliktige tilbydere. I 2-2 første ledd nr 6, henvises det til at den telefontjeneste som benyttes skal lagres. PT bør avklare nærmere hvilke telefontjenester som her skal kunne inngå. 2-3 Mobiltelefontjeneste I 2-3 første ledd nr 2, henvises det til telefonnummer til den som blir anropt (B-nummer) (vår understreking). I direktivet henvises det imidlertid til the number(s) dialled (the telephone number(s) called) for å inkludere en samtale satt opp med flere B-abonnenter. Det må avklares om dette er en bevisst innskrenking ift direktivet. Telenor antar at kortnummer ikke skal lagres. Dette bør imidlertid avklares. Det vil i tillegg være grensetilfeller der nummer blir konvertert flere ganger i nettet. Telenor vil med dette sette søkelyset på at det kan være forholdsvis komplekse løsninger for enkelte kunder tilknyttet f eks Mobil Bedrift-løsninger eller MOVE der f eks innringer (A-nummer) kan slå et kortnummer som blir konvertert til et 8-sifret felles B-nummer som igjen har mulighet for å besvare anropet på både mobil-, fast- eller IP-telefon/PC. Hvilket nummer som skal lagres i slike tilfeller, må avklares. I 2-3 første ledd nr 4, henvises det til at abonnentens og den registrerte brukerens navn og adresse (vår understeking) skal lagres. Direktivet fastlegger at det er abonnentens eller den registrerte brukerens navn og adresse som skal lagres. Se Telenors kommentarer til 2-2 første ledd nr 4. I 2-3 første ledd nr 6, henvises det til at den telefontjeneste som benyttes skal lagres. PT bør avklare nærmere hvilke telefontjenester som her skal kunne inngå. I 2-3 første ledd nr 9, henvises det til lagring av visse data vedrørende forhåndsbetalte anonyme tjenester. Som beskrevet i våre kommentarer til høringsnotatet kapittel 4.3.3, foreslår Telenor at dette leddet ikke blir tatt med i forskriften fordi slike abonnement ikke selges i Norge. I 2-3 første ledd nr 10, henvises det til lagring av lokaliseringskoden (celleidentiteten) ved kommunikasjonens begynnelse og slutt. Som beskrevet i våre kommentarer til høringsnotatet kapittel 4.3.9, mener Telenor det er viktig at forskriften er avstemt med direktivet på dette punkt slik at de samme premissene stilles til mobiloperatører og tjenesteleverandører i Norge som ellers i Europa. Av denne grunn bør kravet om lagring av celleidentiteten ved mobilsamtalens slutt tas ut av forskriften. 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding