Høringsmøte DLD konsesjon 27. januar 2012 Introduksjon
Kort historikk Drøftelser om datalagringsdirektivet Vedtaket i Stortinget - innstilling Oppdragsbrev fra justisdepartementet til andre departementer Oppdragsbrev fra departementer til tilsyn/direktorat Samarbeidet mellom PT og DT De to regelsettet 27.01.2012 Side 2
Organisering av tilsyn og annen oppfølging To tilsynsmyndigheter Samarbeidsavtale Forventninger fra Stortinget hva gjelder tilsyn Datatilsynets planer hva gjelder tilsyn Tilsyn etter to regimer 27.01.2012 Side 3
Økonomiske og administrative forhold Ikke uttømmende behandlet i stortingsproposisjon Føringer gitt i forbindelse med Stortingets behandling Datatilsynet har laget forslag til kostnadsberegningsmodell, men har ikke offisielt tallfestet kostnader Kostnadsfordelingsutvalget Inviterer til innspill/dialog 27.01.2012 Side 4
Rettslige utgangspunkt Ekomloven 2-7a Personopplysningsloven 5 Forholdet til andre lover Bestemmelsene i loven gjelder for behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten. 27.01.2012 Side 5
Aktuelle rettigheter etter personopplysningsloven - retten til å bli informert, lovens 20 - retten til innsyn i egne opplysninger, lovens 18 27.01.2012 Side 6
Hva bør reguleres i konsesjon: slå fast grunnleggende personvernrettigheter krav om lukket lagring krav om kryptering og krypteringsgrad fysisk og elektronisk sikring av lagringsmediet nærmere regulering av den registrertes innsynsrett 27.01.2012 Side 7
Alternative modeller for håndtering av innsynsbegjæringer A. Utlevering fra ekomtilbyder og dekryptering av data hos relevant myndighet B. Innsynsbegjæringer håndteres av den enkelte ekomtilbyder C. Det etableres en uhildet enhet (tredjepart) som håndterer innsynsbegjæringer 27.01.2012 Side 8
ETSI TR 102 661 27.01.2012 Side 9
Functional architecture for the secure DR operation 27.01.2012 Side 10
Protection of retained data 27.01.2012 Side 11
ETSI-løsning Det tas utgangspunkt i et lagringspliktig dataelement som beskrevet ovenfor Det skal bli brukt symmetriske tilfeldig genererte nøkler for dataelement Disse skal krypteres med asymmetriske RSA-nøkler (offentlige/private) for mottak hos relevant myndighet Innholdsfortegnelse lages via en hash før lagring Søkeopplysninger fra relevant myndighet hashes på samme måte og søket gjøres i hashet innholdsfortegnelse Ved treff sendes krypterte data til relevant myndighet Relevant myndighet benytter sin private nøkkel eller nøkler for dekryptering av dataelement 27.01.2012 Side 12
Løsningens fordeler for personvernet All lagring av lagringspliktige data vil være beskyttet (kryptert) Det vil ikke være mulig for uvedkommende å lese/benytte lagringspliktige data Denne krypteringsløsningen vil gjøre det enklere og sikrere å også benytte 3. parter for lagring, spesielt for små pliktsubjekter Det vil kun være mulig for politiet eller annen relevant myndighet å dekryptere lagringspliktige data Søk i hashede innholdsdata vil medføre at treff bekreftes. Bekreftede treff kan utleveres Det vil være enkelt å sende over beskyttede data fra ekomtilbyder til relevant myndighet, siden data allerede er beskyttet. 27.01.2012 Side 13
Felles format for overlevering av lagringspliktige data Fakturering i forhold til forbruk: Fastnettelefoni, mobiltelefoni, telefoni via internett Ulik faktureringsløsning: Internetttilgang, epost 27.01.2012 Side 14
Integritetsbeskyttelse Svenske Antipiratbyråets sak Tingrättens dom ble opphevet av Svea Hovrett. Mangel på standardisering av data. Ikke verifiserbare tidssoner Skjermdump ble fremlagt uten dato og tidspunkt Umulig å entydig knytte IP-adresse til en viss bruker. Det var flere feilkilder som kunne lede til en uriktig fastslåing av identitet. Det er derfor viktig at man håndterer lagringspliktige data systematisk og umiddelbart via metoder som sikrer dataenes integritet for bruk i eventuelle rettssaker. 27.01.2012 Side 15