Direktiv 2006/24 EF Plan om regelverk, konsesjonsplikt, sikkerhetstiltak og tilsyn Datatilsynet, 15. november 2011 1
Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no Telefon: 22 39 69 00 2
0 INNHOLDSFORTEGNELSE Sammendrag... 5 1 Innledning... 6 2 Implementering av datalagringsdirektivet... 7 2.1 Direktivets virkeområde... 7 2.1.1 Hvilke virksomheter omfattes av lagringsplikten?... 7 2.1.2 Tilbydere av offentlige kommunikasjonstjeneste... 7 2.1.3 Geografisk virkeområde... 8 2.1.4 Kort om hvilke opplysninger som omfattes av lagringsplikten... 8 3 Gjeldende rettslig regulering og behov for justeringer... 9 3.1 Dagens regulering... 9 3.2 Hva blir nytt?... 9 3.3 Behov for justering av eksisterende regelverk... 10 4 Lagring av trafikkdata... 11 4.1 Skillet mellom trafikkdata og opplysninger om innhold... 11 4.2 Hvor kan opplysningene lagres?... 11 5 Rettigheter etter personopplysningsloven... 12 5.1 Retten til innsyn i egne opplysninger... 12 5.2 Retten til å kreve retting... 13 5.3 Retten til å bli informert... 13 6 Sikring av lagringspliktige data, utlevering og sletting... 13 6.1 Særlig om integritetsbeskyttelse... 14 6.2 Direktivets krav til sikkerhet... 14 6.3 Føringer fra Stortingsbehandlingen med hensyn til sikkerhet... 15 6.4 Presisering fra EUs ekspertgruppe... 16 6.5 Tilbydere av lagringstjenester... 17 6.6 lagringsmåte... 17 6.7 Informasjon om sikkerhet og kryptering gitt i ETSI TR 102661... 17 6.8 Datatilsynets vurdering... 18 6.8.1 Utlevering... 20 6.8.2 Tiltak... 20 3
6.9 Beslutningselementer fra dette kapittel... 21 7 Tilsyn og annen oppfølging... 21 7.1 Om deling av tilsynsansvaret... 21 7.2 De to tilsynsmyndigheter... 21 7.2.1 Drøftelser om ansvarsområde... 22 7.3 Forventninger hva gjelder tilsyn... 22 7.4 Samordning av tilsyn... 23 7.4.1 Samarbeidsavtale... 23 7.4.2 Gjennomføring av tilsyn... 23 7.4.3 Internasjonal forvaltning... 24 7.5 Hva Datatilsynet bør føre tilsyn med... 24 7.5.1 Tilsyn etter to regimer... 25 7.5.2 Tilsynsmetodikk... 25 7.6 Beslutningselementer fra dette kapittel... 26 8 Økonomiske og administrative forhold... 26 8.1 Utforming av konsesjonssøknad... 27 8.1.1 Forbredelsene og utforming av søknad... 27 8.2 Sikringstiltak... 27 8.2.1 Bør krav om kryptering etter ETSI standarden gjelde alle lagringspliktige virksomheter?... 28 8.2.2 Hva kan kostnadene estimeres til?... 28 8.2.3 Initialkostnader... 28 8.2.4 Driftsfase... 29 8.3 Er kostnadene forholdsmessig?... 29 8.4 Beslutningselementer fra dette kapittel... 29 9 Fremdrift i arbeidet... 30 9.1 Beslutningselementer fra dette kapittel... 31 10 Kilder... 32 11 Vedlegg 1 kostnadsområder... 33 11.1 Initielle kostnader... 33 11.2 Driftskostnader... 34 4
SAMMENDRAG Den 4. april 2011 vedtok Stortinget at direktiv 2006/24 EF (datalagringsdirektivet) skulle implementeres i norsk rett. Implementeringen blir gjennomført ved justeringer i eksisterende regelverk, primært ved justeringer i lov om elektronisk kommunikasjon og rettspleielovene. Endringen innebærer at tilbydere av offentlig kommunikasjonstjenester blir pliktig til å lagre såkalte trafikkdata. Normalt vil trafikkdata inneholde informasjon om hvem som er i kontakt med hvem, når kommunikasjon skjedde, hvor de kommuniserende befant seg og hvilket utstyr som ble benyttet. Det foreligger allerede et dokument som drøfter de økonomiske og administrative konsekvenser for Datatilsynet som følge av det nye regelverket. I herværende dokument trekkes imidlertid problemstillinger opp i et bredere og regulatorisk perspektiv, drøfter disse og gir et beslutningsgrunnlag for tilsynets ledelse. Videre vil dokumentet kunne tjene som støtte for tilsynets eget personell i forbindelse med pågående drøftninger med departementer, andre myndighet og sektor. Det nye regelverket innebærer at Datatilsynet må utarbeide nye konsesjoner for lagringspliktige virksomheter. Disse kommer i tillegg til de eksisterende som er avgrenset til virksomheter som tilbyr fast- og mobiltelefoni. Det nye lagringsregimet strekker seg utover det. Nye aktører som sannsynligvis blir omfattet av en ny konsesjonsplikt vil være offentlige tilbydere av Internett og e-post. Det er Post- og teletilsynet som endelig vil fastsette hvilke virksomheter som er lagringspliktige. I dokumentet drøftes en rekke detaljer omkring lagring av data, både i forhold til hvem som berøres, hva som omfattes, geografisk sted for lagring og krav til sikring av lagringspliktige data. Flere av disse detaljene vil reguleres i Post- og teletilsynets regelverk. Det er likevel viktig at tilsynet har oppfatninger om foretrukket løsning ut fra et personvernperspektiv (ombudsrollen). I de bilaterale drøftelsene vil Datatilsynet kunne gi uttrykk for synspunkter innenfor beslutningen som Stortinget har foretatt, for å sikre at et best mulig personvern blir ivaretatt. Hva gjelder krav til sikring av lagringspliktige data, har Datatilsynet tatt utgangspunkt i Stortingets føringer om såkalt lukket lagring, krav om kryptering og henvisning til internasjonale standarder. Datatilsynet har sett hen til standarder eller tilsvarende utarbeidet av standardiseringsorganisasjonen for telekommunikasjonssektoren (ETSI). Datatilsynet mener at føringene i Stortingets innstilling 275L (2010/2011) klart peker i en slik retning. Stortinget har besluttet å videreføre et delt tilsynsansvar mellom Post- og teletilsynet og Datatilsynet. Det innebærer behov for en tett samordning av myndighetenes aktiviteter. Dokumentet peker på behovet for å oppdatere eksisterende samarbeidsavtale. Datatilsynet og Post- og teletilsynet har hatt et godt og tett samarbeid for å følge opp Stortingets vedtak. Det har vært bilaterale drøftelser mellom etatene, men også samarbeid om dialog med berørt sektor. Dette har vært en viktig faktor for å sikre en helhetlig drøftelse av aktuelle problemstillinger. Datatilsynets forvaltningsmessige hovedmandat etter ikrafttredelse av det nye regelverket, vil være å gi konsesjoner med vilkår til lagringspliktige virksomheter samt føre tilsyn med etterlevelse av disse. Selv om Datatilsynet allerede i dag fører tilsyn med de samme objektene, vil implementeringen av direktivets krav innebære forventninger om en langt tettere oppfølging av virksomheter innen berørt sektor. Stortingen skriver i forbindelse med sin behandling om behovet for en betydelig økning av Datatilsynets tilsynsvirksomhet mot de berørte virksomhetene. I dokumentet skisseres en overordnet plan for innfasing av ulike virkemidler, med spesiell vekt på tilsynsvirksomhet. Det foreslås en myk opptrapping av håndhevelse, kort tid etter regelverkets ikrafttredelse. 5
1 INNLEDNING Datalagringsdirektivet er et kortnavn på EU-direktiv 2006/24/EF om lagring av såkalte trafikkdata. Slike data oppstår gjennom bruk av moderne telekommunikasjonsprodukter. Direktivet ble vedtatt av EU i 2006, blant annet påvirket av terrorangrepene i New York den 11. september 2001, i Madrid den 11. mars 2004 og i London den 7. juli 2005. Direktivets påbud om datalagring begrunnes med at de lagrede opplysningene kan benyttes til å bekjempe alvorlig kriminalitet. Den 4. april 2011 vedtok Stortinget at direktivet skal implementeres i norsk rett. Vedtaket kom etter en lengre politisk debatt, hvor de to partiene Høyre og Arbeiderpartiet til slutt dannet nødvendig flertall. Beslutningen i Stortingen skal nå implementeres, som innebærer behov for uttømmende regulering. Post- og teletilsynet planlegger å gjøre dette i form av justeringer i forskrifter til lov om elektronisk kommunikasjon, mens det for Datatilsynets del primært vil skje ved utstedelse av nye konsesjoner ovenfor berørte aktører. Det samlede antall virksomheter som omfattes av konsesjonsplikt vil øke. Årsaken til det er at de tradisjonelle konsesjonene innen sektoren har vært avgrenset til fast- og mobiltelefontilbydere. I det nye regimet vil også tilbydere av internettilgang, IP-telefoni og visse former for e-post kunne omfattes. Tradisjonelt har det vært et delt tilsynsansvar mellom Post- og teletilsynet og Datatilsynet hva gjelder telekommunikasjonssektoren. Stortinget har besluttet videreføring av dette delte tilsynsansvaret. Det innebærer behov for samordning av aktiviteter også innenfor det nye regelverket. Datatilsynet har hatt et godt samarbeid med Post- og teletilsynet i mange år. Drøftelser har vært gjennomført når det har vært nødvendig, enkeltsaker har vært løst på en konstruktiv måte og det har vært løpende kontakt både på ledelsesnivå og saksbehandlernivå. Det nye regelverket krever imidlertid etter Datatilsynets vurdering enda tettere samordning av aktivitetene mot berørt bransje. Det nye regelverket innebærer utvidede arbeidsoppgaver for begge etatene. Datatilsynet har i tillegg fått føringer fra lovgivers side som på mange måter er nytt for tilsynet. Selv om etaten allerede i dag fører tilsyn med de samme objektene, vil implementeringen av direktivets krav innebære forventninger om en langt tettere oppfølging av pliktsubjektene. Stortinget skriver under sin behandling en forventning om en betydelig økning av Datatilsynets tilsynsvirksomhet mot de berørte virksomhetene. Formålet med dette dokumentet er å gi en helhetlig vurdering av hva implementeringen av direktivet innebærer for Datatilsynet, dets regulering og håndhevelse ovenfor telekommunikasjonstilbyderne. Videre drøfter dokumentet grenseflaten mot Post- og teletilsynet, organisering av tilsynsvirksomheten og krav til sikring av lagringspliktige data. Det er en forventning fra flere hold om at når lagring av omtalte trafikkdata først skal skje, så skal dette skje på en sikker og forsvarlig måte. Datatilsynet har fått ansvar for å fylle denne relativt vage formuleringen med et innhold. Datatilsynet har to roller i anledning denne saken, den ene går på rollen som regulator og myndighet, den andre som ombud for personvernet. Hva gjelder sistnevnte rolle, så omfatter denne ikke lenger spørsmålet om direktivet skal implementeres, men hvordan beslutningen best kan gjennomføres. Datatilsynet vil selvsagt fortsatt være opptatt av godt personvern innenfor de rammer Stortinget har bestemt. Som ombud for personvernet har Datatilsynet i beslutningsprosessen gitt uttrykk for sine motforestillinger i forhold til innføring av direktivet i norsk rett. Tilsynet tar imidlertid Stortingets vedtak til etterretning og setter nå fokuset på å få implementeringen på plass. Dette vil skje i en tett dialog med departement, Post- og teletilsynet samt berørte bransjer. Gjennomføring av direktivet må skje på en måte hvor hensynet til borgerens personvern balanseres mot hensynet til at markedsaktørene skal ha betingelser det er mulig å etterleve. 6
2 IMPLEMENTERING AV DATALAGRINGSDIREKTIVET I dette kapittel drøftes de juridiske implikasjoner ved implementering av direktivet. Det redegjøres kort for hvilke virksomheter som vil være lagringspliktige, opplysningene som skal lagres og geografisk virkeområde. Flere av de nevnte forhold vil reguleres av Post- og teletilsynet. Datatilsynet ønsker imidlertid å gjøre en egen kvalifisert vurdering av egen posisjon i forhold til de omtalte tema. 2.1 DIREKTIVETS VIRKEOMRÅDE 2.1.1 HVILKE VIRKSOMHETER OMFATTES AV LAGRINGSPLIKTEN? Hvilke virksomheter som pålegges å lagre trafikkopplysninger er i direktivet definert som providers of publicly available electronic communications services or of a public communications network. I ekomloven 2-7a første ledd defineres pliktsubjektene som Tilbyder av elektronisk kommunikasjonsnett som anvendes til offentlig elektronisk kommunikasjonstjeneste og tilbyder av slik tjeneste. Ordlyden i både direktivet og ekomloven synes altså klart å trekke i retning av at både tilbydere av kommunikasjonstjenester og kommunikasjonsnett vil ha en plikt til å lagre opplysninger. I kapittel 7 i Prop. 49 L (2010 2011) tar Justisdepartementet til orde for at det er mest hensiktsmessig å legge ekomlovens definisjon av tilbyder av offentlig elektronisk kommunikasjonstjeneste eller offentlig elektronisk kommunikasjonsnett til grunn når det skal avgjøres hvem som skal omfattes av lagringsplikten. Pliktsubjektene skal altså være de samme aktører som i dag omfattes av ekomregelverket for øvrig. Det synes opplagt at både tilbydere av teletjenester og nettverksoperatører kan pålegges å lagre de relevante data. Datatilsynet tilrår at det legges stor vekt på at det etableres klare ansvarsforhold og at det legges til rette for praktiske ordninger som bidrar til å sikre direktivets formål og som ivaretar hensynet til et best mulig personvern. I avtalen mellom Høyre og Arbeiderpartiet, som inngår som et element i Stortingets vedtak om å innføre Datalagringsdirektivet i norsk rett, sies det klart at det er ekomtilbyderne selv som skal ha ansvaret for lagringen. Personvern- og sikkerhetsmessige hensyn taler også for at det ikke opprettes en sentral lagringsløsning. I Norge benyttes det tre nettverk for mobiltelefoni som eies og driftes av henholdsvis Telenor, Netcom og Network Norway. Alle de øvrige offentlige tilbyderne av mobile teletjenester benytter seg av disse nettverkene. Opplysninger om de mobile enhetenes lokasjon registreres av eieren av de nærmeste basestasjonene. Tilbyderne av teletjenester er imidlertid ikke avhengige av lokasjonsopplysninger, all den tid de ikke er nødvendige for deres driftsformål. Nettverksoperatørene, som sørger for at nettverkene fungerer er på sin side midlertidig avhengige av disse opplysningene for å drifte sine nett. Datatilsynet er opptatt av å komme frem til løsninger som innebærer at samme opplysninger ikke blir lagret flere steder (dobbeltlagring). At dobbeltlagring skal unngås fremkommer av punkt 13 i fortalen til datalagringsdirektivet der det slås fast at data should be retained in such a way as to avoid their being retained more than once. Hvis nettverksoperatørene står for lagringen av lokasjonsopplysningene mens tjenesteleverandørene får ansvaret for å registrere og lagre de øvrige opplysningene direktivet omfatter, unngår man dette. En slik modell vil samsvare med hvilke behov for opplysninger virksomhetene allerede har. 2.1.2 TILBYDERE AV OFFENTLIGE KOMMUNIKASJONSTJENESTE En naturlig forståelse av begrepet offentlig elektronisk kommunikasjonstjeneste inkluderer kommersielle aktører som tilbyr sine tjenester på det åpne markedet og utelukker lukkede nettverk som eksempelvis tilbys 7
på læresteder, større institusjoner, borettslag eller hoteller. Slike aktører faller, etter det Datatilsynet erfarer, heller ikke inn under virkeområdet til ekomlovens øvrige bestemmelser. Etter Datatilsynets vurdering ville det for øvrig vært uheldig og i strid med direktivet om lagringsplikten utvides til å omfatte andre virksomheter enn de som normalt omtales som tele- og internettleverandører. Det bør også i fremtiden være mulig å oppsøke et bibliotek eller en kafé og benytte seg av det trådløse nettverket som tilbys der, uten at man på forhånd må legitimere seg og bli registrert som bruker. At det i ekomloven vises til offentlig tilbyder legges det til grunn at private infrastruktureiere, eksempelvis en studentsamskipnad, ikke er omfattet. Datatilsynet er kjent med at det i Danmark er innført en plikt for hoteller til å registrere brukerne av hotellets nettverk. Tilsynet ville imidlertid stilt seg kritisk til at det innføres tilsvarende krav i Norge. At man gjennom lovgivning skal forsøke å begrense muligheten til å logge seg på Internett uten at man har gitt seg tilkjenne og registreres, vil få store konsekvenser for personvernet og kan etter tilsynets oppfatning ikke sies å være et forholdsmessig tiltak. Når man leser forarbeider til de nye bestemmelsene i ekomregelverket synes det dessuten klart at det er nettopp de tradisjonelle tilbyderne av teletjenester man har hatt i tankene, ikke enhver virksomhet som tilbyr Internett til sine besøkende. Stortinget har besluttet at de lagringspliktige virksomhetene må ha konsesjon fra Datatilsynet. Dette er også et moment som trekker i retning av at det er tilbydere av tele- og internettjenester i tradisjonell forstand lovgiver hadde i tankene. 2.1.3 GEOGRAFISK VIRKEOMRÅDE Regelverket som skal gjennomføre direktivet i norsk rett bør kun pålegge virksomheter som er etablert i Norge plikter etter direktivet. Regelverkets nedslagsfelt bør svare til den reelle kontrollmyndighet som norske tilsynsmyndigheter besitter. Det antas på den annen side at hensynet til konkurranse på like vilkår mellom de ulike aktørene i markedet vil tilsi at alle virksomheter som ønsker å tilby tele- og internettjenester i Norge bør være underlagt den samme lagringsplikt. 2.1.4 KORT OM HVILKE OPPLYSNINGER SOM OMFATTES AV LAGRINGSPLIKTEN Hvilke ulike typer opplysninger som lagringsplikten omfatter fremkommer av direktivets artikkel 5. Den uttømmende opplistingen av kategorier er detaljert, og angir nokså presist hva virksomhetene skal pålegges å lagre. Essensen i direktivet er å innhente opplysninger om hvem som har vært i kontakt med hvem. Sted og tidspunkt for kommunikasjonen skal også lagres. Både opplysninger om bruk av fast- og mobiltelefoni, telefoni via internettjenester og SMS, MMS og e-post skal registreres og lagres. I bestemmelsen slås det videre klart fast at direktivet ikke åpner for lagring av data som avslører kommunikasjonens innhold. I Stortingsproposisjonen sies det også at Innhold eller noe som avslører innholdet i kommunikasjonen skal i henhold til direktivet ikke lagres. Dette bør også, etter Datatilsynets vurdering, komme til uttrykk i forskriften som er under utarbeiding. Det er av avgjørende betydning for personvernet at ikke direktivet implementeres på et vis som innebærer at også innholdet i borgernes kommunikasjon lagres. Dette spørsmålet vil berøres nærmere under punkt 4. 8
3 GJELDENDE RETTSLIG REGULERING OG BEHOV FOR JUSTERINGER I dette kapittel redegjøres for eksisterende rettslig regulering innen Datatilsynets forvaltningsområde. Videre drøftes behov for justeringer av eksisterende regelverk og fremsettes forslag til ordlyd i nytt regelverk. 3.1 DAGENS REGULERING I dag registrerer og lagrer tilbyderne trafikk- og lokasjonsdata for å sikre driften av sine nettverk og for å kunne fakturere kundene for faktisk bruk. Denne behandlingen av personopplysninger er delvis regulert av ekomloven med forskrift, personopplysningsloven med forskrift og teletilbydernes konsesjon fra Datatilsynet. I konsesjonen stilles det blant annet konkrete slettekrav. Opplysninger som registreres ut fra faktureringsformål skal slettes etter henholdsvis tre måneder ved månedsvis fakturering og fem måneder ved kvartalsvis fakturering. Personopplysninger som genereres for teknisk å kunne gjennomføre teletrafikken, skal slettes etter at tjenestene er nedkoblet. 3.2 HVA BLIR NYTT? Innføring av Datalagringsdirektivet innebærer at man beveger seg fra en rettstilstand der registrering og lagring av kommunikasjonsdata er basert på en privatrettslig, administrativt begrunnet lagring med relativt strenge krav til sletting, til en statspålagt lagringsplikt for et mer omfattende sett av kommunikasjonsdata. Det følger av Stortingets vedtak at tilbyderne må få innvilget konsesjon fra Datatilsynet til å kunne lagre opplysninger i medhold av Datalagringsdirektivet. Samtidig vil tilbyderne ha en ubetinget lagringsplikt som skal håndheves av Post- og teletilsynet. Tilsynet ser det som hensiktsmessig at de krav som Datatilsynet stiller til lagringen som pålegges gjennom direktivet fastsettes i en egen konsesjon som kommer i tillegg til den eksisterende standardkonsesjonen som tilbyderne må følge i medhold av dagens regleverk. Etter vårt syn er det kravene til virksomhetens internkontrollsystem og etterlevelse av kravene til informasjonssikkerhet som bør reguleres i en konsesjon, og håndheves av Datatilsynet. Regulering av disse temaene krever en detaljgrad og en terminologi som egner seg bedre i en konsesjon enn i en forskrift. Dessuten er det områder der Datatilsynet besitter den fagkunnskap og erfaring som er nødvendig for å utarbeide en hensiktsmessig og effektiv regulering. I konsesjonen vil det kunne stilles helt konkrete krav til eksempelvis: Krypteringsgrad lukket lagring Fysisk og elektronisk sikring av lagringsmediet Nærmere regulering av de registrertes innsynsrett Rutiner for utlevering til politiet (reguleres av PT) Loggføring av oppslag i opplysninger Autorisering av personell Regelmessig gjennomgang av internkontrollsystem Når det gjelder krav til autorisering av personell har Datatilsynet lagt til grunn at det er Post- og teletilsynet som vil sørge for å få på plass den rettslige reguleringen. Arbeidet med regelverket skal imidlertid skje i nært samarbeid med Datatilsynet 1. Krav om innhenting av politiattest for autorisering av personell må uansett hjemles i lov. Datatilsynet har ikke innvendinger mot at det stilles et slikt krav. Hensynet til abonnentenes personvern vil i denne sammenheng veie tyngre enn hensynet til de ansatte som vil ha tilgang til trafikkdata. 1 Det vises til Stortingets forutsetninger i innstilling 275L 2010/2011 9
Når man ser hen til formålet bak direktivet fremstår det som helt avgjørende at man avverger at personer som står i ledtog med kriminelle kan få tilgang til opplysningene og korrumpere disse. Et krav om politiattest antas i det minste å kunne gjøre slike forsøk vanskeligere. For øvrig er Datatilsynet av den oppfatning at reguleringen av lagringsplikten bør nedfelles i lov og forskrift. Dette av hensyn både til pliktsubjektenes rettsikkerhet og de registrertes. En så vidtrekkende regulering av betydningsfulle og omstridte spørsmål bør av demokratiske hensyn underlegges de grundige prosesser som lov- og forskriftsarbeid innebærer. Kravene som stilles til tilbyderne bør primært ikke fremkomme av en konsesjon utformet og vedtatt av et forvaltningsorgan. Imidlertid vil en konsesjon kunne inneholde avklaringer og presiseringer av krav og rettigheter som nedfelles i forskriften. 3.3 BEHOV FOR JUSTERING AV EKSISTERENDE REGELVERK I sitt brev av 5. juli 2011 ber FAD Datatilsynet: om å utarbeide forslag til en eller flere bestemmelser som hjemler pålegg om kryptering etter særskilte standarder. Vi ber om at dette arbeidet utføres i dialog og forståelse med Post- og teletilsynet, som fører tilsyn med ekomtilbydernes generelle virksomhet. Vi ber om at forslag til bestemmelse som kan sendes på høring oversendes FAD innen 15. november 2011. FAD har lagt til grunn at eksisterende forskrifter vil kunne være tilstrekkelig hjemmelsgrunnlag for slike sikringstiltak, selv om det ikke spesifikt er angitt at det skal være anledning til å fastsette krav med referanse til anerkjente standarder. Slik Datatilsynet ser det bør dette imidlertid fremkomme entydig av lov eller forskrift. En viktig begrunnelse for det er at mange av pliktsubjektene vil kunne komme til å motsette seg slike krav. De vil kunne hevde at tiltak av denne typen er kostnadsdrivende og forventer solid legalitet omkring slike pålegg. Flere vil trolig vurdere å påklage et konsesjonsvedtak som viser til standarder. Da er det viktig at hjemmelen er entydig fastsatt i lov eller forskrifts form. En nylig fastsatt forskriftstekst vil kunne virke klargjørende i forhold samfunnets forventninger til lagringspliktige virksomheter. De vil forvalte opplysninger som har meget høy beskyttelsesverdi. Datatilsynet foreslår en kort og konsis forskriftstekst, med noe utfyllende veiledningstekst. Etter tilsynets vurdering vil det være tilstrekkelig med et nytt ledd i eksisterende forskriftsbestemmelse 2-2. Denne kan lyde som følger: 2-2 annet ledd: Datatilsynet kan gi pålegg om særskilte sikkerhetstiltak for behandlinger som omfattes av konsesjonsplikten etter personopplysningslovens 33. Slike pålegg skal baseres på internasjonalt anerkjente standarder, tekniske rapporter eller tilsvarende dersom dette foreligger. Kommentar til forskriften: Bestemmelsen innebærer at Datatilsynet kan kreve at en konsesjonspliktig behandling skal sikres i samsvar med prinsipper nedtegnet i en nærmere angitt internasjonal anerkjent standard eller teknisk rapport. Formuleringen i samsvar med prinsipper innebærer at standarden kan fravikes, men at den behandlingsansvarlige da må sørge for å sikre personopplysningene tilsvarende eller bedre. Ved avvik fra kravene i de relevante standarder må den behandlingsansvarlige kunne dokumentere at tilsvarende sikkerhetsnivå er oppnådd. Bestemmelsen er særlig aktuell ved sikring av lagringspliktige trafikkdata i henhold til lov om elektronisk kommunikasjon. 10
Etter Datatilsynets oppfatning bør Stortingets formuleringer om at..datatilsynet skal vurdere behov for være en underbygging av behov for forskriftsteksten. Formuleringen innebærer i seg selv ikke pålegg om sikring etter en bestemt standard, men en utvetydig hjemmel til å kunne fastsette en referanse til standarder eller andre tilsvarende dokumenter. Uavhengig av Stortingets føringer har Datatilsynet på eget initiativ vurdert forholdsmessigheten med referanse til den såkalte ETSI TR 102 661. Det er foretatt tekniske vurderinger i kapittel 6 og tilsvarende vurdering av økonomiske og administrative forhold i kapittel 8. 4 LAGRING AV TRAFIKKDATA I dette kapittel drøftes skillet mellom trafikkdata og innholdsdata. Videre omtales geografisk lagringssted for data og hvilke implikasjoner dette kan ha for personvernet til brukere av norske kommunikasjonstjenester. 4.1 SKILLET MELLOM TRAFIKKDATA OG OPPLYSNINGER OM INNHOLD Lagringsplikten gjelder trafikkdata, ikke innholdsdata. Det vil ikke være tillatt å lagre kommunikasjonens innhold. Det er åpenbart at lagring av kommunikasjonens innhold ville innebære en betydelig større krenkelse av borgerens frihet og personvern, enn ved lagring av rene trafikkdata. Kontroll av innholdet i kommunikasjon (kommunikasjonskontroll) krever spesielle hjemler og spesielle anledninger. Annen praksis vil være uforenelig med tanken om et fritt og demokratisk samfunn. Det er også bakgrunnen for det ikke var aktuelt å vedta et direktiv som påla en plikt til å lagre kommunikasjonens innhold. Når det er benyttet ulike internettbaserte kommunikasjonstjenester vil det imidlertid ofte være vanskelig å bringe på det rene hvorvidt det er snakk om kommunikasjon mellom to individ, og eventuelt hvem som er i kontakt med hvem, uten at pakkene med informasjon åpnes. Eksempel på teknologi som benyttes i slike sammenhenger er for eksempel DPI (Deep Packet Inspection). Fordi det kan være vanskelig å skille trafikkdata fra innhold ved bruk av visse former for IP-basert kommunikasjon, kan det være fare for at deler av den informasjonen som kommunikasjonen består av blir lagret. Det vil imidlertid være brudd på gitte forutsetninger og må bestemt unngås. Datatilsynet vil måtte ha fokus på sistnevnte problemstilling i forbindelse med sin tilsynsvirksomhet. 4.2 HVOR KAN OPPLYSNINGENE LAGRES? Gjeldende regelverk er ikke til hinder for at opplysningene som direktivet omfatter lagres utenfor landets grenser. Personverndirektivet legger opp til at personopplysninger skal kunne flyte uhindret av landegrenser innenfor EØS-området. Denne hovedregelen vil i utgangspunktet også gjelde for data som lagres i medhold av datalagringsdirektivet. Like fullt kan sikkerhetspolitiske aspekter formodentlig tale for at en så omfattende kilde til detaljert informasjon om norske borgere bør innebære lagring i Norge og under norske myndigheters kontroll. Det antas imidlertid at eventuelle pålegg om at lagring må skje i Norge vil være i strid med våre internasjonale forpliktelser etter EØS-avtalen. Dette med mindre de kan sies å være nødvendige for å ivareta hensynet til nasjonal sikkerhet eller andre formål som nevnes i personverndirektivets artikkel 13 første ledd. Datatilsynet er ikke rette instans til å foreta denne avveiningen, men vil i denne sammenheng uansett advare mot at det åpnes for at de aktuelle data flyttes utenfor EØS-området. Det vil innebære en stor risiko dersom en 11
så omfattende og detaljert mengde opplysninger overføres til stater som ikke kan garantere for registrertes personvern. Selv om det aktuelle mottakerlandet har et tilfredsstillende regelverk for ivaretakelse av personvernet i dag, eller det inngås privatrettslige kontrakter som skal beskytte opplysningene, vil opplysningene uansett ikke lenger være underlagt en tilfredsstillende kontroll. Private virksomheter kan komme på nye hender, politiske omveltninger og andre omfattende samfunnsendringer kan skje raskt. Av den grunn bør opplysningene som minst standard til enhver tid underlegges det europeiske personverndirektivets virkeområde. All den tid opplysningene lagres for å kunne benyttes i etterforskningsøyemed tilsier rettssikkerhetshensyn meget strenge krav til datakvalitet. Opplysninger av denne typen bør heller ikke være tilgjengelige for fremmede etterretningstjenester, noe som kan være en fare om opplysningene flyttes innen en annen jurisdiksjon. Det finnes videre mangelfull oversikt over om fremmede etterretningstjenester er underlagt tilstrekkelig demokratisk kontroll. Dersom data blir lagret i et annet EØS-land forutsetter Datatilsynet at de norske kravene til eksempelvis slettefrister som skal legges til grunn, ikke regelverket i det land opplysningene deponeres. Videre vil lagring i øvrige medlemsland kreve et utstrakt samarbeid mellom norske tilsynsmyndigheter og tilsynsmyndigheter i de land dataene befinner seg. I kapittel 5 kommer tilsynet tilbake til sistnevnte problemstilling, når informasjonsplikten til telekom virksomhetene omtales. 5 RETTIGHETER ETTER PERSONOPPLYSNINGSLOVEN Det europeiske personverndirektivet (95/46/EF) oppstiller rettigheter som skal sikre den registrertes grunnleggende rett til et personvern. Disse rettighetene er videre nedfelt i personopplysningsloven og vil kunne gjøres gjeldende også overfor tilbyderne av kommunikasjonstjenester. I det følgene vil det bli knyttet noen kommentarer til de mest sentrale rettigheter regelverket gir de registrerte. 5.1 RETTEN TIL INNSYN I EGNE OPPLYSNINGER Retten til å kunne gjøre seg kjent med hvilke opplysninger som behandles om en selv, herunder det konkrete innholdet i disse opplysningene, er en helt grunnleggende bestanddel i personvernet og er også helt avgjørende for at den enkelte skal kunne ivareta sine rettigheter. Dette gjelder rettigheter som følger av personvernregelverket for øvrig, men også eventuelle rettigheter etter annet regelverk. For å kunne imøtekomme en mistanke er man eksempelvis avhengig av å vite hvilke opplysninger mistanken grunner på. Retten til innsyn har også stor betydning i et videre perspektiv fordi den bidrar til å opprettholde en balanse mellom de registrerte og den behandlingsansvarlige. I denne sammenheng vil altså innsynretten medføre at maktforholdet mellom borgerne og myndighetene ikke forrykkes mer enn nødvendig. Det må etableres ordninger for hvordan den registrerte skal kunne få innsyn i egne trafikkdata som både er praktisk håndterbare for virksomhetene og tilstrekkelig brukervennlige, slik at terskelen for å få innsyn ikke blir for høy eller innebærer for mye plunder og heft for den registrerte. Samtidig må ordningene som etableres ivareta en meget høy grad av sikkerhet for å avverge at trafikkdata kommer på avveie. Datatilsynet vil ikke utelukke at det kan etableres løsninger som gir mulighet for innsyn via Internett. En manuelt betjent ordning vil kunne bli ressurskrevende for tilbyderne og upraktisk for kundene. Det vil imidlertid by på store utfordringer å bygge inn garantier som sikrer at tilbyder vet at man har med rett person å gjøre, før det gis innsyn. 12
Retten til innsyn skaper samtidig utfordringer i forhold til sikkerhetstiltakene. Det vises i denne sammenheng til kapittel 6. 5.2 RETTEN TIL Å KREVE RETTING Personopplysningsloven pålegger den behandlingsansvarlige å sørge for at opplysningene som behandles er korrekte. At det stilles strenge krav til opplysningenes kvalitet er helt avgjørende for at innføringen av direktivet skal kunne tjene sitt formål. For at opplysningene skal ha verdi ved etterforskning og straffeforfølgelse av er man avhengig av at det kan festes lit til at opplysningene stemmer og bidrar til å tegne et korrekt bilde. Når formålet med lagringen av personopplysningene er å kunne granske dem for å forebygge og oppklare alvorlig kriminalitet, vil det dessuten kunne få fatale følger for den registrerte hvis opplysninger som registreres ikke er korrekte. Opplysningene må derfor behandles på en måte som oppfyller meget strenge krav til integritet. Personopplysningsloven gir den registrerte adgang til å kreve at uriktige opplysninger rettes. Denne retten vil også gjelde for opplysningene som skal lagres i medhold av datalagringsdirektivet. Det antas imidlertid at så lenge virksomheten kan dokumentere at tilfredsstillende prosedyrer følges ved registrering av opplysningene, vil det være den registrerte som må kunne sannsynliggjøre at opplysningene ikke er riktige og således ha bevisbyrden mot seg. 5.3 RETTEN TIL Å BLI INFORMERT Det følger av hovedregelen i personopplysningsloven at man som registrert har rett til å bli informert når ens egne personopplysninger behandles, herunder om formålet med behandlingen og hvem som er ansvarlig. Det er gjort unntak fra denne retten når behandlingen av opplysningene har en tilstrekkelig eksplisitt hjemmel i lov, noe som vil være tilfellet i denne sammenheng. Datatilsynet vil likevel anbefale at forskriften som nå utarbeides pålegger tilbyderne å informere abonnenter om lagringen av trafikkdata ved inngåelse av avtaler om levering av tele- og internettjenester. Det må gis informasjon om hvordan kunden kan gjøre sine rettigheter gjeldende og hvor personopplysningene rent faktisk vil bli lagret, herunder om bruk av databehandlere og om eventuell overføring av opplysningene til utlandet. Etter Datatilsynets oppfatning kan informasjon om hvilket land lagringspliktige data deponeres være viktig for den registrerte. I slike tilfeller vil forvaltningen av informasjonen avtalereguleres mellom partene, dette uten at norsk regelverk kommer til anvendelse ovenfor den utenlandske aktøren (med mindre denne er etablert i Norge). Avtalen mellom partene er dermed det som avgjør hvor trygt opplysningene behandles. Tilsynet vil ikke utelukke at informasjon av denne type kan være en faktor ved valg av leverandør av kommunikasjonstjenester. Ved bruk av norske databehandlere vil personopplysningslovens regler om forholdmessig sikkerhet også komme til anvendelse ovenfor databehandler, men som nevnt ikke ovenfor en utenlandsk virksomhet (som ikke er etablert i Norge). 6 SIKRING AV LAGRINGSPLIKTIGE DATA, UTLEVERING OG SLETTING I dette kapittel presenteres tekniske aspekter ved sikring av lagringspliktige data. Det redegjøres om hvordan krav til sikring er fremstilt fra Stortingets side, anbefalinger fra EUs ekspertgruppe og hvordan problemstillingen presenteres og behandles i den tekniske rapporten ETSI TR 102 661. Datatilsynet har notert seg Stortingets formuleringer rundt kryptering av data, men vil også på selvstendig initiativ foreta en vurdering av forholdet. 13
Det drøftes også forhold rundt den tekniske rapporten, men det gjøres oppmerksom på supplerende vurdering av økonomiske bærekraft i kapittel 8. Hva gjelder sikring av lagringspliktige data så vil dette måtte vurderes i forhold til følgende tre aspekt: Konfidensialitet, integritet og tilgjengelighet Konfidensialitet dreier seg om å beskytte informasjonen fra uvedkommende. Integritet dreier seg om å verne opplysningene fra uautorisert endring, mens tilgjengelighet dreier seg om å beskytte informasjonen fra å gå tapt eller ikke være tilgjengelig ved behov. Alle disse hensyn er likeverdig og må adresseres ved diskusjon om nødvendige sikkerhetstiltak. 6.1 SÆRLIG OM INTEGRITETSBESKYTTELSE Datatilsynet vil i denne sammenheng trekke integritetsbeskyttelse frem som avgjørende forhold til formålet. Personopplysningene er ment å benyttes som bevis eller spor i straffesaker. Dermed må det stilles strenge krav til informasjonens integritetsbeskyttelse. For å illustrere problemstillingen vil Datatilsynet trekke veksler på en domstolsbehandling i Svea Hovrett 2. I denne saken, som dreide seg om brudd på opphavsretten, oppheves en dom fra tingsrätten på grunn av bevisenes manglende integritet. Saken viser hvordan uklarheter i håndteringen av IP-adresser påvirker bevisets integritet. Retten peker blant annet på at det ikke fremkommer hvordan Svenske Antipiratbyrån har gått frem når de har sikret bevisene. Dette peker i retning av bruk av standardiserte løsninger. Videre fremkom det heller ikke hvilke verifiserbare tidssoner som ble brukt. Skjermdump som ble fremlagt i retten manglet angivelse av dato og tidspunkt. Av ytterligere flere grunner var det, i følge retten, umulig å knytte IP-adressen til en viss bruker. Det var flere feilkilder som kunne lede til en uriktig fastslåing av identitet. Det er derfor viktig at man håndterer lagringspliktige data systematisk og umiddelbart via metoder som sikrer dataenes integritet for bruk i eventuelle rettssaker. 6.2 DIREKTIVETS KRAV TIL SIKKERHET Krav til sikring av lagringspliktige opplysninger er behandlet i direktivets artikkel 7. Her oppstilles følgende krav til databeskyttelse og datasikkerhet: Artikel 7 Databeskyttelse og datasikkerhed Med forbehold af bestemmelser vedtaget i medfør af direktiv 95/46/EF og direktiv 2002/58/EF skal hver medlemsstat sikre, at udbydere af offentligt tilgængelige elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet som et minimum respekterer følgende atasikkerhedsprincipper for data, der lagres i overensstemmelse med nærværende direktiv: a) de lagrede data skal være af samme kvalitet og være omfattet af den samme sikkerhed og beskyttelse som de data, der findes på nettet b) dataene skal være omfattet af de fornødne tekniske og organisatoriske foranstaltninger, så de er beskyttet mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab, mod forringelse, ubeføjet eller ulovlig lagring, behandling, adgang eller udbredelse 2 Svea Hovrett Dom 2006-10-02 Stockholm, Mål nr: B 8799-05 Brott mot upphovsrättslagen. Hovrättens opphevet tingrättens domsbeslutning. 14
c) dataene skal være omfattet af de fornødne tekniske og organisatoriske foranstaltninger, så det sikres, at kun særligt autoriserede personer får adgang til dataene, og d) dataene skal tilintetgøres ved udløbet af lagringstiden, bortset fra data, der har været givet adgang til, og som er blevet gemt. Datalagringsdirektivet etablerer ikke en høyere standard for datasikkerhet enn det som gjøres i personverndirektivet og kommunikasjonsdirektivet. Men en rekke faktorer, herunder beskyttelsesbehov, type data, formål og lagringslengden indikerer høye krav til sikkerhet. Dataene vil kunne avsløre vesentlige opplysninger om en persons privatliv. Følgelig vil det kunne gjøres betydelig skade på personlig integritet dersom disse dataene skulle begynne å lekke eller være tilgjengelig for uautoriserte personer. 6.3 FØRINGER FRA STORTINGSBEHANDLINGEN MED HENSYN TIL SIKKERHET I forbindelse med høringsprosessen kom det inn en rekke synspunkter på behov for å etablere en god sikkerhet for lagringspliktige data. Stortinget foretok i sin behandling også en vurdering av forholdet. I avtalen mellom Arbeiderpartiet og Høyre, som også er inkorporert i innstilling 275L 2010/2011 er det satt følgende krav for sikkerhet: Kryptering og lukket lagring Partene er enige om at kryptering er et godt tiltak for å sikre dataenes konfidensialitet. Partene er enige om at Datatilsynet gis myndighet til å gi pålegg til tilbydere om å foreta kryptering av data som faller under lagringsplikten etter (ny) ekomlov 2-7 a. Omfanget av krypteringen, herunder knyttet både til lagring og forsendelse, fastsettes nærmere av Datatilsynet i det enkelte pålegg. Det skal utarbeides forskriftsbestemmelser for kryptering, som skal tilfredsstille etablerte internasjonale standarder. Partene er enige om at data undergis nødvendig sikring (lukket lagring): Krav om identitetskontroll ved innpassering til de lokaler hvor data lagres. Adgang til de lokaler hvor data lagres og tilgang til data som er omfattet av lagringsplikten gis kun til personell som har tjenstlig behov for adgang og tilgang og har autorisasjon til det. Lagringsmediet og omgivelsene rundt sikres fysisk, slik at uvedkommende ikke får adgang til området uten at det etterlater spor. Lagringsmediet sikres elektronisk ( brannmur mv). Det skal ikke være anledning til eksternt å koble seg til lagringsmediet, dvs. at data ikke kan hentes ut on-line. Enhver forsendelse av lagringspliktige data over landegrensene skal sikres ved at krypteringsteknologi anvendes. Nasjonal sikkerhetsmyndighet gir retningslinjer for hvilken krypteringsgrad som er nødvendig for å ivareta sikkerheten. Det nest siste punktet om at det ikke skal være anledning til eksternt å koble seg til lagringsmediet og at data ikke skal kunne hentes ut on-line har vært noe vanskelig å tolke. Saken har vært drøftet bilateralt mellom de to tilsynsmyndighetene og har også vært drøftet internt i Datatilsynet. Konklusjonen fra denne prosessen er at tilsynet tolker Stortingets beslutning dit hen at Politiet må basere sin uthenting av data basert på en begjæring om utlevering, og at de dermed ikke kan gjøre søk direkte i databasene selv. Forholdet må ses i sammenheng med tilbydernes tilretteleggelsesplikt. 15
Det har videre vært drøftet i hvilken grad nevnte formulering påvirker løsningene rundt innsyn fra registrertes side. I den grad det skulle bli et stort volum på slike forespørsler, vil situasjonen raskt kreve effektive løsninger hvor on-line løsninger kan tvinge seg frem. Datatilsynet har imidlertid lagt til grunn at nevnte formulering er myntet på myndighetens direkte tilgang. I innstilling til Stortinget 275 L 2010-2011 nevnes det en referanse til ETSI TR 102 661, uten at denne tas med i komiteens flertallsbeslutning. Stortingets føringer går dermed på referanse til internasjonale standarder generelt. Datatilsynet må derfor på selvstendig grunnlag vurdere hvilke standarder som er hensiktsmessige. 6.4 PRESISERING FRA EUS EKSPERTGRUPPE Her følger eksempler fra EUs ekspertgruppe 3, som kan gi en indikasjon på data sikkerhetstiltak som kan avhjelpe økt risiko for data innhentet i henhold til direktivet: Dokumenterte spesielle sikkerhetspolicyer som dekker direktivdataene, som definerer ansvar, roller og organisatoriske og tekniske tiltak; Lagringspliktige data skal lagres i et sikkert fysisk miljø; Lagringspliktige data skal oppbevares atskilt fra kommersielle data (eller i det minste, effektiv separasjon mellom de forskjellige sett av data, herunder streng tilgangskontroll); Effektiv sikkerhetskopierings- og gjenopprettingsmekanismer for å sikre systeminnhold; Tekniske tiltak for å hindre uautorisert tilgang til eller endring av lagringspliktige data under overføring eller sikkerhetskopiering, herunder ved bruk av kryptering. Høyt nivå for inntrengingskontroll fra eksterne angrep og begrense tilgangen til kun godkjente autoriserte personer; Automatisert logging av all tilgang til, søk i og annen behandling av lagringspliktige data; Dokumentert instruksjoner til alt autorisert personell på hvordan å unngå sikkerhetsrisikoer og brudd; Klart skille mellom funksjoner og kompetanse for de kategoriene av personer med ansvar for å administrere systemet og de som har fullmakt til å bruke systemet for å avdekke systemfeil; Regelmessig uavhengig revisjon av alle data sikkerhetstiltak. EUs Experts Group on Data Retention har laget en guide for implementering av datalagringsdirektivet, som omfatter behov for standardisering. ETSI/TC LI har utarbeidet en spesifikasjon med overleveringskrav og overleveringsspesifikasjoner for lagringspliktige data. ETSI TS 102 656 omfatter krav for politiets håndtering av lagringspliktige data. ETSI TS 102 657 omhandler overleveringsløsningen for forespørsel og utlevering av lagringspliktige data. Mest relevant for sikring av lagrede opplysninger i henhold til DLD er imidlertid ETSI TR 102 661 som setter rammeverket for sikkerhetsfeltet for kommunikasjonskontroll og lagringspliktige data. Det må bemerkes at en Technical Report (TR) fra ETSI bare i hovedsak inneholder informative elementer, og er godkjent av den tekniske komiteen som skrev den. Derimot vil en ETSI Technical Specification (TS) være et dokument som inneholder normative krav og vil når tid, stadfesting og vedlikehold er viktig, bli godkjent av den tekniske komiteen som skrev den. En ETSI Standard (ES) inneholder normative krav og sendt på godkjenning til ETSI-medlemmer. Dette betyr at ETSI TR 102 661 dermed står noe svakt som dokument, men er etter tilsynets vurdering det eneste relevante dokumentet for nevnte formål. 3 EXPERTS GROUP, "THE PLATFORM FOR ELECTRONIC DATA RETENTION FOR THE INVESTIGATION, DETECTION AND PROSECUTION OF SERIOUS CRIME" ESTABLISHED BY COMMISSION DECISION 2008/324/EC, SERIES A: GUIDANCE DOCUMENTS, Document 7, Closer understanding of the term Data Security in relation to its application in Directive 2006/24/EC, Version of 5 October 2010 approved 11 October 2010. 16
6.5 TILBYDERE AV LAGRINGSTJENESTER Det har dukket opp virksomheter på det europeiske markedet som tilbyr tilpassede lagringstjenester. Disse kan påta seg alt arbeid for pliktsubjektet for å ivareta de krav som stilles for lagring og utlevering. Dette omfatter alle de forskjellige elementene som kreves lagret i henhold til det nye regelverket. Aktørene tilbyr den sikkerhet som oppdragsgiver ønsker, som for eksempel kryptert lagring og rollebasert tilgangskontroll. Datatilsynet er ikke kjent med om noen av disse aktørene opererer på det norske markedet, men antar at i den grad slike tjenester etterspørres, så vil tjenestene også være tilgjengelig for de norske virksomhetene. I slike virksomheters markedsføringsmateriell fremgår det i hvert fall ikke noen informasjon om at tjenestene er avgrenset til visse land. 6.6 LAGRINGSMÅTE I forbindelse med de møtene som Post- og teletilsynet og Datatilsynet har hatt med sentrale aktører som vil få lagringsplikt har det fremkommet visse signaler om ønsket lagringsmåte for lagringspliktige data. Pliktsubjektene, som består av offentlige teletilbydere, ga signaler om at de så for seg lagring av lagringspliktige data i egen database. Det ble også nevnt at det er naturlig at dette skjer fortløpende. Datatilsynet har registrert ovennevnte uttalelser, men legger samtidig til grunn at det kan være høyst ulike synspunkter på nevnte forhold hos ulike tilbydere. Tilsynet må derfor foreta en selvstendig vurdering av forholdet før det stadfestes konsesjonskrav. 6.7 INFORMASJON OM SIKKERHET OG KRYPTERING GITT I ETSI TR 102 661 ETSI TR 102 661 har tittelen: Lawfull Interception (LI); Security framework in Lawful Interception and Retained Data environment. Rapporten setter opp en rekke mål for sikkerhet, slik som sikkerhetspolicy for personell; hendelseshåndtering; fysisk sikkerhet og sikkerhetsmiljø, håndtering av forskjellig lagringsmedia konfidensialitet data- og systemintegritet ikke-benektning tilgang sikker, verifiserbar og tydelig logging sikker sletting Utvikling, vedlikehold og gjenoppretting Som punktene over viser, gir rapporten en bred og helhetlig tilnærming til forsvarlig sikring av data. Den omtaler ikke bare de rent tekniske sikkerhetstiltakene, men adresserer også sikkerhetsadministrasjon. Når det gjelder konfidensialitet beskriver rapporten at sensitive personopplysninger for hver datalagringssesjon i henhold til DLD bør være beskyttet under overføring eller lagring, ved å benytte egnede krypteringsalgoritmer. ETSI rapporten definerer 3 forskjellige dataelementer: 17
Lagrede telekommunikasjonsdata (trafikkdata) Sesjonshåndteringsdata (data opprettet i forbindelse med uthenting) Relaterte loggdata Det er i nevnte rapport anbefalt at disse data blir holdt kryptert under hele deres lagringsperiode på lagringsmediet. Prosedyrer for nøkkelhåndtering, nødvendige for å følge enhver krypteringsprosedyre, må også tas med i beregningen. Hver krypteringsnøkkel skal ha en lagringstid lik den lagringstid som de lagrede krypterte data har. Krypteringsnøkkelen skal så slettes samtidig med de data som er kryptert med den. Fullstendig tekst kan leses i ETSI TR 102 661, spesielt kapittel 5 og 7. 6.8 DATATILSYNETS VURDERING Selv om ETSI TR 102 661 er en teknisk rapport som i hovedsak inneholder informative og ikke normative elementer, anser Datatilsynet at rapportens elementer er relevante og i god harmoni med de krav som stilles i personopplysningslovens 13 om forholdsmessig sikkerhet. Det vises videre til personopplysningsforskriftens kapittel 2 og i sær 2-4 om å dokumentere forholdsmessig sikkerhet. Ved bruk av rapporten og de løsninger som der foreskrives vil lagringspliktige virksomheter lettere kunne underbygge et godt sikkerhetsnivå. Våren 2010 engasjerte Datatilsynet Svein Willassen 4 til å lage en rapport om Datalagringsdirektivet verdi i etterforskning og risikofaktorer for personvern 5. I rapportens punkt 4.5 om Begrensning av leverandørens egen tilgang til lagrede data beskrives fordeler med datakryptering ved bruk av krypteringsnøkler. Her tar Willassen utgangspunkt i ETSI TR 102 661. Det blir vist til at krypteringen og håndteringen av krypteringsnøkler kan benyttes for de lagrede data, både for operatørene selv, samt for eventuelle underleverandører av lagringstjenester. Det vises også til at løsningen kan brukes for utlevering til politiet med bruk av politiets offentlige krypteringsnøkler. Slik kan man både forhindre at operatørene misbruker de lagringspliktige data de selv lagrer, samt at andre enn politiet kan benytte lagringspliktige data oversendt politiet med bruk av politiets krypteringsnøkler. Figur 1 Tilbyders funksjonelle arkitektur for DLD-lagring, hentet fra ETSI TR 102 661 4 Svein Willassen er en uavhengig konsulent med bakgrunn fra blant annet Politiet (spesialetterforsker ved Datakrimteamet i ØKOKRIM), IBAS, Akademia og egen konsulentvirksomhet. 5 http://www.datatilsynet.no/upload/dokumenter/publikasjoner/rapporter/utredning-datatilsynet.pdf 18
ETSI TR 102661 Annex C, om beskyttelse av lagrede data, beskriver hvordan krypteringen kan gjøres. Rapporten benytter betegnelsen RD record om de minste lagringspliktige dataelementene som skal håndteres. Datatilsynet anser at en RD record typisk vil være en CDR (Call Detail Record) med tillagt ekstra lagringspliktige data. Denne beskrivelsen vil være typisk førende for de enkelte lagringspliktige dataelementene som også er aktuelle for for eksempel IP og e-post lagringen. Løsningen beskrevet i anneks C kan oppsummeres slik: Det tas utgangspunkt i et lagringspliktig dataelement som beskrevet ovenfor Det skal bli brukt symmetriske tilfeldig genererte nøkler for dataelement Disse skal krypteres med asymmetriske RSA-nøkler (offentlige/private) for mottak hos politi Innholdsfortegnelse lages via en hash før lagring Søkeopplysninger fra politiet hashes på samme måte og søket gjøres i hashet innholdsfortegnelse Ved treff sendes krypterte data til politiet Politiet benytter sin private nøkkel eller nøkler for dekryptering av dataelement Figur 2 Diagram for krypterings-/dekrypterings-prosess for DLD-lagring, hentet fra ETSI TR 102 661 Denne løsningen vil ha mange fordeler for personvernet. All lagring av lagringspliktige data vil være beskyttet (kryptert) Det vil ikke være mulig for pliktssubjektet (operatøren) å lese/benytte lagringspliktige data Denne krypteringsløsningen vil gjøre det enklere og sikrere å også benytte 3. parter for lagring, spesielt for små pliktsubjekter Det vil kun være mulig for politiet eller annen relevant myndighet å dekryptere lagringspliktige data Søk i hashede innholdsdata vil medføre at treff bekreftes. Bekreftede treff kan utleveres Datalagringsdirektivets artikkel 7 om beskyttelse og sikkerhet, samt artikkel 8 om at data skal kunne fremsettes til kompetente myndigheter uten unødvendig forsinkelse vil dermed være tilfredsstilt. Med beskrevet krypteringsregime for lagringspliktige data fra dag én, vil det ikke foreligge ukrypterte data hos operatør eller hos dennes databehandlere etter dette tidspunktet. Regulering av nevnte forhold vil måtte fremgå av egen konsesjon for lagringspliktige data. 19
Operatørene vil imidlertid ha visse trafikkdata for eget bruk, som vil benyttes som underlag for fakturering. I forhold til sistnevnte behandling, vil det foreligge en egen konsesjon 6. Sikker sletting er beskrevet i ETSI TR 102661 kapittel 7.11. Kapittelet beskriver håndtering av sletting. Det må foretas daglig skanning av innholdsoversikten der dato for lagring blir oppbevart. Alle lagringspliktige data som er eldre enn lagringskravet, må slettes fra lagringsmediene. 6.8.1 UTLEVERING Det vil være en stor fordel for politiet at det er mulig raskt (hos operatøren) å søke igjennom hashede innholdsfortegnelser etter treff. Innholdsfortegnelsene vil gi mulighet for en rask utlevering av krypterte data fra lagringsstedet. Det vil ikke være nødvendig med ytterligere håndtering hos operatør enn å sende de korrekte filer til politiet. Dataelementene vil være kryptert fra den dagen de ble etablert til de eventuelt blir dekryptert av politiet. 6.8.2 TILTAK ETSI TR 102661 brukes som et sentralt grunnlagsdokument. ETSI TR 102661 beskriver krypteringsløsningen som fordres brukt, se spesielt kapittel 7.6 og vedleggene C og D. Dokumentet inneholder også mange andre elementer som er spesialskrevet for håndtering av lagringspliktige data. Problemstillingen har også vært utredet av den svenske Post og telestyrelsens rapport om DLD 7. Post og telestyrelsen har i en rundspørring til de europeiske land spurt om hvilke land som har sikkerhetskrav i henholdt til ETSI TR 102 661. Det er kun noen av de europeiske landene som hittil har gått til det skritt å benytte det aktuelle ETSI-dokumentet. Besvarelsene kan imidlertid preges av at tilstrekkelig regelverk ikke er kommet på plass i mange land. Under behandlingen av saken i Stortinget ble det gjentatte ganger referert til behov for meget strenge sikkerhetstiltak 8. Sikkerhetstiltakene, ble det hevdet fra flere, var nettopp det som kunne bringe tilstrekkelig proporsjonalitet for tiltaket. Uavhengig av hva man måtte mene om sistenevnte, synes det åpenbart at det ligger store forventninger til strenge sikkerhetstiltak ved den norske implementeringen. For å sikre at lagringspliktig data blir tilstrekkelig sikret og ikke kommer på avveie bør det kreves kryptering fra og med de etableres. For å minimalisere mulighetene for avvik, bør krypteringen skje så tidlig som forsvarlig den dagen data produseres. Data bør krypteres før det forlater produsenten av elementet. På denne måten hindres at ukrypterte data kommer på uautoriserte hender. Datatilsynet har foretatt relativ omfattende undersøkelser om det finnes noe godt alternativ til omtalt dokument. Tilsynet har ikke avdekket foreliggende alternativer. 6 Legg merke til at det skrives om to ulike konsesjoner, henholdsvis en for opplysninger som er nødvendig for fakturaformål og en som er nødvendig for lagringspliktige data etter datalagringsdirektivet. 7 Lagring av uppgifter för brottsbekämpning enligt EU-direktiv 2006/24/EG - Internationell utblick m.m. 8 Det vises blant annet til høringsmøte 7. og 9. februar i Stortinget. Hele 23 høringsinstanser var representert. 20