tirsdag 29. mars 2011

Svar fra Justisdepartementet

På Stortinget er nå Ap og Høyre i ferd med å presse gjennom Datalagringsdirektivet i et tempo som jeg i mine ti år som ansatt på Stortinget aldri har sett maken til.

Nærmest på timen forventer de at Transportkomiteen skal stemple saken som ferdigbehandlet, til tross for at Ap og Høyre nettopp har kommet opp med en avtale som inneholder like mange ubesvarte spørsmål som den inneholder svar:

Hva betyr alt det de har funnet på i praksis? Hva koster alle tiltakene de foreslår? Hvorfor det haster sånn med å innføre et direktiv som bryter så grunnleggende med personvernet, når EU er i ferd med å evaluere - og sannsynligvis justere - direktivet?

I all hast sendte derfor personvernalliansen (bestående av SV, Sp, KrF, V og Frp) en rekke spørsmål til Justisdepartementet (JD) og Samferdselsdepartementet (SD) i går kveld.

Hovedessensen i svaret som kom i dag morges er at JD mener dette går for fort - de greier i alle fall ikke å svare på hva dette vil koste innenfor den fristen Høyre og Ap har satt (se svarbrevet under).

JD skriver: "En nærmere redegjørelse [av merkostnadene] vil forutsette en utredning med lengre tidsfrist enn det som er gitt i komiteens brev".

SD mener det blir dyrt og vanskelig å gjennomføre: "Oppsummeringsmessig vil forslagene i avtalen mellom Arbeiderpartiet og Høyre medføre svært høye kostnader og være meget utfordrende å gjennomføre".

Og dette vil Ap og Høyre vedta.

Vi står altså overfor den meget spesielle situasjonen hvor et flertall på Stortinget ønsker å tvinge gjennom en sak de ikke aner rekkevidden av, verken økonomisk eller praktisk, med en tidsplan som departementene selv mener ikke er forsvarlig.

Dette er over grensen for ansvarlig saksbehandling. Jeg skjønner derfor godt at personvernalliansen krever mer tid.

- Avtalen om Datalagringsdirektivet har ikke blitt behandlet i transport- og kommunikasjonskomiteen på en forsvarlig måte. Dette skyldes at Høyre og Arbeiderpartiet har presset igjennom en fremdriftsplan som gjør at Stortinget ikke får et godt nok beslutningsgrunnlag i saken, sier komiteens leder og medlem av personvernalliansen Knut Arild Hareide (KrF).

Og det er da jeg spør meg selv. Hvorfor i all verden haster dette sånn?

Er det fordi Høyre har landsmøte om en måned? Her kan du lese hele svaret fra Justisdepartementet og Samferdselsdepartementet til Transportkomiteen:

Siste: Ap og Høyre i Transportkomiteen har ikke bare brukt flertallsmakten sin til å bestemme at saken skal tvinges uforsvarlig raskt gjennom Stortinget. De har også bestemt at de to omtalte brevene fra Justisdepartementet og Samferdselsdepartementet skal fjernes helt fra saken, som er mildt sagt uvanlig praksis (vanlig er at de legges som vedlegg til innstillinga).

Her er brevene de ikke vil du skal få lese:

----

Fra Justisdepartementet: Stortingets transport- og kommunikasjonskomité


Stortinget

0026 OSLOProp 49 L (2010-2011) - Endringer i ekomloven og straffeprosessloven mv (gjennomføring av EUs datalagringsdirektiv i norsk rett) - nye spørsmål

Jeg viser til brev 28. mars 2011 hvor medlemmene i Stortingets transport- og kommunikasjonskomité fra Fremskrittspartiet, Sosialistisk Venstreparti, Senterpartiet og Kristelig Folkeparti med kort frist ber om svar på nye spørsmål i anledning arbeidet med Prop. 49 L (2010-2011). I et supplerende brev av samme dato ber komiteen ved medlemmene fra Fremskrittspartiet om svar på to nye spørsmål (nr. 3-4).

1. Hvilke budsjettkonsekvenser har følgende elementer i avtalen mellom Høyre og Arbeiderpartiet

[…]?

Svar: Det stilles spørsmål om budsjettkonsekvensene ved ulike deler av “Avtale mellom Arbeiderpartiet og Høyre om Prop. 49 L (2010-2011)” av 28. mars 2011 (avtalen). Jeg er enig i at de delene av avtalen som det er vist til i brevet, medfører budsjettkonsekvenser. Når det gjelder ikrafttredelse av politiregisterloven, viser jeg til Ot.prp.nr.108 (2008-2009) Om lov om behandling av opplysninger i politiet og påtalemyndigheten kapittel 20. Fra kap. 20.2 “Innføring av ny teknologi”, siteres:

“Innledningsvis finner departementet grunn til å presisere at nødvendigheten for en betydelig oppjustering av politiets datasystemer ikke bare er et utslag av en ny politiregisterlov. Flere av politiets datasystemer er av eldre dato, for eksempel ble SSP satt i drift i 1982, og tiden er således uansett inne for en utskiftning av disse systemene.


I tillegg må politiets oppjustering av datasystemene ses i sammenheng med andre lovendringer, som i seg selv krever en slik oppjustering. Det vises her til Ot.prp.nr.22 (2008-2009) om lov om endringer i straffeloven, der det i kapittel 15, punkt 15.3, om økonomiske konsekvenser er gjort rede for kostnadene for å erstatte det nasjonale straffe- og politiopplysningsregisteret (SSP) og straffesakssystemet STRASAK.


Den nye politiregisterloven fører til at det må etableres løsninger i de av politiets elektroniske informasjonssystemer som medfører at bruk av informasjon kan logges og spores. Med dette menes at det i ettertid kan konstateres hva som er gjort i et dataanlegg/informasjonssystem, herunder hvem som har fått tilgang til opplysningene og at all elektronisk behandling av opplysninger, skal være sporbare. Videre er det nødvendig å implementere følgende funksjoner:








-


endre, sperre, slette og markere opplysninger








-


sanering og arkivering








-


avgrense opplysninger som ikke skal lagres

Økt bruk av logging vil også øke behovet for endringer i lagrings- og maskinkapasitet.


Politiregisterloven vil ha konsekvenser for de fleste av politiets systemer. Som nevnt er konsekvensene for de sentrale straffesakssystemene (SSP og STRASAK) allerede beregnet i Ot.prp.nr.22 (2008-2009). Endringene på de øvrige systemene til politiet som følge av ny politiregisterlov anslår Politidirektoratet til å koste om lag 115 millioner kroner”.



De økonomiske konsekvensene ved domstolsbehandling (pkt. 7) og Datatilsynets nye oppgaver (pkt. 9), vil blant annet bero på hvordan dette organiseres i de berørte sektorene. En nærmere redegjørelse vil forutsette en utredning med lengre tidsfrist enn det som er gitt i komiteens brev. Dette gjelder også spørsmålet om de andre tiltakene i avtalen som komiteen har forespurt om, dvs. evaluering og statistikk. På forespørsel fra Stortinget og gitt at det settes frister som er tilpasset oppdraget, vil departementet naturligvis utrede disse spørsmålene.


I alminnelighet vil den endelige vurderingen av de budsjettmessige konsekvenser gjøres i de årlige budsjettkonferanser. Jeg viser til avtalen pkt. 16, som fastsetter avtalepartenes ståsted i så henseende:


“Partene forplikter seg til å stemme for de konkrete budsjettmessige konsekvenser og de konkrete forslag som følger av avtalen”.



2. i) Hvordan Datatilsynet kan håndheve strengere lagringsrutiner – når teleselskapene sjøl kan velge å lagre trafikkdata utenlands? I forliket står det kun at selskapene skal oppgi hvor dataene skal lagres, ikke at de pliktes lagres i Norge. Som betyr at de strenge reglene for lagring (lukket lagring, kryptering) kun vil gjelde for de selskapene som velger å lagre trafikkdata i Norge.


Svar: Lagringspliktig data vil i all hovedsak anses som personopplysninger i personopplysningslovens forstand og reguleres av denne loven. Loven gjennomfører EUs personverndirektiv i norsk rett og stiller krav til betryggende behandling av data.



Avgjørende for om de norske personvernreglene kommer til anvendelse er om selskapet driver virksomhet i Norge, jf. personopplysningsloven § 4. At et selskap velger å lagre data i en annen stat innebærer ikke at dataene unndras reglene i den norske personopplysningsloven.



Personopplysningsloven inneholder videre regler om overføring av personopplysninger til utlandet, for eksempel til en server som lagrer lagringspliktig data. Det sentrale vilkåret i den forbindelse er at mottakerstaten sikrer en forsvarlig behandling av data, jf. personopplysningsloven § 29 første ledd som lyder:


§ 29. Grunnleggende vilkår


Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.



Alle stater som er bundet av personverndirektivet anses automatisk for å oppfylle kravet til forsvarlig behandling av data. Det følger også av det underliggende direktivet at kommisjonen kan treffe beslutninger om at overføring også kan skje til land utenfor denne kretsen. Slike beslutninger av kommisjonen vil også være bindende for Norge, jf. personopplysningsforskriften § 6-1. Sperring for overføring til en eller flere EØS-stater eller andre stater som er godkjent av EU-kommisjonen, eller krav til lagring i Norge vil således være i strid med våre EØS-forpliktelser etter personverndirektivet.



Datatilsynet skal påse at lover og forskrifter som gjelder behandling av personopplysninger blir fulgt, jf. personopplysningsloven § 42 tredje ledd nr. 3. Denne oppgaven er ikke begrenset til data lagret i Norge.



2. ii) Hva er den beregnede kostnaden for telekomtilbyderne?


Svar: Jeg legger til grunn at det er kostnaden ved gjennomføringen av datalagringsdirektivet som etterspørres. Omfanget av kostnader for den enkelte tilbyder vil avhenge av flere faktorer. Det er den enkelte tilbyder som selv velger lagringsløsning, noe som vil påvirke omfanget av kostnadene. Flere tilbydere kan gå sammen om felles lagringsløsninger, noe som vil kunne innebære stordriftsfordeler, se Prop. 49 L (2010-2011) Endringer i ekomloven og straffeprosessloven mv. (gjennomføring av EUs datalagringsdirektiv i norsk rett) (proposisjonen) kap. 11.4.1 og avtalen pkt. 4. Det vises for øvrig til proposisjonen kap. 16.5.2 hvor det henvises til en vurdering foretatt av selskapet Teleplan AS, hvor kostnaden for å gjennomføre datalagringsdirektivet over en femårsperiode for telekombransjen er anslått til 217 millioner kroner.



2. iii) Vil forslaget medføre betydelige ulemper for kundebehandlingen hos telekomtilbyderne?


Svar: I avtalen beslutter Arbeiderpartiet og Høyre å pålegge tilbydere av elektronisk kommunikasjon å lagre avgrensede typer data i seks måneder. Samtidig stiller vi konkrete krav til hvordan tilbyderne skal oppbevare denne informasjonen. For å kunne tilby elektroniske tjenester på det norske markedet, må enhver tilbyder oppfylle disse vilkårene. Jeg kan ikke se at gjennomføringen av datalagringsdirektivet, i samsvar med proposisjonen og avtalen, vil medføre ulemper for kundene, verken betydelige eller ubetydelige. Forholdet mellom kunde og tilbyder er regulert i foreliggende avtalevilkår som gjelder med de begrensninger som er fastsatt i konsesjonsvilkår og eventuelle pålegg som gis av tilsynsmyndighet. Telenor uttalte i sin høringsuttalelse at kundene skal kunne stole på at den informasjonen selskapet har om hver enkelt, behandles fortrolig. Avtalen styrker kundenes rettigheter på dette punkt. Kunden kan på forespørsel gis innsyn i logg hvor det fremgår om data registrert på han har blitt benyttet. Det stilles spesifikke krav til tilbydernes informasjonssikkerhet, og personalet som behandler kundenes data skal være autorisert. Datatilsynet kan ved behov pålegge bruk av krypteringsteknologi, og vi forutsetter at tilsynsmyndighetenes virksomhet vil fokusere på forbrukernes krav til god levering av elektroniske tjenester og strenge krav til personvern. Avtalen styrker tillitsforholdet mellom den enkelte tilbyder og forbrukerne.



2. iv) Kravet om kryptering av databaser, lukket lagring, autorisering av personell og krav til sporbarhet er alle vagt formulert i avtalen. Hvordan skal disse punktene implementeres i norsk lov og ovenfor telekombransjen?


Svar: I avtalen er det redegjort for krav om kryptering og lukket lagring (pkt. 5 c), autorisering av personell (pkt. 5 b) og sporbarhet (pkt. 5 d). Jeg er ikke enig i at gjennomføringen av disse tiltakene har fått en vag formulering i avtaleteksten. Det foretas nødvendige lov- og forskriftsendringer i berørt regelverk, fortrinnsvis ekomloven og personopplysningsloven med tilhørende forskrifter. Datatilsynet, Post- og teletilsynet og Nasjonal sikkerhetsmyndighet gir retningslinjer som omtalt. Det kan også bli aktuelt å vise til etablerte (internasjonale) standarder for informasjonssikkerhet (kryptering).



2. v) Hva er risikoen for at telekomselskapene må operere med doble databaser på grunn av disse kravene? En slik løsning vil øke kostnadene – men ikke sikkerheten.


Svar: Utgangspunktet er at den enkelte tilbyder selv velger lagringsløsning. Tilbyderne vil dermed selv ha betydelig mulighet til å påvirke størrelsen på de kostnader som vil påløpe. Av fortalen til datalagringsdirektivet nr. 13 annet punktum fremgår det at lagring av data bør skje på en slik måte at man unngår å lagre data mer enn én gang. Det vises for øvrig til proposisjonen kap. 11.4.1:


“I henhold til datalagringsdirektivet er det ikke et krav at dataene skal lagres fysisk atskilt fra tilbyders øvrige data, men det skal etableres hensiktsmessige tekniske og organisatoriske anordninger for å ivareta datasikkerheten. Både Datatilsynet og ekomtilbyderne har gitt uttrykk for at de er enige i Artikkel 29-gruppens anbefaling om at det ved innføring av en eventuell lagringsplikt bør etableres et logisk skille mellom dataene avhengig av dataenes formål. Departementet vurderer det som avgjørende for å kunne kontrollere bruken av data som lagres i henhold til datalagringsdirektivet, at det stilles vilkår om et logisk skille mellom data til fakturerings- og administrasjonsformål på den ene siden, og data til kriminalitetsbekjempende formål på den andre siden. Dette innebærer ikke at data må lagres på to forskjellige steder, men at tilbyderne må ha mekanismer som styrer tilgangen til data avhengig av lagringsformål. Departementet går inn for at det innføres en plikt for tilbyderne til å sørge for lagringsløsninger som ivaretar sikkerheten rundt data lagret i henhold til datalagringsdirektivet. Departementet legger til grunn at etablering av tilstrekkelige sikkerhetsrutiner og -systemer er både teknisk og administrativt uproblematisk, men at det vil kreve en viss investering i lagringsløsninger for tilbyderne”.



3. På hvilke områder/måter er det mulig å unngå at egne data blir lagret eller identifisert? Hvordan anser man at denne muligheten vil utvikle seg i årene fremover?


Svar: Data som faller inn under lagringsplikten i datalagringsdirektivet og forslaget til ekomloven ny § 2-7 a skal ikke kunne unndras fra lagringsplikten. Lagringsplikten gjelder til kriminalitetsbekjempende formål og utlevering skal følgelig skje til politi og påtalemyndighet. Når lagringstiden på 6 måneder er ute, skal dataene slettes.


Hvilke muligheter som i fremtiden vil foreligge for lagring og identifisering er det ikke mulig å si så mye om. Generelt gjelder direktivet på et område som er i rask utvikling og en må derfor være forberedt på at dette vil nødvendiggjøre tilpasninger i regelverket. Derfor er dette et forhold som skal ses nærmere på i forbindelse med evalueringen som skal skje fire år etter ikrafttredelsen, jf. avtalen mellom Arbeiderpartiet og Høyre punkt 10 om evaluering.



4. Ber om å få Samferdselsdepratementets og Justis- og politidepartementet vurdering av om hvilken konsekvens utsettelse i Sverige og Tyskland av innføring/gjennomføring av DLD har for Norge når det gjelder innføring/gjennomføring i Norge.


Svar: Forpliktelsen til å gjennomføre Datalagringsdirektivet følger av EØS-avtalen. Problemene i Sverige og Tyskland vil kunne få betydning for disse statenes forhold til EU, men har ingen innvirkning på Norges forhold til EU.





Med hilsen




Grethe Faremo


(konst.)


--- Fra Samferdselsdepartementet:

Datalagring 2011 - Svar på spørsmål fra Transport- og kommunikasjonskomiteen



Det vises til brev fra Transport- og kommunikasjonskomiteen av 28.03.2011 om Prop. 49 L (2010-2011) Endringer i ekomloven og straffeprosessloven mv. (gjennomføring av EUs datalagringsdirektiv i norsk rett), hvor det bes om svar på lovtekniske spørsmål og spørsmål ellers. I det følgende er samferdselsministerens svar på spørsmålene.



1. Departementet bes formulere et forslag til lovhjemmel som gir Datatilsynet mulighet for å pålegge kryptering i forbindelse med lagring og forsendelse av data etter ekomloven, (ny) § 2-7 a.



Svar: Dersom det skal innføres krav om kryptering, mener Samferdselsdepartementet at det vil være mest hensiktsmessig å innta en slik forskriftshjemmel i personopplysningsregelverket. Det vises til at en hjemmel kan inntas som nytt annet ledd i § 35 om vilkår i konsesjon. Et nytt annet ledd kan for eksempel lyde:



§ 35 nytt annet ledd skal lyde:


Det kan gis forskrift om kryptering ved [lagring og] overføring av data etter ekomloven § 2-7a første ledd.



Regulering av kryptering i personopplysningsloven vil gjøre tilsynet med bestemmelsen enklere og mer oversiktlig. Datatilsynet vil kunne benytte tilsynsbestemmelser og sanksjonsbestemmelsene i personopplysningsloven.



Det gjøres oppmerksom på at det vil være behov for en mindre endring i sanksjonsbestemmelsen § 47 om tvangsmulkt. Det bør vises til § 35 i opplistingen av bestemmelser som omfattes. Dette kan gjøres slik:



§ 47 første ledd skal lyde:


Ved pålegg etter § 12, § 27, § 28, § 35 og § 46 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.



I tillegg bør man justere § 48 om straff slik:



§ 48 første ledd skal lyde:


Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt








a)


unnlater å sende melding etter § 31,








b)


behandler personopplysninger uten nødvendig konsesjon etter § 33,








c)


overtrer vilkår eller forskrift fastsatt etter § 35 eller § 46,








d)


unnlater å etterkomme pålegg fra Datatilsynet etter § 12, § 27, § 28 eller § 46,








e)


behandler personopplysninger i strid med § 13, § 15, § 26 eller § 39, eller








f)


unnlater å gi opplysninger etter § 19, § 20, § 21, § 40 eller § 44.


----


Alternativt, og etter Samferdselsdepartementets oppfatning en mindre god løsning, kan det inntas en forskriftshjemmel i ekomloven § 2-7 a.



Ǥ 2-7 a. Plikt til lagring av data


Tilbyder av elektronisk kommunikasjonsnett som anvendes til offentlig elektronisk kommunikasjonstjeneste og tilbyder av slik tjeneste skal lagre trafikkdata, lokaliseringsdata og data nødvendig for å identifisere abonnenten eller brukeren i 6 måneder til bruk for etterforskning, oppklaring og straffeforfølgning av alvorlige straffbare forhold. Plikten etter første punktum gjelder data som genereres eller behandles i tilbyders elektroniske kommunikasjonsnett ved bruk av fasttelefon, mobiltelefon, internettelefoni, internettaksess og e-post.



Myndigheten kan gi forskrift, treffe enkeltvedtak eller inngå avtale om plikten til å lagre data, herunder om tiltak for å ivareta dataenes konfidensialitet, integritet og tilgjengelighet. Myndigheten kan gi forskrift om kryptering ved [lagring og] overføring av data etter første ledd. Myndigheten kan ved forskrift eller enkeltvedtak helt eller delvis frita fra plikten til å lagre data etter første ledd eller helt eller delvis pålegge andre enn de som omfattes av første ledd plikt til å lagre data dersom dette må til for å oppnå formålet med bestemmelsen. Myndigheten kan gi forskrift om at tilbyder kan kreve fremlagt politiattest fra personer som skal behandle lagringspliktige data på tilbyderens vegne.



Merknad til rød tekst i klamme: SD mener kryptering av data som hentes ut av tilbyders systemer og som skal overføres til politiet kan krypteres, men det bør ikke nødvendigvis innføres krav om kryptering av alle lagrede data. Sikring av lagrede data kan også ivaretas på andre måter. Kryptering av alle lagrede data vil føre til svært komplekse systemer hos tilbyder, jf. blant annet at enhver bruker av elektronisk kommunikasjon har krav på å få innsyn i sine data og disse kan ikke sendes kryptert til sluttbruker. Kravet til kryptering bør under enhver omstendighet begrenses til det stedet hvor alle dataene som skal lagres er samlet. Hvorvidt det skal innføres et krav om kryptering av lagrede data må være gjenstand for en konkret totalvurdering hvor blant annet kostnadene ved å innføre og vedlikehold krypteringsordning må avveies mot den økte sikkerhet som kun kryptering kan gi.



Det følger av lovens systematikk at det er myndigheten (som fellesbegrep) som gis forskriftskompetanse. Myndigheten er definert i loven § 1-4 til å være Kongen, Departementet og Post- og teletilsynet. Det fremgår imidlertid av bestemmelsen andre punktum at Kongen kan bestemme at andre offentlige organer kan gis myndighet på begrensede områder etter loven. En alternativ løsning kan derfor være at forskriftshjemmelen for kryptering legges til myndigheten, og at det klargjøres i bestemmelsens spesialmerknad at myndighet til å kreve kryptering er ment lagt til Datatilsynet.



Departementet foreslår dessuten at avtalens forslag til nytt annet punktum i annet ledd av hensyn til systematikken i bestemmelsen blir nytt fjerde punktum.




2. Spørsmål 2 utgår, jf. e-post fra Tore Dag Lien.




3. I avtalen mellom Arbeiderpartiet og Høyre foreslås en krypteringsordning. Hvilke konsekvenser vil dette tiltaket kunne få for de ulike aktørene i markedet, og kan det gis en presis beregning av kostnadene knyttet til dette?



Svar:


Den viktigste konsekvensen av forslaget om krav til kryptering er økte kostnader. Tilbyderne vil måtte implementere nye systemer, programvare o.l i sine allerede etablerte løsninger for kundehåndtering /fakturering. Dette vil bli svært dyrt.



Pr. 28. mars 2011 er 236 tilbydere representert på Post- og teletilsynets oversikt over tilbydere på det norske markedet. Hvis en “krypteringsordning” innebærer at alle disse skal benytte samme krypteringsteknikk vil det kreve en omfattende standardisering av løsninger på nasjonalt nivå. Dersom det blir fritt fram å etablere krypteringssystemer kan en tenke seg 236 forskjellige teknikker. Uavhengig av hvordan en skal innføre en slik krypteringsordning vil en også måtte se på konsekvensen for politiet. Det må antas at data som overføres til politiet også må være i kryptert form.



Det er i dag ikke mulig å komme med noen presis beregning av kostnadene ved å innføre krav om kryptering av data. Med bakgrunn i det store antallet aktører på markedet, flere med løsninger i andre land og noen med løsninger i flere land og noen bare i Norge, vil kostnadene være vanskelig å beregne uten å ha rettet en henvendelse direkte til alle disse. Slik avtaleteksten lyder er det en rekke tiltak i forbindelse med administrative og fysiske sikringstiltak som nødvendigvis vil måtte medføre store endringer hos de minste aktørene. Spesielt det som retter seg mot tilgang til lokaler og krav til personell som skal/kan håndtere lagredede data.



Det er mulig å tenke seg to alternativer; ett med to databaser og ett med en database. Hvis det velges en løsning med to databaser vil en database kunne være for faktureringsformål (som vil være ukryptert) og en for direktiv-data (som vil være kryptert).



En løsning med to databaser medfører at kostnaden for å lagre data blir høyere i utstyrskostnad, men vil gi enklere administrasjon og kravene om lukket lagring (avtalen pkt 5 c) vil være enklere å oppfylle. Uthenting av data fra databasen med direktiv-data vil bli mer oversiktlig. Databasen med fakturadata vil underlegges egne sikrings- og sletterutiner, og vil inneholde langt færre opplysninger, og vil i praksis omfatte de systemene som brukes i dag.



En løsning med en enkelt database vil gi en rimeligere utstyrskostnad, men medføre mer omfattende administrative rutiner og høyere driftskostnad ettersom uthenting av data vil ha to formål. Loggene for uthenting vil måtte omfatte både uthenting av faktureringsdata på kundens forespørsel og uthenting av data på forespørsel fra myndighet. Effektiv uthenting av opplysninger på forespørsel fra abonnentene vil trolig gi utfordringer mht krav om lukket lagring (avtalen pkt 5 c).



Avtalens pkt 5 d, krav til sporbarhet, bruker formuleringen ”enhver bruk av lagrede data”. Dersom det forutsettes at dette omfatter både tilbyders bruk i forbindelse med utlevering av faktureringsgrunnlag til abonnent og utlevering av data til myndighet vil dette sannsynligvis medføre at den enkelte tilbyder må endre sine eksisterende systemer for å tilfredsstille krav til sporbarhet. Dersom avtalens pkt 5 c skal tolkes slik at også faktureringsgrunnlag skal krypteres vil dette tale for at løsningen med lavest kostnad blir en enkelt database. En enkelt database vil også være enklere å verifisere og føre tilsyn med.



Oppsummeringsmessig vil forslagene i avtalen mellom Arbeiderpartiet og Høyre medføre svært høye kostnader og være meget utfordrende å gjennomføre. Belastningen for tilbyderne vil avhenge av modell for kostnadsdeling. Dersom tilbyderne må dekke kostnadene knyttet til kryptering vil dette kunne få store konsekvenser for tjenestetilbudet og konkurransen i markedet. I dag dekkes tilbydernes merkostnader til drift av staten. Dersom det innføres strengere krav til sikkerhet bør staten dekke kostnaden til dette.



4. Kan det gis en vurdering av de konkurransemessige virkningene knyttet til innføring av kryptering slik det fremgår i avtaleteksten mellom Arbeiderpartiet og Høyre?



Svar:


De kostnads- og konkurransemessige konsekvensene vil sannsynligvis være størst hos de minste tilbyderne. Etter uttalelser fra flere av de norske tilbyderne vil kostnader til anskaffelse av tekniske løsninger være lik uavhengig av tilbyders størrelse. Dette vil kunne medføre en uheldig konkurransevridning mellom store og små aktører. Med bakgrunn i de sikringstiltak som framkommer i avtalen vil sannsynligvis små tilbydere måtte gjennomføre en rekke administrative og fysiske tiltak som nødvendigvis vil påføre dem betydelige kostnader.



For strenge krav til lagringen vil i praksis kunne oppfattes som etableringshindring i markedet. Dette vil igjen kunne føre til at nye innovative aktører ikke etablerer seg i det norske markedet. Konsekvensen vil i så fall være at norske brukere ikke får samme mangfold av tjenester som brukere i andre land.




5. I følge avtaleteksten mellom Arbeiderpartiet og Høyre lagres det i dag data uten lovhjemmel. Hva har departementet gjort for å bekjempe dette?



Svar:


Samferdselsdepartementet viser til gjeldende ekomlov § 2-7 annet ledd der det fremgår at trafikkdata skal slettes eller anonymiseres så snart de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål. Gjeldende lagringsregler fremgår for øvrig av proposisjonens punkt 7.1 og 9.1.



Departementet er kjent med at det har forekommet enkelttilfeller av lagring utover angitt tidsramme i Datatilsynets konsesjoner, men departementet har ikke grunnlag for å si at det generelt lagres uten lovhjemmel.




6. Med de nye lagringsbestemmelsene, er det en fare for at bransjen flytter lagringen ut av Norge?



Svar: Det er vanskelig å vurdere i hvilken grad tilbydere vil lagre utenfor landets grenser som følge av lagringsbestemmelsene. Allerede i dag lagrer enkelte tilbydere trafikkdata utenfor landets grenser. De største tilbyderne har tekniske systemer i flere land, og kostnadsmessige vurderinger mht hvor tekniske løsninger og personell skal plasseres, er en kontinuerlig vurdering.



Jeg er for øvrig enig med vurderingen som er gjort i proposisjonens punkt 11.4.2 om lagringssted.




7. Vil det finnes mulighet for å bruke anonymt kontantkortabonnement fra utlandet i Norge?



Svar:


De fleste land i EØS-området har ikke krav om registrering av kundens navn og adresse ved kjøp av kontantkort. Det er derfor vanlig at det flere steder i utlandet selges slike abonnement “rett over disk”. Dette medfører at det ikke finnes personopplysninger tilknyttet slike abonnement. Flere aktører på det internasjonale markedet lover full anonymitet ved bruk av dere tjeneste (se http://travelsimshop.com, som retter seg spesielt mot det øst-europeiske markedet). Slike kontantkort kan benyttes i Norge og blir brukt i dag. En oversikt over noen av disse finnes på: http://www.prepaidgsm.net/en/international.html. Dette viser at DLD er lett å omgå.



8. Ber om en presis oversikt som viser omfang av og tidsmessig lagring av data i de ulike EU-land pr i dag.



Samferdselsdepartementet har ingen presis oversikt som viser omfang av og tidsmessig lagring av data i de ulike EU-land per i dag. Jeg viser imidlertid til en oversikt fra Cullen datert juli 2010, som gir en oversikt over dette.


http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp172_annex_en.pdf




9. Ber om å få Samferdselsdepartementets og Justis- og politidepartementets vurdering av om hvilken konsekvens utsettelse i Sverige og Tyskland av innføring/gjennomføring av DLD har for Norge når det gjelder innføring/gjennomføring i Norge.


(Samme spørsmål er også rettet til Justis- og politidepartementet.)



Svar:


Jeg mener en utsettelse i Sverige vil kunne ha konsekvenser for tilbydere som er etablert i flere nordiske land. Den svenske og den tyske utsettelsen viser at DLD er problematisk for personvernet. Etter min oppfatning er det ikke nødvendig for Norge å innføre dette så lenge store og betydningsfulle medlemsland i EU vegrer seg.



10. Er det foretatt eksplisitt vurdering av om DLD er EØS-relevant? Hvis ikke – hvorfor? Hvis ja, bes vurderingen oversendt.



Svar:


I perioden Samferdselsdepartementet hadde ansvaret for saken ble det foretatt to utredninger av professorene Arnesen og Sejersted. Den ene utredning var på oppdrag fra IKT-Norge og et av spørsmålene som drøftes er spørsmålet om EØS-relevans. Den andre utredningen på oppdrag fra Samferdselsdepartementet gjelder i sin helhet spørsmålet om datalagringsdirektivets EØS-rettslige relevans. Disse utredningene er å finne på http://www.regjeringen.no/nb/dep/sd/dok/hoeringer/hoeringsdok/2010/horing---datalagring/horingsnotat.html?id=590003.



For øvrig vises til at spørsmålet også har vært drøftet av EØS-rettslig utvalg ledet av Utenriksdepartementet.



11. EU varsler strammere personvern i forestående revisjon av EUs personvernlov. Endelig behandling i kommisjonen, EU-parlamentet og ministerrådet kan ta rundt et år. Har departementet vurdert å avvente innføring av DLD i Norge til revidert personvernlov foreligger i Norge?


Svar:


Jeg er av den oppfatning at Norge ikke bør innføre DLD. Dette mener jeg uavhengig av EUs revisjon av personvernlovgivning.



12. Regjeringen skal legge frem egen melding om personvernet i Norge. Hvorfor vil regjeringen innføre DLD før Stortinget har behandlet meldingen om personvern i Norge?



Svar:


Det vises til dissensen som fremgår av proposisjonen.





Med hilsen




Magnhild Meltveit Kleppa

1 kommentar:

  1. Stasi und DDR lässt grüssen. Skal vi ha den totale overvåkningen i Norge? Dette er uverdig ethvert demokrati!

    SvarSlett