Välkomna till Integritetsforum!

Transkript

1 Välkomna till Integritetsforum! 7 november 2012 Post- och telestyrelsen

2 Agenda 1. Inledning 2. Hantering av kunder med skyddade uppgifter. 3. Trafikdatalagring. 4. Rapportering av integritetsincidenter. 5. Nya föreskrifter om tekniska och organisatoriska åtgärder för att skydda behandlade uppgifter. 6. Uppföljning av frågor från tidigare möten. 7. Anmälda frågor 8. Information från PTS om några aktuella frågor. 9. PTS planerade arbete inom integritetsområdet under Övriga frågor 2

3 Hantering av kunder med skyddade uppgifter Klas Nilsson och Ola Schneider, Skatteverket 3

4 Trafikdatalagring Joakim Strålmark Post- och telestyrelsen

5 5

6 Agenda Bakgrund och översikt Produktkarta Erfarenheter från ett halvår med lagen Status för PTS arbete med föreskrifter Säkerhets-PTSFS PTSFS 2012:4 Vad händer med Ersättnings-PTSFS? Övrigt 6

7 Post- och telestyrelsen Bakgrund och översikt

8 Trafikdatalagring fram till idag Februari 2011 C-185/09 Pågående C-270/11 April 2004 Initiative of the French Republic, Ireland, the Kingdom of Sweden and the United Kingdom Mars 2006 Directive on Data Retention 2006/24/EC November 2007 Swedish Government Official Reports on Data Retention SOU 2007:76 December 2010 Bill on Data Retention Act in force 1/ Januari/ Februari 2011 Information meeting (26/1) PTS report PTS at the Committee on the Constitution Mars 2011 The Swedish Parliament postpone decision for the Act until 11/ Mars 2012 The Swedish Parliament approve the Act Act in force 1/ April 2012 The Governemnet publish the Act and the ordinance 3/ Act and ordinance in force 1/ Maj 2012 Bill The Swedish Parliament approval of the ordinance aspects of data protection and data security

9 Lagring av trafikuppgifter m.m. Anmälningspliktiga tjänsteleverantörer (CSP) (= lagringsskyldiga) Brottsbekämpande myndigheter (LEA) (utlämning bara till svenska LEA) m.fl. Begäran Telefonitjänst HI-A Issuing Authority Meddelandehantering Data store (6 månader) HI-B RDHI Receiving Authority Utlämning Internetåtkomst Kapacitet / Anslutningsform Prop. 2010/11:46 nya regler i LEK bl.a. 6 månaders lagring från 1/ Prop. 2011/12:55 flytta vissa regler till t.ex. RB och ändra kriterier för utlämning - från 1/7 2012

10 Vad är trafikdatalagring Detta ska lagras Uppgifter skall lagras som kan svara på frågan Vem som kommunicerade med vem, När kommunikationen skedde, Var de som kommunicerade befann sig, Vilken typ av kommunikation som användes Mer exakt vilka uppgifter det handlar om skall meddelas av regeringen i förordning Detta ska inte lagras Kommunikationens innehåll Besök på t.ex. webbsidor ( surfning ) och besök på chattsidor, samt Skype och Viber el. liknande tjänster. 10

11 Uppgifter som ska lagras Vilka uppgifter som ska lagras har preciserats i förordning (2003:396) om elektronisk kommunikation. Skyldighet att, för brottsbekämpande myndigheters behov, lagra uppgifter som behandlas eller uppkommer i samband med tillhandahållandet av kommunikationstjänster inom följande kategorier Telefoni (traditionell, mobil, IP) med telefonnummer Meddelandehantering (t.ex. SMS, e-post) Internetåtkomst (internettjänst) Anslutningsform (internetanslutning) Lagringsskyldigheten gäller endast de uppgifter som genereras eller behandlas i den egna verksamheten Ingen skyldighet att skaffa sig alla uppgifter som ska lagras

12 Produktkarta Post- och telestyrelsen

13 Trafikdatalagring produktkarta Uppgifts-SFS Vilka uppgifter som ska lagras hos de lagringsskyldiga Förordning utfärdas av Vägledning utfärdas av Ersättnings-PTSFS Ersättning till lagringsskyldiga vid utlämnande av trafikdata till LEA Säkerhets-PTSFS Tekniska och organisatoriska åtgärder för skydd vid behandling av lagrade uppgifter Föreskrifter utfärdas av Undantagsregler Process för hantering av undantag från lagringsskyldigheten Undantag från lagringsskyldighet Vägledning utfärdas av Tillsynsverksamhet Inter process för att bedriva effektiv tillsyn för olika moment runt trafikdatalagring Gränssnitt CSP LEA För överlämning av lagrade uppgifter från CSP till LEA Gränssnittsspec tas fram av CSP och Gränssnittsspec utfärdas av

14 Erfarenheter från ett halvår med lagen 14

15 Erfarenheter PTS uppfattar att vissa anpassningar fortfarande pågår på båda sidor (CSP o. LEA) Undantag från lagringsskyldighet Ingen aktör har ännu sökt om undantag Frågor om anmälningsplikten och förhållandet till lagringsskyldigheten m.m. Svartfiberaktör /stadsnät Allmänt vs. slutet/privat nät vid internetåtkomst Anonymiseringstjänster NAT Utan dröjsmål 6 kap. 16 f LEK 15

16 Status för PTS arbete med föreskrifter Post- och telestyrelsen

17 Säkerhets-PTSFS PTSFS 2012:4 17

18 Regleringsstruktur 2006/24/EG Datalagringsdirektivet Artikel 7 LEK 6 kap. 3 a Lag ISO-standarder/ ETSI-specifikationer har gett vägledning FEK 37 Förordning Föreskrifter och Allmänt råd PTSFS 2012:4 ISO - International Organization for Standardization ETSI - European Telecommunications Standards Institute SS-ISO serien Informationssäkerhet TR Säkerhetsramverk RD

19 Regeringens förordning (FEK) Säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som uppgifterna har haft vid den behandling som skett före lagringen Den lagringsskyldige ska vidta de åtgärder som krävs för att skydda uppgifterna: Mot oavsiktlig eller otillåten förstöring Oavsiktlig förlust eller ändring Förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna Uppgifterna får göras tillgängliga endast för personal med särskild behörighet 19

20 Utgångspunkter för föreskrifterna Kraven i föreskrifterna är inriktade mot att skydda informationen snarare än var den lagras Flertalet uppgifter finns i näten lagrade för andra ändamål. De mest skyddsvärda uppgifterna är de uppgifter som efterfrågas av brottsbekämpande myndigheter Kraven på skyddsåtgärder gäller oavsett om den lagringsskyldige lagrar Egen regi: väljer att genomföra lagringen genom logisk separation i befintliga system, fysisk separerad lagring, eller en kombination av dessa Lagring hos tredje part 20

21 Skydd Särskilda skyddsåtgärder för lagrade uppgifter Skyddsåtgärder i enlighet med 6 kap 3 a LEK, 37 FEK och PTS föreskrifter och allmänna råd (PTSFS 2012:4) Skyddsåtgärder i enlighet med 6 kap 3 LEK Omfattning 21

22 Hur ska uppgifterna lagras Lämpliga tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna. PTS föreskrifter och allmänna råd ställer krav på - kontinuerligt och systematiskt säkerhetsarbete, - regelbunden uppföljning, - endast personal med särskild behörighet som har tillgång till uppgifter och system, - utrustning ska placeras i utrymme med skydd mot elavbrott, obehörigt tillträde, brand och översvämning, - behandlingshistorik (loggning), och - säkerhetskopiering 22

23 Vad händer med Ersättnings-PTSFS? 23

24 Ersättningsföreskrifterna Utifrån inkomna remissvar har PTS beslutat att omarbeta föreskrifterna och konsekvensutredningen, för att sedan gå ut på ny remiss Remissvaren från Säpo och RPS har legat bakom denna kursändring Kompletterande remissvar ska inkomma från dessa aktörer Troligt datum för styrelsebeslut: någon gång under 2013? 24

25 Övergripande tidplan - PTS arbete med trafikdatalagring Beslut och milstolpar EU-kommissionens utvärdering om direktivet 2006/24/EG. Publicerad 18 april 2011 Beslut fattat av riksdagen 21/ Riksdagen måste också pröva regeringens förordning innan den träder i kraft. Lagen träder i kraft 1 maj 2012 Förordning beslutad 22/3 tryckt 3/4 PTSFS beslutad av PTS styrelse 24/ PTSFS kan beslutas av PTS styrelse xx/xx 2013 Säkerhets-PTSFS Beredning. Pågår t.o.m. 15 marsl Juridisk slutgranskning Intern beredning på PTS Remiss 1 RPS/DI PTSFS 2012:4 - från 1/12 Remiss 2 15/6 24/8 - publicerad 1/12 PTS föreskrifter om trafikdatalagring samt uppgifter kopplade till lagstiftning Ersättning-PTSFS - Beredning. Pågår t.o.m. 15 mars Stöd till RK:s arbete med förordning Juridisk slutgranskning Uppgifts-Vägledning över vilka uppgifter som ska lagras enligt regeringens förordning Pågår till lagen träder ikraft (1/5) publicerad 23/5 Intern beredning på PTS Remiss 1 RPS/Tullverket Ersättnings-PTSFS Slutberedningsfas (28 v.) Remiss 2 15/6 24/8 Remiss 3? Undantagsprocess - Vägledning på Utsikten Pågår från 1/11 till lagen träder i kraft (1/5) publicerad 30/4 Samverkan och branscharbetsgrupper Gränssnittspecifikation IT- och telekomföretagen (1 april-15 april) ITS AG15 (15/4 1/8) publicerad 1/8

26 Övrigt Post- och telestyrelsen

27 Övrigt IT&Telekomföretagen kommer att driva nya grupper: som ska mappa ITS 27 mot FEK mappningen kommer att utgöra en implementors guide till ITS 27 se över säkerhetskrav på överföring av trafikuppgifter i gränssnittet Datalagringsdirektivet inget nytt från EU om reviderat direktiv 27

28 28

29 Rapportering av integritetsincidenter. Erfarenheter från ett drygt halvår med PTS föreskrifter. (Karin Malmberg) PTS e-tjänst för incidentrapportering. (Erika Hersaeus) EU-kommissionens förslag till förordning om incidentrapportering. (Andreas Dahlqvist) 29

30 Tekniska genomförandeåtgärder Artikel 4(5) direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation För att säkerställa ett konsekvent genomförande av de åtgärder som avses i punkterna 2, 3 och 4 får kommissionen, efter samråd med den europeiska byrån för nät- och informationssäkerhet (Enisa), den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats genom artikel 29 i direktiv 95/46/EG samt Europeiska datatillsynsmannen, anta tekniska genomförandeåtgärder avseende omständigheter, format och förfaranden som kan tillämpas för de informations- och anmälningskrav som avses i denna artikel. När den antar sådana åtgärder ska kommissionen engagera alla relevanta berörda parter, framför allt för att få information om bästa tillgängliga tekniska och ekonomiska medel för genomförandet av denna artikel. 30

31 Syfte kommissionen vill ena sättet som integritetsincidenter rapporteras till respektive nationell myndighet bland annat för att underlätta procedurer och minska administrativa kostnader för operatörer som agerar i flera medlemsstater. 31

32 Huvuddragen i förslaget Rapporteringsskyldighet Integritetsincidenter ska rapporteras till nationella myndigheter inom 24 timmar från att incidenten upptäckts. Om man inte kan lämna fullständig information inom 24 timmar ska en inledande rapport skickas inom 24 timmar och därefter ska en kompletterande rapport skickas till myndigheten inom tre dagar från den inledande rapporten. Om man fortfarande inte kan lämna all information inom denna tid ska operatören lämna en förklaring till detta samt lämna ytterligare kompletterande information så snart som möjligt. 32

33 Huvuddragen i förslaget Underrättelseskyldighet Operatörer ska också vara skyldiga att underrätta abonnenter eller individer om det är troligt att incidenten kan antas inverka menligt på en abonnents eller en enskild persons personuppgifter eller integritet. Exempel på uppgifter/omständigheter som inverkar menligt Finansiell information Lokalisationsuppgifter Internetloggar Browsinghistorik Samtalslistor Om uppgifterna kan leda till identitetsstöld, bedrägeri, fysisk skada, psykisk oro, förnedring eller skada på någons anseende 33

34 Underrättelseskyldighet Om uppgifterna stulits och operatören vet att uppgifterna finns hos en oauktoriserad tredje part. Underrättelsen till abonnenten eller den enskilda ska ske så snart som möjligt efter det att integritetsincidenten upptäckts dock senast inom fyra dagar. Underrättelsen ska skrivas på ett enkelt och lättförståeligt språk och operatörerna får inte använda underrättelsen som reklamtillfälle eller för marknadsföring. Om operatören inte kan identifiera de drabbade abonnenterna eller individerna inom den föreskrivna tiden får operatören notifiera dessa genom annonser i nationell eller regional media inom den aktuella tidsramen. 34

35 Huvuddragen i förslaget Notifikation till abonnent eller individer behövs inte om operatören har implementerat tekniska skyddsåtgärder som applicerats på de uppgifter som omfattas av incidenten. 35

36 36

37 Nya föreskrifter Tekniska och organisatoriska åtgärder för att skydda behandlade uppgifter (6 kap. 3 ) 37

38 Uppföljning av frågor från tidigare möten Råd om säkerhet i smarta telefoner. 38

39 Anmälda frågor Telenor: Skatteverkets tredjemansrevision, begäran om uppgifter. Radiotjänst i Kiruna, begäran om uppgifter. Spårningstjänster, åsidosättande av nummerpresentation. Telia: Nytt nätverk som startats under Dataföreningen. 39

40 Information från PTS om några aktuella frågor. PTS arbete med reglerna om webbkakor. Pågående regeringsuppdrag om att redovisa effekterna av den nya regleringen. Utökad samverkan med andra myndigheter inom EU. Förtydligande av bestämmelsens praktiska tillämpning. EU-kommissionens förslag till förordning om tillitstjänster. Ska ersätta det nuvarande direktivet om kvalificerade elektroniska signaturer. Utökat tillämpningsområde: e-identifiering, tidsstämpling, stämplar m.m. 40

41 PTS planerade arbete inom integritetsområdet under Trafikdatalagring: Slutföra föreskriftsarbetet. Ev. granskning av hur uppgifter gallras. Incidentrapportering: Fortsatt arbete för att säkerställa korrekt rapportering. Föreskrifter om åtgärder för skydd av uppgifter. Information och ev. granskning av samtycke i abonnemangsavtal. Fortsatt arbete med kak-regeln. Fortsatt arbete med den nya förordningen om tillitstjänster. 41

42 Övriga frågor 42

43 Nästa möte Förslag: 10 april kl 9-12? 43