Mötesanteckningar, Integritetsforum 23 april 2015 kl. 9-12

Transkript

1 PROMEMORIA Datum Vår referens Sida (6) Nätsäkerhetsavdelningen Gudrun Thelander Mötesanteckningar, Integritetsforum 23 april 2015 kl Inledning Jeanette Kronwall hälsade alla välkomna och en kort presentationsrunda av deltagarna följde. Samordning av inhämtande av uppgifter från operatörer för brottsbekämpande verksamhet (Mårten Nordlander, Anna Olander Selldén, Polismyndigheten) Mårten började med att presentera den nya polisorganisationen där 21 myndigheter, Rikspolisstyrelsen och SKL har slagits ihop och blivit en myndighet med 7 regioner. Säpo är en egen myndighet. NOA (Nationella operativa avdelningen) ska ta fram en ny nationell föreskrift som täcker hela landet men det tar några månader till innan den är på plats. Föreskriften kommer påverka samordnandet gentemot operatörerna. Teknisk inhämtning realtid. Inhämtning av historiska data. Trafiklistor och masttömning (man kan ställa frågan vem/vilka som befann sig på en viss plats en viss tid) hanteras av regionerna och NOA. Strävan är att regionalisera. Vad gäller abonnemangsuppgifter krävs att det ska vara misstanke om brott. Det vore bra att ha möjlighet till realtidsavlyssning även på obekväm arbetstid. Nationella ledningscentralen (NLC) är en kontaktyta gentemot operatörer som kan ställa frågor när det är fara för liv och hälsa. En akut fråga vid begånget brott kräver ett HÖK-beslut men det har hänt att polisen inte får ut data trots detta. Det pågår avtalsdiskussioner med operatörer men det är inte helt solklart med tolkningar enligt lagar och förordningar. Det vore önskvärt med ett elektroniskt system för beställning och leverans av uppgifter. KSU (Krypto för skyddsvärda uppgifter) som från början är avsett Post- och telestyrelsen Postadress: Besöksadress: Telefon: Box 5398 Valhallavägen 117 Telefax: Stockholm pts@pts.se

2 2(6) för att kommunicera mellan myndigheter ska enligt uppgift även kunna användas vid kommunikation med operatörer nu så det vore bra att sätta upp. Dels för att verifiera att frågor/uppgifter kommer från rätt ställe och för att få mer specialistkompetens på förfrågningarna. Mårten vill att hans grupp kommunicerar med de stora operatörerna i kryptot och att det sedan byggs ut till regionerna. HAK (hemlig avlyssning vid fasta bredbandsförbindelser) kan inte verkställas för tillfället. Vissa typer av brott är hopplösa att lösa om man inte kan göra en sådan inkoppling i bredbandsförbindelsen. Det är en angelägen fråga att ha möjlighet att kunna spåra. NAT (Network adress translation) ibland när polisen frågar får de inte svar på vart IP-adressen går bara att den är NATad. Man skulle vilja reda ut begreppet och få mer konkreta uppgifter än att det rör sig om t.ex. 65 personer. Vid utredningar vill man veta säkert att abonnemanget är trafikerat och om det är använt. Polisen har märkt att det finns ganska mycket oklarheter i lagstiftningen. Det vore bra om det kunde komma en tydligare vägledning, då det efterfrågas både av polis och operatörer. Hur ska utlämnande ske och under vilka premisser. En del operatörer lämnar ut uppgifter och andra inte och vissa hävdar att de inte har tekniska lösningar. För att kunna utbyta information måste man vara ense om vilken standard som ska gälla och vilka parametrar som ska vara med för att kunna skapa ett gemensamt gränssnitt. Kommentarer från mötesdeltagare: - Det känns bekymmersamt och otillfredsställande att olika operatörer är villiga att lämna ut olika saker. Det måste finnas ett allmänt intresse från branschens sida och man tror PTS kan spela en viktig roll det behövs någon som kan hålla ihop det. På detta svarade Staffan Lindmark att PTS kanske inte är bäst lämpade att säga hur det ska gå till utan frågar istället hur man skulle vilja samarbeta. - Det finns en tendens i samhället att man lägger allt mer vikt vid integritetsaspekterna. Många gråzoner har funnits och man har kört på i gamla invanda fotspår men det går inte längre då vi inte kan ha lösare boliner i Sverige när det är hårdare regler i andra länder där operatörerna har verksamhet. Utrymmet för tolkningar blir mindre och mindre och man går mer och mer på lagarna. - Det är viktigt med samsyn mellan operatörerna. Man måste ensa sig så man vet vad man kan förvänta sig då det i dagsläget är spretigt både hos polis och hos operatör. - Man får sträva mot ett gemensamt mål från båda sidor för att få det att fungera i praktiken med frågeställningen, som vissa tycker ska centraliseras, men det kommer att ta tid. Post- och telestyrelsen 2

3 3(6) - Alla vill ha tydlighet och det är viktigt med samordning då förfrågningar kommit från olika håll och på olika nivå från polisen. Det vore bra om några få aktörer från polisen ställer frågorna. Om man hade tekniska system skulle man kunna ställa frågor därigenom och då skulle de kunna kanaliseras på rätt sätt. Men i vissa fall måste krypto-fax användas då det inte finns något annat f.n. sa Mårten. På frågan hur lång man har kommit innan man begär uppgifter från operatören svarade Mårten att vid en förundersökning så kan man ha en skäligen misstänkt person och i andra fall kontrollerar man för att få igång en förundersökning. Kartläggningsverktyg används i snart sagt alla utredningar. Mårten tror inte att olika svar från olika operatörer har grund i vilket allvar/vilken misstänkliggrad det gäller eller osäkerhet på vad som gäller. Staffan Lindmark sa att det finns ett antal regelverk med kriterier som den brottsbekämpande myndigheten ska bedöma inte operatören. Staffan Lindmark berättade att PTS och polisen har börjat träffas mer regelbundet för att jobba med löpande dialog i den här typen av frågor. De juridiska frågorna är sådant som PTS ska hantera men inte de tekniska frågorna eller frågor av operativ karaktär. NAT och trafikdatalagring PTS redogör för sitt yttrande till EBM gällande NAT-frågan vid trafikdatalagring (Peder Cristvall) PTS fick in en anmälan från Ekobrottsmyndigheten att två operatörer inte kunde lämna ut uppgifter då det gällde IP-adresser som använts för NAT. Då förundersökning pågick förelåg förundersökningssekretess. I bifogad presentation framgår vad PTS konstaterade kring tolkning av gällande lagstiftning, hur tillsyn kan inledas, vilken paragraf i FEK som aktualiseras i detta fall och hur man bedömde att tillsyn inte aktualiserades i detta fall. På frågan om man kan tänka sig att PTS ändrar vägledningen svarade Peder att det kanske vore bra att förtydliga då vägledningen har några år på nacken. Staffan Lindmark sa att man med hänvisning till PTS yttrande säger i SOU 2015:31 säger att det kan vara läge att titta på den. Datalagringsutredningens betänkande (SOU 2015:31) (Staffan Lindmark) SOU 2015:31 blev steg 2 av den snabba utredning Sten Heckscher gjorde förra året. I juni 2014 kom ett betänkande att reglerna i den svenska lagstiftningen klarade proportionalitetskraven och att det inte fanns några grundläggande problem att tillämpa de svenska reglerna men några skulle kunna göras bättre. Regeringen tillsatte en utredning till om möjligheten höja integritetsskyddet ytterligare. Mycket har handlat om att utreda om inhämtandelagen skulle bli permanent eller inte. Post- och telestyrelsen 3

4 4(6) När det gäller de integritetsförstärkande åtgärderna för själva datalagringen är frågan om det är nödvändigt.ska lagringen gälla alla personer? Viss kommunikation är ju skyddad t.ex. kommunikation med advokat i brottmål och frågan är om det i så fall ska lagras. Var ska lagringen ske? Ska man kunna lägga den i annat land? Ska det finnas förhandsprövning innan uppgifterna hämtas ut. Utredningen föreslår inga stora förändringar i befintliga regler. Om man upptäcker skyddade uppgifter när man tittar på data, t.ex. mellan misstänkt och advokat, ska dessa kastas. Det går inte att ställa krav på var lagring får ske man får lagra inom EU eller tredje land. Det saknas enhetliga rutiner hos polisen och man föreslår tydligare regler för beslut och vad det ska innehålla. Ingen utökad tillsyn ska ske över hur polisen tillämpar regeln om inhämtning av abonnemangsregler. Det finns bra efterkontroll. Utredningen kommer gå på remiss så läs betänkandet och var vaksamma på när remissen kommer ut. Tillsynsarbete (Jeanette Kronwall, Staffan Lindmark, Peder Cristvall) Årlig tillsyn Inleddes förra året. Integritetstillsynen fokuserar på riskanalysarbete och implementering av nya föreskrifter. När det gäller inrapporterade integritetsincidenter har 7 ärenden rapporterats under jan-april Samma tid föregående år var det 4 ärenden och året dessförinnan totalt 4 ärenden under hela året. Samtycke Pågående tillsyn som tittar på vilka uppgifter man inhämtar och vad man gör med dessa. Huvudfokus ligger på formerna för samtycke. Flera operatörer har säkert upplevt många vändor kring vilken behandling av uppgifter ni gör. Det är inte vår avsikt att granska alla utan HUR man inhämtar samtycket. Vi har kommit långt i de flesta ärenden och tanken är att sammanfatta i en vägledning som baserar sig på våra beslut. Vi börjar närma oss målsnöret. Trafikdatalagring Ingen tillsyn men två processer med operatörer, Tele2 och Bahnhof, som har överklagat. Bahnhof i Förvaltningsrätten och Tele2 i KamR. KamR gick häromveckan ut till PTS med att vi fick yttra oss kring vilka frågor som ska ställas till EU-domstolen. Ärendet där kan ta upp till 1,5-2 år. Gallring Tillsyn inleddes förra året. 6 operatörer fick frågor hur man behandlar uppgifter och hur man får gallra. Vi drar igång igen för att försöka komma till avslut. Kundplacerad utrustning (CPE) Delvis händelsestyrd tillsyn. Det var DN som uppmärksammade vissa operatörers problem med modem. Två ärenden initierades och PTS träffar nu Post- och telestyrelsen 4

5 5(6) vissa operatörer och har en dialog för att få fram fler uppgifter. Även planerad tillsyn har inletts mot tre operatörer. Det är relativt högt prioriterat och vi ska försöka nå avslut inom inte alltför lång tid. Kaktillsyn Drygt hälften av er har gjort något med informationen kring kakor på era webbplatser vilket är positivt dock omfattas inte någon operatör av de totalt 16 utvalda tillsynobjekten. Datainspektionens pågående tillsyn gällande mobilkartläggning av besöksflöden i Västerås PTS yttrande i ärendet (Jeanette Kronwall och Staffan Lindmark) När PTS ombads lämna yttrande uppkom frågan om reglerna i två paragrafer i LEK var tillämpliga. 6:17 avlyssningsförbud Rent tekniskt fungerar det så att man ligger och lyssnar på det som skickas från terminalerna för att se hur folk rör sig i stadsmiljön. Paragrafen säger att man inte får lyssna men det finns ett undantag det som går genom luften får man lyssna på. Lyssnar man har man tystnadsplikt man får inte föra informationen vidare. 6:18 cookie-regeln Skriven för upphämtande av all lagring i en terminal. Bestämmelsen säger att man behöver samtycke om man gör det. Inte helt solklart. Tekniken, som den beskrivits av DI, är helt passiv man gör ingen åtgärd utan lyssnar bara passivt. PTS anser inte att det är hämtning av uppgifter. Telefoner sänder ut signaler av sig själva. Det är intressant ur integritetsperspektiv med folk som sitter och tar fram teknik som används på annat sätt än vad som ursprungligt är tänkt. Se Datainspektionens beslut som fattades den 22 juni 2015 (dnr ), se deras webbplats: Information från PTS om aktuella frågor Nytt strategiskt mål om integritet (Staffan Lindmark och Jeanette Kronwall) Integritetsfrågan har hög prio i PTS verksamhet. I februari togs beslut att ett av myndighetens strategiska mål ska handla om integritet. Big Data och IoT ger sammantaget nya infallsvinklar hur det påverkar oss, er operatörer och om regler behöver förändras etc. Uppgifter kan samlas ihop, aggregeras och Post- och telestyrelsen 5

6 6(6) användas i illvilliga syften. Som operatör får man tillgång till allt fler uppgifter. Problematiken är att användarna inte har något val. Inget val är bättre än det andra. Ett helt skyddat privatliv finns inte i en digitaliserad värld. Vad ska PTS göra med det strategiska målet? PTS ska analysera behovet av integritet och sekundär användning av uppgifter, användarnas medvetenhet ska ökas och behovet av förändringar, t.ex. vad som ev. behöver lyftas till lagstiftaren. Bl.a. tittar även Berec just nu på IoT och vad det får för konsekvenser. Oreglerade tjänster är inte alltid tillämpligt med utgångspunkt i LEK. Frågor kring Big Data och IoT stod på programmet på PTS marknadsdag den 15 april i år och vi kommer att återkomma och prata mer med er operatörer om detta. Fråga om Sjöfartsverkets rätt att få tillgång till positioneringsuppgifter -på begäran av Telenor (Staffan Lindmark) Tryck från omvärlden att bli mer restriktiva med hur uppgifter lämnas ut. Det finns en rad fall där uppgifter lämnats ut slentrianmässigt. En blankett för nöd och nödvärn har använts när de andra reglerna inte känts tillämpliga. Lagen mot skydd av olyckor ger ingen anledning att begära ut positioneringsuppgifter utan är ett svagt argument. Sjöfartsverket ska kontrollera med PTS. Det är möjligt att man inte ändrar rutiner nu men man kan inte fortsätta att lämna ut på så svaga grunder. Staffan Lindmark sa att VMA är en relaterad fråga det borde gå att positionera med stöd av lagen om olycka. Lagen är tänkt att användas i extremsituationer. Detta bör regleras uttryckligen i lag. Övrigt En avslutande fråga till deltagarna blir om det är något vi borde förkovra oss i? Vem ska vi bjuda in till Integritetsforum nästa gång? Den som har förslag är välkommen att höra av sig. Avslutning Jeanette Kronwall tackade för idag. Nästa möte blir torsdagen den 12 november. Post- och telestyrelsen 6