PROMEMORIA Datum Vår referens Sida 2012-04-30 Dnr: 1(7) Nätsäkerhetsavdelningen Gudrun Thelander 08-678 57 85 gudrun.thelander@pts.se Mötesanteckningar, Integritetsforum 28 mars 2012 1. Inledning Staffan Lindmark hälsade alla välkomna och berättade att mötena inom integritetsforum är tänkta att genomföras 2 ggr/år med halvårsintervall. Frågor att ta upp tas gärna emot på förhand. 2. Branschens arbete med hur integritets- och yttrandefrihetsfrågor ska hanteras av telekomindustrin Patrik Hiselius, TeliaSonera, redogjorde för arbete inom telekombranschen med att skydda mänskliga rättigheter och integritet på internet. Diskussionerna startade för fem år sedan mellan amerikanska internetbolag och europeiska och har resulterat i Global Network Initiative. Läs mer på https://www.globalnetworkinitiative.org. Ett avtal togs fram men skrevs i första hand under av de amerikanska bolagen. TeliaSonera gjorde bedömningen att man själva kunde jobba med att stärka skyddet, integriteten mellan operatörkund. Vad gäller relationen operatör-brottsbekämpande myndighet måste man hitta en gemensam plattform för hur operatören ska kunna skydda kundens integritet. FN kom med ett regelverk i juni förra året som tydliggjorde att staterna har skyldighet att skydda och att företag ska respektera de mänskliga rättigheterna. 12 telekombolag har inlett samarbete för att skapa en plattform för dialog hur man ska agera när telefoni/internet stängs ner i icke demokratiska länder och de utmaningar man möter. Säkerhetsfrågan i den enskildes dator kommer också komma in i arbetet. Dialog förs med regeringen och UD i dessa frågor. UD har Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se
2(7) i samverkan med.se och SIDA kallat till en konferens, Stockholm Internet Forum on Internet Freedom for Global Development den 18-19 april 2012. Mötena och samarbetet har varit öppet för de som vill. Man hoppas kunna presentera ett utkast till förhållningssätt till frågorna som varje företag kan fortsätta jobba med internt. Det är viktigt att ha en plattform där operatörerna kan diskutera med varandra hur de ska förhålla sig och det finns ett värde i att agera tillsammans i branschen i dessa frågor. 3. Pågående strategiskt arbete inom EU rörande cyber security och nätsäkerhet Anders Johanson, PTS, redogjorde för vad som görs på EU-nivå, speciellt inom kommissionen. Intresset för cybersäkerhet, som även inbegriper stabilitet och robusthet, har ökat starkt under de senaste 10 åren då medlemsländer och medborgare är mer oroade idag p.g.a. nya hotbilder som dyker upp i samhället. Inom EU:s institutioner tar kommissionen initiativ och även i parlamentet debatteras frågorna. Den Europeiska Byrån för Nät och Informationssäkerhet, ENISA, har stärkts. Även Europarådet jobbar mycket med internetfrågor. Även inom OECD uppmärksammas frågor om stabilitet, säkerhet och förtroende för nätet och rekommendationer och riktlinjer utarbetas. ITU hanterar också en dela av dessa frågor. Förslag på en strategi för internetsäkerhet som kommissionen arbetat med under det senaste året, och där PTS deltagit, kommer nog i slutet av 2012. Cyber-crime center startas under nästa år för att stärka bekämpningen av brottslighet på nätet i samarbete med Europol. Det finns en överenskommelse om samarbete med USA sedan ett år och diskussioner om samverkansavtal med t.ex. Kina och Indien förs. Några mindre krisövningar, motsvarande svenska telesamverkansövningarna, har genomförts men mer fokus bör läggas på detta då det anses viktigt. Medlemsländer som inte kommit så långt, främst sydöstra Europa, behöver stärkas. Sverige stöder samarbeten för Internet governance, kommissionen börjar bli mer aktiv och i juni anordnas Eurodig i Stockholm. 4. Internetleverantörers roll i bekämpande av botnät en aktuell fråga inom European Public Private Partnership for Resilience (EP3R) och EU-U.S Working Group on Cyber security and Cybercrime. Anders Johanson, PTS redogjorde för arbete kring bekämpning av botnets I slutet av 2010 inleddes ett samarbete mellan EU och USA kring medvetandehöjning, incidenthantering och privat-offentlig samverkan för att Post- och telestyrelsen 2
3(7) bekämpa botnets. Ny idé att undanröja marknadshinder där säkerhetsfrågor är en viktig komponent. Vill Sverige vara med? Intresserade kan få dokument från Anders med frågor att kommentera inför igångsättandet. Gällande botnetbekämpning finns dokument som beskriver stategi/plan och metodik för informationsdelning, hur göra antibotnet mjukvara mer tillgänglig och hur etablera hotlinesupport på europeisk/amerikansk nivå för att hjälpa varandra. Man söker samverkan med ISPer då man vill hitta lösning för att etablera ett privat-offentligt samarbete. Nyligen var ett EP3R-möte i Bryssel där man bland annat diskuterade hur man ska ta fram en lösning för att bekämpa botnet. PTS och, TeliaSonera var på plats. På Staffan Lindmarks fråga vad det finns för förväntan och möjligheter för branschen att delta och påverka svarade Anders att man måste hitta incitament så att operatörerna känner att de vill lägga kraft på detta och hitta former för arbetet. De operatörer som är intresserade kan ta kontakt med Anders Johanson eller Peter Wallström på PTS. 5. Förslag till ny personuppgiftsreglering inom EU samt pågående arbete inom EU rörande Googles personuppgiftshantering. Anna Hörnlund, Datainspektionen, redogjorde för ett nytt regelverk som kan komma att ersätta PUL och om Googles nya personuppgiftshantering Kommissionen har lämnat ett förslag till en dataskyddsförordning som innebär stora ändringar. Bland annat att PUL försvinner och ersätts av förordningen om denna antas.. Det finns också 200 registerförfattningar som kommer att beröras, AF och FK t.ex. har egna personuppgiftsregleringar. Förslaget innebär vidare att nya IT-system ska ha ett integritetsskydd från början och att man måste informera mer om databaser. Förordningen bygger på en handlingsmodell från insamlande till utplånande och ska ytterligare harmonisera och öka den enskildes kontroll över sina personuppgifter. En nyhet är rätten att bli glömd, dvs. att kunna begära att bli borttagen ur ett register och även i senare led om uppgifterna lämnats vidare. Det är svårt att se hur det ska kunna fungera fullt ut. En kommentar från operatörerna var att det kan bli svårt för dem då de sparar uppgifter för t.ex. reklamationer och måste ha vissa uppgifter för att kunna tala med kunden. Rätten att bli glömd kan bli svår att genomföra praktiskt. Post- och telestyrelsen 3
4(7) Anmälningsskyldighet vid personuppgiftslagring tas bort. Vidare införs en skyldighet att underrätta vid dataintrång och om uppgifter läcker ut. Ett personuppgiftsombud ska finnas för varje företag med mer än 250 anställda. Datainspektionen tycker inte antal personer ska vara avgörande utan istället riskanpassat. Det införs skyldighet att besluta om administrativa sanktionsavgifter för vissa överträdelser. En dataskyddsstyrelse tillsätts. Datainspektionen ska agera på klagomål från enskilda men om man måste inleda tillsyn när någon klagar verkar för närvarande oklart. Arbete med sammanställning av remissvaren med svenska synpunkter pågår och förordningen är tänkt att träda i kraft 2 år efter att medlemsstaterna genomfört slutförhandlingar så det ligger alltså några år framåt i tiden. 1 mars 2012 införde Google en ny privacy policy genom ändringar i sina användarvillkor. Datatillsynsmyndigheten i Frankrike har skickat frågor avseende policyn till Google och har begärt svar till 5 april. Google har begärt anstånd till den 13 april. 6. Vägledning och inbyggd integritet privacy by design. Mikael Ejner, Datainspektionen redogjorde för inbyggd integritet = att låta principen om personlig integritet prägla ett IT-system genom hela dess livscykel. (Bilaga 1) Det finns en nyutgiven vägledning om inbyggd integritet och arbetet med att förmedla den pågår. Synpunkter tas tacksamt emot då den är tänkt att vara ett levande dokument. Vägledningen bygger på att använda tänk efter före -modellen. Att påverka de som är beställare/kravställare, leverantörer etc. att inte samla in mer uppgifter än vad man behöver och att inte ha kvar dessa längre än nödvändigt etc. Om mjukvara vore utvecklad med dessa principer från början skulle inte problemet med äldre informationssystem vara så stort. 7. Information från PTS Arbetet med regler om trafikdatalagring Peder Cristvall redogjorde för senaste nytt om riksdagsbeslut och föreskrifter (Bilaga 2) Tidsplanen har förskjutits tidigare men nu börjar vi närma oss lagens ikraftträdande. Den 21 mars beslutades att lagen ska träda ikraft den 1 maj. Post- och telestyrelsen 4
5(7) Regeringens förordning avseende vilka uppgifter som ska lagras kommer att publiceras så snart den fått trycklov. Vad gäller PTS arbete med föreskrifter avseende säkerhet i samband med lagring av uppgifter och ersättning i samband med utlämnande så har operatörerna varit involverade. PTS räknar med att föreskrifterna går ut på remiss i slutet av juni med 2 månaders svarstid och att föreskrifterna kan träda i kraft tidigast i oktober 2012. PTS arbetar för närvarande med att ta fram interna vägledningar. Vidare arbetar PTS med att ta fram en process för ansökningar om undantag från lagringsskyldigheten för t.ex. små operatörer. En annan fråga PTS analyserar är hur regelverket ska hanteras inom ramen för PTS ordinarie tillsyn. Ändrade regler rörande brottsbekämpande myndigheters tillgång till uppgifter om elektronisk kommunikation Staffan Lindmark redogjorde för regeringens proposition och en förändrad roll för PTS på området (Bilaga 2) Ett förslag ligger om ändring från 1 juli 2012 gällande regler för utlämnande av uppgifter om abonnemang och elektroniska meddelanden. Förslaget innebär att vissa regler förs över från LEK till rättegångsbalken och att kravet för utlämnande ändras. Rapportering av integritetsincidenter Staffan Lindmark redogjorde för föreskrifter om rapporteringen som träder ikraft den 1 april (Bilaga 2) Sist Integritetsforum träffades fanns lagen på plats och nu är föreskrifter utfärdade och träder i kraft 1 april. En vägledning kommer att publiceras på PTS webbplats. PTS uppmuntrar till diskussioner på en generell nivå hur man ska resonera och komma fram till något gemensamt tillvägagångssätt så alla gör lika. Utveckling av ett system för rapportering av incidenter Erika Hersaeus redogjorde för e-tjänst för incidentrapportering på PTS portal (Bilaga 2) Syftet är att underlätta rapportering av integritetsincidenter och driftstörningar. Upplägget kommer att påminna om e-nummertjänsten. Systemutvecklingen börjar nu och en kravspecifikation är framtagen. Arbetet beräknas vara klart till slutet av Q3. Vill ni vara med att testa tjänsten hör av er till Erika. Post- och telestyrelsen 5
6(7) På frågor förklarade Staffan och Erika att rapporterna är att anse som allmänna handlingar. Huruvida dessa är offentliga eller ej beror på innehållet. Om någon begär ett utlämnande så kommer det att ske en sekretessprövning. Det finns några tänkbara sekretessgrunder som kan vara aktuella, t.ex. affärssekretess, och sekretess för säkerhets- och bevakningsåtgärder. Fram till Q3 finns en dedikerad e-postadress som kan användas för inrapportering. PTS har tittat på att ta emot krypterad e-post men ej hittat en lämplig lösning. Om okrypterad e- post är för osäkert i det enskilda fallet så får den berörda operatören lösa inrapporteringen via andra kanaler. 8. Intressanta resultat från PTS konsumentundersökning om internetsäkerhet Anders Bendz redogjorde för resultatet av undersökningen. Folks oroandefokus från 2009 års undersökning har gått från virus till oro för konton. Man har blivit sämre på att uppdatera virusskydd. Många använder ofta samma lösenord på olika ställen. Man är mer positiv till positioneringstjänster än i den tidigare undersökningen. De som har trådlöst nätverk har blivit bättre på att skydda med kryptering. Virus i mobiltelefoner är det väldigt få som drabbats av eller känner någon som drabbats av. Info om störningar vill man helst ha via SMS från operatören, inte via sociala medier. Resultatet i sin helhet finns på PTS hemsida PTS - Konsumentundersökning om internetsäkerhet - PTS-ER-2012:3 9. PTS planerade arbete inom integritetsområdet under 2012 Staffan Lindmark redogjorde kortfattat för PTS planerade arbete inom integritetsområdet under 2012. 10. Övriga frågor Staffan Lindmark redogjorde för nedanstående fråga som ställts av Tele2 Finns intresse för aktörsgemensamt initiativ till åtgärder för att öka det allmänna IT-säkerhetsmedvetandet hos användare? Frågan bygger på att attackerna mot smarta mobiler förefaller öka kraftigt. Tele2 ser inte problemet som svårt idag men kommande problem ska inte drabba kunderna - så en viktig fråga blir hur man ska medvetandegöra att deras kunder i praktiken sitter med en dator i handen. För att skapa trovärdighet när det gäller vikten av att skaffa skydd vore det bra om det kunde bli en tydlig koppling till myndigheter och att enskilda operatörer får hjälp med att ta fram tänkbara råd. Tele2 har som förslag att samla kollegor för att diskutera detta i en arbetsgrupp: vad det finns för risker och vilka motmedel man kan tänka sig. Övriga Post- och telestyrelsen 6
7(7) operatörer har visat intresse för att delta och tycker att det är bra att de gör ett gemensamt arbete. TeliaSonera instämde i enlighet med Tele2:s förslag, att man tar ett branschinitiativ till en undergrupp till Integritetsforum. PTS åtog sig att skicka ut mejlförfrågan till alla för att få igång det hela. Ytterligare föreslogs att PTS ev. skulle kunna göra en film om råd för mobilanvändning. 11. Avslutning, planering inför nästa möte Staffan Lindmark tackade alla deltagare och föreslog att nästa möte ska hållas den 10 oktober 2012 kl. 9-12. Synpunkter och input tas gärna emot till forumet av Staffans kollegor då han själv är tjänstledig t.o.m. augusti. Vid anteckningarna - Gudrun Thelander Post- och telestyrelsen 7