SÄPO:s förlängda arm Lag om Datalagring Bredbandsbåten 2012-10-03 Sture Lundgren Säkerhetspolisen Lars Björkman SSNf
Vad ska vi prata om? Vad ska lagras? Vilka Trafikuppgifter ska lagras? Vem ska lagra Trafikuppgifter? Vem ska ha tillgång till Trafikuppgifterna? Vilka frågor ställer en brottsbekämpande myndighet? Hur snabbt ska Trafikuppgifterna kunna lämnas ut? Vad gäller för säkerhetskrav? Utgår någon ersättning för förfrågningar? Hur sker frågor och svar? Kan man använda 3:e part för lagring och tillhandahållande? Vilka avtal ska tecknas?
Vad ska lagras? Trafikuppgifter: uppgifter som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. Lagringstiden är satt till 6 månader. Kostnaderna för lagring, säkerhet och anpassning av systemen svarar leverantörerna för medan det allmänna ska ersätta leverantörerna för de kostnader som avser utlämnande av uppgifter i enskilda ärenden.
Vilka Trafikuppgifter ska lagras? SFS 2012:128 SFS 2012:128, 39 När det gäller telefonitjänst ska följande lagras 1. Uppringande nummer 2. Uppringt nummer och nummer som samtalet styrts till 3. Uppgifter om uppringande och uppringd abonnent och, i förekommande fall, registrerad användare, 4. Datum och spårbar tid (UTC- tid) då kommunikationen påbörjades och avslutades, 5.Uppgifter om den eller de tjänster som har använts SFS 2012:128, 41 När det gäller telefonitjänst som använder ip-paket för överföring ska, utöver det som anges i 39, följande lagras 1. Uppringandes och uppringds ip-adresser SFS 2012:128, 42 När det gäller meddelandehantering ska följande lagras. 1. Avsändares och mottagares: - nummer - ip- adress eller - annan meddelandeadress. 2. Uppgifter om: - avsändande abonnent - mottagande abonnent - registrerad användare (i förekommande fall) 3. Datum och spårbar tid för på- och avloggning i den eller de tjänster som använts. 4. Datum och spårbar tid för: - avsändande av meddelande - mottagande av meddelande, 5. Uppgifter om den eller de tjänster som har använts. 2. Datum och spårbar tid för på- och avloggning i den eller de tjänster som använts. 3. Uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.
Vilka Trafikuppgifter ska lagras av Stadsnät? SFS 2012:128 SFS 2012:128, 43 När det gäller internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform) ska följande lagras. Stadsnät (N1) N2 N2 D N3 1. Användares ip- adress. X X N3 D 2. Uppgifter om - abonnent - registrerad användare (i förekommande fall) X X X X X 3. Datum och spårbar tid för på- och avloggning i tjänsten som ger internetåtkomst X X 4. Den typ av kapacitet för överföring som har använts. X X X X X 5. Uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten. X X X X X PTS, Uppgifter som ska lagras för brottsbekämpande ändamål - en vägledning (2012-05-23
Vilka Trafikuppgifter ska lagras av Stadsnät? SFS 2012:128 På vilka nivåer agerar stadsnät? Nivå ett (N1), här avses de stadsnät som tillhandahåller kapacitet för att få Internetåtkomst (anslutningsform) på nivå 1 i OSI- modellen. Det som stadsnätet unikt genererar och behandlar skall lagras. Nivå två (N2), här avses de stadsnät som ansluter kunder mot Internet på nivå två. Det som stadsnätet unikt genererar och behandlar skall lagras. Nivå två med egen DHCP- server (N2D), här avses de stadsnät som ansluter kunder mot Internet på nivå två och har egen DHCP. Nivå tre (N3), här avses de stadsnät som hanterar slutkundernas IP-adresser på nivå 3 och routar IP-adresserna i stadsnätet. När DHCP servern finns hos ISP (N3) skall det lagras samma uppgifter som i Nivå två-modellen plus att stadsnätet skall lagra tilldelning och avslut av fasta IP-adresser och nät. Nivå 3 med egen DHCP- server (N3D), här avses stadsnät som ska lagra uppgifter om både fasta och dynamiska IP-adresser från alla i stadsnätets ingående Internet/transitoperatörer. Om stadsnätet agerar som egen Internetoperatör för Internetåtkomst räknas det också hit.
Vilka Trafikuppgifter ska lagras av Stadsnät? SFS 2012:128 Modell för nivå 3 med egen DHCP- server (N3D). Internetleverantör Stadsnät Lägenhet Tjänstelev Abonnent 43:1 Användares IP-adress. 43:3 Datum och spårbar tid för påoch avloggning i tjänsten som ger Internetåtkomst. CPE/ xdsl Box GW ISP R SW/ DSLAM R DHCP 43:2 Uppgifter om abonnent och i förekommande fall registrerad användare 43:4. Vilken typ av kapacitet för överföring som har upp använts 43:5. Uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.
Vem ska lagra trafikuppgifter? Lagen om elektronisk kommunikation SFS nr: 2003:389 Kap 6, 16 a Den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 (Allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster får endast tillhandahållas efter anmälan till den myndighet som regeringen bestämmer). är skyldig att lagra sådana uppgifter som avses i 20 första stycket 1 och 3 som är nödvändiga för att spåra och identifiera kommunikationskällan, slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning samt lokalisering av mobil kommunikationsutrustning vid kommunikationens början och slut. Skyldigheten att lagra uppgifter enligt första stycket omfattar uppgifter som genereras eller behandlas vid telefoni, meddelandehantering, Internetåtkomst och tillhandahållande av kapacitet för att få Internetåtkomst (anslutningsform).
Vem ska ha tillgång till Trafikuppgifterna? Brottsbekämpande myndigheter. Rikspolisstyrelsen (inklusive Säkerhetspolisen och de 21 polismyndigheterna) Ekobrottsmyndigheten* Tullverket Åklagarmyndigheten Kustbevakningen* Skatteverket (skattebrottsenheterna)* Kronofogdemyndigheten * * Enbart abonnemangsuppgifter Tillgång till uppgifter för utredning, avslöjande och åtal som avser allvarlig brottslighet (sid 56 prop. 2011/12:55).
Vilka frågor ställer en uppgiftsmottagare? De vanligaste frågorna Abonnentfrågor Vem hade IP- adress xxxxxxxx den 1 juni 2012 kl 14.56 CET? Vem hade e-postadress xxxx@xxxx den 1 juni 2012? Trafiklistor Trafikuppgifter önskas för perioden 1 maj 2012 2 okt 2012 beträffande e-postadress xxx@xxx.? (Även frågor om visst telefonabonnemang/konto etc) Övriga frågor Vilka abonnemang har N.N den 28 maj 2012 (person- /organistionsnummer altenativt namn och adress)? Vem har IMEI- nummer xxxxxxxx? När aktiverades abonnemanget avseende konto/telefonnummer etc? När avslutades abonnemanget avseende konto/telefonnummer etc? Senaste aktivitet? Vid Pre- Paid: finns pengar kvar på abonnemanget?
Vilka frågor ställer en Uppgiftsmottagare? Efterfrågan av abonnemangsuppgifter Uppgift som brottsbekämpande myndighet har tillgång till och som kan användas som sökparameterar. (vid mer än en sökparameter måste en anges som primär) Abonnentens namn (juridisk eller fysisk person) Kontaktperson/innehavare Organisationsnummer/personnummer alt födelsedatum Abonnentens adress/adressfråga Uppgift ur ID- handling Identitet på ett abonnemang hos någon operatör Kundnummer som används hos en viss operatör Telefonnummer IMSI IMEI MAC- adress Portadress Anläggningsadress Datum då ett visst abonnemang aktiverades ID- nummer som kan ha tilldelats en användare hos en abonnent (t.ex. en anställd hos ett företag) Kreditkortnummer eller bankgironummer
Hur snabbt ska uppgifterna kunna lämnas ut?? Kap 6, 16 f Den som är skyldig att lagra uppgifter enligt 16 a ska bedriva verksamheten så att uppgifterna utan dröjsmål kan lämnas ut och så att verkställandet av utlämnandet inte röjs. Uppgifterna ska göras tillgängliga på ett sådant sätt att informationen enkelt kan tas om hand.
Vad gäller det för säkerhetskrav? Post- och telestyrelsens föreskrifter och allmänna råd om skyddsåtgärder i samband med lagring och annan behandling av uppgifter för brottsbekämpande ändamål; PTSFS 2012:NR (3) Tekniska och organisatoriska skyddsåtgärder Kontinuerligt och systematiskt säkerhetsarbete. Säkerhetsarbetet ska följas upp regelbundet. Dokumenterade rutiner och processer. (4) Behörighet och åtkomst Endast särskilt bemyndigad personal (5) Fysiskt skydd Utrymme med skydd mot elavbrott, obehörigt tillträde, brand och översvämning. Behörighets hantering Behörighets- kontroll (6) Behandlingshistorik (logg) Behandling av lagrade uppgifter ska dokumenteras och krypteras (7) Säkerhetskopiering Förvaras fysiskt åtskilda från lagrade uppgifter. Omfattas av samma skydd som för utrustning lagring
Utgår det någon ersättning för förfrågningar? Post- och telestyrelsens förslag om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål; PTSFS 2012:NR Uppgifter om abonnemang eller utrustning Ersättning kontorstid. Vardagar 08-17: 68 kr (- 50% vid automatiserat gränssnitt) Ersättning Icke Kontorstid: 110 kr (- 50% vid automatiserat gränssnitt) Samtals- /sessionslista Ersättning kontorstid. Vardagar 08-17: 974 kr (- 50% vid automatiserat gränssnitt) Ersättning Icke Kontorstid: 1 574 kr (- 50% vid automatiserat gränssnitt) Vilken abonnent/registrerad användare har Vilken utrustning har Vilken typ av kapacitet har använts Vad är knutet till denna anläggningsadress. Samtals-/sessionslista för en viss abonnent /registrerad användare. Samtals-/sessionslista inom ett visst geografiskt avgränsat område under en viss tid. Uppgift om internetåtkomst (på- och avloggning) under en viss tid för en viss abonnent och, i förekommande fall, registrerad användare.
Hur hanteras frågor och svar? ITS 27 Automat (XML) My My Myndighet System Automat/Manuell (XML) Manuell Operatör/ Leverantör
Kan man använda en 3.e part? ITS 27 SFS 2012:128 Fråga 3:e part SFS 2012:128 39 Myndighet Lagring Grunddata SFS 2012:128 41 SFS 2012:128 42 SFS 2012:128 43 Svar Stadsnät ITS 27
Mappning Report ITS 27 SFS Kommentar 39 41 42 43 Tabell E2: NAServiceSubscription parameters (Tjänstebeskrivning - anslutningsform) 1. Validity. Tidsintervall under vilket uppgifterna i denna struktur är giltiga, på formen starttid-sluttid (UTC-tid). Om sluttid inte anges anses uppgifterna fortfarande gälla. (O) 2 naserviceid. En unik identifierare för tjänstetypen, t ex abonnemangsform. Kan i fallet ADSL vara uppgift om abonnerad överföringshastighet. (O) 2 3. naproviderid. En unik identifierare för den leverantör som tillhandahåller anslutningsformen. Tilldelas av brottsbekämpande myndighet (Säkerhetspolisen). (O) 4. naauthid. Användarnamn (login). (C) 2 5. options. En förklarande text i förekommande fall, som beskriver abonnemanget, t ex fast IP-adress, 24 Mbit/sek. (O) 6. installationaddress. Anläggningsadress för användarutrustning, om tillämpbart.(o) 2 7. fixipaddress. Om leverantören tilldelat användaren en fast IP-adress ska den anges här. (O) 2 8. imsi. Om leverantören tilldelat användaren en IMSI för abonnemanget ska den anges här. 9. allocateddeviceids. Lista över all känd utrustning som tilldelats användaren för detta abonnemang. (O) 10. paymentdetails. Detaljer för betalning (t.ex. bank konto, faktureringsmetod eller faktureringsadress). (O) 2 2
Avtal vid ramavtalsupphandling av 3:e parts leverantör av datalagringstjänst SSNf Ramavtal för datalagringstjänst Avropsavtal för datalagringstjänst inklusive tillstånd för automatiskt utelämnande av trafikuppgifter. Uppgiftsmottagare (Brottsbekämpande myndighet) Leverantör (3.e Part) Lagring och tillhandahållande av trafikdata till brottsutredande myndighet Stadsnät 1) Underleverantörsavtal 2) Leveransavtal avseende tillhandahållande av trafikuppgifter
Våra frågor till er? Har ni definierat vad ni är skyldiga att lagra? Hur har ni arbetat med ITS 27? Lagrar ni trafikuppgifter från den 1:a maj? Hur avser ni tillhandahålla trafikuppgifter? Hur gör ni för att tillgodose kravet på att besvara en fråga utan fördröjning? Hur hanterar ni säkerheten? Ni som lagrar och svarar för frågor och svar har ni SUA- avtal och registerkontrollerad personal? Hur förhåller ni er till en 3:e partslösning? För ytterligare information se ssnf.org/informationsbank/lagar