Forsiden

Høringssvar fra GlobalConnect

Dato: 01.11.2022

GlobalConnects innspill til høring av forslag til endringer i ekomforskriften - IP-lagring

1. Bakgrunn

GlobalConnect AS og HomeNet AS (i felleskap "GlobalConnect") viser til Kommunal- og distriktsdepartementets ("KDD") høringsnotat 9. oktober 2022 om i ovennevnte sak. Her redegjør departementet for sitt forslag til endringer i ekomforskriften som er ment å utfylle bestemmelsene om plikt for ekomtilbydere til å lagre og utlevere IP-adresser i ekomloven §§ 2-8 a og 2-8 b.

Vi har i vårt høringssvar 11. januar 2021 redegjort for vårt syn på forslaget om innføring av en lagringsplikt i ekomloven. Plikten til å lagre IP-adresser ble senere vedtatt ved en lovendring til ekomloven 18. juni 2021 nr. 131, jf. Prop.167 L (2020-2021). Stortinget påla her tilbyder å lagre de opplysninger som er nødvendige for å identifisere abonnenter. Lagringsplikten gjelder uavhengig av aksessteknologi, og inkluderer tilbydere av internettaksess over både fast- og mobilnett.

Identifiseringen av abonnenter skal skje med utgangspunkt i offentlig IP-adresse og tidspunkt for kommunikasjonen, og også portnummer der det er tilgjengelig dersom samme offentlige IP-adresse er tildelt flere abonnenter samtidig. Det skal ikke lagres destinasjonsinformasjon. Informasjonen skal lagres i 12 måneder fra kommunikasjonen avsluttes, uavhengig av om abonnentens kundeforhold er avsluttet før utløpet av lagringspliktig periode. Etter langringspliktig periode er avsluttet, inntrer hovedregelen om sletteplikt.

Endringene i ekomforskriften er ment å operasjonalisere denne lovpålagte lagringsplikten. GlobalConnect vil i det videre redegjøre for vårt syn på utvalgte deler av forskriftsforslaget. Vi vil konsentrere oss om de delene av forskriftsforslaget som treffer tilbyderne.

2. Kommentarer til rammene for forskriftsforslaget

I vårt innspill 11. januar 2021 til høringen av forslaget om innføringen av en lagringsplikt for IP-adresser i norsk stilte vi spørsmål ved myndighetenes rettslige handlingsrom. Vi tar til etterretning at Stortinget likevel besluttet til å pålegge tilbyderne en plikt til masselagring av IP-adresser i 12 måneder uten domstolskontroll og for tilbydernes regning.

Vårt utgangspunkt fremover er at ekomforskriften §§ 7-6 og 7-7 så langt mulig operasjonaliserer lagrings- og uthentingsplikten innenfor de rammene ekomloven § 2-8a trekker opp. Dette bør skje på en måte som gir politiet og aktørene maksimal forutsigbarhet samtidig som den åpner for at tilbyderne kan finne fleksible og kostnadseffektive løsninger. GlobalConnect er positiv til at forslaget på en rekke punkter er konkret og gir lite rom for tolkning. Samtidig er det fortsatt rom for forbedring.

Vi støtter også konkretiseringen av de to alternativene løsningene for å overføre anmodninger og svar (side 3), at det stilles minimumskrav til innholdet i "spørringen" (side 3) og at forskriften legger opp til standardiserte prosedyrer.

IP-lagring dekker ingen kommersielle behov i markedet. Det er heller ikke et ønsket tiltak sett fra tilbydernes ståsted ettersom det fremstår som en masseovervåkning av alle brukere uavhengig av mistanke og skyld. Dette kan i ytterste konsekvens undergraver kommunikasjonsvernet og kundenes tillit til at metadata er konfidensiell.

Sett i lys av dette er vi enig med departementet i at ansvaret for å vurdere vilkårene for innsyn alene ligger hos politiet. Vi mener i tillegg at ekomforskriften eksplisitt bør frita tilbyder for erstatningsansvar for å oppfylle lagringsplikten etter modell av sanksjonsreglene. GlobalConnect mener departementet også bør gjøre unntak fra den registrertes rett til innsyn etter GDPR art. 15 og informasjonsplikten etter artikkel 14. Vi går nærmere inn på dette i punkt 3. under.

3. Kommentarer til utvalgte deler av høringsforslaget

(a) Ingen grunn til å utsette sentrale avklaringer til "fremtiden"

GlobalConnect er sterkt uenig i departementets utgangspunkt om å "utvise en viss forsiktighet med for omfattende og detaljert kravsetting på det nåværende tidspunkt".[1] Det er et tilbakevendende problem i ekomsektoren at både lovgiver og myndigheter utsetter viktige avklaringer til "et senere stadium" i prosessen, i stedet for å håndtere dem gjennom lov og forskrift. I praksis øker dette risikoen for overtredelser og fører til ressurskrevende prosesser mot departement og sektortilsyn for å avklare innholdet i reguleringen.

Prosessen med vedtagelse av ny sikkerhetslov med forskrifter illustrerer dette på en god måte. Slik GlobalConnect ser det hadde lovgiver en intensjon om at loven med tilhørende forskrifter skulle gi både myndigheter og regulerte aktører et detaljert og forutsigbart rammeverk. Tidspress i forbindelse med lovarbeidet, førte også her til at lovgiver måtte utsatt de sentrale avklaringer til de etterfølgende forskriftene. Som følge av manglende fremdrift stilte forskriftene langt mindre detaljerte krav enn det tilbydere og myndigheter har behov for. Resultatet har blitt et langt mindre forutsigbart rammeverk. Samtidig har forvaltningen i praksis gitt seg selv et vidt mandat til å avgjøre sentrale spørsmål i etterkant. GlobalConnect mener dette er problematisk, spesielt på områder der behovet for rettssikkerheten er sterkt.

Sett i lys av dette oppfordrer GlobalConnect departementet til å sørge for at ekomforskriften stiller så detaljerte og entydige krav som mulig når den blir vedtatt. Det vil redusere både tilbydere og myndigheters risiko og ressursbruk. Dersom departementet mener det er behov for en sikkerhetsventil, kan det løses gjennom å gi Nkom en generell hjemmel til å dispensere fra kravene.

GlobalConnect mener dessuten det fremstår som lite konsekvent at departementet bruker tid og ressurser på å klarlegge sanksjonsmulighetene overfor tilbyderne, men ikke innholdet i kravet/plikten.

(b) Forskriften bør pålegge bruk av standardiserte løsninger som den klare hovedregel

På side 3 i høringsnotater skriver departementet at lovproposisjonen gir uttrykk for "en ambisjon om at utlevering av lagringspliktig informasjon til politi- og påtalemyndighet skal skje på en mest mulig kostnadseffektiv måte". GlobalConnect mener dette ikke bare er en "ambisjon", men en bindende ramme for operasjonaliseringen av lagringsplikten.

GlobalConnect er enig med det mandatet departementet har gitt Nkom og Politidirektoratet til å utveksle standardiserte og automatiserte løsninger. Vi støtter også forslaget om å legge opp til to alternative overføringsmåter; en maskinell utveksling ved hjelp av APIer og en mer manuell behandling gjennom ID-porten. Det førstnevnte alternativet legger til rette for en forutsigbar og kostnadseffektiv utlevering av lagringspliktige opplysninger – det sistnevnte for fleksibilitet i unntakstilfeller.

I mangel av tydelige føringer i forskriften er det en betydelig risiko for utstrakt bruk av den manuelle løsningen, f.eks. fordi det passer bedre med politiets interne prosesser eller gir større spillerom i etterforskningen. Det er i så fall uheldig. Ettersom forskriften legger opp til at tilbyderne må dekke brorparten at kostnadene vil ikke politiet ha et reelt insentiv til å holde dem lave.

GlobalConnect støtter departementets forslag om at utlevering "så langt mulig" skal skje ved hjelp av standardiserte løsninger, men ber KDD også presisere at dette er den klare hovedregelen. Terskelen for å utløse plikten til å svare på "manuelle" spørringer må være høy (sikkerhetsventil). Dette vil øke rettssikkerheten samtidig som det reduserer sannsynligheten for at staten påføre tilbyderne større kostnader enn nødvendig (side 4).

(c) Forskriften bør frita tilbyder for erstatningsansvar og innsynskrav

Tilbyderne har ingen egeninteresse i å lagre IP-adresser i 12 måneder. De har heller ingen kontroll på om det er grunnlag for å utlevere slike metadata i den konkrete saken eller om dette griper inn i brukernes rett til privatliv i strid med EMK mv. Tiltaket dekker utelukkende offentlige behov knyttet til etterforskning av straffbare handlinger. Samtidig er det en nærliggende risiko for at berørte sluttbrukere, interesseorganisasjoner m.fl. vil forsøke på holde tilbyderne ansvarlig.

Sett i lys av dette oppfordrer GlobalConnect departementet til å vurdere å forskriftsfeste at tilbyder ikke er erstatningsansvarlig for utlevering av IP-data til politiet etter modell av sanksjonsregelverket.

I utgangspunktet vil sluttbrukerne etter GDPR ha krav på innsyn i lagrete opplysninger og krav på informasjon om behandlingen. Vi stiller spørsmål ved om dette er hensiktsmessig, all den tid formålet med lagringsplikten er å sikre data til etterforskning av straffbare handlinger. Vi ber også departementet vurdere om det skal gjøres unntak fra retten til informasjon og innsyn og plikten til underretning i personopplysningsloven § 16 mv.

(d) Behov for å klargjøre sentrale begrep

Etter anmodning skal tilbyder utlevere "all tilgjengelig abonnementsinformasjon knyttet til identifiserte abonnenter", se høringsnotatet side 8. Det er ikke helt klart hva som ligger i begrepet, selv om forslaget presiserer at utleveringsplikten ikke omfatter "opplysninger om abonnement og abonnentens utstyr". GlobalConnect oppfordrer departementet til å konkretisere nøyaktig hvilke opplysninger som skal utleveres i stedet for å overlate spørsmål til etterfølgende tolkning.

Videre ber GlobalConnect departementet om å vurdere å erstatte henvisningen til "RIPE-databasen" med et teknologinøytralt begrep for å fange opp fremtidige endringer.

(e) Forskriften bør og må regulere håndteringen av kostnader

Det fremgår av lovbestemmelsene at tilbydere skal dekke investerings- og driftskostnader som påløper for å oppfylle lagringsplikten. Staten skal dekke kostnader som påløper i forbindelse med utlevering av informasjon. Den endelige forskriften bør ikke bare regulere kontrolltiltakene (revisorbekreftelse), men også konkretisere hvilke utgifter tilbyder har krav på å få dekket av politiet. Dette er blant annet nødvendig for å unngå etterfølgende diskusjoner, all den tid den vedtatte lagringsplikten gir staten få insentiver til å holde kostnadene nede.

(f) Forskriften bør definere en tydelig terskel for utlevering utenfor normal kontortid

GlobalConnect ber departementet revurdere kravet til responstid, nærmere bestemt forventningen om at tilbyderne må være forberedt på å utlevere data utenfor kontortid (24/7). I dag er det utelukkende nødrett som utløser et krav om «umiddelbar» utlevering av opplysninger utenfor normal kontortid. Etter GlobalConnects oppfatning bør dette prinsippet videreføres. Dette vil etablere en tydelig definert og tilstrekkelig høy terskel for besvarelse av henvendelser utenfor normal kontortid.

Utover nødrett har vi problemer med å forstå hvilket behov politiet har for å få utlevert denne typen metadata hele døgnet. Vi kan heller ikke se at dette er i tråd med reguleringen i sammenlignbare land. Samtidig er kravet svært kostnadskrevende. Blir kravet stående, vil dette i praksis ramme alle aktører bortsett fra Telenor som allerede har døgnbemannet politisvarfunksjon. Vi tror ikke det har vært intensjonen. Skulle det i etterkant vise seg at politiet utover nødrett har andre, konkrete behov for utlevering hele døgnet, kan myndighetene raskt innføre et slikt krav gjennom en forskriftsendring.

7. Avsluttende kommentarer

Eventuelle spørsmål til dette høringsinnspillet kan rettes til undertegnede på telefon +47 900 73 598 eller e-post andoks@globalconnect.no.

Med hilsen

GlobalConnect

Anders Øksne

Head of Security Norway


[1] Høringsnotatet side 2: "På nåværende tidspunkt er det ikke ferdige produksjonssatte løsninger for logging og lagring hos tilbyderne eller produksjonssatte løsninger for standardisert datautveksling hos verken tilbyderne eller politiet. Det foreligger ikke praktisk erfaring med gjennomføring av reglene i ekomloven §§ 2-8 a og b, og enkelte regulatoriske behov vil først kunne vise seg senere. Departementet foreslår derfor å utvise en viss forsiktighet med for omfattende og detaljert kravsetting på det nåværende tidspunkt."