5 Sikkerhet og beredskap, person- og kommunikasjonsvern
5.1 Kort om lovforslaget
Departementet foreslår endringer i hovedbestemmelsen om sikkerhet og beredskap slik at nett og tjeneste skal holde et forsvarlig sikkerhetsnivå. Dette innebærer at det obligatoriske sikkerhetsnivået økes fra «nødvendig» til «forsvarlig» sikkerhet. I tillegg foreslås finansieringsplikten endret slik at tilbyderne må dekke kostnadene forbundet med tiltak for å nå det pålagte sikkerhetsnivået, altså utover det de ville dekket av kommersielle grunner. Det foreslås at tilbyder får en varslingsplikt overfor sluttbruker ved nærmere angitte sikkerhetsbrudd. Det foreslås enkelte mindre justeringer i bestemmelsen om tilbyders taushetsplikt, og taushetsplikt for kommunikasjon som rutes via utlandet behandles også. Videre foreslås tilbyders plikt til å sikre entydig identifikasjon av brukere ved inngåelse, endring og opphør av avtale skjerpet og flyttet fra forskrifts- til lovnivå. Tilsvarende foreslås reglene om informasjonskapsler (cookies) endret og flyttet fra ekomforskriften til loven. Gjennom en presisering av lovteksten foreslås videre å synliggjøre at både kommunikasjon og data vernes av ekomloven.
5.2 Sikkerhet og beredskap
5.2.1 Beskrivelse av gjeldende rett
Ekomloven § 2-10 setter krav til tilbyder om sikring av elektroniske nett og tjenester, også i situasjoner som går utover normalsituasjonen. Det følger av gjeldende § 2-10 første ledd at tilbyder skal tilby nett og tjenester med nødvendig sikkerhet for brukerne, selv i situasjoner der nettet utsettes for ekstraordinære påkjenninger. Tilbyder skal opprettholde nødvendig beredskap. Viktige samfunnsaktører skal prioriteres ved behov. Det følger av annet ledd at myndigheten gjennom forskrift, enkeltvedtak eller ved å inngå avtale med tilbyder kan stille krav til oppfyllelse av nasjonale behov for kommunikasjonssikkerhet. I gjeldende ekomforskrift stilles krav om at tilbyder skal ha oversikt over egne kunder med samfunnskritisk funksjon, og at tilbyder skal ha beredskapsplaner og delta i beredskapsøvelser arrangert av myndigheten. Det stilles også krav om prioritering av tjenestetilbud og varsling ved hendelser.
Det følger av loven § 2-10 tredje ledd at myndigheten har kompetanse til å kunne pålegge tilbyder å samarbeide nasjonalt og internasjonalt av hensyn til sikkerhet i elektroniske kommunikasjonsnett og -tjenester. Videre fremgår det av fjerde ledd at tilbyder i utgangspunktet skal dekke kostnader ved sikkerhets- og beredskapstiltak etter bestemmelsen, men at reelle merkostnader forbundet med levering av sikkerhets- og beredskapstiltak skal kompenseres av staten med basis i fyllestgjørende dokumentasjon som fremskaffes av tilbydere. Med «merkostnad» menes kostnad som vil falle bort uten pålegget, utover kostnaden ved en kommersiell tilpasning.
5.2.2 Bakgrunnen for lovforslaget
Sikkerhet i ekomnett og -tjenester er ikke bare knyttet til selve kommunikasjonen, men også til data og tilhørende systemer som oppstår i produksjon av ekomtjenester. Forslaget til lovendring er begrunnet i behovet for å øke sikkerheten i ekomnett og -tjenester. Gjennom lovendringen skal det sikres at tilbyderne kan pålegges å øke robustheten i ekomnettet og -tjenester. På denne måten skal det hindres at det oppstår brudd og bortfall av elektronisk kommunikasjon.
Lovendringen har sin bakgrunn i at det den senere tid gjennom flere hendelser og derav etterfølgende utredninger har vist seg at det ikke foreligger en robusthet i tråd med tidens krav fra brukerne og samfunnet. Dette skyldes delvis den økte betydningen av ekomnettet og -tjenester både i det daglige og ved krisehåndtering.
Norsk regelverk for elektronisk kommunikasjon har bestemmelser som ivaretar det norske samfunnets behov for trygghet og stabilitet. Gjeldende lov med forskrifter har flere bestemmelser om sikkerhet, og er langt på vei i tråd med endringene som følger av ekompakken. Sikkerhetsbestemmelsene i rammedirektivet, blant annet artiklene 13a og 13b, er i stor grad allerede ivaretatt i ekomloven § 2-10 og i ekomforskriften kapittel 7 og 8.
Tilbydere av ekomnett og -tjenester har en egeninteresse i å ivareta sikkerheten for å kunne tilby stabile tjenester til sine kunder. Ekommyndighetens rolle er først og fremst å sikre samfunnet utover hva tilbyder anser som nødvendig av kommersielle hensyn. Begge typer plikter følger i hovedsak av ekomloven § 2-10. Hendelsene med feil, brudd og bortfall av elektroniske kommunikasjonsnett og -tjenester våren 2011 viste klart hvor avhengig samfunnet er av fungerende ekomtjenester til enhver tid. Tilliten til mobilnett på det norske markedet har vært høy og følgelig har mange viktige samfunnsaktører basert sin virksomhet på, og forutsatt, at mobiltelefonen alltid kan benyttes både til å ringe med og benytte Internett.
På bakgrunn av hendelsene våren 2011 fikk Post- og teletilsynet i oppdrag fra departementet å foreta en kartlegging av sårbarheten i alle mobilnett på det norske markedet. Funnene i denne analysen viste at det er flere svake punkter som det blir viktig å følge opp i tiden fremover. Post- og teletilsynet peker blant annet på nødvendigheten av å se nærmere på brudd i sentrale sambandsfremføringer, robustheten i IP-baserte infrastrukturer, utfall av sentrale kritiske nettelementer, generelle svakheter og feil i nettene kombinert med høyt aktivitetsnivå i oppgradering og utvikling av tjenester. I tillegg fremgår det av analysen at det er uoversiktlige organisasjoner og mangelfulle arbeidsprosesser, samt defekter og feil i maskinvare og programvare. Tilbyderne har begrenset egenkompetanse og kapasitet og er svært avhengige av underleverandører. Tilsynet avdekket også svakheter i rutinene for fysisk og logisk tilgang til anlegg og systemer.
Analysen viser at mens tilbyderne har gjennomgående god evne til å håndtere løpende drift, har de i for liten grad tatt inn over seg ansvaret for å planlegge også for ekstreme driftssituasjoner. Post- og teletilsynet foreslår i sin analyse flere tiltak som departementet mener kan være hensiktsmessige. Det vil i fremtiden bli stilt skjerpede krav til tilbyderne av mobilnett, for å redusere sannsynligheten for feil og bortfall. Det vil blant annet bli stilt krav om at tilbydere av mobilnett skal gjennomføre regelmessige ROS-analyser (risiko- og sårbarhetsanalyser) og kunne dokumentere planer og tiltak for sikring av ekomnettene. Tilbyderne skal videre måtte dokumentere at de har tilstrekkelig kompetanse og kapasitet til å håndtere hendelser i fred, krise og krig, jf. ekomloven § 2-10. De må dessuten beskytte nett mot angrep fra eksterne nett og terminaler på en bedre måte enn i dag. Også tilgangskontroll til viktige anlegg vil måtte skjerpes, blant annet basert på den nye objektsikkerhetsforskriften. Departementet vil på basis av en nylig gjennomført kost-/nyttevurdering vurdere mulige forbedringstiltak i dagens sambandsstruktur med spesiell vekt på krav til redundans, robusthet og alternative fremføringsveier.
Uværet i romjulen 2011 med etterfølgende utfall av elektronisk kommunikasjon innebar at hundrevis av basestasjoner ble rammet av strømbruddet, noe som medførte totalt bortfall og svært begrenset kapasitet for mobiltelefoni for mange tusen mennesker. Også fastnett- og internettforbindelse var i enkelte områder nede, slik at mange abonnenter måtte klare seg uten kommunikasjon i flere dager. I enkelte områder var skadene så omfattende at det tok flere uker å få satt i drift nett og tjenester igjen. Departementet har mottatt en vurdering fra Post- og teletilsynet av situasjonen for ekomområdet under og etter uværet Dagmar. Det vil være et prioritert arbeid i tiden fremover å se på hvordan ekommyndigheten skal kunne bidra til at samfunnets evne til å stå i mot denne type ekstremvær styrkes. Ekommyndigheten vil vurdere tiltak for å bøte på de utfordringene det norske samfunnet står overfor når det gjelder tilgengeligheten og sikkerheten til ekomnett og -tjenester.
Forslaget til lovendring er også begrunnet i at EU har styrket regelverket for nett- og informasjonssikkerhet blant annet gjennom harmonisering, etablering av ulike plattformer og fora for myndigheter og privat næringsliv for å styrke dialogen om sikkerhet og beredskap innenfor IKT både nasjonalt og internasjonalt. EU er også i gang med å utarbeide en ny strategi for internettsikkerhet. Norske myndigheter deltar i arbeidet med denne strategien.
En annen viktig utvikling i EU er utvidelsen av ENISAs (European Network and Information Security Agency) mandat. ENISA ble etablert i 2004 med formål å styrke arbeidet med nett- og informasjonssikkerhet i EU. Norge deltar aktivt i ENISA og har observatørstatus i byråets styre. EU vedtok i juni 2011 at ENISAs mandat skulle forlenges til september 2013. Forlengelsen skulle gi Rådet og Parlamentet tid å drøfte den foreslåtte utvidelsen av ENISAs mandat. Det overordnede målet med å utvide mandatet er å gjøre EU, medlemsstatene og berørte aktører i stand til å utvikle god evne til å forhindre, avdekke og respondere på nett- og informasjonssikkerhetstrusler. Gjennom ENISA skal EU styrke sitt arbeid for beskyttelse av kritisk IKT-infrastruktur, bidra til etablering og samarbeid mellom CERTer (Computer Emergency Respons Team), utarbeide strategi for internettsikkerhet og lage rammeverk for innsamling av informasjon og informasjonsutveksling.
Elektronisk kommunikasjon er grenseoverskridende tjenester og det er formålstjenlig at europeiske myndigheter styrker sitt regelverk om sikkerhet. EUs rammedirektiv setter krav til økt satsning på sikkerhet i nett og tjenester gjennom to nye bestemmelser. Artikkel 13a fastsetter at medlemsstatene skal sørge for at tilbyderne innfører hensiktsmessige tekniske og organisatoriske tiltak for å håndtere den til enhver tid gjeldende risiko knyttet til nett og tjenesters sikkerhet. Det skal innføres tiltak som tar sikte på å forhindre og minimalisere konsekvensene av hendelser som truer sikkerhet, både for brukere og tilkoblede nett. Bestemmelsen fastslår videre at tilbyderne må sørge for at integriteten i nettene ivaretas. Medlemsstatene skal også sørge for at tilbyderne varsler kompetent regulatorisk myndighet ved sikkerhetsbrudd som har betydning for driften («operation») av nett og tjenester, jf. kapittel 5.5. Dersom det anses hensiktsmessig skal regulatoriske myndigheter varsle myndigheter i andre medlemsland og ENISA. Også befolkningen kan varsles av myndighetene, eller tilbyder kan selv bli bedt om å varsle befolkningen dersom sikkerhetsbruddet er av offentlig interesse. Direktivet fastsetter også plikt til årlig rapportering til Kommisjonen (for Norges vedkommende EFTAs overvåkningsorgan) og ENISA om varsling av hendelser og håndtering av disse. Kommisjonen kan vedta hensiktsmessige tekniske tiltak med sikte på å oppnå en harmonisering innenfor denne bestemmelsen, herunder format og prosedyrer for varsling. ENISA er i gang med å utarbeide retningslinjer for varsling av hendelser. Den andre bestemmelsen (artikkel 13b) fastslår at medlemsstatene skal sørge for at nasjonale kompetente regulatoriske myndigheter har de nødvendige virkemidler for å påse at artikkel 13a kan gjennomføres.
5.2.3 Høringsnotatets forslag
Departementet foreslår å endre § 2-10 primært som følge av erfaringene gjort med gjeldende bestemmelse, men også som følge av nye og endrede bestemmelser i ekompakken. Gjeldende § 2-10 første ledd første punktum knytter normen sikkerhet i elektroniske kommunikasjonsnett og -tjenester til brukerne. Dette innebærer at sikkerheten i nett og tjenester skal vurderes opp mot de brukere som til enhver tid faktisk er knyttet til nettet eller benytter tjenesten. Praksis har vist at det har vært vanskelig å definere riktig sikkerhetsnivå i henhold til brukermasse. Kundemassen vil variere, og det samme vil dennes behov for sikkerhet over tid, noe som har betydning for hvilke krav som må stilles til tilbyders sikkerhetsnivå.
I høringsnotatet foreslo departementet at sikkerheten i elektroniske kommunikasjonsnett og -tjenester ikke lenger skal knyttes opp mot faktiske brukere, men mot en generell forsvarlighetsstandard for sikkerhet. Det ble foreslått at alle tilbydere skal oppfylle samme forsvarlighetsstandard som et slags minstenivå for sikkerhet. Med «forsvarlig» menes at nett og tjenester skal være tilgjengelige og at integriteten og konfidensialiteten skal beskyttes. I høringsnotatet ble det foreslått en presisering av at tilbydere skal dekke kostnadene forbundet med gjennomføringen av dette.
I høringsnotatet ble det videre foreslått ulike presiseringer knyttet til nasjonale behov for sikkerhet i elektroniske kommunikasjonsnett eller -tjenester. Det ble foreslått å videreføre praksisen med at det inngås avtale mellom Post- og teletilsynet og aktuelle tilbydere om utførelse av tiltak som kommer i tillegg til kravet til et forsvarlig sikkerhetsnivå. Hjemmelen til å kunne pålegge slike tiltak foreslås videreført. Gjeldende hjemmel og praksis om at staten kompenserer merkostnadene knyttet til slike avtaler og pålegg om utførelse av tiltak ble også foreslått videreført. I tillegg ble det foreslått å ta inn en generell forskriftshjemmel, samt hjemmel til å anvende § 2-10 for andre virksomheter enn tilbydere.
5.2.4 Høringsinstansenes syn
Post- og teletilsynet foreslår følgende endring for å tydeliggjøre at forskrifter gitt i medhold av § 2-10 også kan gjelde for andre enn tilbydere:
«Bestemmelsen og forskrifter gitt i medhold av denne bestemmelsen gjelder tilsvarende så langt det passer for andre enn tilbydere.»
Politidirektoratet mener ekomloven § 2-10 er viktig i et alminnelig samfunnssikkerhetsperspektiv. Politidirektoratet sier videre:
«Ekomloven § 2-10 annet ledd om statlig dekning av reelle merkostnader for å sikre leveransesikkerhet, er imidlertid ikke særskilt knyttet til politiets eller nødetatenes behov og innsatsberedskap. Vi forutsetter at kostnader utløst av pålegg fra «myndigheten» (Samferdselsdepartementet/Post- og teletilsynet) eller etter avtale med denne, og som staten skal dekke, ikke belastes politiet.»
Telenor stiller seg bak den vurderingen som er gjort om å endre sikkerhetskrav fra brukernes behov til en generell minstestandard for sikkerhet som skal oppfylles av alle tilbydere, men fremholder også at:
«Forslaget etablerer begrepet «forsvarlig» og definerer det som at nett og tjenester skal være tilgjengelige, og at integritet og konfidensialitet beskyttes. Det kan stilles spørsmål om dette gir klare nok føringer om forventningene som stilles til den enkelte tilbyder.»
Telenor foreslår videre at foreslåtte første ledd siste punktum, samt annet ledd annet punktum vedrørende tilbyders dekning av kostnader, bør utgå da de står i motstrid til annet ledd tredje og fjerde punktum. Telenor støtter forslaget til nytt sjette ledd, da det er ønskelig med utdypende forskrifter for å klargjøre hvilke spesifikke krav tilbydere må rette seg etter. Telenor støtter også forslaget til nytt syvende ledd, da det ivaretar at alle relevante aktører blir likebehandlet.
Network Norway er enig i endringen som innebærer at sikkerhetsstandarden ikke knyttes opp mot de faktiske brukerne, men mot en generell minstestandard for sikkerhet. Network Norway er videre enig i at forsvarlighetsstandarden knyttes til tilgjengelighet, integritet og konfidensialitet. Network Norway sier videre:
«Network Norway mener imidlertid at minstestandarden må legges på et nivå som gir tilfredsstillende sikkerhet i fredstid. Når standarden utvides til å omfatte krig og krise kan dette få store konsekvenser for hvilke investeringer som må foretas i nettet.»
Network Norway viser videre til at endringsdirektivet 2009/140/EF (fortalen punkt 44 og artikkel 13a) ikke omtaler hvorvidt sikkerhet for krig og krise er relevante hensyn.
Tele 2 sier:
«SDs forslag innebærer at alle tilbydere nå skal tilby tjeneste med forsvarlig sikkerhet i fred, krise og krig. Hva en forsvarlig sikkerhet i «krise og krig» innebærer er ikke definert. I tillegg blir kostnadene for dette overlatt til den enkelte tilbyder. Det innebærer at SD innfører en minstestandard, som muligens vil bli klargjort av PTs praksis senere, og som potensielt vil medføre betydelige kostnader for de ulike tilbyderne. Dette medfører en usikkerhet for tilbydere i det norske telemarkedet som er uheldig. En ikke definert minstestandard kombinert med krav om å dekke kostnadene, ved å oppfylle denne ikke definerte minstestandard, er en lite heldig form for lovregulering.»
5.2.5 Departementets vurdering
Departementet er enig med Post- og teletilsynet i at det må tydeliggjøres at forskrifter gitt i medhold av § 2-10 også kan gjelde for andre enn tradisjonelle tilbydere. Ekomloven omfatter også aktører som ikke er tilbydere av elektronisk kommunikasjonsnett og -tjenester.
Departementet merker seg at både Telenor og Network Norway stiller seg bak å innføre en generell minstestandard for sikkerhet som skal oppfylles av alle tilbydere. Når det gjelder Telenors spørsmål til innføring av begrepet «forsvarlig» og departementets forslag til definisjon hva som ligger i dette, mener departementet det ikke er hensiktsmessig å presisere ytterligere i loven hva som ligger i begrepet. Slike krav vil bli fastsatt ved forskrift og enkeltvedtak. For øvrig vises til at tilbyderne har en egeninteresse i å ivareta god sikkerhet. De kjenner egne systemer best og har et godt grunnlag for å kunne vurdere hva som skal til for å sikre tilgjengelighet, integritet og konfidensialitet. Dette gjelder selv om erfaringene fra hendelsene i 2011 med brudd og bortfall av ekomnett og -tjenester har vist at det er nødvendig for myndigheten å fastsette detaljerte krav til sikkerhet og hva som ansees forsvarlig.
Departementet er ikke enig i merknadene om at forsvarlighetsstandarden ikke bør omfatte krig og krise, men kun ligge på et nivå som gir tilfredsstillende sikkerhet i fredstid. Forsvarlig sikkerhet i fredstid vil ikke alltid være tilstrekkelig sikkerhet i en krisesituasjon, og departementet mener tilbyderne må ha en forsvarlighetsstandard for sikkerhet også i disse situasjonene. Brukere av ekomnett og -tjenester må kunne forvente at tilbyderne har iverksatt sikkerhetsforanstaltninger som gjør at tjenestene også kan tilbys og være best mulig sikret i situasjoner utover en normalsituasjon. Tilbyder vil måtte vurdere den til enhver tid gjeldende risiko og gjøre sine sikkerhets- og beredskapstiltak på bakgrunn av det. Formålet med § 2-10 første ledd er å sikre at tilbyder ivaretar den grunnleggende sikkerheten til nett og tjenester, og at de sørger for nødvendig beredskap også for å kunne håndtere situasjoner utover det normale.
Departementet har merket seg tilbydernes påpekninger om at det er uheldig at de må dekke kostnadene til forsvarlighetsstandarden for sikkerhet utover normalsituasjoner, men viser til at hendelsene i 2011 har vist at det er nødvendig å kunne heve sikkerhetsnivået noe fra det nivået som tilbys på kommersielt grunnlag. Økningen av kravet til sikkerhet fra et nødvendighetsnivå til et forsvarlighetsnivå vil kunne medføre at tilbydernes kostnader økes noe. Departementet fastholder at det er tilbyderne som bør bekoste denne økningen. Myndighetens krav til sikkerhet vil bli basert på konkrete kost-/nyttevurderinger.
Videre pekes det blant annet på at endringsdirektivet ikke omtaler sikkerhet i krise og krig. Departementet viser til at direktivet ikke er til hinder for at medlemsstatene selv fastsetter regler om sikkerhet og beredskap. Krav om sikkerhet også i forbindelser med krise og krig er for øvrig ikke noe nytt i ekomregelverket, men er langt på vei en videreføring av gjeldende regler. Departementet er av den oppfatning at brukere av ekomnett og -tjenester må kunne forvente grunnleggende sikkerhet hos tilbyderne i alle situasjoner, og lovforslaget legger derfor opp til at tilbyderne skal dekke kostnadene knyttet til forsvarlig sikkerhet og nødvendig beredskap, jf. § 2-10 første ledd.
I lovforslaget legges det videre opp til at myndigheten kan treffe enkeltvedtak eller inngå avtale om at tilbyder skal gjennomføre tiltak for å sikre oppfyllelse av nasjonale behov for sikkerhet, beredskap og funksjonalitet i elektronisk kommunikasjonsnett og -tjeneste. Også i disse tilfeller skal tilbyder som utgangspunkt dekke kostnadene ved levering av slike tiltak, men reelle merkostnader knyttet til levering av slike tiltak vil kunne kompenseres av staten. Til forskjell fra kravet om forsvarlig sikkerhet i fred, krise og krig, jf. bestemmelsens første ledd, vil myndigheten i henhold til annet ledd kunne stille krav til sikkerhet og beredskap og levering av tjenester utover en forsvarlighetsstandard, og staten vil derfor på bakgrunn av dokumentasjon fremskaffet av tilbyder kompensere for merkostnadene.
5.3 Taushetsplikt
Det foreslås en mindre presisering i § 2-9 i første ledd om at det ikke er i strid med taushetsplikten å benytte taushetsbelagte opplysninger til lovlige behandlingsformål. Presiseringen foreslås for å hindre misforståelser. Videre foreslås en utvidelse av forskriftskompetansen i femte ledd, slik at det kan gis forskrift om unntak fra taushetsplikt ved effektiv ruting av trafikk. Det er først og fremst tenkt på begrensede unntak fra taushetsplikt, og forutsetningen er at sluttbruker blir gjort oppmerksom på unntaket.
5.3.1 Beskrivelse av gjeldende rett
Det følger av gjeldende § 2-9 første ledd at tilbydere av elektronisk kommunikasjonsnett eller -tjenester har taushetsplikt om «innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon, herunder opplysninger om tekniske innretninger og fremgangsmåter». Videre fremgår det av første ledd siste punktum at opplysningene heller ikke kan nyttes i egen virksomhet eller i tjeneste eller arbeid for andre, med unntak av statistiske opplysninger som er anonymisert. Av § 2-7 fremgår det at enkelte typer behandling av informasjon omfattet av taushetsplikten er å anse som lovlige behandlingsformål i tilbyders virksomhet. Dette gjelder blant annet behandling for tilbyders kommunikasjons- og faktureringsformål som ikke forutsetter samtykke fra den informasjonen gjelder. Omfanget av tilbyders lovlige behandling av opplysninger for kommunikasjons- og faktureringsformål er i det vesentlige regulert gjennom konsesjoner gitt av Datatilsynet. Men også annen bruk av dataene i virksomheten vil være å anses som lovlig dersom denne bruken er forutsett eller følger av andre bestemmelser i ekomregelverket. Det fastslås i ekomforskriften at det faller innenfor tilbyders lovlige behandling av trafikkdata å benytte de lagrede opplysningene til fakturering, trafikkstyring, kundeforespørsler, markedsføring av elektronisk kommunikasjonstjeneste og avsløring av urettmessig bruk av elektronisk kommunikasjon.
All annen behandling enn den som er nevnt i § 2-7 annet ledd (som ved ikrafttreden av datalagringsbestemmelsene blir nytt tredje ledd), herunder behandling til markedsføringsformål, krever samtykke fra brukeren.
Femte ledd gir myndigheten kompetanse til å fastsette forskrifter om taushetsplikt.
5.3.2 Bakgrunnen for lovforslaget
Det har blitt stilt spørsmål om taushetsplikten i første ledd, der det fremgår at opplysningene ikke kan nyttes i egen virksomhet, er i motstrid med § 2-7 der det fremgår at enkelte typer behandling av informasjon omfattet av taushetsplikten er å anse som lovlige behandlingsformål i tilbyders virksomhet. For å sikre at dette ikke fremstår som problematisk foreslås en presisering i § 2-9 første ledd for å sikre at det kommer klart frem at opplysningene kan nyttes i egen virksomhet til lovlige behandlingsformål.
En stor del av norsk elektronisk kommunikasjon med omverdenen går gjennom Sverige. Videre kan deler av trafikken mellom norske brukere internt i Norge også tidvis rutes via Sverige. Vedtagelsen av den såkalte FRA-loven (Försvarets radioanstalt) i Sverige innebærer at det kan bli foretatt signalspaning på trafikk i kabler som krysser Sveriges grense. Dette har skapt nye utfordringer for bruk av elektronisk kommunikasjon. Departementet mener at uavhengig av hvilket land trafikken rutes gjennom bør det gis generelle regler som sikrer at norske brukere av elektronisk kommunikasjon kan foreta et informert valg med hensyn til graden av beskyttelse for egen kommunikasjon, jf. forslaget nedenfor.
5.3.3 Høringsnotatets forslag
I § 2-9 første ledd er det foreslått presisert at det ikke er i strid med taushetsplikten å benytte taushetsbelagte opplysninger til lovlige behandlingsformål, herunder behandlingsformål som fremgår av § 2-7 annet ledd (nytt tredje ledd). Bakgrunnen for forslaget er at ekomloven § 2-7 annet ledd forutsetter et viktig unntak fra forbudet i § 2-9 mot å benytte taushetsbelagt informasjon i egen virksomhet. Det fremgår forutsetningsvis av § 2-7 annet ledd at tilbyder kan bruke trafikkdata for kommunikasjons- eller faktureringsformål. Forslaget til endring er ment å klargjøre sammenhengen mellom forbudet i § 2-9 og avgrensningen opp mot de lovlige behandlingsformålene som er angitt i § 2-7. Det vil således komme klarere frem at tilbyders bruk av trafikkdata for kommunikasjons- eller faktureringsformål eller andre lovlige behandlingsformål som angitt i loven, ikke er i strid med forbudet mot å nytte opplysningene i egen virksomhet.
Forskriftshjemmelen i § 2-9 sjette ledd er foreslått endret for å åpne opp for at myndigheten ved forskrift konkret kan gjøre unntak fra taushetsplikten dersom dette er nødvendig for å sikre effektiv ruting av trafikk. Bakgrunnen for forslaget er at trafikk som både origineres og termineres innenfor landets grenser i dag ofte sendes i transitt gjennom andre land. Overvåking av trafikk i elektroniske kommunikasjonsnett når nasjonal elektronisk kommunikasjon blir rutet gjennom landet vil kunne føre til at tilbydere i Norge bryter taushetsplikten etter ekomloven. Et pålegg om å rute all intern trafikk innenfor landets grenser vil være svært kostbart for bransjen. Dette er en kostnad som vil bli veltet over på brukeren, og et slikt pålegg fremstår ikke nødvendigvis som forholdsmessig. For å sikre at alle hensyn blir ivaretatt på best mulig måte foreslås gjeldende forskriftshjemmel utvidet slik at det kan gis regler som sikrer at det kan gis begrensede unntak fra taushetsplikten i § 2-9, dersom brukeren informeres om at det er gitt slikt unntak. Departementet fremmer forslaget til forskriftshjemmel for å sikre tilbyders lovlige drift, samt sikre at det kan stilles vilkår til tjenester hvor trafikken rutes i transitt gjennom andre land.
Det understrekes at alminnelig utenlandstrafikk, dvs. trafikk som origineres i Norge og avsluttes i utlandet, ikke vil omfattes av taushetspliktsbestemmelsene for den delen av kommunikasjonen som foregår utenfor landets grenser, jf. § 1-3.
5.3.4 Høringsinstansenes syn
Telenor er enig i at § 2-9 første ledd bør endres, men er usikker på om formuleringen «utover lovlige behandlingsformål» er egnet til å rette opp den uheldige uklarheten med hensyn til hva som skal anses som lovlige behandlingsformål. Telenor mener det er noe uklart om begrepet «behandlingsformål» viser til § 2-7, og i så fall hvilke behandlingsformål som fastsettes i § 2-7. Telenor mener videre at endringen av forskriftskompetansen ikke er nødvendig, men har ingen sterke innvendinger utover det.
5.3.5 Departementets vurdering
Når det gjelder Telenors merknad om uklarheter knyttet til hva som skal anses som lovlige behandlingsformål, vil departementet bemerke at «behandlingsformål» viser tilbake til § 2-7, som setter grensene for tilbyders behandling av trafikkdata og sletting av data når formålet ikke lenger er til stede. Paragraf 2-7 er ikke foreslått endret i høringsutkastet på dette punktet. Etter gjeldende rett er tilbyders «kommunikasjons- og faktureringsformål» lovlige behandlingsformål. I Stortingets vedtak om innføring av EUs datalagringsdirektiv ble § 2-7 utvidet slik at oppfyllelse av datalagringsplikten eller annen plikt som måtte følge av lov også vil være lovlige behandlingsformål i tillegg til kommunikasjons- og faktureringsformål.
5.4 Entydig identifikasjon
Det foreslås et nytt annet ledd i § 2-4 for å lovfeste tilbyders plikt til å sikre entydig identifikasjon av sluttbrukere ved inngåelse, endring og opphør av avtale. Departementet foreslår å gjøre plikten til entydig identifikasjon generell og å fremheve betydningen av den ved å flytte bestemmelsen fra forskriftsnivå til lovnivå. Samtidig innføres det et krav om at tilbyder skal kunne dokumentere hvordan identitetskontrollen er gjennomført.
5.4.1 Beskrivelse av gjeldende rett
I gjeldende regulering fremgår plikten til entydig identifikasjon av ekomforskriften § 6-2. Av bestemmelsen fremgår det at tilbyder skal føre oversikt over enhver sluttbrukers navn, adresse og nummer/adresse. Oversikten skal inneholde opplysninger som muliggjør entydig identifisering av registrerte sluttbrukere. Da ekomforskriften § 6-2 trådte i kraft i 2004 var det fortsatt mange uregistrerte kontantkortabonnement. I brev av 8. november 2004 påla Post- og teletilsynet tilbyderne å registrere alle kontantkortkunder på en entydig måte innen 1. juni 2005. Pålegget ble fulgt opp av tilbyderne, men det viste seg etter hvert at flere tilbydere kun registrerte opplysningene kundene selv oppgav i forbindelse med kontantkortkjøpet uten å foreta skritt for å verifisere disse opplysningene ytterligere. Problemet med manglende verifisering av sluttbrukers identitet er i tillegg til at politiets etterforskingsskritt, herunder kommunikasjonskontroll, vanskeliggjøres, blant annet slik at det også vil være enklere å foreta identitetstyveri og registrering av falske navn og adresser. Myndigheten påla derfor i 2006 tilbyderne å skjerpe sine rutiner for å registrere sluttbrukere.
5.4.2 Bakgrunnen for lovforslaget
Ekomtilbyderne synes per i dag i langt større grad å ha rutiner som sikrer entydig identifisering av sluttbrukere, men stikkprøver gjennomført av Post- og teletilsynet har likefullt avdekket at tilbydernes registreringsrutiner fortsatt ikke i tilstrekkelig grad forhindrer registrering av fiktive navn og adresser. Det foreslås derfor å fremheve betydningen av entydig identifisering ved å flytte bestemmelsen fra forskriftsnivå til lovnivå, og å skjerpe den noe.
Problemstillingen vedrørende entydig identifikasjon har særlig vært knyttet til forhåndsbetalte mobiltelefontjenester (kontantkort). Departementet anser det som viktig på generelt grunnlag å legge til rette for at det kan foregå en hensiktsmessig grad av identifisering overfor dem man kommuniserer med. Dette har betydning ved bestilling av tjenester, oppsigelser og endring av avtaleforhold, anonym telefonsjikane, anonym mobbing med videre. Et generelt krav til entydig identifikasjon av sluttbruker ved inngåelse, endring og opphør av avtale vil etter departementets syn bidra til å redusere omfanget av misbruk.
Forslaget til nytt annet ledd i § 2-4 vil i tillegg ha betydning for politiets behov for korrekt informasjon om sluttbruker i etterforskningsøyemed, opprinnelsesmarkering, identitetstyveri med videre. Forslaget må derfor også sees i sammenheng med implementeringen av datalagringsdirektivet, jf. § 2-7a og ekomtilbydernes plikt til å legge til rette for kommunikasjonskontroll etter ekomloven § 2-8. Dersom politiet skal kunne gjennomføre og ha nytte av kommunikasjonskontroll og lagringsplikt av trafikkdata vil det være nødvendig at tjenestetilbyder har pålitelige opplysninger om hvilken sluttbruker et bestemt telefonnummer er registrert på, eventuelt hvilke telefonnumre en bestemt fysisk eller juridisk person innehar eller disponerer.
Et generelt krav til entydig identifikasjon av sluttbruker ved inngåelse, endring og opphør av avtale vil etter departementets syn også kunne bidra til å redusere omfanget av forveksling, misbruk av andres identitet og identitetstyveri.
5.4.3 Høringsnotatets forslag
Departementet foreslår en ny bestemmelse i § 2-4annet ledd om entydig identifisering av sluttbruker. Kravet følger langt på vei av gjeldende ekomforskrift § 6-2 og er ikke nytt i ekomreguleringen. Praksis har vist at det er behov for en viss skjerpelse og utvidelse av plikten slik at identifisering skal skje både ved både inngåelse, endring og opphør av avtale. Samtidig foreslås innført et krav om at ekomtilbyder skal kunne dokumentere hvordan identitetskontrollen er gjennomført.
Forslaget ble hørt i departementets tilleggshøring av 16. november 2011. Problemstillingen ble også nevnt i den ordinære høringsrunden i forbindelse med sluttbrukere som ønsker tjenesten hemmelig nummer, jf. nærmere om dette i § 2-6, § 2-15 og ekomforskriften § 6-6 annet ledd i høringsbrevet.
Departementet anser det som mest hensiktsmessig å kodifisere og presisere gjeldende rett i en generell regel, slik dette kravet praktiseres av tilbyderne i dag ved inngåelse av avtale om tilgang til ekomnett og -tjenester. Begrepet «entydig identifikasjon» er ikke definert i lov eller forskrift. Kravet til notoritet vil imidlertid være avgjørende. Som hovedregel vil identifikasjonskravet innebære fremleggelse av legitimasjon ved salgssted eller kontroll mot folkeregistrerte opplysninger i kombinasjon med en ordrebekreftelse sendt til folkeregistrert adresse. Gjennom forskrift vil departementet senere kunne klargjøre innholdet i plikten nærmere.
5.4.4 Høringsinstansenes syn
Post- og teletilsynet mener at tilbydere av den offentlige telefontjenesten til en viss grad selv må vurdere hva som er hensiktsmessig metode for identifisering av sluttbrukere, sett i lys av hvilken fase avtalen er i og potensialet for misbruk. Tilsynet mener at det bør klargjøres hvorvidt avgivende tilbyder må kontrollere sluttbrukeres identitet også ved opphør av avtalen. Tilsynet mener dette kan virke unødvendig i lys av at mottakende tilbydere vil ha plikt til å sørge for at sluttbrukeren er entydig identifisert ved avtaleinngåelsen. I forhold til kravet til notoritet viser Post- og teletilsynet til at mange tilbydere av offentlig telefontjeneste utfører identitetskontrollen av sluttbrukere ved hjelp av en tredjepart. Dette skjer for eksempel der forhandlere selger «startpakker» i tilknytning til forhåndsbetalte mobiltelefontjenester. Forhandlerne vil kunne variere fra store elektrokjeder til små frittstående butikker. Tilsynet mener det er viktig at det kan dokumenteres i etterkant hvem som har gått god for identifiseringen.
Justisdepartementet støtter lovfesting av plikten for at tilbyder skal sikre entydig identifikasjon av sluttbrukere.
Forbrukerombudet viser til at det synes som om de fleste tilbyderne legger til grunn at bruk av fødselsnummer er godt nok som entydig identifikasjon. Dette er et problem i tilfeller hvor noen har blitt frastjålet dokumenter som bankkort, førerkort og lignende. Tyven vil da være i besittelse av offerets fødselsnummer, og vil lett kunne misbruke dette for eksempel ved å opprette mobilabonnement i offerets navn. Forbrukerombudet mener at plikten til entydig identifisering bør defineres i loven, slik at det klart fremgår av loven hva plikten til entydig identifisering av sluttbruker innebærer for tilbyderne.
Politiets data- og materielltjeneste (PDMT) og Nasjonalt kompetansesenter for helsetjenestens kommunikasjonsberedskap (KoKom) mener at det i annet ledd må tydeliggjøres at allerede registrerte sluttbrukere med fiktive navn og adresser må endres til entydig identifiserte. Videre mener de at kravene til entydig identifisering bør innbefatte krav til innlegging av korrekt og offisiell navn- og adresseinformasjon med verifisering mot Folkeregisteret og Matrikkelen, landets offisielle eiendomsregister. PDMT og KoKom foreslår et nytt ledd i bestemmelsen som krever at overføringen av abonnentdata til sentral database og/eller tilgjengeliggjøringen av egen database til Nasjonal Referansedatabase AS (NRDB) skal leveres i det formatet og i de felter som er definert for tjenesten.
Datatilsynet advarer mot en utvikling som vil kunne få som konsekvens at når noen har benyttet seg av et gitt abonnement, har vedkommende samtidig legitimert seg som abonnementets innehaver. Datatilsynet mener det er grunn til å frykte at en slik utvikling vil kunne ha den motsatte effekt enn den ønskede, ved at det legges til rette for en relativt enkel metode for å gjennomføre id-tyverirelatert kriminalitet og annet misbruk. Det vises til at det ikke byr på den helt store utfordringen å manipulere teknologien, uten at man er avhengig av tilgang til den mobile terminalen som på forhånd er knyttet til det aktuelle abonnement. Datatilsynet mener det er uheldig dersom bevisbyrden i slike sammenhenger i praksis snus, slik at det er innehaver av abonnementet som må sannsynliggjøre sin uskyld.
Dataforeningen mener at lovverket bør være helt klart når det gjelder bevisbyrde i identitetstyverisaker, slik at den som utsettes for identitetstyveri, med påfølgende kostnader for bruk av elektroniske tjenester utløst av identitetstyven, ikke blir skadelidende.
5.4.5 Departementets vurdering
Departementet anser det som viktig å legge til rette for en hensiktsmessig grad av identifisering og er således enige med Post- og teletilsynet i at tilbydere av den offentlige telefontjenesten selv må vurdere hva som er hensiktsmessig metode for identifisering av sluttbrukere sett i lys av hvilken fase avtalen er i og potensialet for misbruk. Tilbyder skal imidlertid kunne dokumentere hvem som har gått god for identifiseringen og at identifiseringen har skjedd på betryggende måte. Departementet mener videre at det er viktig å legge til rette for en hensiktsmessig grad av «autentitisering» eller identifisering. Dette innebærer at det legges til rette for en differensiert tilnærming, alt etter potensialet for misbruk og hvilken fase avtalen er i. Det er for eksempel viktigere med høy sikkerhet ved avtaleinngåelsen, da feil identitet på dette tidspunkt gjerne følger hele avtaleløpet, enn ved endring av abonnementstype for sluttbruker som kan gjøres ved å logge seg inn på «Mine sider» med passord. Overføring av abonnementet til en annen bruker eller endringer av opplysninger om sluttbruker med hemmelig nummer er andre eksempler på at det kreves en høyere grad av sikkerhet.
Når det gjelder Forbrukerombudets, Datatilsynets og Dataforeningens høringsuttalelser viser departementet til at bevisbyrdereglene vil være de samme som på andre rettsområder. Departementet er i utgangspunktet enig i at besittelse av andres fødselsnummer vil kunne føre til misbruk, som på andre rettsområder. Fordelene med kravet til entydig identifikasjon fremstår etter departementets syn uansett som større enn de betenkelighetene som er reist. Man kan ikke legge til grunn at den som bruker tjenesten alltid er samme person som sluttbruker. Dette må tilbyder, tjenesteleverandører og eventuelt nødetater ha egne systemer for å håndtere. Bruk av telefonnummer som en form for identifikasjon bør i utgangspunktet unngås og problemstilling som reises om bruk av fødselsnummer overskrider temaet om entydig identifisering i ekomlovens sammenheng. Bakgrunnen for forslag til endring er å skjerpe tilbyders krav om å kontrollere sluttbrukers identitet og å sørge for notoritet (etterprøvbarhet mv.) rundt kontrollen. Måten identitetskontrollen er gjennomført på skal kunne dokumenteres i ettertid. I dette ligger også et krav om at tilbyder skal rette eller slette allerede feilregistrerte navn og adresser, slik PDMT og KoKom påpeker i sine høringssvar. Når det gjelder uttalelsene om at kravene bør innbefatte krav til innlegging av korrekt og offisiell navn- og adresseinformasjon med verifisering mot Folkeregisteret og Matrikkelen, mener departementet at henvisningen til Matrikkelen ikke er hensiktsmessig når det gjelder elektronisk kommunikasjon. Videre har de fleste tilbydere systemer for verifiserting mot Folkeregisteret allerede i dag.
Endringer eller opphør av avtale som initieres av tilbyder av offentlig telefontjeneste vil ikke omfattes av bestemmelsen.
5.5 Informasjon ved sikkerhetsbrudd
Det foreslås at både kommunikasjon og personlige data skal beskyttes av § 2-7. Det foreslås videre å innføre et krav om at også abonnent og bruker skal varsles dersom det er sannsynlig at sikkerhetsbruddet vil påvirke abonnent og brukers personopplysninger eller personvern. Det foreslås at slik varsling likevel ikke skal gjelde der tilbyder overfor kompetent myndighet kan vise til at tilstrekkelige tekniske beskyttelsestiltak er gjennomført for dataene omfattet av sikkerhetsbruddet.
5.5.1 Beskrivelse av gjeldende rett
Det fremgår av § 2-7 at tilbyder skal gjennomføre nødvendige sikkerhetstiltak til vern av kommunikasjon i egne elektronisk kommunikasjonsnett og -tjenester. Ved særlig brudd på sikkerheten skal tilbyder informere abonnenten om risikoen. Trafikkdata skal slettes eller anonymiseres så snart de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål, eller for å oppfylle plikten etter § 2-7a til å lagre data (bestemmelsen er ennå ikke trådt i kraft) eller for å oppfylle andre krav fastsatt i medhold av lov. Det fremgår videre at annen behandling av trafikkdata krever samtykke fra bruker. Kapittel 7 i ekomforskriften gir nærmere regler om behandling av trafikkdata, behandling av lokaliseringsdata, informasjonskapsler og samtykke.
5.5.2 Bakgrunnen for lovforslaget
Kommunikasjon og personlige data skal beskyttes. Det følger av kommunikasjonsverndirektivet artikkel 4 at tilbyder skal iverksette tiltak som sikrer at kun autorisert personell får tilgang til personopplysninger («personal data»), at data skal sikres mot tilfeldig eller ulovlig ødeleggelse, tap eller endring, uautorisert lagring og behandling.
Det fremgår av endringene i kommunikasjonsverndirektivet at tilbyder skal varsle kompetent myndighet ved sikkerhetsbrudd knyttet til personopplysninger. Dersom det er sannsynlig at sikkerhetsbruddet vil påvirke abonnent eller brukers personopplysninger eller personvern skal disse også varsles. Sistnevnte type varsling er ikke nødvendig dersom tilbyder overfor kompetent myndighet kan vise til å ha innført tilfredsstillende beskyttelsesmekanismer. Kompetent myndighet kan imidlertid kreve at tilbyder varsler abonnent og bruker. Det gis i direktivet videre regler om varsling, vilkår for varslingsplikt, varslingens form og innhold.
5.5.3 Høringsnotatets forslag
Forslagene til endring i § 2-7 og § 2-10 i høringsutkastet er begrunnet i gjennomføring av endringsdirektivene og nødvendige nasjonale hensyn. I høringsnotatet foreslo departementet å endre tittelen på § 2-7 til å omfatte ikke bare vern av kommunikasjon, men også vern av data. Det ble følgelig foreslått i første ledd en presisering av at det er både kommunikasjonen og data som skal vernes. Det følger av personopplysningsregelverket at kompetent myndighet skal varsles ved sikkerhetsbrudd og dersom personopplysninger kommer på avveie, jf. personopplysningsforskriften § 2-6 tredje ledd. Departementet foreslo i høringen å innføre et krav om at også abonnent eller bruker skal varsles dersom sikkerhetsbrudd påvirker dataene eller griper krenkende inn i sluttbrukers eller brukers personvern. Et sikkerhetsbrudd vil kunne påvirke lagrede data i bestemmelsens forstand eksempelvis når mangel på rask og tilstrekkelig utbedring vil kunne føre til at dataene manipuleres eller går tapt. Tilsvarende kan sikkerhetsbrudd virke krenkende på personvernet dersom det kan føre til økonomiske tap, identitetstyveri, bedrageri, ærekrenkelse, grov ydmykelse, annen skade eller lignende for sluttbruker eller bruker. Det ble også foreslått en plikt for tilbyder til å varsle abonnent eller bruker ved særlig risiko for brudd på sikkerheten.
Det ble videre foreslått et nytt annet ledd om at varsling av abonnent eller bruker likevel ikke er nødvendig der tilbyder overfor kompetent myndighet kan vise til at tilstrekkelige tekniske beskyttelsestiltak er gjennomført for dataene omfattet av sikkerhetsbruddet. Kompetent myndighet i henhold til annet ledd ble foreslått å være Datatilsynet gjennom en delegering med hjemmel i § 1-4.
5.5.4 Høringsinstansenes syn
Post- og teletilsynet foreslår at begrepet «inngripende» erstattes med «krenkende», som sier noe mer om hvorvidt sikkerhetsbruddet eller risikoen for sikkerhetsbruddet har fått konsekvenser for sluttbruker. Post- og teletilsynet peker videre på at direktivet stiller krav til at sluttbruker skal varsles uten unødvendig forsinkelse og foreslår derfor at «uten unødvendig opphold» tilføyes i første ledd annet punktum.
Datatilsynet anbefaler at forholdet mellom hovedregel og unntak snus, slik at tilbyder kun har varslingsplikt overfor sluttbruker når denne selv vil kunne begrense konsekvensene av sikkerhetsbruddet. Tilbyder bør imidlertid alltid ha en plikt til å varsle Datatilsynet. Datatilsynet kan eventuelt pålegge tilbyder å varsle sluttbruker.
Telenor mener forslaget ivaretar endringene i kommunikasjonsverndirektivets artikkel 4.3 og ikke endrer den praksis Telenor har overfor Datatilsynet ved slike brudd. Telenor sier videre:
«Det kan imidlertid med god grunn spørres hvem som er «kompetent myndighet» i forslagets annet ledd («competent national authority» i direktivet). I dag er det varslingsplikt overfor Datatilsynet ved slike brudd, jf. personopplysningsforskriften § 2-6, og tilbyderne opererer under konsesjon gitt av Datatilsynet. På den annen side er det PT som normalt er kompetent myndighet etter ekomloven. Dette må klargjøres, slik at det ikke oppstår tvil om hvem som skal varsles.»
Network Norway er i prinsippet skeptisk til at bestemmelsen også inkluderer data fordi begrepet «data» er meget omfattende. Network Norway sier i sin høringsuttalelse:
«Network Norway mener at bruken av begrepet «data» innebærer at lovutkastet går langt utover det som kreves som følge av endringene i kommunikasjonsverndirektivets artikkel 4 (1a). Network Norway mener derfor at «data» må erstattes i lovteksten med «personopplysninger» eller «persondata».»
Network Norway viser til at brudd på bestemmelsen er straffesanksjonert (jf. ekomloven § 12-4), noe som i seg selv stiller krav til at bestemmelsen har et klart og presist innhold.
Kripos mener bestemmelsen i § 2-7 må ses i sammenheng med gjeldende § 2-8 om tilrettelegging for lovbestemt tilgang til informasjon. Kripos sier:
«Kripos vil understreke at vernet av data ikke må gå på bekostning av politiets mulighet til å motta informasjon i lesbart format.»
5.5.5 Departementets vurdering
Departementet er enig i Post- og teletilsynets innspill om at begrepet «inngripende» bør erstattes med «krenkende» fordi det er en mer dekkende beskrivelse med hensyn til hvilke konsekvenser sikkerhetsbruddet eller risikoen for sikkerhetsbruddet har fått for sluttbruker. Departementet er også enig med tilsynets påpekning om at etter direktivet skal varsling skje uten unødvendig opphold og foreslår at «uten ugrunnet opphold» tilføyes i bestemmelsen.
Når det gjelder Datatilsynets forslag om å endre bestemmelsen slik at hovedregelen er at kompetent myndighet alltid skal varsles, mens abonnent og bruker bare skal varsles dersom denne selv kan begrense konsekvensene av sikkerhetsbruddet, mener departementet det ikke vil oppfylle kommunikasjonsverndirektivets krav. Det følger av direktivet at abonnent og bruker skal varsles med mindre tilbyder overfor kompetent myndighet kan vise til at tilfredsstillende tekniske beskyttelsestiltak er gjennomført. Det følger av personopplysningslovgivningen at Datatilsynet alltid skal varsles der personopplysninger kommer på avveie ved sikkerhetsbrudd. Dette er etter departementets oppfatning fortsatt hovedregelen. Lovforslaget medfører en styrking av abonnents og brukers personvern ved at tilbyder nå også skal varsle disse dersom sikkerhetsbrudd vil kunne virke krenkende på lagrede data eller abonnent eller brukers personvern. Etter lovforslaget er varsling likevel ikke nødvendig dersom tilbyder kan vise til at tilfredsstillende tekniske beskyttelsestiltak er gjennomført. Hva som er å regne for tilfredsstillende vil være opp til kompetent myndighet å vurdere.
Departementet er enig med Telenor i at det må fremgå klart hvem som er kompetent myndighet i denne bestemmelsen. Departementet viser til at funksjonsfordelingsvedtaket av 4. juli 2003 nr. 881 vil bli oppdatert ved fastsettelsen av lovendringene, og at en slik klargjøring vil bli gjort i denne sammenheng.
Departementet er enig i Network Norways synspunkt om at bruk av begrepet «data» i bestemmelsen innebærer at lovutkastet går utover det som kreves som følge av endringene i kommunikasjonsverndirektivets artikkel 4. Kommunikasjonsverndirektivets artikkel 4 viser kun til persondata. Personvernet er særdeles viktig innenfor elektronisk kommunikasjon, og departementet mener at ekomloven § 2-7 skal regulere mer enn hensynet til vern av kommunikasjon og persondata. Bestemmelsen skal også gi et vern til øvrige data som måtte fremkomme ved produksjon og bruk av elektronisk kommunikasjon, som er viktig for å ivareta sikkerheten, integriteten og funksjonaliteten til nett og tjenester. Departementet mener derfor bruk av begrepet «data» er hensiktsmessig, og at presiseringen er viktig for å bedre sikkerheten ved produksjon og bruk av elektronisk kommunikasjon. Departementet viser videre til at Stortinget i vedtak om innføring av EUs datalagringsdirektiv besluttet en presisering av plikten til å slette data i § 2-7.
5.6 Informasjonskapsler/cookies
De aller fleste nettsider inneholder informasjonskapsler (såkalte cookies). Informasjonskapsler er en liten tekstfil som lagres på sluttbrukers terminal og som inneholder informasjon som gjør det mulig å følge sluttbrukers surfing. Noen informasjonskapsler laster ned oppdateringer og sørger for å opprettholde ytelsen til maskinen. Andre registrerer brukerens preferanser og datamaskin slik at nettsteder og søk går raskere og får bedre treff. For eksempel brukes informasjonskapsler for å huske om man har besøkt en gitt nettside før, og hvilke opplysninger som eventuelt er lagt igjen. Informasjonskapsler brukes ofte til å gi besøkende på et nettsted tilgang til ulike funksjoner på nettstedet og til å føre statistikk over antall besøkende. Det finnes dessverre også en rekke informasjonskapsler som installerer seg på maskinen og registrerer informasjon som kan brukes til svindel, og for å fremme avsenderens interesser. Informasjonskapslene arbeider ofte uten at brukeren er klar over det. Bruken av informasjonskapsler er en etablert teknisk fremgangsmåte.
Forslag til ny § 2-7b stadfester den rettslige rammen rundt beskyttelse av en brukers kommunikasjonsutstyr og stimulerer til en fortsatt utvikling i bransjen til å lage innovative og brukervennlige løsninger, som både ivaretar personvernet til den enkelte bruker og gir mulighet for vekst i bransjen. Forslaget innebærer et skjerpet krav til informasjon og samtykke ved bruk av informasjonskapsler.
5.6.1 Beskrivelse av gjeldende rett
Reguleringen av informasjonskapsler fremgår i gjeldende rett av ekomforskriften § 7-3. Bestemmelsen fastslår at behandling av slike data ikke kan gjøres uten at bruker har fått informasjon av den behandlingsansvarlige i henhold til personopplysningsloven, herunder om behandlingsformålet. Bruker skal også være gitt anledning til å motsette seg behandlingen. Dette er likevel ikke til hinder for teknisk lagring eller adgang til opplysninger for det formål å overføre kommunikasjon eller dersom lagringen er nødvendig for å levere en informasjonssamfunnstjeneste som bruker har etterspurt.
5.6.2 Bakgrunnen for lovforslaget
Det følger av endringene i kommunikasjonsverndirektivet artikkel 5.3 at medlemsstatene skal sørge for at lagring av informasjon eller tilgang til allerede lagret informasjon på abonnent eller brukers terminalutstyr kun er tillatt dersom disse har gitt sitt samtykke til dette (den såkalte «cookies»-bestemmelsen). Dette er ikke til hinder for teknisk lagring eller tilgang med det formål å overføre kommunikasjon i nettet eller dersom abonnent eller bruker eksplisitt har bedt om å bli tilbudt en slik tjeneste.
Hensynet bak endringene er å gi brukerne bedre kontroll over personopplysningene sine enn det som følger av gjeldende rett. Formålet med endringen er å styrke personvernet gjennom å beskytte terminalutstyret og informasjonen som lagres på slikt utstyr. Abonnent og brukers rett til informasjon om lagring på terminalutstyr foreslås styrket, og muligheten til å velge bort denne type lagring tydeliggjøres ved at det kreves informert samtykke fra abonnent og bruker. Det følger av direktivet artikkel 6 at trafikkdata kan lagres til markedsføringsøyemed dersom abonnent og bruker har gitt sitt samtykke til dette.
5.6.3 Høringsnotatets forslag
Departementet foreslo i høringen at endringene i kommunikasjonsverndirektivet skulle ivaretas gjennom en videreføring og utvidelse av bestemmelsen i ekomforskriften § 7-3 om opplysninger i brukers kommunikasjonsutstyr.
Forslaget innebærer at forbudet mot lagring av opplysninger og tilgang til slike i brukers kommunikasjonsutstyr ikke begrenses til de tilfeller der det benyttes elektronisk kommunikasjonsnett. Det ble videre foreslått at bruker må ha gitt et eksplisitt samtykke for at det skal være tillatt med lagring av opplysninger i brukers kommunikasjonsutstyr eller å skaffe seg tilgang til slike opplysninger. Etter gjeldende rett er det tilstrekkelig at brukeren er gitt anledning til å motsette seg slik behandling. I tillegg ble det foreslått at det kan gjøres unntak fra forbudet mot lagring, ved å tillate teknisk lagring eller adgang til opplysninger i kommunikasjonsutstyr, dersom formålet utelukkende er å overføre eller lette overføringen av elektronisk kommunikasjon, eller for å levere en informasjonssamfunnstjeneste som bruker har etterspurt.
5.6.4 Høringsinstansenes syn
Når det gjelder forslaget til endring i regelen om lagring og innhenting av informasjon i terminalutstyr, er det særlig spørsmålet om bruk av informasjonskapsler som har blitt kommentert av høringsinstansene. Interesseorganisasjonene for mediebedrifter og for markedsføringsbedrifter har påpekt at det ikke kommer tydelig nok frem hva som er konsekvensene av endringene som er foreslått. Flere høringsinstanser mener at det ikke er grundig nok drøftet hva som er tilstrekkelig for at sluttbruker kan anses å ha gitt samtykke.
Interesseorganisasjonen for Interaktiv Markedsføring (INMA) og Mediebedriftenes Landsforening (MBL) uttaler følgende om informasjonskapsler/cookies:
«De foreslåtte endringene i ekomforskriften § 7-3 vil kunne endre, vanskeliggjøre og trolig reelt umuliggjøre bruk av cookies for store deler av næringslivet i Norge. Dette vil ikke bare ha stor betydning for hvordan Internett fungerer i Norge, men også påvirke næringslivets og forbrukeres bruk av Internett, samt påføre næringsdrivende og derigjennom også forbrukere omfattende kostnader. Den kraftige innskrenkingen i bruk av cookies som endringen reelt kan innebære, jf. nedenfor, vil kunne ha en sterk konkurransevridende effekt ved at utenlandske aktører som er underlagt mindre restriktive regler vil få et fortrinn i konkurransen med norske aktører.»
INMA og MBL mener verken de foreslåtte endringene eller merknadene til dem i høringsnotatet omhandler de viktige presiseringene av bestemmelsens rekkevidde som følger av direktivet eller hvilken betydning (om noen) endringene er ment å ha for bruken av cookies, og organisasjonene ber om at departementet klargjør at de foreslåtte endringene ikke medfører noen endring i gjeldende rett med hensyn til bruk av cookies i forbindelse med lovlige tjenester.
5.6.5 Departementets vurdering
Departementet foreslo som nevnt ovenfor i høringen at endringene i kommunikasjonsverndirektivet skulle gjennomføres ved endring i ekomforskriften § 7-3 Behandling av informasjonskapsler mv. Tittelen ble samtidig foreslått endret til å lyde: «Opplysninger i brukers kommunikasjonsutstyr». Departementet ser at det kan stilles spørsmål om forskriftshjemmelen i ekomloven § 2-7 fjerde ledd gir tilstrekkelig hjemmel for de endringer som følger av direktivet. Videre er det i høringsrunden fremkommet flere synspunkter som etterlyser en større nyansering av hvordan endringene i direktivet skal forstås. På bakgrunn av høringsinnspillene foreslås reguleringen av informasjonskapsler/cookies fastsatt i ny § 2-7b i loven. En ny lovbestemmelse vil bedre synliggjøre og legitimere reguleringen av informasjonskapsler. Det foreslås derfor en ny bestemmelse i loven § 2-7b som viderefører bestemmelsen i forskriften § 7-3 i noe endret form. Dette vil også sikre at hjemmelsrekken er ivaretatt.
Når det gjelder spørsmålet om hva som er tilstrekkelig for at bruker ansees for å ha gitt sitt samtykke, mener departementet at en teknisk innstilling i nettleser vil kunne benyttes til å samtykke eller til å nekte samtykke, forutsatt at sluttbruker er tilstrekkelig informert om formålet med informasjonsinnsamlingen og lagringen. Også en forhåndsinnstilling i nettleser om at bruker aksepterer informasjonskapsler anses å utgjøre et samtykke. Dette forutsetter imidlertid at det finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler og lignende teknikker som benyttes, hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene. Det er etter departementets syn tilstrekkelig å samtykke én gang for samme formål. Bruker skal til enhver tid ha mulighet til å trekke tilbake sitt samtykke. Det presiseres at innholdet i kravet til samtykke av praktiske hensyn ikke vil være sammenfallende med samtykkekravet i personopplysningsloven.
Departementet legger til grunn at kommunikasjonsverndirektivet artikkel 5.3 ikke har til hensikt å vanskeliggjøre bruk av lovlig teknikker som informasjonskapsler, men å sikre brukernes personvern. Artikkel 5.3 retter seg i hovedsak mot personvernkrenkende teknikker som spionprogram og lignende. Departementet vil således presisere at endringen i regelverket ikke er ment å innebære noen endring når det gjelder å benytte lovlige teknikker, men skal forstås som en presisering av forpliktelsen til å gi brukere tilstrekkelig informasjon og valgmuligheter med hensyn til bruken av disse teknikkene. Dette vil gi brukerne mulighet til å ivareta sine rettigheter. Med «lovlige teknikker» menes informasjonskapsler eller lignende teknikker som har stor utbredelse, og som vanligvis benyttes som rene tekniske hjelpemiddel i utformingen av nettsteder.
Det følger av direktivendringen at det ikke lenger kreves at det er den behandlingsansvarlige i henhold til personopplysningsloven som skal opplyse om formålet med behandlingen. Bakgrunnen er at de opplysninger som omfattes ikke bare utgjør personopplysninger og at det således ikke alltid finnes noen behandlingsansvarlig i henhold til personopplysningslovgivningen. Forslaget til ny § 2-7b er derfor utformet slik at det er selve handlingen – det å lagre eller hente informasjon – som omfattes. Det foreslås således at den som er ansvarlig for handlingen må påse at kravene oppfylles. Med «ansvarlig» menes her den som bestemmer midler og formål for lagringen eller henting av informasjon, og ikke nødvendigvis den som utfører den. Det presiseres imidlertid at i mange tilfeller når det handler om personopplysninger vil den ansvarlige være sammenfallende med den behandlingsansvarlige i henhold til personopplysningsloven.
Som det fremgår av forslaget til ny § 2-7b vil ikke forbudet mot lagring av opplysninger i brukers kommunikasjonsutstyr, eller det å skaffe seg adgang til slike, være til hinder for teknisk lagring eller adgang til opplysninger, når det utelukkende har til formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller når det er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige etterspørsel. Dette er i overensstemmelse med forslaget i høringsnotatet. Hva som oppfyller kravet om nødvendighet vil måtte vurderes konkret i det enkelte tilfelle og ses i sammenheng med den teknologiske utviklingen.
Departementet vil følge utviklingen videre og om nødvendig foreslå å innskjerpe reglene for bruk av informasjonskapsler.