Då Arbeidarpartiet og Høgre sikra fleirtal for datalagringsdirektivet våren 2011, fekk Datatilsynet i oppgåve å fastsetje nødvendige informasjonstryggleikstiltak som dei lagringspliktige ekomtilbydarane må gjennomføre. Det er dette arbeidet Datatilsynet no har ferdigstilt.
- DLD-konsesjonen som Datatilsynet har utarbeidd tek utgangspunkt i dei føringane som Stortinget la for vårt arbeid i fjor vår, samt våre eigne faglege vurderingar om kva krav som er nødvendig å stille for å oppnå ei tilfredsstillande informasjonstryggleik, seier direktør i Datatilsynet, Bjørn Erik Thon.
Nyttige innspel frå bransjen
Datatilsynet har under utarbeidinga av konsesjonen vore i dialog med både bransjen og andre offentlege myndigheiter og etatar. Det har blitt arrangert fleire drøftingsmøte om konsesjonen sitt innhald, og første utkast av konsesjonen blei og sendt på høyring.
- Vi har motteke mange nyttige innspel undervegs i prosessen, og vi har så langt det har latt seg gjere forsøkt å ta omsyn til dei innspela som har kome. Men vi har og måtte veie til dels motstridande omsyn mot kvarandre for å kome fram til løysingar som kan ivareta direktivets formål utan at personvernet vert truga i større grad enn nødvendig, seier Thon.
Alle verksemder som er lagringspliktige etter datalagringsdirektivet må søke Datatilsynet om konsesjon for behandlinga av personopplysningar. Det er Post- og teletilsynet som har ansvar for å definere kven som blir lagringspliktige.
DLD-konsesjonen frå Datatilsynet stiller mellom anna opp følgjande vilkår:
- Lagringspliktige verksemder må tilby sine eigne abonnentar moglegheit til å gjere seg kjent med alle personopplysningar som er lagra om vedkomande.
- Alle opplysningar skal lagrast kryptert gjennom ei tofasa krypteringsløysing. Første fase omfattar kryptering hos tilbydar i heile lagringsperioden. Fase to omfattar kryptering før overføring til relevant myndigheit.
- Lagra data skal signerast digitalt, slik at einkvar endring av opplysningane kan oppdagast.
- Opplysningane skal lagrast i separate, lukka system, åtskilt frå andre opplysningar som verksemda behandlar ut frå eigne drifts- og faktureringsformål.
- Det skal gjennomførast identitetskontroll ved innpassering til dei lokalane der opplysningane vert lagra. Tilkomst til lokala skal vere førehalt personell med eit sakleg behov.
- Lagra opplysningar skal berre utleverast til myndigheiter som i lov er gitt særskilt tilgang til å innhente dei aktuelle opplysningane, eller til verksemda sine eigne abonnentar på bakgrunn av innsynskrav.
- Dei lagra opplysningane skal slettast etter seks månader (jf. datalagringsforskrifta § 3-6).
- Verksemder som er lagringspliktige etter DLD skal kvart tredje år sende Datatilsynet ei stadfesting på at behandlinga skjer i samsvar med søknaden og personopplysningslova.
- Det er rom for at fleire lagringspliktige verksemder kan gå saman om å finne løysingar for lagring og handtering av personopplysningar.
- Krava som vert stilt i konsesjonen er eit vedtak som kan påklagast i samsvar med forvaltningslovas kapittel VI. Ei eventuell klage skal fremjast for Datatilsynet.
Last ned
DLD-konsesjonen (pdf)
Utsendt konsesjonsskriv (pdf)
Atterhald om endringar
Datalagringsforskrifta som vert utforma av Post- og teletilsynet er enno ikkje vedteke. Det er difor ikkje heilt klart korleis det endelege resultatet vil sjå ut. Innhaldet i personopplysningsforskrifta som skal heimle konsesjonsplikta, og som Fornyings-, administrasjons og kyrkjedepartementet har ansvar for, er heller ikkje vedteke. Datatilsynet tek difor atterhald om at konsesjonen vil måtte endrast på bakgrunn av den endelege forskriftsreguleringa. Tilsynet vel likevel å sende ut konsesjonen no for å unngå forseinkingar knytt til implementeringa av direktivet, og for å ta omsyn til konsesjonshaveranes behov for å innrette drifta av verksemda etter dei krava konsesjonen stiller. Dessutan vil det vere lettare å avklare kostnadsspørsmålet no når konsesjonens innhald er gjort kjent.