6 Vern av kommunikasjon og data
6.1 Innledning
Forslaget til endring i § 2-7 er ment å klargjøre forholdet mellom kommunikasjonsvernet etter ekomreguleringen og vern av forskjellig type data som omfattes av personvernreguleringen. I tillegg legger forslaget til rette for at kommisjonsforordning 611/2013/EU av 24. juni 2013 om tiltak som skal anvendes ved varsling av brudd på persondatasikkerheten, kan tas inn i norsk rett.
6.2 Gjeldende rett
Tilbyder skal gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne elektroniske kommunikasjonsnett og -tjenester. Videre er det etter gjeldende bestemmelse et sammensatt varslingskriterium for varsling til abonnent eller bruker. Loven fastsetter at tilbyder straks skal varsle abonnent ved særlig risiko for brudd på sikkerheten og dersom sikkerhetsbrudd vil kunne skade eller ødelegge lagrede data eller krenke personvernet til abonnent eller bruker. Varsling av abonnent eller bruker er ikke nødvendig dersom tilbyder overfor kompetent myndighet kan vise at tilfredsstillende tekniske beskyttelsestiltak er gjennomført for dataene som er omfattet av sikkerhetsbruddet.
6.3 Høringsnotatets forslag
Gjeldende rett foreslås klargjort gjennom en opplisting av tre alternative varslingskriterier. Forslaget markerer skillet mellom vern av kommunikasjon, vern av data og personvern. Det ble foreslått at tilbyders varslingsplikt overfor bruker eller abonnent videreføres. Videre ble det foreslått å klargjøre at varslingsplikten kan utløses både forut for og etter sikkerhetsbruddet har inntrådt. Departementet foreslo at abonnent eller bruker skal varsles uten ugrunnet opphold og senest innen 24 timer etter at hendelsen er oppdaget. I tillegg ble det foreslått at tilbyder skal varsle abonnent eller bruker dersom det foreligger sikkerhetsbrudd som har skadet eller ødelagt lagrede data. Dette er en videreføring av gjeldende rett. Det ble også foreslått at tilbyder skal varsle abonnent eller bruker dersom det foreligger sikkerhetsbrudd som har krenket personvernet og/eller kommunikasjonsvernet til abonnent eller bruker. Dette er også en videreføring av gjeldende rett. Unntak fra tilbyders varslingsplikt dersom tilfredsstillende beskyttelsestiltak er gjennomført, ble foreslått videreført.
Videre ble det foreslått at tilbyder skal varsle ekommyndigheten (her Nasjonal kommunikasjonsmyndighet) straks dersom det er særlig risiko for brudd på sikkerheten eller det har skjedd et sikkerhetsbrudd som har krenket personvernet til abonnent eller bruker. Varslingsplikten vil utløses både ved helt eller delvis bortfall av nett og ved integritetsbrudd. Bakgrunnen for forslaget er å styrke ekommyndighetens rolle i form av operativt tilsyn ved brudd på både den fysiske og logiske sikkerheten. Slik rask varsling vil være nødvendig for at ekommyndigheten skal kunne ivareta den videre hendelseshåndteringen, herunder koordinering og samordning med andre myndigheter og oppfølging overfor tilbydere ved denne typen angrep og sikkerhetsbrudd.
6.4 Høringsinstansenes syn
Flere av høringsinstansene har uttrykt støtte til forslaget om en klargjøring av bestemmelsen.
Nasjonal kommunikasjonsmyndighet mener det er positivt at tilbyders plikt til varsling klargjøres og støtter departementets forslag.
Datatilsynet mener forslaget klargjør bestemmelsens innhold, men foreslår samtidig at begrepet «har dokumentert» benyttes fremfor det foreslåtte «har vist» slik at ordlyden blir mer i samsvar med merknaden til bestemmelsen.
Advokatforeningen støtter innskjerping av krav til at tilbyderen skal varsle myndigheten. Advokatforeningen stiller imidlertid spørsmålstegn ved hvorvidt det er behov for et unntak for varslingsplikten til abonnent eller bruker, og viser til at plikt til å varsle abonnent eller bruker ved sikkerhetsbrudd antas å virke skjerpende både for tilbyder og abonnent eller bruker. Det foreslås at abonnent eller bruker heller burde fått et varsel om det som har skjedd, at tilfredsstillende tekniske beskyttelsestiltak er gjennomført og at myndigheten er informert om dette.
Telia har i sitt høringsinnspill kommet med følgende merknad:
«Telia støtter forslaget om å klargjøre innholdet i § 2-7. Vern av kommunikasjon og data blir stadig viktigere for aktørene. Regelverket speiler ikke denne utviklingen. Rettstilstanden og Nkoms hjemler er på flere områder uklare. Dette har resultert i flere saker der offentlig myndighet har forsøkt å drive rettsutviklingen gjennom offentlige pålegg og overtredelsesbot, herunder ved sen varsling. Telia mener dette er en lite egnet måte å fremme sikkerhet og beredskap på. Presise krav i lov og forskrift gir både tilbydere, kunder og offentlige myndigheter realistiske forventninger til når og hvordan sikkerhetsbrudd varsels.
Departementet foreslår i annet ledd et krav om at tilbyderne dokumenterer overfor Nasjonal kommunikasjonsmyndighet at det er gjennomført «tilfredsstillende sikkerhetstiltak». Telia mener det er uklart hva som ligger i kravet og hva som skal til for å oppfylle vilkåret. Vi ber departementet presisere i merknadene til bestemmelsen at det ligger på Nkom å gi markedet ytterligere veiledning om hvordan aktørene kan dokumentere forholdet.
I tredje ledd legger departementet opp til at Nkom skal være rett myndighet for «brudd på personvern knyttet til elektronisk kommunikasjon», mens Datatilsynet skal varsles etter personopplysningsloven hvis personopplysninger «kompromitteres eller kommer på avveie på annet vis.» Telia oppfatter dette som en hensiktsmessig funksjonsfordeling. Vi vil samtidig advare om at det kan by på store praktiske utfordringer å gå opp skillet, særlig med tanke på å varsle sikkerhetsbrudd i system som både inneholder elektronisk kommunikasjon og andre personopplysninger. Selv om Nkom og Datatilsynet har inngått en samarbeidsavtale, fremstår dessuten tilsynsvirksomheten på området som lite koordinert. Dette skaper betydelig usikkerhet for aktørene.
Telia ber departementet ta høyde for dette i lovforslaget, for eksempel ved å presisere at det er tilstrekkelig å varsle Nkom dersom tilbyderen er i tvil om informasjonen hører hjemme i den ene (elektronisk kommunikasjon) eller den andre kategorien (personopplysninger som kommer på avveie på annet vis). En alternativ fremgangsmåte kan være å gi Nkom eksklusiv kompetanse hvis sikkerhetsbruddet knytter seg til aktørens ekomvirksomhet.»
Telenor støtter forslaget om klargjøring av bestemmelsen. Telenor mener at forslaget til nytt annet ledd om tilbyders varslingsplikt til bruker eller abonnent innen 24 timer ikke er hensiktsmessig, og selskapet ønsker dessuten en harmonisering med den kommende EU-forordningen om personopplysninger (GDPR):
«I den kommende EU-forordningen om behandling av personopplysninger (GDPR), og til den registrerte uten unødvendige forsinkelser («…without undue delay»), er kravet til varsling av myndighetene, at dette skal skje innen 72 timer.»
Telenor peker også på at operasjonelle hensyn med direkte varsling til bruker eller abonnent innen 24 timer ved en alvorlig sikkerhetshendelse ikke alltid vil være praktisk mulig.
Telenor foreslår derfor en endring i nytt annet ledd hvor 24 timers varslingsfrist fjernes og erstattes med en 72 timers varslingsfrist.
I tilknytning til nytt annet ledd nr. 1 viser Telenor til at henvisningen til Ddos-angrep er uheldig. Telenor mener departementet klart bør gi uttrykk for at varslingsplikten til abonnent eller bruker er reservert for «de omfattende og alvorlige sikkerhetshendelsene med betydelige og omfattende konsekvenser». Når det gjelder forslag til nytt annet ledd nr. 2 og nytt annet ledd nr. 3 viser Telenor til vurderingen til nytt annet ledd. Videre mener Telenor at det i annet ledd nr. 2 og 3 bør inntas en senest innen 72-timers frist for varsling til abonnent eller bruker.
I tilknytning til nytt tredje ledd annet punktum antar Telenor at departementet her har ment:
«at tilbyder i ettertid kan dokumentere at det var tilfredsstillende sikkerhetstiltak, for eksempel kryptering der det er nødvendig, slik at personopplysningene derfor ikke i tillegg kan misbrukes etter en sikkerhetshendelse hvor de kom på avveie. Telenor foreslår derfor at ordlyden endres til:
«Varsling av abonnent eller bruker etter annet ledd nr. 3 er ikke nødvendig der tilbyder overfor kompetent myndighet kan vise at tilfredsstillende tekniske beskyttelsestiltak er gjennomført for dataene omfattet av sikkerhetsbruddet.»
6.5 Departementets vurdering
Departementet viser til at hensikten med endringsforslaget i hovedsak har vært tredelt; det er behov for å gjøre bestemmelsen klarere, tydeliggjøre ansvarsdelingen mellom Nasjonal kommunikasjonsmyndighet og Datatilsynet, samt å legge lovgrunnlaget til rette for gjennomføring av forordning 611/2012 i norsk rett. (Forordningen gjennomfører artikkel 4(5) i direktiv 2002/58 /EF. Direktivet er endret i 2009 gjennom 2009/136/EF, dvs. en av ekompakkens tre rettsakter fra 2009 som ikke er innlemmet i EØS-avtalen. Forordning 611/2012 er derfor ennå ikke innlemmet i EØS-avtalen.) I tillegg er det behov for å klargjøre tilbydernes varslingsplikt til myndigheten.
Telenor uttaler i sitt høringsinnspill at det fremstår som uklart hvordan § 2-7 første ledd skal tolkes og operasjonaliseres. Telenor anbefaler derfor at ordlyden omformuleres og tydeliggjøres. Departementet vil her peke på at bestemmelsen ikke er ny, og at den aktuelle ordlyden i sin helhet er videreføring av gjeldende første ledd første punktum. Bakgrunnen for forslaget i denne sammenheng er en redaksjonell endring, slik at gjeldende første ledd deles opp i to separate ledd for å kunne skille klarere mellom hjemmelsgrunnlagene i bestemmelsen. Kravene til nødvendige sikkerhetstiltak, slik disse fremgår i første punktum av første ledd, ble med uendret ordlyd foreslått skilt ut som nytt første ledd. Videre ble det foreslått at bruddrapporteringen, med noen språklige og materielle justeringer, skulle skilles ut fra bestemmelsens første ledd og plasseres i et nytt annet ledd. Departementet vil videre vise til at tilbyders plikt i henhold til gjeldende bestemmelse første ledd første punktum, i tillegg til å gjelde selve innholdet av kommunikasjonen, også omfatter data som fremkommer ved produksjonen av tjenesten (såkalt metadata). Departementet foreslår at det ved vurderingen av hva som er nødvendige sikkerhetstiltak, også i fremtiden skal ses hen til hva som til enhver tid er den beste løsningen i markedet.
Telenor mener videre at tidsfristen på 24 timer for varsling til bruker/abonnent som foreslått i annet ledd ikke er hensiktsmessig, blant annet fordi en direkte varsling til bruker/abonnent innen denne fristen ved en alvorlig sikkerhetshendelse ikke alltid vil være praktisk mulig. Telenor foreslår derfor at varslingsplikten bør inntre snarest og senest innen 72 timer, og at dette også vil sikre harmonisering med den nye personvernforordning av 6. april 2016, forordning 5419/16, artikkel 31.
Departementet er ikke enig i Telenors syn, og viser til at kravet om varsling til abonnent eller bruker etter forordning 611/2013 artikkel 3, som bygger på kommunikasjonsverndirektivet 2002/58/EU, inntrer dersom bruddet «is likely to adversely affect the personal data or privacy of subscriber or individual». Det legges dermed opp til at tilbyder selv skal foreta en vurdering av bruddets alvorlighet og konsekvenser. Varslingskravet er videre «without undue delay». Når det gjelder kravet til å varsle myndigheten, er kravet etter artikkel 2 innen 24 timer etter at det var mulig å oppdage sikkerhetsbruddet. Departementet mener på denne bakgrunn at det ikke vil være mulig å harmonisere varslingsplikten i forordning 611/2013 med EUs forordning om behandling av personopplysninger. Forordning 611/2013 oppstiller på dette området en strengere varslingsplikt av bruker og kompetent myndighet. Bakgrunnen for endringsforslaget i § 2-7 er å legge til rette for å innta forordning 611/2013 i norsk rett. Departementet foreslår derfor ingen endring i forslaget om at abonnent eller bruker skal varsles uten grunnet opphold og senest innen 24 timer.
Når det gjelder Telenors kommentarer til nytt annet ledd nr. 1 og at bestemmelsen må leses slik at varslingsplikten reserveres for de store og alvorlige sikkerhetshendelsene, er departementet i utgangspunktet enig i dette. Terskelen for hvilke konkrete hendelser som vil utløse varslingsplikten må antas å variere noe over tid, og vil måtte bero på en konkret vurdering hvor hensynene bak regelen må tillegges betydelig vekt. I denne sammenheng må det imidlertid skilles mellom varsel til bruker og varsel til myndigheten. Når det gjelder varsel til bruker er formålet å sette denne i stand til å kunne verne eller handle for å sikre egne personopplysninger, jf. annet ledd. Når det gjelder varsel til myndigheten etter tredje ledd, er hensikten å sette myndigheten i stand til å gi råd, analysere og for eksempel koordinere tiltak mot et koordinert angrep ved bruk av elektronisk kommunikasjon. Det vil være formålstjenlig at Nasjonal kommunikasjonsmyndighet i samarbeid med bransjen utarbeider retningslinjer på området, for å utvikle en velfungerende ordning og oppnå større forutberegnelighet for markedsaktørene.
Når det gjelder høringsnotatets henvisning til Ddos-angrep er departementet enig med Telenor i at henvisningen til slike tjenestenektangrep i denne sammenheng ikke er helt treffende når det gjelder trusler mot data- og personvern. På den annen siden har informasjon om Ddos-angrep stor betydning for Nasjonal kommunikasjonsmyndighets mulighet til å ivareta den nasjonale kommunikasjonssikkerheten. Departementet understreker at det fortsatt er viktig at myndigheten får tidlig informasjon om slike angrep.
Telia kommenterer forslagets tredje ledd med å påpeke at det er uklart hva som ligger i kravet til tilfredsstillende sikkerhetstiltak og hva som skal til for å oppfylle dette vilkåret. I Telenors kommentar til samme ledd heter det at selskapet antar at det «her er ment at tilbyderen i ettertid kan dokumentere at det var tilfredsstillende sikkerhetstiltak, for eksempel kryptering der det er nødvendig, slik at personopplysningene derfor ikke i tillegg kan misbrukes etter en sikkerhetshendelse hvor de kom på avveie». Departementet sier seg i hovedsak enig med Telenor i denne forståelsen. Kravet om tilfredsstillende sikkerhetstiltak må anses å være oppfylt når personopplysningene eller personsensitive opplysninger er sikret på en slik måte, for eksempel med tilstrekkelig kryptering, at det kan legges til grunn at opplysningene ikke kan misbrukes.
Når det gjelder kravet om at tilbyder skal kunne vise at tilfredsstillende tekniske sikkerhetstiltak er gjennomført, stiller Advokatforeningen spørsmålstegn ved hvorvidt det er behov for et unntak fra varslingsplikten til abonnent eller bruker, og viser til at en plikt til å varsle abonnent eller bruker ved sikkerhetsbrudd antas å virke skjerpende både for tilbyder og abonnent/bruker. Departementet er enig i dette som et utgangspunkt, men ser samtidig at mange varsler fra tilbyder til bruker om hendelser som åpenbart ikke har kunnet krenke personvernet vil virke mot sin hensikt med hensyn til å skjerpe oppmerksomheten når det gjelder denne type sikkerhetsspørsmål hos bruker og tilbyder. Forutsetningen er imidlertid at det kan legges til grunn at tilbyder har kunnet dokumentere overfor kompetent myndighet (her Nasjonal kommunikasjonsmyndighet) at opplysningene ikke kunne kompromitteres fordi disse var tilstrekkelig beskyttet med tekniske beskyttelsestiltak.
Departementet ser at det kan ha gode grunner for seg å skjerpe kravet noe med hensyn til hva som kreves av tilbyder i denne fasen i kommunikasjonen med myndigheten, og foreslår derfor at begrepet «har vist» erstattes med «har dokumentert» slik også Datatilsynet har tatt til orde for. Kravet foreslås dermed skjerpet noe ved at tilbyder skal dokumentere overfor kompetent myndighet at tilfredsstillende tekniske beskyttelsestiltak er gjennomført for disse dataene. I dette ligger det blant annet at tilbyder skal kunne dokumentere at personvernet er ivaretatt og at opplysninger ikke kan misbrukes etter en sikkerhetshendelse hvor personsensitive opplysninger har kommet på avveie, ved tilfredsstillende sikkerhetstiltak som for eksempel sterk kryptering, er benyttet. En slik endring vil slik departementet forstår det også ivareta Telenors kommentar vedrørende forståelsen av kravet om at det skal foreligge dokumentasjon på at det var tilfredsstillende sikkerhetstiltak på tidspunktet for sikkerhetsbruddet.
Når det gjelder varslingsplikten til myndigheten i nytt tredje ledd, hvor det foreslås at «tilbyder plikter å varsle myndigheten straks i tilfeller omfattet av annet ledd nr. 1 og 3», bemerkes det at det med regelen spesielt søkes å ivareta hensynet på personvernområdet og myndighetens mulighet for oppfølging av dette i forbindelse med leveranse av offentlig kommunikasjon. Forordning (EU) 611/2013 oppstiller et krav om at kompetent myndighet skal varsles senest innen 24 timer hvor dette er mulig. Nasjonal kommunikasjonsmyndighet vil være nasjonal kompetent myndighet etter forordningen.
Telia kommenterer på at departementet i høringen foreslo at Nasjonal kommunikasjonsmyndighet skulle være rett myndighet for «brudd på personvern knyttet til elektronisk kommunikasjon», mens Datatilsynet skulle varsles etter personopplysningsloven hvis personopplysninger «kompromitteres eller kommer på avveie på annet vis.» Telia oppfatter dette som en hensiktsmessig funksjonsfordeling, men advarer samtidig om at det kan by på store praktiske utfordringer.
Departementet viser til at endringsforslaget legger opp til at det er tilstrekkelig å varsle Nasjonal kommunikasjonsmyndighet, dersom varselet dreier seg om kompromittering av personopplysninger i forbindelse med leveranse av offentlige elektroniske kommunikasjonstjenester. Dersom bruddet på konfidensialiteten gjelder andre og mer avledede personopplysninger behandlet av tilbyder, skal Datatilsynet varsles. Et slikt skille mellom ansvarsområder og rapporteringsplikter er ikke noe særskilt for dette sektorområdet. Departementet viser til at tilsynene har forskjellige roller, men ser at varslingsplikten etter personopplysningsforskriften og forordning 611/2013 er delvis overlappende med hensyn til tilsynenes ansvarsområder. Datatilsynet fører tilsyn med personopplysningsforskriften og er generell personvernmyndighet i Norge, mens ekommyndigheten har sektoransvaret for person- og konfidensialitetsvern i ekomsektoren. I praksis er det grader av overlappende ansvar i sektoren, og tilbyderne er underlagt både ekomlovens krav (f. eks. § 2-7 og § 2-9) og konsesjon fra Datatilsynet når det gjelder behandling av blant annet trafikk- og lokasjonsdata. Tilsynene har som nevnt en samarbeidsavtale, og holder hverandre gjensidig informert om aktiviteter og oppgaver på personvernområdet. Ved gjennomføring av forordningen må dette samarbeidet ytterligere oppdateres og utvikles. Det foreslår derfor ingen vesentlige endringer i bestemmelsen på bakgrunn av de innkomne høringsinnspillene.