Fint att ni pular på ett svar.
Själv har jag tyvärr inte haft tid att läsa PTS-dokumenten, utan kan bara komma med två noteringar för svarstexten: ... men det förklaras inte varför, och inte heller vad som ska finnas i behandlingsloggen, utöver vem som har haft till vilka uppgifter och vid vilken tidpunkt. Skriv om detta så att det framgår vad DFRI menar. ?"haft till vilka uppgifter"? --- 5. Det blir betydligt enklare att missbruka om det finns vetskap om att behandlingsloggen. "att behandlingsloggen" vad då? --- /Martin (aka Elof) > To: [email protected] > CC: [email protected] > Subject: Re: [DFRI-listan] Remissvar till PTS ang datalagring > From: [email protected] > Date: Fri, 24 Aug 2012 21:42:11 +0200 > > Bra text! Lite synpunkyter från en snabb genomläsning: > > Andreas Jonsson <[email protected]> writes: > > DFRI:s Remissvar avseende Post och telestyrelsen Dnr: 12-4586 > Trafikdatalagring - PTS föreskrifter och allmänna råd och > skyddsåtgärder för lagrade uppgifter för brottsbekämpande ändamål > > Föreningen DFRI (Föreningen för digitala fri och rättigheter) har > beretts möjligheter att lämna synpunkter på remiss från PTS avseende > föreskrifter och allmänna råd och skyddsåtgärder för lagrade uppgifter > för brottsbekämpande ändamål. > > möjligheter => möjlighet > > DFRI anser att de krav som ställs på skyddsåtgärder är otillräckliga > på flera områden, särskilt med tanke på den långa lagringstiden samt > den typ av uppgifter som lagras. > > samt => och > > Behörighet och åtkomst > > Skyddsåtgärderna specificerar att ”den lagringsskyldige ska ha rutiner > som säkerställer att endast bemyndigad personal har tillgång till > lagrade uppgifter och de system som hanterar dessa uppgifter”. Dessa > krav får anses som otillräckliga, av följande skäl: > > 1. Det saknas krav på oavvislighet rörande tillgång till systemet. > > ?oavvislighet? > > 2. Det saknas krav på att systemet ska täckas av en IT-säkerhetspolicy. > 3. Det finns inga krav på att systemintegritet bevaras. > 4. Det finns inga krav på att rutiner för att hantering av > IT-säkerhetsincidenter ska existera. > 5. Det finns inga krav på att IT-säkerhetsincidenter där loggdata eller > misstankar om att loggdata blivit komprometterat ska polisanmälas. > 6. Det finns inga krav på att lagrade uppgifter ska vara krypterade, ej > heller att säkerhetskopior av lagrade uppgifter ska vara krypterade. Notera > att ett behörighetssystem blir verklöst om lagrade uppgifter kan återställas > på annan plats. > > Använd "saknas krav" genomgående, inte "finns inga krav". > > Jag tycker också "bemyndigad personal" är alltför vagt. Jag tycker de > borde tvingas tillsätta specifik personal som har accessanordning, och > att denna personal ska bemyndigas av PTS (eller ngt liknande). > > Behandlingshistorik (Logg) > > DNR: 12-4586 beskriver att all behandling av lagrade uppgifter ska > dokumenteras. DFRI anser att det är bra att en sådan logg blir > obligatorisk, men har en del synpunkter. Behandlingsloggen ska > krypteras, men det förklaras inte varför, och inte heller vad som ska > finnas i behandlingsloggen, utöver vem som har haft till vilka > uppgifter och vid vilken tidpunkt. > > Lägg till meningen "Detta måste uttryckligen regleras" på slutet. > > Det framgår också att behandlingsloggen ska förstöras, men inte efter > hur lång tid, och inte heller varför, utöver en referens till LEK. > > Lägg till meningen "Detta måste uttryckligen regleras" på slutet. > > 1. Det finns inga krav på att behöriga till lagrade uppgifter inte ska > vara behöriga till behandlingshistoriken. > > 2. Det finns inga krav på oavvislighet i behandlingsloggen. > > Här kom ordet oavvislighet igen... > > 3. Det beskrivs heller inte vilket data som ska finnas i > behandlingsloggen. Vem som utförde något, och vem som begär kan vara > ett namn, ett användarnamn eller även i vissa fall en funktion. > > 4. Det blir inte möjligt att göra uppföljning på ev. missbruk om > behandlingsloggen förstörs. > > 5. Det blir betydligt enklare att missbruka om det finns vetskap om > att behandlingsloggen. > > 6. Det blir svårt att få ut statistik om vad lagen om > trafikdatalagring används till över tid om inte detta kontrolleras på > annat sätt > > Punkt saknas. > > Säkerhetskopiering > > Det framgår tydligt att lagrade uppgifter ska säkerhetskopieras och > även att dessa säkerhetskopior ska förstöras när den obligatoriska > lagringstiden upphört. DFRI anser att det är bra att det även ställs > krav på förstörandet av säkerhetskopior. Utöver detta finns följande > synpunkter. > > 1. Det finns inga krav på att behandlingsloggen ska säkerhetskopieras. > > 2. Det finns inga krav på skydd av säkerhetskopior av lagrade > uppgifter, trots att återställande av säkerhetskopior gör det möjligt > att kringgå att hamna i behandlingsloggen. > > 3. Säkerhetskopior av lagrade uppgifter bör krypteras. > > bör => skall > > -- > Torbjörn > >
