En sammanfattning av Datalagringsdirektivet


En del av er känner säkert till att jag varit med och grundat en Internetleverantör som fortfarande är verksam. ISPn drivs som en ideell förening och alla inkomster utöver kostnaderna samt statens avgift återinvesteras i verksamheten. 2009 skrev jag en sammanfattning om vad IPRED skulle innebära för en organisation som vår lilla Internetleverantör. Nu är det dags att sammanfatta datalagringsdirektivet som träder i kraft 1 maj 2012.

Datalagringsdirektivet börjar gälla efter valborg. Hur kommer Sveriges implementering påverka mindre och större ISPer? Hur kommer det påverka verksamheten jag själv varit med och byggt upp?

Först och främst, vilka är det som måste lagra datat enligt DLD?

Enligt lagen är de aktörer som bedriver anmälningspliktig verksamhet enligt Lagen om elektronisk kommunikation, LEK, skyldiga att lagra uppgifter i sex månader.

Det finns möjlighet för tjänsteleverantören att ansöka om undantag från lagringsskyldigheten. Det är PTS som beslutar om undantaget ska medges, efter att ha hört Åklagarmyndigheten och Rikspolisstyrelsen. /PTS

LEK anger att allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster endast får tillhandahållas efter anmälan till den myndighet som regeringen bestämmer (tillsynsmyndigheten). PTS har en lista på operatörer som anmält sådan verksamhet. PTS har naturligtvis helt rätt i att lagringsplikten även gäller de operatörer med jämförbara verksamheter som av olika anledningar inte uppföljt anmälningsplikten.

Så alla internetleverantörer ska principiellt lagra trafikuppgifterna. Dock finns det ett tydligt undantag i själva anmälningsplikten. Om man agerar ombud åt slutkunden räknas det inte som man har anmälningsplikt eller lagringsplikt. Tänk ett företagshotell som tillhandahåller Internet till olika företag/kontor, eller en bostadsrättsförening som tillhandahåller Internet till bostadsrättsinnehavarna. Sådan verksamhet faller inte under LEKs anmälningsplikt och därför behöver de heller inte lagra trafikuppgifterna.

Vad är det då som måste lagras?

Enkelt uttryckt kan man säga att de trafikuppgifter som ska sparas svarar på frågor om vem som kommunicerade med vem, när det skedde, var de som kommunicerade befann sig och vilken typ av kommunikation som användes (t.ex. sms eller telefonitjänst). /PTS

För en internetleverantör innebär det användarens IP-adress, uppgifter om kunden, tidpunkter för när IP-adressen gavs till den kunden, vad det är för anslutning samt information om den tekniska utrustningen vid avlämningspunkten ska lagras. Genom användandet av NTP på varje router och server kombinerat med DHCP-loggar uppfyller övrigt.

Men ovanstående rör bara själva förmedlingen av Internet. Utöver det finns krav på att tillhandahålla loggar för meddelandehanteringen (utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv- program) som innehåller inblandade parter (src and dst ip), information om egna kunderna som använder IP-adresserna, tidpunkt för påbörjan och avslutande samt eventuell information om den tjänsten som används. Det sistnämnda behöver man inte direkt spara, särskilt inte om man är en mindre leverantör, eftersom man oftast kan ta reda på det från övrig tillgänglig information. Övriga krav är ett stort problem, som bara förvärras om man är en större aktör.

PTS är dock tillsynsmyndighet och har på direkt fråga förtydligat att en mindre operatör enbart behöver uppfylla kraven för Internet-leverans: man har en NTP-server med logg av tidsdrift på varje berörd server, man lagrar information över vilka kunder som har vilka IP-adresser (samt har säkerställt att det inte enkelt går att använda andras IP-adresser) samt säkerställer att obehöriga inte kan få tillgång till servrarna.

När och hur ska man lämna ut informationen?

Här är faktiskt lagen otydlig tycker jag. Nu borde det vara rätt säkerställt att det enbart är direkt till polisen med domstolsbeslut som grund som utlämnande av uppgifter får göras, men jag hittar ingenstans där det uttryckligen är angivet. Rimligtvis räcker det dock att kräva domstolsbeslutet så man kan kontrollera det, samt att man svarar i telefon när polisen ringer. Man kan också fakturera rimliga kostnader för att lämna uppgifterna till polisen. Det skulle dock underlätta att ha en sådan process nedskriven någonstans.

Sammanfattning är alltså att det inte borde kosta skjortan att uppfylla minimikraven enligt PTS. Men jag förstår att operatörer är osäkra. Datalagringsdirektivet har stressats igenom. Trots att lagändringen sköts upp i ett helt år har det inte förberetts för att 554 operatörer ska veta hur de ska uppfylla lagens text. Där det finns osäkerhet finns det utrymme för oseriösa leverantörer att begära överpriser.


Ett svar till “En sammanfattning av Datalagringsdirektivet”

  1. […] En del av er känner säkert till att jag varit med och grundat en Internetleverantör som fortfarande är verksam. ISPn drivs som en ideell förening och alla inkomster utöver kostnaderna samt statens avgift återinvesteras i verksamheten. 2009 skrev jag en sammanfattning om vad IPRED skulle innebära för en organisation som vår lilla Internetleverantör. Nu är det dags för en uppföljande sammanfattning om IPRED i relation till datalagringsdirektivet. […]