Berlin-gruppen, der Datatilsynet er aktiv deltaker, har nå revidert ti år gamle anbefalinger for IP-baserte kommunikasjonstjenester. Det var nok på tide. (Bilde: Per Ervland)

Berlin-gruppen

Datatilsyn over hele verden anbefaler ende-til-ende krypto

Klare VoIP-råd til brukere, tilbydere, utviklere og folkevalgte. – Folk forutsetter at det er sikkert nok, men så ser vi at det er ikke det.

Berlin-gruppen er en internasjonal arbeidsgruppe for personvern innen telekommunikasjon, der personvernmyndigheter fra alle verdens kontinenter inngår.

Det er et organ med stor påvirkningskraft, ikke minst mot EU. Det norske Datatilsynet er en aktiv deltaker.

I august har gruppen vedtatt nye anbefalinger for tilbydere av VoIP-tjenester (Voice over IP), som er ment å styrke personvern og sikkerhet.

Anbefalingene gjelder for etter hvert det meste av sanntids kommunikasjonsløsninger; samtaler, videokonferanse, tekstmeldinger og chat. Også tradisjonell telefoni er som kjent i ferd med å fases over på IP-protokollen.

– Folk forutsetter at dette er sikkert nok, men så ser vi at det er ikke det. Disse anbefalingene er laget for opplyse hva man skal huske på. Ikke bare for produsent og tilbyder, men hele kjeden fra de som vedtar lovverk og regler helt ned til brukerne, sier Datatilsynets fagdirektør teknologi, Atle Årnes til digi.no.

Snowden-effekten

Mye har skjedd teknologisk og ikke minst med utbredelsen, siden Berlin-gruppen vedtok sin første anbefaling for 10 år siden.

Det inkluderer masseavlyttingen og overvåkningen av IP-baserte tjenester, utført av politimyndigheter og etterretning, som avslørt av Edward Snowden.

Avsløringene hans nevnes aller først blant årsakene til at Berlin-gruppen nå har funnet det nødvendig å revidere anbefalingen.

Dette er en virkelighet forbrukere, men selvsagt også tilbydere og utviklere må forholde seg til.

Krever ende-til-ende krypto

Atle Årnes er fagdirektør teknologi i Datatilsynet.
Atle Årnes er fagdirektør teknologi i Datatilsynet. Foto: Åsa Mikkelsen

Sanntids kommunikasjonsløsninger må være beskyttet med ende-til-ende-kryptering. Kun nødvendige data skal lagres, er blant anbefalingene.

Videre blir det anført at det skal være mulig å benytte seg av disse tjenestene selv om du bruker tilleggstjenester som eksempelvis skjuler din identitet og plassering.

Det er også en rekke andre anbefalinger (les hele dokumentet her - pdf). Åpenhet og informasjon til sluttbruker er blant disse.

– Vi ser at det finnes veldig mange forskjellige tjenester, der noen kan være veldig seriøse og opptatt av sikkerhet, men så er det også de som er mindre seriøse og tilbydere av enklere tjenester. Det viktigste her, er at det må være veldig klar åpenhet om hva brukeren kan forvente av sikkerhet. Det må være forklart på en enkel måte, slik at man kan gjøre sine egne vurderinger, påpeker Årnes.

Han legger til at det også er tatt høyde for at man skal kunne beskytte seg ytterligere ved hjelp av egne anonymiseringstiltak.

– Om du som bruker ønsker å benytte Tor-nettverket, for eksempel, så skal ikke det være en forhindring.

Anbefalinger - uten ris bak speilet eller sanksjonsmidler

Datatilsynet har i oppgave å føre tilsyn eller gjeldende lover og regler, med personopplysningsloven som den klart viktigste.

Selv om de nye anbefalingene fra Berlin-gruppen er publisert på tilsynets hjemmesider under området "regelverk", så er dette i praksis bare velmente råd - enn så lenge.

På sikt er det imidlertid ingenting i veien for at lovmakere, enten i EU, Norge eller andre deler av verden følger opp med reguleringer.

– Det er absolutt anbefalinger vi går ut med her. Berlin-gruppen er en internasjonal gruppe med mange datatilsyn, interessenter og andre organisasjoner. Noen ganger blir Berlin-gruppens arbeid plukket opp av de med større makt i de forskjellige regionene i verden. EU har videreført noe av arbeidet som først ble startet i Berlin-gruppen, poengterer fagdirektør Årnes.

EU jobber med regulering

EU er i ferd med å meisle ut nye lovbestemmelser for regulering av telekom-sektoren. Det nye er blant annet at dagens regelverk bedre skal tilpasses meldingsapplikasjoner som WhatsApp og Skype, melder Mobileworldlive med Financial Times som kilde.

Lovarbeidet skal se på hvordan slike meldingstjenester må gi innsyn til nasjonale sikkerhetstjenester, et stadig mer omstridt tema, og hvordan tilbydere kan benytte seg av kundedataene for å tjene penger, skriver nettstedet.

Ifølge oppslaget skal EU-kommisjonen komme med en første kunngjøring en gang i september, før forslag til regulering senere skal inngå i revidering av kommunikasjonsverndirektivet (EUs ePrivacy-direktiv) senere i år.

Kommentarer (1)

Kommentarer (1)
Til toppen