Mangelfullt personvern og dårlige avtalevilkår i Digipost og e-Boks
E-post fra EFN til Venstre 5. desember 2014
Elektronisk Forpost Norge (EFN)
CSS Mailboks 42
Middelthunsgate 25
0368 OSLO
---------------------------------------------------------------------------------
Til Venstres stortingsgruppe
venstre.postmottak@stortinget.no
Elektronisk Forpost Norge (EFN) er bekymret over innfasingen av
Digipost og e-Boks, bl.a. har løsningene betydelige personvernmessige
svakheter.
Er dette noe Venstre kan ta opp i spørretimen på Stortinget,
og/eller foreslå en endring av postloven eller annen relevant
lovgivning som sikrer personvernet til brukerne av Digipost og e-Boks?
Nedenfor beskriver vi problemene, og vi håper at Venstre kan ta opp
denne saken i Stortinget,
DÅRLIGE AVTALEVILKÅR
Utdrag fra Digiposts avtalevilkår:
https://www.digipost.no/juridisk/
1)
Sitat:
«Dersom Posten blir kjent med at Meddelelser i Digipost er feilsendt,
eller er i strid med lov, forskrift eller myndighetsavgjørelse eller
på annet vis etter Postens vurdering innebærer misbruk av Digipost,
kan Posten slette disse. Nevnte gjelder også Meddelelser som allerede
er levert til brukeres Digipostkasse.» Sitat slutt.
Vi kan vanskelig se at Posten kan bli «kjent med» ulovlige
meddelelser uten å krenke brukernes privatliv, samt bryte straffeloven
§ 145. Alle ville sagt det var uhyrlig om tilbydere av ordinær e-post
kunne gå inn i innboksen og slette e-post som allerede var lest
av brukeren, eller om postbudet skulle komme tilbake og kreve brev
tilbakelevert. Det er like ille at Digipost kan gjøre det samme med
«[m]eddelelser som allerede er levert til brukeres Digipostkasse».
Dette vil dessuten innebære brevsensur, noe som er et brudd på
grunnloven § 100.
2)
Sitat:
«Avsendere av Meddelelser i Digipost kan be om varsel om at
Meddelelser er åpnet av Brukeren. Slike Meddelelser vil være merket
spesielt.» Sitat slutt.
I utgangspunktet har ikke avsender noe å gjøre med når og hvorvidt
meddelelsen leses eller "åpnes", og vi er bekymret for at all post vil
merkes slik dersom det ikke finnes mekanismer for å begrense dette
(en mulig slik mekanisme er at denne ekstrafunksjonaliteten bør ha
en kostnad, slik som rekommandert post). Vi ser at det er et legitimt
behov for å ha en digital tjeneste som tilsvarer rekommandert post.
Eksempelvis i byggesaker er det tilstrekkelig å sende nabovarsel
rekommandert, med to ukers svarfrist fra sendedato. Digital post
kan gjøre det bedre enn dette - rekommanderte brev med to ukers
svarfrist fungerer svært dårlig når mottaker er på tre ukers
ferie. Vi foreslår at kvittering for at en forsendelse har kommet
frem gjøres til et aktivt frivillig valg, altså at mottakeren må
gi samtykke til at kvittering for mottak skal sendes til avsender,
ved å trykke på en knapp. Dersom mottaker ikke gjør dette valget,
så sendes det ikke kvittering for at brevet har kommet frem. Vi
ser at dette kan fungere dårlig i tilfeller hvor mottaker kanskje
ikke ønsker å bekrefte mottak, f.eks. dersom det er en regning
mottaker ikke ønsker å betale, eller som mottaker ønsker å utsette
betalingen av. Uansett vil mottaker kunne oppnå den samme effekten
rett og slett ved å la være å "åpne" posten.
3)
Sitat:
«Personopplysninger som er nødvendige for bruk av Digipost oppbevares
så lenge Brukeren har Digipostkonto og så lenge det er nødvendig
for oppfølging av kundeforholdet. Logger over Brukerens bruk av
Digipost lagres i maksimalt 2 år hvorpå de slettes.» Sitat slutt.
Er det nødvendig med en slik datalagring? Hvordan sikrer Posten seg
mot at dette kommer i feil hender, og hva skjer om politiet eller
andre fra offentlige myndigheter ber om innsyn i disse loggene? Hvilke
regler vil gjelde for å få innsyn?
Fra avtalevilkårene til e-Boks:
http://www.e-boks.no/privat/terms.aspx
1)
Sitat:
«e-Boks loggfører alle vesentlige hendelser i e-Boks, for eksempel
adgang, adgangsforsøk, lesing og sletting av dokumenter. Loggen
anvendes til sporing av eventuelle uautoriserte adgangsforsøk. Loggen
oppbevares i maksimalt 6 år, hvorpå den slettes.» Sitat slutt.
EFN har samme innvendinger som ovenfor vedr. Digipost.
2)
Sitat:
«e-Boks oppbevarer en backup-kopi av dine data i opptil 6 måneder
fra du har slettet disse fra din e-Boks. Data i backup-kopi er
imidlertid ikke tilgjengelige for søk eller behandling av deg selv
eller e-Boks. Innsyn i data, som bare finnes i backup-kopi gis
bare ut mot en forhåndsbetaling av utgiftene som e-Boks og e-Boks´
underleverandører pådrar seg i prosessen.» Sitat slutt.
Hvem vil få tilgang på «backup-kopi» av brukerens data? Vil dette
være noe som politiet vil få innsyn i? Hvilke regler vil gjelde
for å få innsyn?
VALG AV KRYPTERINGSLØSNING
Vedr. valg av krypteringsløsning hos Digipost og e-Boks: Nasjonal
sikkerhetsmyndighet mener det blir som om postmannen åpner brevene
før han legger dem i postkassen:
http://www.nrk.no/norge/advarer-om-usikker-digitalpost-1.11106139
Sitat:
«E-post i seg selv er ikke sikkert. I dagens dataverden er vanlig
e-post uten ekstra sikkerhetstiltak å regne som å sende teksten
på baksiden av et postkort: Alle kan i teorien lese budskapet på
veien fra deg som avsender til den lander i postkassa til mottakeren.
E-postmeldingene kan i prinsippet leses både i nettverkssystemer
på vei over Internett, i servermaskiner på veien og til slutt i
systemene for e-post som mottakeren bruker. Det eneste som kreves er
at den som vil lese innholdet har tilgang til datasystemene, enten
fordi de eier dem, eller fordi de har brutt seg inn i maskinen.
Den digitale e-posten i seg selv er ikke lukket inne i noen konvolutt
som ikke er lov å åpne, slik reglene postverket krever for god,
gammeldags analog post.
For å løse dette må det brukes kryptering som låser innholdet inne
i en «pakke» som bare kan åpnes med riktig nøkkel. Denne typen
kryptering skal brukes i de nye digitale postkassene, men ikke helt
fram til mottakeren.
Selv om dette hindrer at meldingsformidleren får innsyn i alle
dokumentene den formidler, hindrer den ikke at postboksleverandøren
får innsyn i alle dokumenter den håndterer for sine brukere. Dette
er tilsvarende at man sender papirbrev og postmannen åpner brevet
før hun legger det i mottakerens postboks, skriver NSMs fagekspert
Lars Olaussen i Nasjonal sikkerhetsmyndighet (NSM).»
(...)
«Meldingene fra leger eller andre vil bare være låst fram til
«det digitale posthuset». Det skyldes at de alle sammen låses
med den samme nøkkelen – posthusets nøkkel eller sertifikat, og
ikke den enkelte mottakers personlige nøkkel. Hvis alle hadde hatt
hver sin digitale nøkkel, ville man hatt det som på fagspråket
kalles ende-til-ende-kryptering.
NSM anbefaler sterkt slik kryptering.
Uten en slik løsning frykter de nye IT-skandaler i det offentlige,
som da AltInn plutselig ga tilfeldige brukere tilgang til
skatteinformasjonen til en uskyldig mann ved navn Kenneth.
– Når mer sensitiv informasjon enn skatteopplysninger blir gjort
tilgjengelig elektronisk, er det nødvendig å sikre at man ikke
opplever flere Altinn-Kenneth-tilfeller, som barnefordelings-Bjarne
eller Syfilis-Synne, advarer Olaussen i NSM.» Sitat slutt.
EFN deler fullt ut NSMs bekymring - en digital postkasseløsning bør
være basert på ende-til-ende-kryptering, f.eks. i form av RFC 4880
(også kjent som PGP).
Siden Difi, Digipost og e-Boks ikke har tatt hensyn til det Nasjonal
sikkerhetsmyndighet her har påpekt, ber vi herved dere i Venstre om
å fremme en lovendring som sikrer at brukerne av disse tjenestene
får oppfylt sin grunnlovsfestede rett til privatliv.
ELEKTRONISK POSTBOKS - TIL HJELP ELLER TIL HINDER?
Vi ser at ende-til-ende-kryptering ikke nødvendigvis løser alle
problemer, og at sikker kommunikasjon med RFC 4880 kan være vanskelig
å få til for folk flest. Vi ser derfor et behov for tilrettelegging
gjennom tjenester som Digipost og e-Boks. I en situasjon med
ende-til-ende-kryptering ser vi imidlertid ikke noe behov for et
statsregulert duopol - og for enkelte er den digitale postboksen
ikke til hjelp, men til besvær. Helge Havnegjerde er synshemmet
og får ikke tilgang til Digipost. Han har verktøy for å lese
teksten på websider, men moderne webapplikasjoner er som hovedregel
utviklet for visuell navigasjon. Med alt av tekstbaserte nettlesere
ønskes man velkommen av teksten "Du må oppgradere din nettleser
for å bruke Digipost. (...) Digipost er en moderne webapplikasjon
utviklet for moderne nettlesere." Havnegjerde og andre innbyggere
som ønsker det må kunne få levert kryptert post til en vanlig,
selvvalgt epostadresse.
Vi gjør også oppmerksom på at det ikke finnes noen enkel måte å
ta med seg all posten som er lagret i Digipost. Dette medfører en
svært uheldig leverandørbinding, da bytte fra Digipost til e-Boks
eller andre leverandører blir vanskelig. Digipost tar betalt fra
brukeren for lagring over 1 GB - dette burde være tilstrekkelig,
men brukere risikerer å bli sittende fast med månedlige regninger
fra Digipost uten noen enkel fluktrute.
Vi nevner for ordens skyld at EFN er kjent med postlovhøringen
(http://www.regjeringen.no/nb/dep/sd/dok/hoeringer/hoeringsdok/2014/Horing-av-utkast-til-ny-postlov.html?id=772632)
, der høringsnotatets kapittel 6 omtaler behovet for at sikre
digitale postkassetjenester reguleres. Enkelte bestemmelser i
forskriftsutkastet setter særlige krav til slike tjenester. EFN
tar sikte på å avgi høringsuttalelse i saken, men vil uavhengig
av dette be Venstre om å følge opp synspunktene ovenfor, så langt
det er relevant, ved stortingsbehandlingen av Postloven og på annen
egnet måte.
---------------------------------------------------------------------------------
Med vennlig hilsen EFN,
Thomas Gramstad
thomas@efn.no
(leder)
Bjørn Remseth
rmz@efn.no
mobil: 4790 0184
(nestleder)
Ført i pennen av Arve Kirkevik, Tobias Brox og flere.