Datainspektionens yttrande om TDV-verksamheten klart

FRA begärde tidigare i våras samråd med Datainspektionen (DI) om personuppgiftshantering vid den så kallade TDV-verksamheten, som syftar till att upptäcka och larma för pågående avancerade IT-angrepp mot samhällsviktig verksamhet. Yttrandet, som inkom till FRA den 29 maj, har efter sekretessprövning lämnats ut till media i sin helhet

Yttrandet stämmer på flera punkter väl överens med FRA:s bedömningar. Bland annat konstaterar DI tydligt att de personuppgifter som kan vara aktuella för att överföras mellan signalspaningsverksamheten och TDV-systemet inte "framstår som särskilt integritetskänsliga". De uppgifter som det är fråga om består av så kallade signaturer, som i vissa fall kan innehålla personuppgifter (se faktaruta). Utbyte mellan verksamheterna av andra slags personuppgifter (till exempel innehåll i e-postkommunikation) förekommer däremot inte, vilket också framgår av Datainspektionens yttrande.

Datainspektionen menar emellertid att regelverket kunde vara tydligare och skriver bland annat att det får "anses råda viss tveksamhet" om den hantering av signaturer som kommer att ske " har uttryckligt stöd i tillämpliga ändamålsbestämmelser".  DI skriver vidare att ett förtydligande av regelverket skulle innebära att FRA "inte tvingas göra en bedömning i varje enskilt fall."

- FRA har regeringens uppdrag att inom ramen för signalspaningen följa angripare bakom allvarliga IT-angrepp globalt. Denna kunskap kan användas för att skydda samhällsviktiga svenska datasystem som i dag är utsatta för den här typen av angrepp. Den bedömning som ska göras gäller om de här två ändamålen är förenliga. Då verksamheterna ytterst har samma syfte, det vill säga stärka skyddet för samhällsviktig verksamhet, gör vi bedömningen att ändamålen är helt förenliga, säger Anni Bölenius, informationschef vid FRA.

- Vi konstaterar också att Datainspektionen inte på något sätt uttryckt att hanteringen skulle vara felaktig, utan förordar ett förtydligande av regelverket, säger Anni Bölenius.

Läs Datainspektionens yttrande härPDF

Läs mer om TDV

Faktaruta

TDV-systemet bidrar till att stärka skyddet för samhällsviktig verksamhet. En förutsättning för att systemet ska kunna upptäcka de mest avancerade angreppen är att det förses med kvalificerade signaturer från signalspaningsverksamheten.

Signaturer kan till exempel utgöras av bitmönster kännetecknande för skadlig kod, men kan i vissa fall även innehålla indirekta personuppgifter, till exempel IP-adresser. Enligt de lagar som styr personuppgiftshantering får personuppgifter inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Postadress:
FRA, Box 301, 161 26 Bromma
Telefon: 08 - 471 46 00
Telefax: 08 - 471 48 53
E-post:fra@fra.se
Vision
Alltid steget före
Vision
Alltid steget före