Breytinga á fjarskiptalögum - öryggi og persónuvernd

Birt á Moggablogginu 18.3.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Eitt af síðustu verkum þess þings sem var að fara í kosningafrí var að samþykkja breytingar á fjarskiptalögum nr. 81/2003.  Breytingarnar snúast um öryggismál, persónuvernd og neytendavernd.

Í fljótu bragði eru eftirfarandi breytingar veigamestar:

  1. Óheimilt er í samningi að kveða á um lengri binditíma áskrifenda en sex mánuði.

  2. Fjarskiptafyrirtæki skulu viðhafa ráðstafanir til að stuðla að vernd, virkni og gæðum IP-fjarskiptaþjónustu og verður Póst- og fjarskiptastofnun heimilt að setja nánari reglur um þetta.

  3. Óumbeðin fjarskipti ná yfir hvers konar rafræn skilaboð, ekki bara tölvupósts.

  4. Verja skal upplýsingar sem fara um fjarskiptanet gegn því að þær glatist, skemmist eða breytist fyrir slysni eða að óviðkomandi fái aðgang að þeim.

  5. Fjarskiptafyrirtæki skulu skjalfesta skipulag upplýsingaöryggis með því að setja sér öryggisstefnu, gera áhættumat og ákveða öryggisráðstafanir á grundvelli þess og frekari reglna frá Póst- og fjarskiptastofnun.

  6. Gerðar skulu sérstakar ráðstafanir til að tryggja samfelldan og órofinn rekstur almennra fjarskiptaneta og skal Póst- og fjarskiptastofnun setja sérstakar reglur um virkni almennra fjarskiptaneta.

Með breytingunum er verið að gera álíka kröfur til fjarskiptafyrirtækja um upplýsingaöryggi og persónuverndarlög gera um öryggi persónuupplýsinga og Fjármálaeftirlitið gerir til eftirlitsskyldra aðila um rekstur upplýsingakerfa.  Að sumu leiti er ekki verið að gera nýja kröfur til fyrirtækja, þar sem flest fjarskiptafyrirtæki falla hvort eð er undir ákvæði persónuverndarlaga og eiga því að hafa innleitt öryggiskerfi persónuupplýsinga, en í því felst að móta öryggisstefnu, framkvæma áhættumat, innleiða áhættustjórnun, velja og innleiða mótvægisaðgerðir/ráðstafanir í samræmi við niðurstöður áhættumats og kröfur í reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, tryggja samfelldan rekstur og viðhafa innra eftirlit.

Ég heyrði frá yfirmanni hjá einu af fjarskiptafyrirtækjunum um daginn, að það væri engin ástæða til að hafa áhyggjur af þessum lögum, þar sem það tæki yfirleitt Póst- og fjarskiptastofnun 2 ár að átta sig á því að lögum hafi verið breytt.  Nú bregður svo við að Póst- og fjarskiptastofnun er búin fyrir mörgum mánuðum að vinna heimavinnu sína og eru margar af þeim reglum sem setja á um frekari útfærslu á öryggiskröfum fyrir löngu tilbúnar.  Fyrstu drög hafa verið aðgengilegar á heimasíðu stofnunarinnar frá því í apríl í fyrra þar sem óskað var eftir athugasemdum og ábendingum.  Reglurnar sjálfar voru síðan frágengnar í september.  Það er því engin ástæða fyrir þá aðila sem falla undir hin nýju ákvæði að draga það eitthvað að bregðast við kröfum þeirra.  Svo má heldur ekki gleyma því, að fyrirtæki sem hafa innleitt góða stjórnarhætti standa sig betur í rekstri.  (Sjá grein á heimasíðu minni Mikilvægi góðra UT-stjórnarhátta fyrir rekstur fyrirtækja.)

Ég held að það sé í sjálfu sér ekkert í hinum nýju ákvæðum, sem eigi að virka mjög íþyngjandi fyrir fyrirtækin.  Gerðar eru meira og minna sjálfsagðar kröfur um öryggisskipulag, sem (eins og ég nefndi áður) eru meira og minna þær sömu og Persónuvernd hefur hvort eð er gert.  Vandamálið er að menn hafa líklegast ekkert verið að velta fyrir sér hvað Persónuvernd er að segja.  (Ég segi oft í gríni að eingöngu umferðarlög séu brotin oftar en persónuverndarlög.)  En aftur að kröfum laganna.  Það eru flestir búnir að setja sér alls konar reglur um aðgang, afrita upplýsingar, eru með reglur um aðgangsorð og notendanöfn, framkvæma einhvers konar áhættumat og svona mætti lengi telja.  Vandinn snýst ekki um að reglurnar séu ekki til staðar heldur að þær eru ekki skjalfestar.

Einn þingmaður hafði áhyggjur af smærri fyrirtækjum (internetþjónustuaðilum) og að nýju ákvæði virkuðu íþyngjandi á þau.  Ég held að þessar áhyggjur séu óþarfar, þar sem umfang þeirra reglna sem hvert fyrirtæki  þarf að innleiða, veltur að sjálfsögðu á stærð þeirra.  Þannig er ekki hægt að gera sömu kröfur til eins eða tveggja manna fyrirtækis og gerðar eru til Símans eða Vodafone og efast ég um að verði gert.

Hvað sem öllu liður, þá er ég sannfærður um að hin nýju ákvæði munu gagnast bæði neytendum og fyrirtækjunum vel og verða öllum til hagsbóta.