Datalagringsdirektivet

Av Marit Halse

2008-04

Det er som å «konservere høystakker for det tilfelle at det skulle vise seg at det er en nål i en av dem». Det sier Georg Apenes, direktør for Datatilsynet, om datalagringsdirektivet som trådte i kraft i EU 15. september i fjor.

Tilhengerne av datalagringsdirektivet sier vi må lagre kommunikasjonsdata for å kunne slå ned på alvorlig kriminalitet, men det er grunn til å tvile på at det vil hjelpe politiet med å fange så mange storkriminelle, skriver Marit Halse i denne artikkelen.

Kampen står nå direktivet også skal gjelde i Norge.

Marit Halse er styremedlem i Rødt Oslo.

 


 

Datalagringsdirektivet, ofte forkorta «DLD», er et EU-direktiv som av regjeringa antas å være EØS-relevant og derfor relevant for Norge, men det er ikke gjennomført her i landet ennå. Regjeringa vil utrede direktivet nærmere før den tar en beslutning om Norges holdning til datalagring.

Det uttalte målet for datalagringsdirektivet er å samordne praksisen i EUs medlemsland når det gjelder teleselskapenes lagring av informasjon om vår elektroniske kommunikasjon. Vi kommuniserer elektronisk når vi ringer noen fra mobil eller fasttelefon, når vi sender e-post, og når vi besøker ei nettside. Fram til nå har regler og praksis på dette området vært veldig varierende i EU- og EØS-landene.

I Norge lagres i utgangspunktet kun data som er nødvendige for å fakturere teleselskapenes kunder. Det vil si at teletilbyderen din lagrer informasjonen de trenger for å kunne regne ut hvor mye regninga di vil komme på, ingenting anna. Informasjonen blir sletta etter tre til fem måneder. I fleire land lagrer de fleire typer data, som hvem du har sendt e-post til, og i for eksempel Italia blir kommunikasjonsdataene lagra i fire år.

Om datalagringsdirektivet blir innført i Norge, vil teletilbyderen din måtte lagre all trafikk- og lokasjonsdata for elektronisk kommunikasjon. Det vil si:

  • Hvem du ringer til.
  • Når du ringer og hvor lenge samtalen varer.
  • Hvor du og den du ringer til befinner dere under oppringinga.
  • Når du er på nett og hvilken IP-adresse datamaskinen din har.
  • Hvem (1) du sender e-post til.
  • Når du sender e-post.
  • Hvilke IP-adresser maskinen din besøker.

Det siste punktet betyr at den som har tilgang til dataene vil kunne se hvor du har vært på nett. Det vil si, ikke nøyaktig hvilke nettsider du har vært innom, men det går an å se at du har vært innom den tjeneren som for eksempel sidene www.roedt.no ligger på. (1)

De kan jo ikke se hva jeg sier?

Lagring av trafikk- og lokasjonsdata høres kanskje ikke så skummelt ut – de vil jo tross alt ikke kunne se hva du skreiv i eposten eller vite nøyaktig hva du leste på Rødts nettsider (og om det fikk deg til å le eller grine) – men den som sitter med tilgang til denne informasjonen, kan ha mye nytte av å se hvem du har kontakt med og hvilke nettsider du er innom ofte. Det meste av det vi sier og skriver til folk, er jo tross alt ganske banalt og uinteressant for andre, men det kan være interessant å se hvem du prater ofte med, å kunne kartlegge vennekretsen og familien din og dine politiske kontakter.

En parallell fra kommunikasjon med «gammeldagse» metoder kan være julekortlista di. Det er stort sett uinteressant hva du skriver på julekortene du sender ut, men det kan være verdt å vite hvem du synes det er verdt å sende en julehilsen til. Om noen foreslo å registrere og lagre informasjon om alt vi sendte via Posten – til, fra, når, type post og vekt – ville det sannsynligvis blitt et ramaskrik nå. Men det er akkurat det datalagringsdirektivet vil gjøre for elektronisk kommunikasjon.

Folk flest er ikke kriminelle

Tilhengerne av DLD sier vi må lagre kommunikasjonsdata for å kunne slå ned på alvorlig kriminalitet. Det er ingen grunn til å tvile på at de fleste av dem meiner det godt, men det er grunn til å tvile på at DLD vil hjelpe politiet med å fange så mange storkriminelle. Som Georg Apenes, direktør for Datatilsynet, sier, så er det som å «konservere høystakker for det tilfelle at det skulle vise seg at det er en nål i en av dem». Politiet har allerede i dag mulighet til å «fryse» kommunikasjonsdata for mistenkte personer. Hvis noen mistenkes for å planlegge noe straffbart, kan for eksempel Økokrim be teleselskapene om å lagre all informasjon om vedkommendes bruk av telefon og internett.

Men det er en avgrunn av forskjell mellom å overvåke mistenkte og det å sette heile befolkninga under overvåkning, uavhengig av om vi er mistenkte for noe. Å lagre data om kontakt mellom folk som ikke er mistenkt for noe, i tilfelle du skulle gjøre noe kriminelt om et år eller to, er et alvorlig brudd på prinsippet om at du er «uskyldig inntil det motsatte er bevist». Å ville overvåke oss alle er som å si at vi alle er potensielt kriminelle, og det er umulig å bevise at man ikke har brutt loven. Men folk flest er ikke kriminelle. Det er først og fremst de lovlydige borgerne som vil bli rammet av dette direktivet.

Vil overvåkninga treffe bare kriminelle?

Alvorlig kriminalitet som terrorisme og overgrep mot barn, engasjerer følelser, naturlig nok. Men når vi blir veldig følelsesmessig engasjerte, skjer det lett at det blir vanskeligere å stoppe opp og tenke: Hvor mange terrorister er det? Hvor mange overgripere finnes det i Norge? Og viktigst: Når vi dem med denne typen overvåkning? Noen av tilhengerne som presser på for å innføre datalagringsdirektivet, prøver å bruke terrorisme og alvorlig kriminalitet som et skremmebilde for å legitimere overvåkingsforsettene sine.

At vi kan se hvem som har vært og kikka på «The Anarchist Cookbook» på nett, hjelper oss ikke med å fange terrorister. (Jeg var nettopp innom og skumleste litt i den sjøl, men jeg kan så godt som garantere at USAs ambassade i Oslo ikke går i lufta i morgen.) Resurssterke og farlige kriminelle (og terrorister) vil alltid klare å omgå overvåkning. De vil ha menneskelige og tekniske ressurser som gjør dem i stand til å omgå datalagringa, og penger til å bestikke utro tjenere når det trengs. Hvilket leder oss elegant inn på sikkerheten rundt alle disse dataene som skal lagres.

Kan informasjonen lagres sikkert nok?

Tanken er at all denne informasjonen om hvem vi ringer og hva vi gjør på nett, skal lagres av teleselskapene som leverer oss telefoni og internettilgang. De lagrer jo allerede litt data om hvordan vi kommuniserer, så det burde jo være en enkel sak å bare utvide litt. Kanskje ikke.

Ikke bare skal dataene lagres mye lengre under datalagringsdirektivet enn hva som er tilfellet i dag, men det skal lagres enormt mye meir informasjon. Teleselskapene har ikke systemer på plass for å gjøre dette på en god og effektiv måte, og enda viktigere: systemene de har, er ikke spesielt sikre. I 2007 blei personopplysningene til henholdsvis 20 000 og 80 000 tusen mennesker stjålet fra teleselskapene Talkmore og Tele2. Talkmore fikk en bot på 150 000 for brudd på personvernloven, mens saka mot Tele2 blei henlagt av Kripos. Politiet klarte ikke å finne bevis for at Tele2 var skyldig i å ha for dårlig sikkerhet.

Nå kan man jo håpe at kommunikasjonsdataene som skal lagres ved ei eventuell innføring av datalagringsdirektivet, må sikres noe bedre enn hva som er tilfelle hos teleselskapene nå, men hvis det regnes for «godt nok» sikra når noen ganske enkelt kan stjele informasjon om 60 000 mennesker, er det grunn til å være bekymra.

Du lurer kanskje på hvorfor noen andre enn myndighetene skulle være interesserte i hvem du har kontakt med og hva slags nettsider du besøker, men kommunikasjonsdata kan være ei gullgruve for mange kriminelle. Og for mange «skikkelige» forretningsfolk også, firmaer som driver med direkte markedsføring, ville betale godt for å vite hva du er interessert i. Og det er klart det kan være interessant å få vite at sjefen for en konkurrerende bedrift har utveksla e-post med et stort konsern i samme bransje.

Er et sentralt lager sikkert?

Justisdepartement er også bekymra for hvor sikkert det vil være å lagre kommunikasjonsdata hos teleselskapene, og dessuten er de redde for at det skal bli altfor dyrt for dem – spesielt for de små selskapene, som ikke vil kunne spre de økte kostnadene ut over mange kunder. Derfor har departementet vært inne på tanken om å lagre kommunikasjonsdataene i en statlig sentral database i stedet.

Det at datalagring utføres av det offentlige heller enn av private, er for det første ingen garanti for at informasjonen vil være sikker nok. Det har hendt før at offentlige instanser har mistet sensitive personopplysninger, og det vil skje igjen. Og skulle det skje en glipp i sikkerheten med et stort sentralt datalager, vil potensialet for katastrofe være veldig mye større enn om kommunikasjonsdataene skulle lagres av den enkelte teleleverandør.

Men det gir allikevel meir grunn til betenkning at sentral lagring gjør det så mye enklere å misbruke dataene. En godt plassert utro tjener vil kunne selge informasjon om kommunikasjonsmønstrene til praktisk talt heile Norges befolkning, men jeg håper og trur at det ikke er så mange i den statlige forvaltningen som vil selge seg, sjøl for mange penger. Men det er som sagt ikke bare kriminelle som kan tenkes å misbruke slik informasjon.

Storebror følger med

I 1996 avslørte Lund-rapporten omfattende og ulovlig overvåkning av personer og grupper som overvåkningstjenesten anså for å representere en trussel mot rikets sikkerhet, personer og grupper som for eksempel folk fra Nei til Atomvåpen og Sosialistisk Venstreparti. Rapporten kritiserte også blant anna det tette samarbeidet mellom overvåkningstjenesten og Arbeiderpartiet.

Hvem som anses å være en «trussel mot rikets sikkerhet», vel, det skifter. I en lang periode etter andre verdenskrig var det venstresida. Hvis Politiets sikkerhetstjeneste (PST) måtte plukke ut én trussel nå, ville de nok valgt seg islamske ekstremister. Det kan være særdeles ubehagelig å tilhøre ei gruppe med mennesker som blir ansett å være en trussel, men det er i grunnen enda verre at de som bestemmer hvem som er en trussel, gjør det bak lukka dører og ofte i samråd med politikere med vikarierende motiver.

Det letteste er å le det bort og kalle folk som snakker om overvåking for å være paranoide, men før Lund-rapporten kom var det mange av de overvåka som blei hevda å være nettopp det. Du er ikke paranoid hvis de følger etter deg. Og under datalagringsdirektivet vil de kunne overvåke deg lovlig.

Ting har det med å gli ut

Mange har argumentert med at om vi innfører datalagringsdirektivet vil vi få strengere regler for lagring av kommunikasjonsdata, særlig fint skal det være at vi vil få et felles regelverk for så godt som heile Europa, hvor det er ganske store forskjeller mellom landene når det gjelder hva som lagres og for hvor lenge. Men direktivet setter kun grenser for hva som lagres og for hvor lenge.

Det ligger allerede en mulighet i direktivet for å utvide lagringstida for data ut over de 24 månedene som i utganspunktet er satt som maksimum. Fleire forkjempere for direktivet vil ha lengst mulig lagringstid, og det er nesten en lovmessig følge at dette vil gli ut – overvåkere vil naturlig nok spare på dataene så lenge som mulig.

Hva slags kriminalitet eller uønska aktiviteter man skal kunne slå ned på med å samle informasjon om hvem vi kommuniserer med, er heller ikke veldig strengt definert. Direktivet begrunner lagring av kommunikasjonsmønstrene til folk med at man trenger det for å kunne slå ned på alvorlig kriminalitet. Nå er det som nevnt før, heller usikkert hvor mange storkriminelle man vil kunne ta ved hjelp av slik data, det er nå en ting. En anna sak er at det er opp til det enkelte land hvor direktivet innføres, å definere «alvorlig kriminalitet».

Enkelte typer kriminalitet vil de fleste være enige i er alvorlige. Mord, seksuelle overgrep mot barn. Andre typer aktivitet kan vi alle være enige om er alvorlige, men vi vil kanskje være uenige om hva som skal puttes i hvilken bås – den enes frihetskjemper er jo gjerne den andres terrorist … For å kunne fakke terrorister vil myndighetene være interesserte i informasjon om folk med «betenkelige» politiske holdninger eller interesser og hvem de har kontakt med. Det kan fort være deg. (2)

Og så har vi aktiviteter som noen vil meine er alvorlig kriminalitet, mens andre ikke synes det er så farlig – ja, kanskje det ikke burde være straffbart i det heile tatt? Ta for eksempel fildeling.

Det er ikke tvil om at innholdsleverandører vil meine, at sjøl den minste nedlasting av opphavsrettbeskytta musikk og film er alvorlig. Det kan være veldig nyttig for plateselskapene å få tilgang til data om hvor vi har vært på nett, slik at de kan finne ut om vi har lasta ned noe vi ikke burde. Og tilgang kan de få – det er ikke en gang sikkert de trenger å gå gjennom politiet, hvis myndighetene vil.

Datalagringsdirektivet vil nemlig gi tilgang til lagra trafikk- og lokasjonsdata til «relevante myndigheter», og det trenger ikke være begrensa til offentlige myndigheter. Jeg er ikke videre fornøyd med at staten skal samle opp informasjon om hva jeg gjør på nett, men jeg er enda mindre glad for at et advokatfirma kanskje vil kunne få tilgang til denne informasjonen for å sjekke hvor ofte jeg er på Piratebay.org.

Hvis dette høres fjernt ut, bør du vite at advokatfirmaet Simonsen allerede i dag har tillatelse til å overvåke fildelingsnettverk. Hensikten er å skaffe nok opplysninger til å kunne anmelde ulovlig fildeling til politiet, fremme et sivilt søksmål, eller å rette henvendelser til enkelte fildelere via nettleverandørene. Advokatfirmaet gjør dette på oppdrag fra rettighetshavere innafor plate- og filmbransjen.

Men ikke i Norge, vel?

Mange av DLD-tilhengerne vil fortelle deg at det aldri kommer til å gli ut slik i Norge. Det er bare rette myndighetene som skal ha tilgang til hvem du har kontakt med, og hva du gjør på nett, og det er bare alvorlig kriminalitet som skal slås ned på. Men det er naivt å tru at Norge har noen spesiell beskyttelse mot Storebror. Gir du overvåkeren en lillefinger, vil han fort finne argumenter for at han bør ha heile hånda, samtidig som han forsikrer deg om at han passer på personvernet ditt.

Demokrati er ingen vaksine mot autoritære og totalitære tendenser. Demokrati forutsetter visse regler som ikke kan brytes – at myndigheter og andre aktører får informasjon om hvem vi kommuniserer med og hvordan vi bruker internett, er ikke forenlig med et folkestyre og et rettssamfunn.

Men blir det noe av?

To av Norges fremste jurister på EU/EØSrett, professor dr juris Finn Arnesen og professor dr juris Fredrik Sejersted ved Senter for europarett ved Universitetet i Oslo, meiner at det kan argumenteres juridisk for at datalagringsdirektivet ikke er EØS-relevant, og at om Norge allikevel må bruke EØS-avtalens vetorett mot direktivet, bør konsekvensene være svært beskjedne.

Samferdsels- og justisdepartementene utreder datalagringsdirektivet nå med sikte på å fremme et lovforslag til Stortinget rundt årsskiftet 2008/2009. Samferdselsdepartementet ledes av Senterpartiets Liv Signe Navarsete som har sagt seg «skeptisk» til direktivet, så vi får vel tru hun vil snu hver en stein for å finne argumenter mot DLD.

Alle de politiske ungdomspartiene går mot datalagringsdirektivet, fra RU til FpU. Blant stortingspartiene har Venstre, FrP, KrF og Senterpartiet tatt standpunkt mot direktivet. I SV har fleire fylkes- og lokallag sagt nei til DLD, mens SV sentralt ikke har tatt standpunkt ennå, sjøl om nestleder Audun Lysbakken har uttalt seg mot direktivet.

Høyre er «kritiske» til datalagringsdirektivet, men er redde for å sette EØS-avtalen i fare ved å bruke vetoretten. Arbeiderpartiet vil vente til direktivet er «nærmere utredet» før de tar standpunkt, men vi har vel en viss aning om at Ap også vil gå mot et veto. Nå har heldigvis ikke Høyre og Arbeiderpartiet fleirtall på Stortinget sammen, de mangler ett mandat. Men mye kommer an på ryggraden til de to regjeringspartiene SV og Senterpartiet.

Hvis Arbeiderpartiet bestemmer seg for å gå inn for DLD og lener seg tungt på SV og Senterpartiet for å få regjeringspartnerne sine med på det, avhenger alt av at de to minste partiene i regjeringen ikke lar seg overtale til å godta datalagringsdirektivet. Hvis de lar seg berolige med fagre ord om sikkerhet og strenge krav til sletting, kan vi vinke farvel til elektronisk personvern i Norge.

Respekten for innbyggernes personvern er en betingelse for et fungerende demokrati, og muligheten for å bevege oss anonymt og ikke-sporbart både på gata og når vi kommuniserer elektronisk, er en forutsetning for trygghet mot overgrep og maktmisbruk. I det øyeblikket vi gir myndighetene mulighet til å vite hvem vi har kommunisert med på telefon og på nett, er privatlivet vårt ødelagt. Vi må ikke tru at uforholdsmessig kontroll ikke er farlig i et demokrati. Det er tvert i mot slik at demokratiet ikke tåler at kontrollen blir for gjennomgripende. Tiltak som DLD handler ikke om å «bekjempe kriminalitet», men om et kontrolltiltak som retter seg mot hele befolkningen. Skal rettsstaten opprettholdes, må slike kontrolltiltak avvises. Derfor er vi nødt til å avvise datalagringsdirektivet og gjøre hva vi kan for at det ikke innføres i Norge.

Kilder og referanser:

Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ :L:2006:105:0054 :0063:EN:PDF COD /2005/0182 : 15/03/2006 

Final legislative act (sammendrag): http://www.europarl.europa.eu/oeil/resume.jsp?id=5275 032&eventId=935334&backToCaller=NO&language=en

Direktivet på dansk: http://datalagringsdirektivet.no/filer/datalagringsdirektivet_da.pdf

Per Inge Østmoen, Elektronisk forpost Norge: http://www.efn.no/

Datalagringsdirektivet, Wikipedia (engelsk): http://en.wikipedia.org/wiki/Telecommunications_data_retention#Data_retention_in_the_European_Union

Datalagringsdirektivet, Wikipedia (norsk): http://no.wikipedia.org/wiki/Datalagringsdirektivet

Talkmore bøtelagt: http://forbruker.no/pengenedine/article2373995 .ece

Henlegger sak mot Tele2: http://www.dagensit.no/article1302810.ece

Overvåking av fildelingsnettverk: http://www.datatilsynet.no/templates/Page____1610.aspx

Terrorlover mot foreldrene til skolebarn: http://www.independent.co.uk/news/uk/homenews/ antiterror-laws-used-to-spy-on-family-807873.html?service=Print

Norge kan slippe datalagringsdirektivet: http://www.datalagringsdirektivet.no/node/59

Noter:

1.) En tjener er en datamaskin med internettilgang hvor bl.a. nettsider lagres. Når du surfer rundt på f.eks. www.roedt.no, besøker du tjeneren hvor de nettsidene ligger. Alle datamaskiner med internettilgang får tildelt en IP-adresse, og denne kan logges og lagres.

2.) Og det kan fort bli aldeles bisart. I Stor-Britannia har myndighetene blant anna brukt lover laga for å bekjempe terror og alvorlig kriminalitet til å spionere på foreldrene til skolebarn og for å sjekke om hundeeiere plukker opp lort etter bikkjene sine …!