Ukategorisert

«The Data Retention Directive: will it make a difference?»

Også på Vestlandet er de opptatt av datalagringsdirektivets konsekvenser for personvernet i Norge. 14.mai ble det arrangert et åpent møte, og vi ba en som tipset oss om møtet om å skrive referat.

Institutt for Informasjons- og medievitenskap ved UiB arrangerte 14. mai et åpent informasjonsmøte om datalagringsdirektivet. På grunn av gnistrende vårvær, litt mangelfull annonsering og møtetidspunkt på dagtid var det dessverre bare drøyt 25 personer som hadde funnet veien til «Egget» i det nye Studentsenteret, inklusive arrangører og innledere. Det var synd, for møtet var meget lærerikt, selv for en som i utgangspunktet har fulgt nøye med på debatten om direktivet både i Norge og i EU.

Av Tor E. Bjørstad

Møtet ble åpnet av instituttleder ved informasjons- og medievitenskap, professor Dag Elgesem, som fastslo betydningen av å ha en opplyst og tverrfaglig akademiske debatt om viktige samfunnsmessige spørsmål. Han ga også en kjapp oversikt over direktivet og momenter som ligger til grunn for debatten i Norge; er direktivet EØS-relevant, hvilke data er det som skal lagres, hva slags muligheter finnes for nasjonale tilpasninger, og hva vil personvernkostnadene av å innføre direktivet være? Dette var sentrale tema som foredragsholderene kom tilbake til flere ganger i løpet av seminaret.

Juridisk grunnlag
Førsteamaunensis i privatrett fra UiO, Lee Bygrave, fikk deretter ordet. Bygrave er blant annet medlem av Personvernkommisjonen, men understreket at han kun snakket som privatperson. Innledningsvis bemerket han at det var «nice there is some concern», og at debatten som har vært i Norge de siste månedene «has been quite historic in engaging people about […] privacy concerns», ettersom personvernssaker sjelden har vært det som skaper de største overskriftene og engasjementet i Norge. Hovedtema for foredraget var ellers å redegjøre for den juridiske situasjonen rundt datalagring i Norge pr. idag, og hvordan datalagringsdirektivet stiller seg i forhold til dette. Per idag er muligheten til å lagre trafikkdata hovedsaklig regulert av Lov om Elektronisk Kommunikasjon og Personopplysningsloven. Dette er kun tillatt i forbindelse med fakturering, det er frivillig for den enkelte teleoperatør, og krever konsesjon fra Datatilsynet. Politiets tilgang til faktureringsdata er også regulert av LEK. For å få tilgang må det blant annet være skjellig grunn til mistanke, strafferammen skal være på minst 5 år, opplysningene må være av vesentlig betydning for etterforskingen, og det kreves som regel en rettslig kjennelse for å få tilgang. Det har i hovedsak ikke vært noen offentlig debatt om dagens lagring av trafikkdata siden Televerket innførte ‘SenTaks’-systemet tidlig på 90-tallet, dengang for å kunne tilby spesifiserte telefonregninger. Dagens regelverk åpner i utgangspunktet ikke for lagring av trafikkdata i mer enn 5 måneder, eller inntil en eventuell tvistesak er avgjort.

Direkte konsekvenser ved å innføre datalagringsdirektivet i forhold til dagens praksis, vil blant annet være at operatørene må lagre nye typer data, at flere entiteter må lagre data enn i dag, at dataene må lagrets i lengre tidsrom enn i dag, og at det potensielt blir lagret mye mer enn bare rene trafikkdata (mer om dette senere). I tillegg får man et nytt normativt grunnlag for lagringen; i stedet for at man som bedrift har mulighet til å lagre trafikkdata av faktureringshensyn (som myndighetene eventuelt kan be om innsyn i), får man en plikt til å lagre alle trafikkdataene. Samtidig identifiserte Bygrave også det han ser på som legitime politifaglige bekymringer som ligger til grunn for ønsket om økt lagring, ved at Norge kan riskiere å bli en ‘fristat’ for organisert kriminalitet dersom man står utenfor, og at dagens regelverk er utdatert i forhold til teknologiutviklingen. Det var imidlertid Bygraves personlige oppfatning at politiet ikke har gått inn i samfunnsdebatten og dokumentert behovet for økt overvåkning i tilstrekkelig grad. Det er ingen som har forsøkt å kvantifisere «how much more crime will be solved» ved innføringen av direktivet.

Til slutt tok Bygrave raskt opp spørsmålene knyttet til legaliteten til direktivet, i forhold til hvilken av EUs søyler det faller under og hvorvidt det er EØS-relevant. Direktivet har blitt behandlet som relevant for EUs indre marked (første søyle), men Irland har som kjent klaget inn dette for Europadomstolen – da de mener det hører hjemme under det Europeiske politisamarbeidet (tredje søyle). Dette er veldig sentralt for Norges del, siden det bare er direktiv tilhørende første søyle som er direkte del av EØS. Bygrave pekte også på en liknende sak fra 2006 (om utlevering av flypassasjerdata til USA), som ble flyttet fra første til tredje søyle etter en klage på tilsvarende grunnlag.

Europeisk engasjement
Neste foredragsholder var Joris van Hoboken, PhD-student fra Universitetet i Amsterdam. Han presenterte seg selv som en anti-datalagringsaktivist som blant annet har jobbet opp mot den Europeiske digitalrettighetsorganisasjonen EDRi gjennom den Nederlandske organisasjonen Bits of Freedom. Hobokens foredrag fokuserte på om bakgrunnen for datalagringsdirektivet (og kampen mot det) i EU og i Nederland.

Debatten om datalagring i EU kan spores tilbake til begynnelsen av 90-tallet, men den skjøt først fart i 2004, like etter Madrid-bombingen. Kampen mot terrorisme kan således neppe påstås å være det direkte opphavet til datalagringsdirektivet, men det er liten tvil om at det har hatt en viktig katalysatorrolle. Statusen til datalagringsdirektivet i EU har også vært komplisert og omstridt; direktivet falt historisk sett inn under søyle 3 (politi- og juridisk samarbeid), men ble etter hvert flyttet over til første søylen (indre marked). Bakgrunnen for denne kan blant annet ha vært et ønske om å unngå medlemsstatenes vetomulighet for søyle 3-saker, og Irland forsøker som tidligere nevnt å få det flyttet tilbake.

Et sentralt spørsmål er dermed hva som faktisk harmoniseres mellom medlemslandene ved å innføre datalagringsdirektivet. Hoboken påpekte at medlemslandene har meget stor handlingsfrihet i implementeringen av datalagringsdirektivet, deriblant varighet for lagringen (fra 6 til 24 måneder), definisjonen av ‘serious crime’ (som et kriterium for å få innsyn), hvilke mekanismer som skal gis til myndighetene for tilgang til dataene, og til en viss grad hva slags data som lagres. Lagring av URLer er for eksempel ikke noe som kreves av datalagringsdirektivet, men det er likevel enkelte land som vurderer å innføre det på nasjonalt nivå, deriblant Danmark. Selv om datalagringsdirektivet krever at man lagrer stedsinformasjon når man starter en mobilsamtale, er det opp til nasjonale myndigheter om man også skal lagre hvor telefonen beveger seg under samtalen. Rommet for nasjonale justeringer og mangelen på standardisering vil blant annet føre til ulike kostnader og konkurransevilkår for teleselskapene fra land til land. Argumentet til Hoboken var dermed at det eneste som faktisk harmoniseres mellom EU-landene er at (noen) trafikkdata skal lagres og at politiet (under ymse omstendigheter) skal kunne få tilgang – med andre ord rene politihensyn.

Av andre forhold som ble tatt opp er situasjonen i Tyskland, hvor personvernet er spesielt sterkt forankret i grunnloven. Den tyske forfatningsdomstolen nylig gått ut (etter klage fra personvernorganisasjoner) og stukket kjepper i hjulene for implementeringen av direktivet, da de ønsker å vurdere nærmere på hvorvidt det er grunnlovsstridig. En studie fra Max Planck-instituttet skal ha vist at det ikke er empirisk grunnlag for å kreve at trafikkdata lagres i mer enn ca 6 måneder, da det synes å være lite behov for dette. Andre aspekter som ble nevnt av Hoboken var forholdet til den Europeiske Menneskerettighetskonvensjonens artikkel 8 om retten til privatliv, og spørsmålet om datalagringsdirektivet er et proporsjonalt og effektivt tiltak i forhold til de kriminalitetsbekjempende målene man ønsker å oppnå. (Effektiviteten av å lagre sendere/mottakere for all epost er kanskje spesielt tvilsom, med tanke på hvor stor andel som er spam.) Et siste spørsmål som i stor grad har vært glemt i debatten, er om det har vært utredet alternative (og mer personvernsvennlige) tiltak som kan gjøres for å bekjempe organisert kriminalitet.

Forurensing fra Brüssel
Den tredje foredragsholderen var professor i informatikk Dag Johansen, fra Universitetet i Tromsø. Han startet friskt med å sammenlikne datalagringsdirektivet med forurensing: noe dritt som hovedsaklig skapes nede i sør, og er i ferd med å spre seg nordover, endog forbi polarsirkelen og helt opp til Tromsø. Johansen erklærte seg som en innbitt ‘privacy advocate’, og brukte størsteparten av foredraget til å ta opp også mer generelle utfordringer knyttet til personvern i dagens samfunn. Han diskuterte fire årsaker til hvorfor personopplysninger er interessante; tekniske (bedre kvalitet / presisjon på tjenester), økonomiske (individrettet reklame, ‘data mining’), ulovlige (spam, identitetstyveri) og juridiske (kriminalitet, terrorisme, overvåking), og hvordan store kommersielle aktører som Google allerede lagrer og analyserer store mengder person- og trafikkdata, med henvisning blant annet til datalagringsdirektivet.

Johansen henviste til en undersøkelse fra IDC i 2007, som hevdet at den gjennomsnittlige internettbruker har gitt opphav til rundt 45 GB med ‘personlige data’ – hvorav bare 50% er brukergenerert informasjon, og resten består av ting som trafikkdata og søkeinformasjon, helt utenfor brukerens kontroll. Han satte også fingeren på paradokset ved at EU etterforsker praksisen til kommersielle aktører Google rundt oppbevaring og bruk av personopplysninger – samtidig som man prøver å innføre datalagringsdirektivet for dermed å tvinge flere kommersielle aktører til å oppbevare personopplysninger. Et annet moment er kostnaden og den konkurransevridende effekten av direktivet. IKT-Norge har estimert kostnaden av å innføre datalagringsdirektivet i Norge til 250 millioner, eller ca 1% av den totale omsetningen i bransjen. Dette vil formodentlig kunne bli et stort problem for små tjenesteleverandører, da disse ikke vil kunne få stordriftsfordeler for lagringssystemene sine. Den økte etableringskostnaden vil nødvendigvis være til hinder for nye aktører.

En annen grunn til bekymring er informasjonssikkerheten til lagringssystemene – stoler man på at bedriftene vil klare å ivareta informasjonen på en forsvarlig måte? Svaret til Johansen var et soleklart ‘Nei!’, med henvisning til den senere tids skandaler både i England, og her hjemme i Norge (jf. TalkMore-saken i fjor høst, hvor over 100 000 personnummer havnet på avveie pga. et dårlig designet websystem). Et siste prinsipielt punkt var forholdet til kildevernet og annen konfidensiell informasjon, som vil kunne røpes direkte fra trafikkdata for epost. Konklusjonen til Johansen var sterkt pessimistisk i forhold til personvernets kår i forhold til teknologiutviklingen og den ‘slippery slope’ man er på vei utfor, men at de prinsipielle slagene, som ved Datalagringsdirektivet, uansett må utkjempes.

USA går foran
Siste foredragsholder var Sandra Bramen, som for tiden er besøkende ‘Fritt Ord’-professor ved Universitet i Bergen. Hun snakket om datalagring i USA under Patriot Act, og hvilke konklusjoner man kan trekke av erfaringene derifra. Som en fotnote påpekte Bramen tidlig i foredraget at store deler av all internett-trafikk går gjennom USA, og at det meste av trafikkdata dermed uansett blir lagret (og evt. analysert) av myndighetene der. Ellers tok hun opp problemstillinger knyttet til data mining, og hvordan statistisk uforutsigbar oppførsel nærmest definisjonsmessig blir ansett som suspekt. Forholdet mellom myndighetene, samfunnet og rettsvesenet ble beskrevet som turbulente, med politiske krefter som drar i motstridende retninger; samtidig som debatten om telefonavlytting og elektronisk overvåking rager, har man flere tilfeller av at administrasjonen har slettet eller ‘mistet’ epost som skulle vært arkivert.

Bramen tok opp et viktig moment i forhold til datalagring når det gjelder elektronisk kommunikasjon: I hvilken grad klarer man å skille mellom trafikkdata og innhold? I mange tilfeller vil det ene gli over i det andre, spesielt om man tolker internettadresser (URLer) og søkestrenger som ‘trafikkdata’. Datalagringsdirektivet har som premiss at det ikke skal ta for seg ‘innhold’, men det er ikke alltid noe opplagt skille mellom de to. Hun diskuterte også problemet med å kvalitetssikre lagrete data, og i hvilken grad det er praktisk mulig å oppdage og rette feil.

Et annet moment som Bramen tok opp er den folkelige motstanden mot de mer ytterliggående overvåkingtiltakene i USA – med rettssaker i regi av ACLU, lokale myndigheter som instruerer sheriffen i å ignorere de delene av Patriot Act som tolkes som grunnlovsstridige, og andre former for ulydighet; forsøk på å trenere vedtak til de går sin vei («Javel Hr. Minister, vi skal selvsagt gjennomføre dette, men det kommer til å ta tid …»), informasjon som blir borte på grunn av ‘deliberate mistakes’ eller ‘påstått teknisk inkompetanse’, og hvordan man kan svare på juridiske krav om å utlevere informasjon med en flodbølge («Dere ba om informasjon, her har dere ALT vi har, lykke til med å sortere gjennom alt sammen …»). Bramen advarte også mot en ‘slippery slope’-utvikling når det kommer til personvern i EU. Selv om EU generelt har mye strengere lovgivning enn USA om vern av personopplysninger, er datalagringsdirektivet et vesentlig steg i gal retning.

EUs indre prosesser
Til slutt ble det åpnet for diskusjon og spørsmål fra salen, men på grunn av det forholdsvis lave oppmøtet og varigheten til møtet var interessen for dette begrenset. Alle jeg snakket med var imidlertid enige om at det hadde vært et nyttig og lærerikt møte. Selv om alle foredragsholderene i ulik grad ga uttrykk for at de var skeptiske til eller direkte motstandere av direktivet, ble seminaret aldri kjedelig, fordi man stadig fikk belyst tema fra nye faglige standpunkt. Selv sitter jeg igjen med noen spørsmål knyttet til de videre prosessene innad i EU. Med juridiske innsigelser fra Irland og grunnlovsmessig debatt i Tyskland, er det klart at siste ord ikke er sagt på EU-nivå. Samtidig er EU i stadig endring, og jeg har foreløpig ikke klart for meg hvordan Lisboatraktaten vil påvirke EØS-avtalen i forhold til hva som er/ikke er EØS-relevant når dagens søylesystem fjernes. Et annet spørsmål er hvorvidt det er en risiko for at Norge kan sitte igjen med svarteper selv om datalagringsdirektivet viser seg å være utenfor EØS, dersom det blir ansett som Schengen-relevant. Vi går utvilsomt interessante tider i møte.

Forbehold: Referatet er skrevet på bakgrunn av egne notater. Eventuelle feil og misforståelser vil selvfølgelig bli rettet dersom de påpekes.


Tor E. Bjørstad jobber som stipendiat i sikker kommunikasjon på Selmersenteret ved Universitetet i Bergen, og har vært medlem i Unge Venstres landsstyre siden 2006. Hjemmeside.

Mest lest

Arrangementer