Stortinget har med knappest margin vedtatt lov om systematisk lagring av digitale data utvekslet mellom individer i Norge. Bekymringsfullt og lite gjennomtenkt sier informatiker, som følger nøye med interessegruppen ”Digitalt personvern”, som tar saken for domstolene.

ITpro har i anledning den forstående prøvingen av Datalagringsdirektivet for retten, intervjuet Håvard Hatlevik, som er adjunkt i informatikk og aktivist i saken. Han arbeider for tiden som lærer innen IT- og IKT-fagene i videregående skole.

– Hvordan vil du forklare datalagringsdirektivet for allmennheten?

Formålet til datalagringsdirektivet slik det fremligger fra EU er delt:

Harmonisering av nasjonale systemer internt i unionen for enklere frihandel på tvers av landegrensene i EU. Felles tidsgrense for når politietatene kan hente ut data fra andre medlemsland, samt sikre elektroniske bevis for ettertiden for en fellende dom i tilfelle et individ eller gruppe har begått en kriminell handling.

I Norge ser man en innførsel utelukkende rettet mot det siste av de tre formålene.

– Hvilke etiske utfordringer ser du i datalagringsdirektivet?

Slik datalagringsdirektivet foreligger i dag er det en trussel mot enkeltpersoner og den generelle utviklingen av demokratiet gjennom formålet av lovteksten. Blant annet hvordan datalagringsdirektivet skal brukes og ikke minst hvordan det kan misbrukes, men dette kommer vi tilbake til.

– Fremkommer det hvilke data som skal lagres?

Etter EUs begreper er dette svært upresist og ikke endelig. EU har definert lovverket innen datalagring til å omfatte «elektronisk post» og «telefoni». Dette inkluderer da også deler av internettelefoni og hele kategoriene av SMS og MMS. Dette kan derimot hvert enkelt medlemsland utvide til å omfatte den mengde de selv mener er nødvendig og hensiktsmessig.

Jeg stiller meg sterkt kritisk til myndighetene som har vedtatt et komplisert lovverk uten at det egentlig ikke er noen form for klarhet i hva dette vil bety i praksis
 – Håvard Hatlevik

Implementeringen av datalagringsdirektivet i Danmark har gått vesentlig lengre enn det standarddefinisjonen til EU tilsier. Her lagres samtlige internettsesjoner – noe som er vesentlig mer enn bare e-post og telefoni.

Skal du følge EUs standarder vil dette utelukke kommunikasjon gjennom chat-programmer, deler av programmer som Skype og generell http-trafikk.

– Hvorfor er du kritisk til myndighetenes innførsel av datalagringsdirektivet?

Jeg stiller meg sterkt kritisk til myndighetene som har vedtatt et komplisert lovverk uten at det egentlig ikke er noen form for klarhet i hva dette vil bety i praksis. Myndighetene har verken avklart hva som skal lagres, hvor det skal lagres, eller hvem som skal ha tilgang til dataene.

Justisministeren forutsetter full sikkerhet rundt datalagringsdirektivet. Hver minste detalj. Enhver i IT-bransjen vet at ordene «dynamisk datalagring» og «full sikkerhet» ikke kan kombineres. Det vil til enhver tid være overhengende fare for innbrudd og/eller lekkasje, og du kan jo selv se for deg hvilke konsekvenser dette kan få i gale hender.

Det et stort behov i denne sammenheng at det utarbeides en offentlig tilgjengelig risikoanalyse for hva som er akseptabel risiko, og hvilke eventuelle brudd på sikkerheten vi må leve med. Dette gjelder ikke bare gjennom cracking, men også utilsiktet og uønsket innsikt i databasene. Dette vil vi komme tilbake til.

Les også:

– Hvem må betale for datalagringsdirektivet?

Datalagringsdirektivet slik den foreligger fra EU, er det helt åpent hvem som skal stå for lagringen av data. Er det staten, tjenestetilbyderen eller eier av infrastrukturen? Det er i andre europeiske land store forskjeller på finansieringsmodeller og kvalitetene på data som lagres. Etter de forskjellige modellene viser det seg at mindre bedrifter ofte skofter på kvaliteten og loggingen av data, ettersom at dette koster for mye penger for bedriften. Det ironiske er at formålet til datalagringsdirektivet skal gjøre det lettere med handel – men i realiteten gir den små bedrifter en merkostnad som gjør det tilnærmet umulig å være konkurransedyktig. Store og monopolistiske selskaper drar store fordeler der de mindre bedriftene lider.

Det er også nødvendig å stille spørsmålstegn ved kost-/nytte-verdien av en slik masselagring av privat kommunikasjon, om bedriftsnorge og sluttbrukeren tar regningen for noe staten drar nytte av. Til syvende og sist blir enten selskapene eller staten nødt for å fakturere sluttbrukeren enten gjennom dyrere tjenester eller skatt. Hva kunne disse pengene ha blitt brukt til i andre sammenhenger til det samme formålet?

– Er det klart hvem som skal ha tilgang til disse dataene?

Dette er en av de mest prekære og uavklarte delene ved DLD, og det må avklares og være offentlig tilgjengelig hvem som skal ha tilgang til dataene, hvilken del av dataene og for hvilket formål. Justisministeren i Norge har ikke klart å redegjøre for dette, heller sådd tvil om hvem som skal ha tilgang. Han har variert svarene mellom atkun de offentlige myndigheter skal ha tilgang, til at private aktører kan få innsyn etter gitte kriterier. Hvilke kriterier? Er det tilfredsstillende nok at en aktør føler at sine eierinteresser rundt opphavsrett er brutt, privatetterforskere som leter opp løse tråder i en utroskapssak med store økonomiske interesser? Alt dette må på plass og være tydelig i sin fremståelse.

Mest bekymringsfullt føler jeg det hvis tredjeparter (private etterforskere, kommersielle selskaper eller PR-selskaper for å nevne noen), vil kunne få innsyn i slike mengder private og sensitive data systematisk. Tredjepartene har gjerne et vikarierende motiv for å bruke dette mot enkeltmennesker i deres liv og ytring. Gjerne for å undertrykke ufordelsaktige meninger og ytringer mot enten et selskap eller en organisasjon.

På lik linje er det ikke bare viktig å få kartlagt hvem som skal ha krav og rett på innsyn til dataene, men også hvem som skal skrive til den – og hva? Hvordan skal feilaktig innhold håndteres og hvilke kjøreregler gjelder ved inkonsistens av to eller flere databaser? Du kan jo se for deg en potensiell situasjon hvor kriminelle kan bryte seg inn for å plante innhold, eller på en enkel måte kloner ditt SIM-kort og sender en SMS fra en helt annen lokasjon enn hvor du faktisk er – for å ha et digitalt bevis på hvor du var i det gitte tidsrom og kommuniserte med enten en spesifikk eller tilfeldig person.

Dette er detaljer som ikke er kommentert i direktivet slik det foreligger i dag – verken fra EU eller den norske tilpassningen av loven.

– Vil DLD kunne påvirke bruk og utvikling av såkalt «cloud computing»?

Cloud computering, eller arbeid i skyen, er trolig det største offeret i denne lovgivningen.

Eksempelvis vil et selskap som har kunder i Europa og kontorer i USA måtte kunne utlevere brukerdata eller tekniske data til eksempelvis amerikanske myndigheter, og/eller selskaper i andre nasjoner – selv om dette strider mot europeisk lov. Dette vil også stille selskapene som blir dømt til å utlevere slik informasjon i håpløse, juridiske og etiske problemstillinger.

Å logge brukersesjoner og aktive datatyper og lignende kan resultere i uønsket lekkasje fra selskaper og dets ansatte, så vel som privatpersonene involvert som enten kunder eller frittstående individer. Dette selv om lovverket og avtalen mellom to parter (tjenestetilbyder og kunde) er vanntett innad i landet avtalen er inngått.

– Frykter du en politistat?

En innføring av DLD vil garantert være en relativt stor samfunnskostnad uansett hvordan den fordeles. Bare forestill deg hvor mange politistillinger dette direktivet kunne ha finansiert i sin kostnad, til eksempelvis å trygge storbyene våre om natten. Og tror du at et innført direktiv blir fjernet dersom det i ettertid viser seg at det ikke fungerer i praksis? Historien viser at all form for logging og overvåkning eskalerer til samfunnet, hvor til slutt  borgerne gjør opprør, sier Hatlevik – og henviser til Stasi-Tyskland.

Tilsvarende kan vi tenke oss at kundedata i en bompengering sammen med en telefonsamtale som kan følges geografisk, kan bli en kilde for privatetterforskere eller for påtalemyndighetene. Dette kan da medføre feilaktige beskyldninger med et sterkt tvilsomt utgangspunkt. Bare se for deg scenarioet nevnt tidligere med kloning av SIM-kort.

Jeg har selv diskutert temaet med politibetjenter og rettsdommer hvor den gjeldende retorikken er hvor mye og harde bevis som skal til for å få en domfellelse for et kriminelt forhold. Dette fører til at de, velmenende, ønsker et bedre verktøy for å få en domfellelse. Etter dette mener jeg at ordens- og domsmakten mister evnen til å vurdere nytten av DLD opp mot inngrepene mot menneskeretten og grunnloven i vårt samfunn.

Historien viser at all form for logging og overvåkning eskalerer til samfunnet, hvor til slutt  borgerne gjør opprør.
Håvard Hatlevik

Mer spesifikt kan det blant annet påvirke enkeltindivider og gruppers muligheter og ønske om å uttrykke seg mellom andre enkeltpersoner og grupper, så vel som i det offentlige rom.

Det er også mange krefter i EU-rådet som ønsker å ta det flere steg enn dagens form.

Senest i oktober i år gikk en av Italias representanter i EU-parlamentet,Tiziano Motti, i bresjen for å installere en loggende «boks» mot alle enheter som kan knyttes mot internett, gjenkjenne kriminell aktivitet og flagge dette for myndighetene. Med kriminell aktivitet argumenterte Motti blant annet for å beskytte barn mot pedofile og overgripere. Bare forestill deg den enorme datamengden dersom Motti skulle få gehør for sitt forslag. Dette i seg selv vil kreve en vesentlig kompetanseheving og behov for ansettelse av betjenter i politiet opp mot dette. Politietaten i Norge har dessuten et stort behov for kompetanse for å tilpasse seg og i det hele tatt utnytte denne enorme datamengden. Behovet for at eksterne konsulenter og/eller sivilt ansatte hentes inn er stor.

Les også:

– Kan du forenkle dette?

Da vil jeg vise til et blogginlegg av Jon Wessel-Aas, henholdsvis den 2. og 4. mars 2011. Han påpeker her hvorfor tankegangen bak datalagringsdirektivet er uakseptabel i en demokratisk rettstat. Det vises til at tankegangen er at DLD kan brukes til eksempelvis å hindre privatmenneskers rett til å slette private data, eller muligheten til å formatere et minnekort.

Hvis en privatperson sletter enkeltdata, eller til syvende og sist formaterer et lagringsmedium, har politiet da mistet verdifulle data, dersom den samme personen seks måneder senere begår alvorlig kriminalitet?

Poenget er at datalagringsdirektivet bryter en prinsipiell barrière i rettstaten, hvor vi «tillater» staten til å bedrive denne innsamlingen på generelt grunnlag uten domsavgjørelse for hver enkeltperson – i tilfelle materialet blir nyttig i en straffesak på et senere tidspunkt.

Det at en person blir logget i dét en tekstmelding sendes, men ikke at de samme to personene møtes fysisk på gaten eller privat, er jo en forenklende fremstilling. Du kunne jo sett for deg en politimann i hver stue eller på hvert gatehjørne? På samme måte kan en forestille seg at en borger eller organisasjon som vet at en samtale blir logget, vil ha større terskel til å kommunisere med mennesker som har kontroversielle meninger eller synspunkt.  I tillegg til å måtte være varsom for å ytre meninger som strider mot myndighetenes ønsker vil være et stort tap, om ikke verre, for demokratiet og rettsikkerheten.

Poenget er at datalagringsdirektivet bryter en prinsipiell barrière i rettstaten, hvor vi «tillater» staten til å bedrive denne innsamlingen på generelt grunnlag uten domsavgjørelse for hver enkeltperson – i tilfelle materialet blir nyttig i en straffesak på et senere tidspunkt.
Håvard Hatlevik

Jeg ser det som usannsynlig at det er realistisk å oppdage og hindre kriminelle handlinger og formål på bakgrunn av disse dataene alene. Det jeg mener er at vi likevel må ha skjellig grunn til mistanke knyttet til et kriminelt forhold.

– Føler du at folk du snakker med er skeptisk til det å bli overvåket?

Mange er bekymret for at myndigheter eller tredjepart skal få innsyn i deres rutiner, aktiviteter, meninger og privatliv. Man kan jo spørre seg hvor interessert et kommersielt selskap ville være i å sende målrettet reklame basert på virkelighetens verden og ikke bare på nettet og individenes trender der.

Jeg er derimot meget kritisk til at privatpersoner ”lar seg logge”, for eksempel gjennom Facebook, geografiske check-ins, eller noe så simpelt som bonuskort på butikken. Dette er sanntidsdata som ikke bare kan – men som blir brukt i aktiv markedsføring mot brukere på nett og i en større grad over mot den virkelige verden vi lever og bor i.

(Journ. Anm: Det å legge ut en kommentar om venn eller en hvilken som helst person på Facebook, enten hvor de er eller hva de gjør, vil den du omtaler kunne logges og registreres på lik linje som logging og registrering av egne aktiviteter – mot personens ønske og vilje).

– Georg Apenes og «Digitalt Personvern» tar i disse dager saken mot Høyesterett for å hindre innføringen av DLD – kan du si noe mer om de juridiske og faglige aspektene?

Datalagringsdirektivet er som nevnt innledningsvis, et svært upresist direktiv fra EU som kan tolkes både forskjellig og upresist fra sentralt hold og i hver enkelt nasjon. Allerede 31. mai 2011 publiserte European Data Protection Supervisor (EDPS) en rapport som konkluderte med at direktivet i sin nåværende form ikke er i nærheten til å være tilstrekkelig beskrevet opp mot formålet.

Samtidig mener jeg dette bryter mot grunnloven og den Europeiske Menneskerettskonvensjonens lov om beskyttelse av retten til fortrolig, privat kommunikasjon og ytringsfrihet.

Dette som «Digitalt Personvern» nå gjør, har alt blitt prøvet for retten i seks europeiske land. I samtlige rettsinstanser har loven blitt vurdert stridende mot enten grunnloven og/eller EMK – så jeg følger spent med på den kommende prøvingen i Norge.

Les også:

ITpro.no takker for intervjuet med Håvard Hatlevik, og vi vil følge denne saken videre. Vi ruller samtidig ballen over på våre lesere, hva er deres kommentar til Datalagringsdirektivet?

Bruk kommentarfeltet under og si din mening!