Meninger

ADVARSEL: En tidligere justisminister og Datatilsynets direktør advarer mot fullmaktene storting og regjering har gitt de hemmelige tjenestene og politiet.

E-loven: Et virkelig ille forslag

Mitt tips er at E-tjenestens overvåkingssystem er fullt operativt før eller like etter sommeren.

Publisert

Denne artikkelen er over ett år gammel og kan inneholde utdatert informasjon.

Dette er et debattinnlegg. Innlegget gir uttrykk for skribentens meninger. Send inn kronikker og debattinnlegg til Forsvarets forum her.

Dette innlegget ble først publisert i Medier24.

«Mars 2023 blir måneden Stortinget avvikler retten til privatliv. Dette er et skritt i retning av en politistat.»

«Den samlede overvåkingen vil gjøre at det meste av det digitale livet til norske borgere blir fanget opp, samlet inn og registrert. Muligheten for å opprettholde et privatliv overfor myndighetene, blir helt illusorisk.»

«Skadepotensialet for vårt demokratiske samfunn er utvilsomt til stede.»

Det er ikke akkurat rabulister som uttaler dette. Det er en tidligere justisminister og Datatilsynets direktør.

Så hva er det de advarer mot?

Jo, fullmaktene storting og regjering har gitt de hemmelige tjenestene og politiet.

Det er:

  • Etterretningstjenesten – tilrettelagt innhenting

  • PST – overvåking og lagring av data fra det åpne nettet

  • Politiet, PST og E-tjenesten – lagring av 17 kategorier opplysninger om alle som reiser til eller fra utlandet med fly

  • Politiet – IP-adresser og abonnentopplysninger

Et virkelig ille forslag

Lov om etterretningstjenesten har fått modne noen år. Den ble fremmet for tre år siden og vedtatt før sommeren.

To helt sentrale kapitler ble imidlertid ikke iverksatt. I første omgang var det EU-domstolen som avga tolkningsuttalelser om bulkinnsamling av data. Senere kom også to kjennelser i den europeiske menneskerettighetsdomstolen.

De to utsatte kapitlene omhandlet tilrettelagt innhenting, det som tidligere ble kalt det digitale grenseforsvaret. Reviderte kapitler ble etter dette utarbeidet og sendt på høring sommeren 2022.

Vi holder oss med minst én spennende dag i norsk politikk. «Get the trash out»-dagen. Det er fredag før påske. Dagen da ingen jobber overtid. Det er dagen for pakking av solkrem, ikke lesing av lovforslag.

Regjeringen skuffet ikke i år heller.

Først kom det gjenstående i E-loven – paragraf 7 og noe mer utfyllende regler om kildevern. Så sent på ettermiddagen kom endringsforslaget til offentleglovas §14 – om journalføringsplikten for interne dokumenter.

Det er virkelig et ille forslag. Det må vi kjempe mot. Ta i bruk spisse penner og talegaver. Snakk med politikere dere kjenner. Presseforbundet/Offentlighetsutvalget er i ferd med å ferdigstille et faktanotat om saken. Det vil vi dele.

Så vær aktivister!

Men det var altså E-loven jeg skulle snakke om

Proposisjonen kom altså fredag før påske. Rett over påske ble den tatt til behandling i komiteen. Stortinget ga så offentligheten en frist på to dager for å komme med høringsinnspill. Vi hadde ikke god tid, med andre ord.

Det er beklagelig, ikke minst fordi E-tjenesten gis videre fullmakter enn det som lå til grunn da forslaget var på høring.

I tidligere forslag forutsatte innhenting «en alvorlig trussel mot nasjonal sikkerhet som er reell og aktuell eller forutsebar og som ikke kan avdekkes i tilstrekkelig grad ved mindre inngripende tiltak».

Nå er dette erstattet med at speiling må være nødvendig for å etablere et informasjonsgrunnlag for etterretningsformål. Det er ganske omtrentlig. Mange mener at dette bryter med de premissene EU-domstolen la til grunn i en av sine kjennelser.

Den 23. mai blir innstillingen avgitt. Den vil skli igjennom, trass i protester fra presseorganisasjonene, Tekna og Datatilsynet.

Mitt tips er at E-tjenestens overvåkingssystem er fullt operativt før eller like etter sommeren.

Uavhengig domsstolkontroll kobles ut

Et stort antall tilbydere av elektronisk kommunikasjon vil bli pålagt å legge til rette for at E-tjenesten kan tappe all trafikk. Hvor mange?

Trolig så mange som 300 tilbydere.

Uansett vil E-tjenesten montere sitt utstyr fysisk hos den enkelte tilbyder, for å så overføre trafikken til egne systemer. Det skjer altså ikke på landegrensen, men hos den enkelte tilbyder.

For utenlandsetterretningen er det umulig å filtrere bort kommunikasjon mellom norske borgere. Siden så godt som all norsk datatrafikk også går over landegrensene, vil det åpne for lagring av så godt som all norsk datatrafikk.

Dette er metadata – altså data om data. Det kan være ting som avsender, mottaker, posisjon, tidspunkt og varighet. Dataanalytikere mener innsamling av store mengder metadata ofte vil fortelle mer om en bruker enn det selve innholdet i kommunikasjonen kan avsløre.

Det er domstolen – Oslo tingrett – som kan beslutte innhenting av metadata. Dataene kan lagres i 18 måneder. Videre søk i metadata må godkjennes av en domstol. Det samme gjelder om E-tjenesten også vil se innholdet i kommunikasjonen.

Så er det et unntak: Datastrømmer kan innhentes, etter beslutning fra E-sjefen – i 21 dager, for å beslutte om man skal be domstolen om videre bearbeiding av materialet. Det kalles etterretningsfaglige vurderinger.

Her kobler man altså ut den uavhengige domstolskontrollen.

Det innføres også en viss domstolsbehandling i saker av betydning for kildevernet, men bare når det er «stor sannsynlighet» for at den målrettede innhentingen vil frembringe kildeidentifiserende opplysninger.

Det er altså betydelige hull i regelverket når det gjelder kildevernet.

PST setter grensene selv

Så er det PST. I mars ble det vedtatt at de kan samle inn og lagre data fra det åpne nettet – uten noen forutgående domstolskontroll. Alt som skjer på det åpne nettet for å gjøre analyse og trusselvurderinger. Hva er det åpne nettet? Det er selvfølgelig alt som ligger åpent, alt du kan google deg fram til. Men mye mer enn det.

På ulike nettsteder ligger det jo svært mye informasjon google ikke finner fram til, men som likevel ligger åpent, om man vet hva man søker etter. Det kan for eksempel være at man må inn i et domene for å finne informasjon. SSB-statistikk er jo et ufarlig eksempel.

I tillegg kan PST betale for abonnement, de kan opprette fiktive brukere for å komme inn på et nettsamfunn/gruppe og de kan operere på det mørke nettet, laste ned lekkede datasett og så videre. Hvor grensen går, er i stor grad opp til PST selv å bestemme, så lenge det ikke krever forsering av passordbeskyttet informasjon.

Regjeringen har fått Stortinget med på, det de kaller innskrenkende tiltak, men som jeg mener ikke er noen skranke i det hele tatt: Et vilkår for behandling av informasjonen er at den «må antas å være nødvendig» for utarbeidelse av analyser og etterretningsvurderinger.

Kravet om at behandlingen må «antas» å være nødvendig, innebærer at det ikke kreves sannsynlighetsovervekt eller sikkerhet for at det vil være nødvendig å behandle opplysningene. Det vil være tilstrekkelig at det er en rimelig og ikke helt fjern mulighet for at behandlingen er nødvendig. Det er også temmelig omtrentlig.

Kjernen i dette er at det ikke er noen ekstern kontroll med innhentingen.

EOS-utvalget skal kunne kontrollere alt, ifølge regjeringen, men innenfor gjeldende budsjettrammer. I de hemmelige tjenestene jobber rundt 3300 personer. I EOS-utvalget 22.

Journalisters reisemønstre kan kartlegges

Jeg må også nevne en annen metode som politiet har tatt i bruk; kommunikasjonstilbydere er forpliktet til å lagre IP-adresser og abonnentinformasjon i tolv måneder.

Dette er informasjon politiet kan anmode om innsyn i, forutsatt at det etterforskes forbrytelser med minst tre års strafferamme. Ifølge Nkom vil over 150 kommunikasjonstilbydere være omfattet av dette regelverket. Kripos forventer rundt 110.000 anmodninger om innsyn i IP-adresser og abonnementsopplysninger årlig.

Så har vi Personal Name Records – PNR-data som flyselskapene samler inn i forbindelse med med flyreiser. Til sammen 17 konkrete opplysninger kan bli overført for hver flyreise til og fra Norge. Det siste året ble det gjennomført 16,5 millioner flyreiser inn og ut av Norge.

Også her gjelder en skranke for bruk av informasjonen terror og alvorlig kriminalitet med en strafferamme på minst tre år. PNR-dataene rutes til Kripos, som har en egen enhet for håndtering. Enheten er bemannet av folk fra Tollvesenet, Kripos, PST og E-tjenesten.

Det er verdt å nevne at regelverket – også på dette området – trådte i kraft før resultatet av pågående rettsprosesser i EU-domstolen var avklart. En kjennelse fra juni i fjor gjør det klart at deler av EUs PNR-innsamling er ulovlig. Det gjelder i hovedsak intra EU-flyvninger.

PNR-direktivet er ikke EØS-relevant, likevel valgte regjeringen å speile direktivet og gjøre det til norsk lov. Det er uvisst hva regjeringen gjør for å håndtere EU-dommen. Den er under vurdering, opplyser Justisdepartementet. Enn så lenge fortsetter datainnsamlingen.

Den samlede overvåkingen vil ikke bare ramme eller være farlig for de store gravesakene, der vi behandler særlig sensitivt kildemateriale.

Dette vil berøre hverdagsjournalistikken, hvor journalisters metoder, kontakter, reisemønster og nettaktivitet kan bli fullstendig kartlagt. Dette må vi håndtere. Pressen må legge planer. Og det må skje ubehagelig raskt!

Powered by Labrador CMS