EU-direktivet kartlegger IKKE surfevaner

IP-adresser til nettsteder man oppsøker, er ikke «trafikkdata», presiserer Datatilsynet.

For å skjære gjennom utallige debatter, uklarheter og misforståelser rundt hva en implementering av EUs datalagringsdirektiv, har Datatilsynet utarbeidet en oversikt og sammenlikning med dagens lovverk: Dette innebærer datalagringsdirektivet.

EU vedtok direktivet i 2006. Det skal etter planen implementeres av alle medlemsland og EØS-land.

Ifølge Datatilsynet skiller datalagringsdirektivet seg på noen områder vesentlig fra hva dagens regelverk tillater av lagring av trafikkdata.

(Merk igjen at det dreier seg om trafikkdata, ikke om innholdet i meldinger eller nettsider.)

Ifølge direktivet skal tele- og nettilbydere lagre følgende opplysninger (ordrett etter Datatilsynets oppsummering):

  • Data som er nødvendige for å spore og identifisere alle parter som kommuniserer via tekst, bilder eller lyd. Dataene skal lagres når kommunikasjonen skjer via fasttelefoni, mobiltelefoni, internettadgang, e-post eller IP-telefoni.
  • Dato, klokkeslett og varighet for telefonsamtaler, tidspunkt og varighet av nettoppkobling, IP-adresser og bruker-ID for internettadgang og opplysninger om utstyr du bruker ved oppkobling.
  • Telefonnummer og opplysninger som identifiserer SIM-kort og telefon (IMEI og IMSI-nummer) for mobiltelefon, og telefonlinje eller digitale abonnentlinje for data.
  • Opplysninger om sted: Data som viser hvor mobilt utstyr befant seg da kommunikasjonen begynte, og i den periode det lagres kommunikasjonsdata.

Dette er Datatilsynets oppsummering av hva som tillates lagret av trafikkdata etter dagens regelverk:

  • Informasjon om hvilken abonnent som er tildelt en IP-adresse. Opplysningene kan lagres i maksimalt tre uker.
  • Opplysninger om kommunikasjon via telefoni. Det kan registreres og lagres hvem som har kommunisert med hverandre, og når kommunikasjonen fant sted. Opplysningene skal slettes senest tre måneder etter registrering ved månedlig fakturering og senest fem måneder etter registrering ved kvartalsvis fakturering.

Etter dagens regler er det visse opplysninger tele- og nettilbyderne bare har anledning til å lagre i den grad det er nødvendig for å fakturere bruken av en tjeneste. Ifølge Datatilsynet skal formålet komme klart fram nå disse dataene lagres, og de skal slettes så snart formålet er nådd:

  • Lokasjonsdata om hvor en befinner seg når kommunikasjon finner sted. I de tilfeller hvor slik lagring skjer skal disse dataene kun oppbevares noen timer for å kunne administrere og ivareta sikkerheten for tjenestetilbyder.
  • Systematisert informasjon om hvem som er sender og mottaker ved bruk av e-post.
  • Informasjon som identifiserer brukerens personlige kommunikasjonsutstyr.
  • IP-adressen din.

Det er med andre ord ganske klart, ifølge Datatilsynet, at direktivet åpner for regler som pålegger tele- og nettoperatører å lagre i opptil 24 måneder, brukeres ofte skiftende IP-adresser som i dag skal slettes etter maksimalt tre uker.

Et springende punkt i debatten har vært hvorvidt direktivet krever lagring også av IP-adressene til de nettjenestene som brukeren oppsøker.

Det har vært hevdet at lagring av trafikkdata i henhold til EU-direktivet gir anledning til å rekonstruere brukeres surfevaner.

Ifølge Datatilsynet er det ikke tilfelle.

– Slik vi og våre jurister leser direktivet åpnes det ikke for å lagre IP-adressene til tjenestene man er innom, presiserer senior informasjonsrådgiver i Datatilsynet Gunnel Helmers til digi.no.

Det er med andre ord ikke mulig å rekonstruere hva den enkelte gjør på web med utgangspunkt utelukkende i trafikkdata lagret i henhold til datalagringsdirektivet.

Politiet vil ikke kunne basere seg utelukkende på trafikkdata i henhold til EU-direktivet til å kartlegge mistenktes surfevaner. Gitt at de får tak i loggen til en server som er brukt kriminelt, for eksempel til å spre barnepornografi eller annet ulovlig innhold, vil de kunne bruke tele- og nettilbydernes lagre av trafikkdata til å kartlegge hvem som var innom disse serverne, og hva de gjorde der.

– Slike opplysninger er gjerne ferskvare, og politiet kan gis tilgang til dem også ut fra dagens regelverk. Spørsmålet er om man skal pålegge tilbyderne å oppbevare dem mer noen få uker, ut fra at det en eller annen gang vil vise seg at disse høystakene av data kan tenkes å inneholde en nål, sier Helmers.

En eventuell innføring av datalagringsdirektivet vil ifølge Datatilsynet ikke endre på det prinsipielle skillet mellom trafikkdata og kommunikasjonskontroll.

Myndighetene kan overvåke hvordan du surfer, men det krever samme rettslig godkjenning som avlytting av telefonsamtaler og adgang til å fange opp og lese brev. Reguleringen av muligheten for å kunne kartlegge en persons surfevaner vil forbli strengere enn reguleringen av politiets innsyn i trafikkdata.

Teksten i datalagringsdirektivet er en kilde til usikkerhet. Den er en blanding av prinsipper og teknologi. Den sier for eksempel klart fra at IMEI- og IMSI-nummer – som identifiserer henholdsvis SIM-kort og mobiltelefon – er trafikkdata som skal lagres. Men når digi.no spør om hvordan direktivet forholder seg til pc-ers tilsvarende unike Mac-adresser, må til og med Datatilsynets eksperter be om tid til å konferere.

Det som er poenget med direktivet er at det stadfester et prinsipp om at data om hvem man kommuniserer med, når man kommuniserer, hvor lenge man kommuniserer og hvor man er når man kommuniserer, skal lagres over tid for hele befolkningen uavhengig av hvorvidt man er mistenkt for noe eller ikke.

Teknologisk sett er det fortsatt utfordringer, særlig rundt IP-telefoni med bærbart utstyr, som gjør det vanskelig for operatørene å etterkomme hele direktivet til punkt og prikke fra dag én.

Disse smutthullene kan antas å bli kortvarige for menigmann. Pengesterke kriminelle – altså gruppen man ønsker å komme til livs gjennom datalagringsdirektivet – kan derimot være i stand til å opprettholde smutthullene de trenger for å dekke over sine spor.

    Les også:

Til toppen