Både Kripos, PST, Datatilsynet, EOS-utvalget og Riksadvokaten kritiserer lovforslaget i sine høringssvar.
Både Kripos, PST, Datatilsynet, EOS-utvalget og Riksadvokaten kritiserer lovforslaget i sine høringssvar. (Kollasje: Ole Berg-Rusten/Terje Pedersen/Åsa Mikkelsen/Heiko Junge/NTB Scanpix/Riksadvokaten)
EKSTRA

Ny e-lov

71 av 89 hørings­svar er kritiske til ny e-lov. Her er oversikten og argu­mentene

Vage formuleringer, manglende utredninger, brudd på menneskerettigheter, uklare grenser mot PSTs arbeidsområder og for svake kontrollmekanismer. Dette er bare noen av de kritiske svarene til e-loven.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Til sammen 89 offentlige og private virksomheter og enkeltpersoner har sendt inn sine høringssvar. Av de 89 svarene er 71 helt eller delvis kritiske til e-loven, mens 6 mener forslaget er positivt. 12 svar fremstår nøytrale eller har ingen merknader.

Nå skal regjeringen levere lovforslaget til Stortinget.

Venstre har allerede varslet at de trolig stemmer imot forslaget, og resten av regjeringen må i så fall fri til andre partier for å få flertall for loven.

Kritikk fra mange hold

Det er neppe uvanlig at flertallet av høringssvarene er kritiske, da det naturlig nok ofte er de som er imot lovforslag, eller som mener at det må endres på noen punkter, som har størst motivasjon til å sende inn svar. 

Dette gjelder gjerne spesielt når privatpersoner velger å engasjere seg i høringer, og dette er ikke noe unntak. 32 av høringssvarene kommer fra enten anonyme eller navngitte privatpersoner, hvor samtlige er kritiske til forslaget.

Det er imidlertid også mange tungtveiende offentlige instanser som har uttalt seg sterkt kritisk. Blant annet har PST, EOS-utvalget, Datatilsynet og Riksadvokaten sine kritiske høringssvar gjort seg bemerket.

Vi har gått gjennom alle de 89 høringssvarene, og skal forsøke å gi deg en oversikt over hvem som er for og imot lovforslaget, og hva som er argumentene.

Disse har sendt inn høringssvar:

Kritisk Delvis kritisk  Nøytral/Ingen kommentar Positiv
Abelia Borgarting lagmannsrett  Difi Befalets fellesorganisasjon
Advokatforeningen Direktoratet for e-helse Domstoladministrasjonen Kystverket
Amnesty international IBM Forsvarets forskningsinstitutt Norsk utenrikspolitisk institutt
Dataskydd.net & Föreningen för digitala fri- och rättigheter Innlandet politidistrikt Forsvarsstaben Nasjonal sikkerhetsmyndighet
Datatilsynet Næringslivets hovedorganisasjon Generaladvokatembetet Norges offisers- og spesialistforbund
Den internasjonale justiskommisjon STAFO Etatsforeningen Helse- og omsorgsdepartementet Næringslivets sikkerhetsråd
Den norske dataforening   Landbruks- og matdepartementet  
Det nasjonale statsadvokatembetet   Norges høyesterett  
Digital projects consulting   Norges vassdrags- og energidirektorat  
Dommerne Åsne Julsrud, Erland Flaterud, Elizabeth Baumann, Anne Horn, Heidi Heggdal, Finn-Arne Selfors   Oslo tingrett  
EOS-utvalget   Skattedirektoratet  
Elektronisk forpost Norge   Utenriksdepartementet  
Etisk råd for forsvarssektoren      
International Comission of Jurists Norge – studentnettverk Bergen      
Kripos      
Morten Holmboe, professor i politivitenskap, Politihøgskolen      
NRK      
Nasjonal kommunikasjonsmyndighet      
Norges institusjon for menneskerettigheter      
Norsk journalistlag      
Norsk presseforbund      
Norsk redaktørforening      
Norsk senter for informasjonssikring      
Politiets sikkerhetstjeneste      
Piratpartiet      
Riksadvokatembetet      
Runbox solutions AS      
Sintef      
Tekna      
Telenor      
Telia      
Uninett      
Vær- og klimagruppen Blå himmel      
32 privatpersoner      

Kort frist for upresist forslag

Det som kanskje går aller mest igjen i svarene, er kritikk av selve høringsfristen. Forslaget ble sendt ut på høring 12. november, og høringsfristen ble satt til 12. februar. Med helligdagene rundt jul og nyttår fikk man altså under tre måneder til å sette seg inn i et høringsnotat på nærmere 400 sider.

Blant annet Norges nasjonale institusjon for menneskerettigheter (NIM) har påpekt at andre forslag som er like omfattende og av like stor samfunnsmessig betydning, vanligvis gis lenger frist, som forslaget til ny straffeprosesslov som fikk seks måneder.

Den korte høringsfristen omtales som enda mer problematisk fordi det er relativt bred enighet om at lovforslaget og høringsnotatet oppfattes som upresist formulert og vanskelig å forstå.

Kripos omtaler for eksempel lovteksten som «rettsteknisk lite god», PST skriver at flere av lovbestemmelsene er unødvendig kompliserte og uklare, og Riksadvokaten kritiserer vag begrepsbruk og uklare begrunnelser.

Personvern

En bekymring som ofte dukker opp i høringssvarene, er trusselen mot personvernet. E-tjenestens område er utenlandske trusler, og lovforslaget innebærer altså å kunne lagre metadata fra all nettrafikk som krysser landegrensen, og med godkjennelse fra en domstol å kunne søke i de metadataene, og også å kunne hente innholdsdata. 

Poenget mange peker på i sine høringssvar, er at det aller meste av det vi foretar oss på nettet – også kommunikasjon fra én person i Norge til en annen – sannsynligvis vil gå innom et datasenter eller en ruter i et annet land.  

Dermed er det mange som frykter at dette innebærer en masseovervåkning av nordmenn. Spesielt Datatilsynets høringssvar går svært hardt ut mot det de mener er et altfor stort inngrep i retten til privatliv.

Flere, blant annet Advokatforeningen, mener at et slikt inngrep i personvernet utfordrer både Grunnlovens § 102 og den europeiske menneskerettskonvensjonens artikkel 8, som begge handler om retten til privatliv.

Mange peker også på at regjeringen i fjor høst nedsatte en personvernkommisjon for å vurdere personvernets stilling i Norge, og råder til å vente på konklusjonen derfra før man innfører en lov som vil svekke personvernet ytterligere.

Lagringstid og søk «to ledd ut» 

Også datalagringstiden blir problematisert i flere av høringssvarene. Det er foreslått at metadata skal kunne lagres i inntil 18 måneder, mens domstolsgodkjent lagring av innholdsdata ikke har noen foreslått lovfestet begrensning av lagringstid.

Såkalt «rådata i bulk» skal kunne lagres i 15 år, med mulighet for forlengelse etter E-sjefens skjønn i inntil fem år av gangen. Dette handler om å lagre store mengder både meta- og innholdsdata fra andre kilder enn grensekryssende fiberkabler – for eksempel fra satellittsignaler – og hvor man antar at en svært liten andel av dataene tilhører personer eller virksomheter i Norge.

Et poeng blant annet Borgarting lagmannsrett påpeker i sitt høringssvar, er at det foreslås at når E-tjenesten får tillatelse til å søke i metadataene til én person, skal de uten videre godkjenning kunne søke i vedkommendes kommunikasjon to ledd ut.

Altså gjelder det ikke bare all metadata tilhørende den personen, men også alt tilhørende de vedkommende kommuniserer med, og alt tilhørende de som kommuniserer med dem igjen. En undersøkelse fra Universitetet i Stanford tyder på at dette kan handle om til sammen 20 000 - 25 000 personer.

Borgarting lagmannsrett mener at søk som omfatter så mange mennesker lett kan bli vurdert som mer inngripende enn nødvendig for å oppnå formålet, og at det dermed blir for høy terskel for å godkjenne søk.

Nedkjølingseffekt

Mange frykter at forslaget vil føre til en nedkjølingseffekt, der befolkningen blir mer redd for å ytre seg og å bruke potensielt sensitive tjenester, eller søke etter og lese om sensitive temaer. 

Blant disse er Direktoratet for e-helse, som ber om at kommunikasjon over Helsenettet filtreres bort fra lagringen, eventuelt at slik innhenting skal måtte gjennom en domstol.

Direktoratet anbefaler dessuten en grundig utredning av potensiell nedkjølingseffekt, og mener det er en fare for at pasienter eller pårørende vil kvie seg for å oppsøke helsehjelp eller bruke digitale helsetjenester hvis de ikke har tillit til at det forblir konfidensielt.

Norsk senter for informasjonssikring (NorSIS) er på sin side bekymret for en nedkjølingseffekt på digitaliseringen av samfunnet generelt, fordi folk vil bli mer skeptiske til å bruke digitale tjenester.

Fare for kildevernet

Blant presseorganisasjonene er det særlig bekymring for kildevernet, og nedkjølingseffekten det kan få for potensielle kilder. Det er ikke foreslått noen form for filtrering av kommunikasjonsdata mellom journalister og kilder, slik at dette vil bli lagret på lik linje som all annen kommunikasjon.

Det er imidlertid foreslått en paragraf som sier at det ikke skal behandles opplysninger som er fortrolig kommunikasjon mellom klient og advokat, helsepersonell og pasient eller journalist og kilde.

Blant annet Norsk redaktørforening (NR) påpeker at for at E-tjenesten skal kunne vite om det er snakk om slik sensitiv kommunikasjon, må nødvendigvis avsender og mottaker identifiseres som nettopp journalist og kilde, og dermed er kildevernet allerede brutt.

De uttrykker dessuten bekymring for unntaket til denne paragrafen, nemlig «med mindre vektige samfunnshensyn gjør behandlingen strengt nødvendig». Denne vurderingen skal E-tjenesten selv kunne ta, uten å gå via en domstol.

NR peker på den såkalte Rolfsen-saken, der PST beslagla Ulrik Imtiaz Rolfsens dokumentarfilmopptak fra innsiden av et islamistisk miljø som rekrutterte terrorister til Syria. Selv ikke i denne saken godtok Høyesterett at kildevernet kunne brytes, og PST måtte levere tilbake materialet.

Kryptering og tilrettelegging

Det råder stor usikkerhet blant flere om hva den såkalte tilretteleggingsplikten i forslaget egentlig innebærer.

I lovforslaget står det at den gjelder tilbydere av elektronisk kommunikasjonsnett eller -tjeneste og tilbydere av internettbaserte kommunikasjons- eller meldingstjenester som er tilgjengelige for allmennheten.

Disse skal blant annet gi informasjon om signalmiljø, dataformater, tekniske innretninger og fremgangsmåter, og sørge for tilgang til kommunikasjon uten hinder av linkkryptering eller lignende kryptering som tilbyder kontrollerer.

Det er spesielt formuleringen «lignende kryptering» mange reagerer på. I Lysne II-utvalgets rapport, som lovforslaget bygger på, var det en klar anbefaling om å ikke ha noe krav om omgåelse av kryptering utover linkkryptering, også kalt lag 2-kryptering, direkte på den grensekryssende kabelen.

Mange frykter at formuleringen med «lignende kryptering» åpner opp for å kreve krypteringsnøkler til også andre former for kryptering som kommunikasjons- og meldingstjenester bruker.

E-sjef Morten Haga Lunde har riktignok avvist dette i et innlegg hos NRK, hvor han sier at ende-til-ende-kryptering ikke vil utfordres. Mange argumenterer likevel for at dette bør klargjøres i lovteksten.

Andre land overvåker oss allerede

Alle er ikke nødvendigvis enige i at de nevnte argumentene og bekymringene er relevante eller tungtveiende nok til å si nei til lovforslaget.

Nasjonal sikkerhetsmyndighet (NSM) mener at på tross av personvernutfordringene som ligger i forslaget, er det snakk om såpass nødvendige tiltak for å ivareta landets sikkerhet at det må veie tyngre.

Både Norsk utenrikspolitisk institutt (NUPI) og Næringslivets sikkerhetsråd (NSR) påpeker på sin side at norsk digital kommunikasjon sannsynligvis allerede blir samlet opp av både andre lands etterretningstjenester og kommersielle aktører.

Blant annet har Sverige siden 2009 hatt en lignende etterretningslov, den såkalte FRA-loven, som tillater overvåkning av trafikk over grensekryssende kabler.

NSR mener derfor at norsk E-tjeneste bør ha mulighet til å selv samle data, og ikke være avhengige av at andre lands tjenester er villige til å dele informasjonen hvis noe skulle dukke opp.

Uklare skiller

Som nevnt tar mange av høringssvarene opp at lovforslaget og de tilhørende notatene inneholder mange uklare og vage formuleringer. Ett av områdene dette spiller inn på, er usikkerhet om hvor langt E-tjenestens fullmakter og jurisdiksjon strekker seg.

PST, Kripos, NorSIS og Riksadvokaten mener det blir en uklar grense mellom E-tjenestens og PSTs ansvarsområder.

PST mener at unntakene til regelen om at E-tjenesten ikke skal operere på norsk jord er formulert så uklart at det skaper tvil om hva de faktisk har lov til og ikke.

Dette er de redd for at kan føre til dobbeltarbeid hos de to tjenestene, og at dette vil øke risikoen for etterretningssvikt.

De påpeker også at PST må ha domstolsgodkjennelse for å få bruke en del av de samme metodene som E-tjenesten nå skal få mulighet til å bruke uten en slik godkjennelse.

Dermed frykter de at det vil stilles spørsmål ved om PST dermed vil omgå domstolene ved å heller få utlevert informasjonen direkte fra E-tjenesten, og at dette vil svekke folks tillit til PST.

Metoder som brukes innenfor norsk jurisdiksjon bør derfor underlegges domstolskontroll også for E-tjenesten, mener PST.

Deling av overskuddsinformasjon 

Et stort spørsmål i utformingen av loven handler om hvorvidt E-tjenesten skal få dele informasjon som ikke er relevant for deres arbeid, men som kan hjelpe andre myndigheters arbeid – såkalt overskuddsinformasjon.

Hva skal for eksempel E-tjenesten gjøre hvis de kommer over opplysninger om systematiske overgrep mot barn?

Hvis de avslører identiteten til en serieovergriper, og kan overlevere denne informasjonen til politiet for å få stoppet ham; bør de gjøre det?

Forslaget sier at dette ikke skal gjøres, med mindre det er snakk om terrorhandlinger eller trusler mot Norges selvstendighet. Og selv om de da kan dele informasjonen, kan dette ikke brukes som bevis i en eventuell straffesak.

Her er det frykten for formålsutglidning som spiller inn. Man er redd for at å åpne for slik deling av informasjon vil føre til at andre myndigheter vil «bestille» informasjon fra E-tjenesten via metoder som de selv ikke har fullmakt til å bruke.

Flere av høringssvarene er enige i at dette er en risiko, og støtter et forbud mot å dele overskuddsinformasjon. Andre kritiserer imidlertid forslaget sterkt.

Spesielt påtalemyndigheter og politi reagerer på at E-tjenestens ansatte dermed skal unntas fra den såkalte avvergeplikten, som alle andre med taushetsplikt ellers er pålagt. Den sier at dersom man kan avverge en straffbar handling eller følgene av den, så veier dette hensynet tyngre enn taushetsplikten.

Etisk råd for forsvarssektoren mener dette vil sette E-tjenestens personell i svært belastende situasjoner, hvor de risikerer å måtte leve i visshet om at de kunne ha avverget for eksempel overgrep eller tap av liv.

Kontrollmekanismer

For å sørge for at E-tjenesten følger spillereglene skal altså domstolene stå for godkjenning av en del av metodebruken, mens EOS-utvalget skal fortsette å føre tilsyn. 

Det er imidlertid ikke alle som mener at disse kontrollmekanismene er bra nok – blant annet EOS-utvalget selv.

De innleder sitt høringssvar med å understreke at selv om departementets høringsnotat gjennomgående viser til EOS-utvalget som en sikringsmekanisme, så er de ingen garantist for at feil ikke skjer, fordi de bare gjennomfører stikkprøver.

Utvalget påpeker at kapasiteten til utvalget allerede er fullt utnyttet, og at hvis de skal klare å føre en slik kontroll, så må det som et minimum styrkes vesentlig.

I 2014 nedsatte Stortinget et utvalg som skulle evaluere EOS-utvalgets virksomhet. Evalueringsrapporten vurderte at det ville være vanskelig å utvide kontrollvirksomheten uten en gjennomgang av hele kontrollmodellen.

Dette har ikke blitt gjort.

Overvåkning av personer i Norge

EOS-utvalget mener dessuten at det finnes sentrale uklarheter i E-tjenestens overvåkning av personer i Norge som lovforslaget ikke løser. I tillegg påpeker de at det er flere av utvalgets kritiske merknader som nå er blitt gjort til unntak fra forbudet mot overvåkning av personer i Norge.

Det som tilsynsmyndigheten tidligere har vært kritiske til, blir nå altså heller lovliggjort.

Utvalget er også kritisk til forslaget om at E-tjenestens hensikt skal være avgjørende for om de har lov til å innhente informasjon om personer i Norge. Det skal ifølge lovforslaget bare være forbudt med innhenting «rettet mot» personer i Norge.

EOS-utvalget påpeker at det vil være vanskelig å kontrollere hvorvidt det var en hensikt om å innhente informasjon fra en person i Norge, eller om den informasjonen «kom på kjøpet» i forbindelse med en annen innhenting.

Videre påpeker høringssvaret en rekke punkter de mener trenger ytterligere vurderinger eller avklaringer.

Rettelse: Vi skrev i utgangspunktet at tilsynsmyndighetene tidligere har påpekt brudd, som nå er blitt lovliggjort. Dette er feil. Det korrekte er at de skriver at de har hatt kritiske merknader.

Domstolskontroll

Heller ikke domstolene er overbevist om at de vil være i stand til å føre reell kontroll.

Blant annet i et høringssvar innsendt av seks tingrettsdommere, problematiseres et punkt i lovforslaget om at E-tjenesten selv skal stå for fagkyndige for å bidra med kompetanse til domstolene.

Tingrettsdommerne mener det vil være behov for uavhengige fagkyndige, slik at ikke dommerne blir E-tjenestens forlengede arm.

Dommerne argumenterer dessuten for at gjeldende rettspraksis fra tidligere saker må være tilgjengelig for dommerne, slik at det blir en enhetlig tolkning av loven. De mener også at rettsavgjørelsene etterhvert bør offentliggjøres.

Kommentarer (0)

Kommentarer (0)
Til toppen