Datatilsynet er bekymret for hva innføring av et såkalt digitalt grenseforsvar vil bety for personvernet. Nå tar de det for gitt at Norge kommer til å innføre et system for overvåkning av internettrafikk, i en eller annen form.
Derfor ber de regjeringen å undersøke mulighetene for å gjøre datainnsamlingen mindre omfangsrik og mer formålsrettet.
_logo.svg.png){kind=logo}
Regjeringen jobber med å utrede et såkalt digitalt grenseforvar (DGF), etter anbefaling av Lysne II-utvalget.
Forslaget dreier seg om masselagring av all datakommunikasjon som passerer Norges landegrenser over fiberkabel, med uttalt mål om å forebygge terror og beskytte mot digitale trusler. E-tjenesten skal få adgang til å foreta målrettede søk, etter godkjennelse fra en domstol.
I vurderingene er det avgjørende å finne en balanse mellom sikkerhets- og etterretningsverdi på den ene siden, og utfordringer for personvern på den andre, har forsvarsminister Ine Eriksen Søreide tidligere uttalt.
Tekniske filtre, mekanismer for forhåndsgodkjenning av søk, kontroll i nær sanntid samt en etterfølgende kontroll er krav, skrev departementet i en pressemelding i februar. Ifølge den tar regjeringen sikte på å legge fram lovforslag og innlede en høringsrunde i 2018.
Ber regjeringen lytte
Datatilsynet etterlyser nå en fornyet debatt om digitalt grenseforsvar. I forrige måned sendte de et brev til Forsvarsdepartementet, der de tar opp fire punkter de mener er for dårlig belyst.
– Det er helt vesentlig at regjeringen lytter til disse punktene. Det skjærer inn i kjernen til problemet knyttet til digitalt grenseforsvar, om hvor langt de skal få gå, om det skal gjelde mot all mulig kriminalitet og terror eller kun kybertrusler. Vi mener at EU-dommen som kom i desember er helt avgjørende viktig, sier Datatilsynets direktør Bjørn Erik Thon til digi.no.
Han sikter til en prinsippavgjørelse (Tele 2-dommen i Sverige) rett før jul. EU-domstolen slo da fast at en generell masselagring av innbyggeres trafikk- og lokasjonsdata, altså en lagring som ikke er målrettet, er i strid med EUs direktiv for kommunikasjonsvern og EUs charter for menneskerettigheter.
Den videre debatten og lovarbeidet regjeringen har varslet må følgelig ta dette med i betraktningene, slik Datatilsynet ser det.
– EU-dommen er helt vesentlig. Den strenger døren for store deler av DGF-forslaget slik det er lagt fram. Dommen fastslår at det ikke er lov å drive forebyggende masseovervåkning av borgere. Det må være avgrenset i tid og omfang av personer. Vi mener også at det må være en ganske god margin mot hva som er lovlig her. Legger man seg helt opp mot grensen til det ulovlige, det kan man ikke gjøre. Her er vi på menneskerettighetsnivå, sier Thon.
Vil ha alternativer bedre belyst
Blant annet savner de en bredere utredning av alternativer til DGF, som en endring og utvidelse av allerede eksisterende tiltak som Nasjonal sikkerhetsmyndighets VDI (Varslingssystem for digital infrastruktur) og dataovervåkningssentraler som ulike CERT-er.
– Vi mener departementet må legge en betydelig innsats i å utrede forskjellige alternativer til DGF. Dette er nødvendig for å vite om det finnes andre tiltak som er mindre inngripende, men likevel tilstrekkelige, heter det i brevet fra tilsynsdirektør Bjørn Erik Thon.
Thon skriver at lovarbeidet må sikre at «forslaget er godt innenfor hva som er tillatt, og at høringsnotatet må utdype hvorfor det er slik». Også tidligere i høringsuttalelse knyttet til Lysne II-rapporten har tilsynet ment at forslaget bryter med Grunnloven.
Datatilsynet stiller også spørsmål ved hva slags adgang PST vil få til data fra DGF. De skriver at det er en velbegrunnet frykt at DGF medfører en aktiv undersøkelse av norske borgere som ikke ville vært lovlig hvis den var utført av Politiets sikkerhetstjeneste.
– På et tidspunkt tipper det over
– Hvor mye personvern er du villig til å gi slipp på i møtet med det økte trusselbildet, med stadige terroraksjoner i Europa for eksempel?
– Siden 2001 har vi gitt slipp på mye personvern for å bekjempe terrortrusler. Jeg skrev nylig et blogginnlegg der jeg går gjennom alt som skjedde fra 11. september 2001 i USA og fram til i dag. Det har gått ensidig i én retning med overvåkning. Samtidig har domstolene, etter hvert på en viktig sak om datalagringsdirektivet, satt ned foten og sagt hvor langt man ikke kan gå. Her må vi sette grenser for hva lovgiverne gjør. Men jeg er helt med på at man må gi politiet, etterretning og PST gode virkemidler for å bekjempe terror og kybertrusler, men på et eller annet tidspunkt tipper det over til for mye overvåkning. Det er en grense man ikke må gå over. Jeg ser også en tendens til at man kaster seg på overvåkningstiltak i situasjonen som er nå, uten at man en gang vet om tiltakene får noen effekt.
Thon synes for øvrig at Lysne II-utvalget fikk et oppdrag og et mandat fra regjeringen som begynte helt i feil ende.
– De fikk i oppgave å utrede DGF, ikke hva E-tjenesten skal ha av kapasiteten for å gjøre jobben sin. Det burde ha vært motsatt, mener Bjørn Erik Thon.
