Illustrasjon.
Illustrasjon. (Foto: Colourbox)

DEBATT: Digitalt grenseforsvar og overvåking

Digitalt grensebesvær

Konsekvensene av lovforslag om overvåking er et dramatisk inngrep i personvernet, mener kronikkforfatteren.

  • Debatt
Eivind Arvesen, IT-konsulent. Foto: Privat

Det omstridte ​lovforslaget​ «tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon» (tidligere «Digitalt Grenseforsvar») ble for to uker siden ​sendt ut på høring​. Som ​tidligere​ har dette ​ikke gått upåaktet hen​, og mange mener forslaget må ​begrunnes bedre​.

Det er ikke tydelig hvordan forslaget skal gjøre Norge «bedre rustet til å forsvare seg mot hackerangrep», som Forsvarsminister Frank Bakke-Jensen ​sier​. Det er heller ikke sannsynliggjort at det vil virke etter sin hensikt, eller demonstrert å være forholdsmessig.

Selv om hensynet er ​legitimt​, er løsningen som foreslås problematisk på mange måter. Konsekvensene er et dramatisk inngrep i personvernet.

Masseovervåkning

Forslaget innebærer at Etterretningstjenesten (E-tjenesten) skal kunne innhente metadata om all elektronisk kommunikasjon som krysser Norges grenser. Dette vil være for eksempel hvem som kommuniserer, samt når, hvor og hvordan det kommuniseres.

De vil også kunne innhente kommunikasjonsinnhold, to ledd ut, etter godkjennelse fra domstol i hemmelige rettssaker. Det involverer i praksis ​ca. 25.000 personer per mistenkt​. Dette skal muliggjøres ved at E-tjenesten får plassere innsamlingsutstyr hos tilbydere, som skal måtte levere ukryptert datastrøm der dette er mulig. Akkurat hvordan det skal fungere fremstår som uklart, siden mye av dagens trafikk er kryptert mellom bruker og server.

Dette er angivelig nødvendig for å avdekke trusler – selv om E-tjenesten allerede kan overvåke spesifikk nettverkstrafikk ved konkret mistanke. Innhold som krypteres hos brukere vil ikke omfattes. Det betyr at de som er digitalt kompetente kan omgå innhentingen.

En konsekvens av å samle inn enorme mengder med data i såkalt bulk er at det vil være store mengder som ikke er relevant for E-tjenesten

En konsekvens av å samle inn enorme mengder med data i såkalt bulk er at det vil være store mengder som ikke er relevant for E-tjenesten. Dette ble påpekt av ​Lysne II-utvalget​.

I ​politisk kvarter​ 15. november påstod Hårek Elvenes (H) at forslaget ikke innebærer at E-tjenesten kontinuerlig overvåker oss, men å gi dem mulighet til å gjøre «målrettede søk». Virkeligheten er at det ene muliggjør det andre – som han selv er inne på må det først lagres i bulk for at man skal kunne gjennomføre søk.

I praksis vil dette gjelde en stor del av norsk internettrafikk, da mye går over grensen.

En uheldig trend

Lovforslaget er problematisk av samme grunn som EU-domstolen i Luxembourg i sin tid ​fastslo at Datalagringsdirektivet (DLD) brøt med EU-borgernes grunnleggende rettigheter, nemlig at det var et alt for stort inngrep i «i den grunnleggende rettigheten til respekt for personvern og beskyttelse av personopplysninger». I tillegg foreslås det nå å lagre i 18 måneder, mot de 6 månedene Stortinget vedtok for DLD i sin tid.

Lignende tiltak ​brukes​ andre steder – men det ​skorter på resultater​.

Forslaget må også ses i lys av trenden med mindre debatt om og mer iverksetting av overvåkningstiltak, som ved ​nye overvåkningsmetoder​, ​bruken av falske basestasjoner​, Tolletatens samarbeid med Palantir​, og Snowden-avsløringene.

Rettsstatlige prinsipper og demokratiet

Det er en grunnleggende forskjell mellom masseovervåkning og målrettet innhenting basert på konkret mistanke, mot spesifikke individer.

Forhåndsinnsamling av data går vanskelig overens med prinsippet om uskyldspresumpsjon. Det kan ses som en overtredelse av privatlivets fred og personvernets integritet – som er nedfelt i både Grunnloven, den Europeiske Menneskerettskonvensjonen (EMK) og FNs Menneskerettighetserklæring. EU sier selv at masseovervåkning er ​en fundamental trussel mot menneskerettighetene​, og FNs ​høykommisjonær​ at mange myndigheter har vedtatt lover eller foreslått lovgivning som øker deres overvåkningskrefter, ofte på måter som ikke lever opp til gjeldende internasjonale menneskerettighetsstandarder.

Noe av motivasjonen bak forslaget kan kanskje være å skaffe seg hjemmel for innhenting E-tjenesten allerede driver med, som Bjørn Erik Thon (Direktør i Datatilsynet) ​mener er i strid med både grunnloven og EMK​.

Man kan ikke forsvare liberale demokratiske verdier ved å gå på akkord med dem

Jon Wessel-Aas ​nevner​ i tillegg i Aftenposten problematikk relatert til fortrolig kommunikasjon knyttet til visse typer yrker. Vi vil også kunne se en såkalt «chilling effect» som påvirker hvordan borgerne ytrer seg og hva slags informasjon de oppsøker, fordi de vet at de overvåkes.

PST har tidligere ment at innhentet informasjon kan deles med dem ​«der dette anses relevant og nødvendig for PSTs oppgaveløsing»​. Enten det skjer ved misbruk eller formålsutglidning kan informasjonen fort brukes til noe annet enn opprinnelig tenkt.

En slik dataskattekistes eksistens er problematisk i seg selv; I et demokrati må man være villig til å gi sine meningsmotstandere de samme virkemidlene som en selv bruker å ønske, og når man bygger opp allstedsværende overvåkningsapparater skal det bare et regimeskifte til før det blir katastrofe.

Man kan nemlig ikke forsvare liberale demokratiske verdier ved å gå på akkord med dem.

For dårlig

Om målet er å avdekke og forhindre angrep på norske systemer ville det antagelig være mer formålstjenlig å overvåke nettopp disse systemene

Selv om det er fristende å gi samfunnets voktere alle virkemidler de ønsker, må man vurdere dette opp mot borgernes rettigheter.

Om målet er å avdekke og forhindre angrep på norske systemer ville det antagelig være mer formålstjenlig å overvåke nettopp disse systemene. Dette gjøres selvfølgelig allerede med kritisk infrastruktur, blant annet gjennom ​Varslingsystem for Digital Infrastruktur​ (VDI), som håndteres av NorCERT (under Nasjonal sikkerhetsmyndighet). Selv dette har sine ​utfordringer​.

Man kan også eventuelt vurdere hvor kritisk infrastruktur bør stå, utvikles og driftes, og man ​bør øke sikkerhetskompetansen generelt.

Ulempene forslaget vil medføre virker langt større enn fordelene; Det lider av samme problemer som i sin tid felte DLD, da EU vedtok at det stridet mot EMK. Vi risikerer nå å lage verktøy som uthuler personvernet og å bruke ressurser på et ineffektivt og potensielt skadelig tiltak. Det virker derfor ikke forsvarlig å skulle gjennomføre forslaget.

I tillegg til teknisk diskusjon, er det vi trenger nå debatt om avveiningen mellom personvern og (opplevd) sikkerhet.

Kommentarer (2)

Kommentarer (2)
Til toppen