E-tjenesten fikk lov til å bruke en ny metode fra og med 1. oktober 2023: Såkalt tilrettelagt innhenting (TI). Dermed kan de innhente elektronisk kommunikasjon som krysser Norges grense i fiberkabler.
Nå har imidlertid praksisen deres blitt funnet å være i strid med loven av EOS-utvalget.
Grunnen er at det ikke bare er såkalt metadata som lagres, men også innholdsdata i form av emnefelt i eposter, skriver EOS-utvalget i en pressemelding.
Advokat Jon Wessel-Aas regnes som en av landets ledende innenfor personvern. Han er også prosessfullmektig i et søksmål om lovligheten av selve IT-systemet for tilrettelagt innhenting. Etter å ha tapt første runde i Oslo tingrett, venter de nå på en ny behandling i lagmannsretten.
Han er ikke overrasket over at en slik ulovlig praksis kan forekomme, og tror ikke det er siste gangen det vil skje.
– Jeg kjenner det systemet ganske inngående etter å ha vært gjennom en rettsrunde med grundig gjennomgang av det. For det første: Sånn som systemet er lagt opp fra lovgiver, er det for så vidt ikke overraskende at den typen feil skjer.
Meta og innhold
Metadata inneholder i korte trekk informasjon knyttet til for eksempel hvem som har sendt meldingen, hvor stor den er, hvor den kom fra og når den ble sendt. Dette har E-tjenesten lov til å lagre, mens innholdsdata ikke er lov.
E-tjenesten og EOS-utvalget er enige om at emnefelt i eposter går under innholdsdata. Det er likevel blitt lagret i deler av systemet.
E-tjenesten skrudde av funksjonaliteten som lagret slik data. Senere oppdaget tjenesten at data fra emnefelt i epost fortsatt ble lagret, til tross for at funksjonaliteten var skrudd av.
Etter hvert stanset E-tjenesten deler av lagringen i TI-systemet for å unngå ytterligere lagring av slik data. Tjenesten slettet også allerede lagrede data, heter det i pressemeldingen.
Potente data
Wessel-Aas viser til at de sakkyndige i saken han har ført, KI-ekspert Inga Strümke og NTNU-professor Kristian Gjøsteen, har påpekt at skillet mellom metadata og innholdsdata, slik loven legger opp til, på mange måter er misvisende for potensen i de forskjellige datatypene.
– Jeg synes dette også illustrerer det våre sakkyndige påpekte: Loven behandler metadata som om det presumptivt er mye mindre potent enn innholdsdata. Metadata kan man lagre i bulk – enorme mengder data om folks kommunikasjon – mens det er strengere regler for innholdsdata.
Med dagens teknologiske analyseverktøy kan så store mengder metadata være mer potent enn tilgang på innholdet i én enkelt melding.
– Som Inga Strümke sa: I hennes teknologiske verden kaller vi den typen datasamlinger for «atferdsdata». Det er et mye mer presist og beskrivende begrep for hva det er.
Advokaten viser til at etterretningstjenestens system inneholder voldsomme mengder data som tjenesten får tilgang til og kan lagre fra kommunikasjonen vår.
– Så er det selvfølgelig fint at det fanges opp. Men at det skjer sånne feil, og kommer til å skje igjen, ligger nesten i systemets natur, vil jeg si.
– Burde blitt utført tidligere
Det var Aftenposten som først omtalte saken.
EOS-utvalget fører tilsyn med de hemmelige tjenestene og ledes av Grete Faremo.
– Basert på våre egne funn som vi formidlet til utvalget, slår de fast at lagringen av emnefeltet i epost er i strid med e-loven. Jeg er enig i at noen av våre undersøkelser og tiltak burde ha blitt utført tidligere, sier sjefen for E-tjenesten, viseadmiral Nils Andreas Stensønes, i en uttalelse til NTB.
Han legger til at han tar kritikken på alvor, og sier seg enig i at E-tjenesten objektivt sett har lagret en type data de ikke burde ha lagret.
