DEBATT

Personsikkerhet og personvern er ikke det samme

Justisminister Tor Mikkel Wara definerer tydeligvis «personvern» annerledes enn det EU, Datatilsynet og vi digitale sikkerhetsforskere gjør.

Illustrasjon.
Illustrasjon. Foto: Colourbox / Sergey Isaev
CHRISTIAN FRØYSTAD, SINTEF // DIGITALT FORSVAR
20. feb. 2019 - 21:51
Christian Frøystad, forsker ved SINTEF Digital <i>Foto:  SYNLIG.NO</i>
Christian Frøystad, forsker ved SINTEF Digital Foto:  SYNLIG.NO

Forslaget til ny e-tjenestelov åpner for overvåkning av all internettrafikk ut og inn av Norge. Nettopp dette ble for litt siden tema på et seminar i Stortinget der justisministeren var foredragsholder.

I en innledningssamtale med møtelederen uttalte justisministeren, ifølge Digi.no, at: «Et digitalt forsvar er også et forsvar for personvernet».

Digi.no skriver at statsråden i denne forbindelse sa: «Husk at den store trusselen her er ikke den norske staten. Den store trusselen er fremmede, avanserte aktører og operasjoner mot Norge hvor man ikke bare leter etter militære hemmeligheter, man leter også etter personopplysninger.»

Waras trusseloppfatning er åpenbart riktig.

Like fullt er det på sin plass å minne om at Datatilsynet definerer personvern som «retten til et privatliv og retten til å bestemme over egne personopplysninger».

Også EUs definisjoner av personvern er interessante for fagmiljøet mitt, der vi forsker på datasikkerhet.

EU-kommisjonen har foreslått å skjerpe EUs direktiv for «ePrivacy». I begrunnelsen påpeker kommisjonen blant annet at kommunikasjonsinnhold og metadata (opplysninger om tid og sted for kommunikasjonen) skal være garantert et vern.

«Metadata er sterkt knyttet til privatlivet og skal anonymiseres eller slettes, med mindre brukeren sier noe annet, såfremt dataene ikke trengs for fakturering,» skriver kommisjonen.

Går forslaget til ny norsk e-tjenestelov gjennom, skal etterretningstjenesten få tilgang nettopp til metadata for datatrafikk som krysser landegrensen.  

Gitt EU og Datatilsynets definisjoner av personvern, er det derfor problematisk å hevde at et digitalt forsvar er et forsvar for personvernet, slik Wara gjør. Dette blant annet fordi den foreslåtte løsningen ikke gir innbyggerne rett til å bestemme over egne personopplysninger, og fordi løsningen samtidig beveger seg langt inn i folks privatliv.

Midt oppe i denne debatten er det viktig å huske at personvern og personsikkerhet ikke er det samme.

Det er mulig å argumentere for at et digitalt forsvar kan bidra til bedret personsikkerhet. Men samtidig må det erkjennes at den foreslåtte ordningen representerer en betydelig utfordring med tanke på personvernet.

Dersom det skal hevdes at systemet bidrar til bedret personvern, og ikke bare økt personsikkerhet, må det sannsynliggjøres at systemet vil fange opp angrep mot alt fra personlige IT-løsninger til store selskapers systemer.

I mine øyne er ikke dette tilstrekkelig sannsynliggjort.

I tillegg må det sannsynliggjøres at E-tjenesten vil evne å koordinere utlevering av denne informasjonen til de rette mottakere – altså de som blir berørt av hvert enkelt angrep.

Heller ikke dette ser ut til å være sannsynliggjort. For i høringsutkastet fra Forsvarsdepartementet hevdes det at en vurdering må gjøres i hvert enkelt tilfelle for å avgjøre hvorvidt E-tjenesten skal engasjere seg i å stoppe et pågående angrep.

 Av alle disse grunnene skulle jeg ønske at myndighetene i større grad klargjør hva effekten av det nye lovforslaget blir for henholdsvis personsikkerhet og personvern. Om den foreslåtte ordningen overhodet vil ha noen positiv effekt for personvernet, er det ikke sannsynliggjort til nå at denne vil overgå den betydelige negative effekten.

Christian Frøystad er forsker ved SINTEF Digital, der han arbeider innenfor fagfeltet informasjonssikkerhet.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.