Jurist, forfatter og direktør i Datatilsynet, Bjørn Erik Thon.Foto: Mariam Butt, NTB Scanpix
Datatilsynet om den nye E-loven: – Dessverre ingen store endringer
Høringsutkastet til ny Etterretningstjenestelov fikk kritikk for å være inngripende i retten til privatliv og i strid med menneskerettighetene. Det nye forslaget har få forbedringer, mener Datatilsynet.
Denne artikkelen er over fire år gammel og kan inneholde utdatert informasjon.
– Jeg har ikke fått studert lovforslaget i detalj, men det ser dessverre ut til at det ikke er så store endringer fra det som ble sendt på høring sist. I hvert fall ikke ved første øyekast, sa direktør i Datatilsynet, Bjørn Erik Thon, til Forsvarets forum onsdag ettermiddag.
Annonse
Regjeringen la i går frem sitt reviderte forslag til ny Etterretningstjenestelov. I proposisjonen legges det opp til tilrettelagt informasjonshenting, også kjent som digitalt grenseforsvar: At Etterretningstjenesten skal få tilgang til å masselagre elektronisk kommunikasjon som krysser den norske grensen.
Dette skal ifølge lovforslaget lagres i 18 måneder slik at E-tjenesten skal kunne søke i informasjonen. Det er metadataen som vil lagres, som for eksempel kan inneholde informasjon om navn, dato, klokkeslett, geografisk plassering og IP-adresse.
Spørsmålet om digitalt grenseforsvar har lenge stått i hardt vær blant lovforslagets kritikere – deriblant Datatilsynet. Her er noen av punktene som direktør Bjørn Erik Thon og juridisk seniorrådgiver Jan Henrik Nielsen mener har forbedret seg – eller stått på stedet hvil – fra høringsutkast til proposisjon.
Da forslaget til ny Etterretningstjenestelov ble sendt på høring i 2018, gikk noe av kritikken ut på at forslaget virket utydelig og vagt.
Datatilsynet mente at forslaget ikke tok skikkelig for seg hvilke opplysninger som faktisk hentes inn, og hvilke fullmakter Etterretningstjenesten ville ha til å søke i lagrede data. Loven var rett og slett upresis, mente Datatilsynet.
– E-tjenesten skal primært jobbe mot utenlandske trusler, mens PST jobber mot trusler her hjemme. Men forslaget som ble sendt på høring åpnet for at E-tjenesten kunne overvåke også personer i Norge, sier Jan Henrik Nielsen.
Heller ikke i det nye lovforslaget, mener Datatilsynet at Etterretningstjenestens handlingsrom er tydelig nok skissert.
– Det er problematisk, fordi det er en lov som skal praktiseres i hemmelighet. Jeg forstår at E-tjenesten skal operere i hemmelighet, men når det gjelder hva dette vil få å si for personvern, hva slags data som skal hentes, hva dataen kan avsløre og hva det kan bety for deg og meg, er dette i liten grad tatt opp i forslaget, sier Bjørn Erik Thon.
Frank Bakke-Jensen skriver til Forsvarets forum at det er tatt på alvor at høringsutkastet ble oppfattet som uklart, og at de har lagt ned en betydelig innsats for å gjøre lovforslaget så klart og presist som mulig.
– Det er samtidig på det rene at klarhet og presisjon må veies mot andre legitime hensyn når lover skal utformes, sier Forsvarsministeren, og viser blant annet til at lovforslaget skulle være teknologinøytralt og skjerme detaljer knyttet til metode og kapasitet.
Forsvarsministeren skriver videre at det er gjort flere endringer som følge av høringsrunden, og at FD blant annet følger opp flere forslag fra Datatilsynet i det nye lovforslaget. Les mer om endringene i faktaboksen nederst i saken.
Forsvarssjef Haakon Bruun-Hanssen, sjef for Etterretningstjenesten, generalløytnant Morten Haga Lunde, og forsvarsminister Frank Bakke-Jensen .Helge Mikalsen, VG
Brede søk
I høringsutkastet av 2018, lå det opp til relativt bred overvåkning, mente Datatilsynet. De brukte følgende eksempel: E-tjenesten identifiserer en potensiell utenlandsk terrorist, som har kontakt med en person i Norge. I forslaget som så det ut til at E-tjenesten ville ha lov til å gjøre søk også på denne personen - og personer to ledd ut fra denne norske kontakten.
– Da driver man ikke bare etterretning mot den norske kontakten, men også venner eller bekjente av den kontakten igjen. Det vil være typisk familie, venner, arbeidsgiver, sier Nielsen.
Han merker seg at det nye lovforslaget har endret dette punktet. Forsvarsminister Frank Bakke-Jensen (H) sier dette til Forsvarets forum:
– I høringsutkastet sa vi at man kunne gjøre søk to ledd ut i kommunikasjonslinja. Det var det mange kritiske røster til, og det har vi begrenset til bare ett ledd.
Bedre kontrollmekanismer
En annen utfordring med digitalt grenseforsvar er det rettslige grunnlaget Etterretningstjenesten vil ha for å drive hemmelig overvåkning. Hemmelig overvåkning har vært behandlet i en rekke dommer i Den europeiske menneskerettighetsdomstolen (EMD), forklarer Nielsen. Det begynte med telefonavlytting, så har teknologien utviklet seg.
– EMD legger til grunn en del kriterier for hvilke mekanismer som skal være tilstede for å drive med hemmelig overvåkning: Det må foreligge en klar lovhjemmel, borgerne må kunne lese ut av loven hva de kan forvente at blir overvåket, og det må foreligge mekanismer for domstolskontroll.
Thon sier at dette forslaget har noe tydeligere kontrollmekanismer.
– De skriver at de har prøvd å gjøre lovforslaget klarere, og at de har gjort noe med kontrollmekanismen, med mer løpende kontroll.
For å få lov til å gjøre søk i lagret metadata, må E-tjenesten nå komme med en begrunnet begjæring og få tillatelse fra Oslo tingrett, skriver NTB. E-tjenesten kan også be om få se innholdet i dataene, og hvis de får medhold av Oslo tingrett, kan de få se innhold i en definert tidsperiode.
Forsvarsminister Frank Bakke-Jensen (H), statsminister Erna Solberg (H) og barne- og familieminister Kjell Ingolf Ropstad (KrF) la frem regjeringens forslag til ny etterretningstjenestelov.Foto: Thomas Brun, NTB Scanpix
Videre legges det i lovforslaget opp til at EOS-utvalget kan begjære Oslo tingrett at en pågående innhenting skal stanses.
– Er dette tilstrekkelig kontroll?
– Vi ser at det ser ut som det er bedre tilsynsmuligheter nå enn tidligere. Men vil gjerne høre hva EOS-utvalget sier om hvilken betydning dette vil få i praksis, sier Thon.
Nedkjølingseffekten
Datatilsynet har også uttrykt stor bekymring for «nedkjølingseffekten» som digitalt grenseforsvar vil kunne føre med seg: At faren for å bli overvåket kan føre til at folk i mindre grad kommuniserer åpent.
Ytringsfrihet handler om å ytre seg, forklarer Nielsen, mens personvern i denne sammenheng handler om muligheten til å danne seg meninger i frihet.
– Stadig større del av våre liv foregår på internett. Hvis du opplever at din aktivitet blir overvåket så har det noe å si for menneskets grunnleggende mulighet til å utvikle seg, sier han.
Det har lenge vært en praksis ved biblioteker, forklarer Nielsen, at de ikke registrerer over lengre tid hvilke bøker du har lånt, fordi du skal kunne låne de bøker du vil – og det fritt.
– Det har vært flere saker der politi eller etterretning ønsker å få tilgang til hvilke bøker en person har lest, og der biblioteket ikke har ønsket å gi ut opplysninger om dette - nettopp fordi det er en frihet å kunne innhente kunnskap uten at myndighetene kan få informasjon om det.
At digitalt grenseforsvar vil kunne ha en nedkjølende effekt, er ikke tilstrekkelig hensyntatt i lovforslaget, mener direktør Bjørn Erik Thon.
– Dette er særlig bekymringsfullt for folk som har et spesielt beskyttelsesbehov. Det er en del folk som lever i randsonen av samfunnet, som ikke gjør noe galt, men som kanskje trenger beskyttelse. Hvis de stemmene stilner på grunn av dette, er det svært alvorlig.
Frank Bakke-Jensen sier at det er viktig å formidle at tilrettelagt innhenting er strengt begrenset til utelandsetterretning. Dette for å hindre en nedkjølende effekt.
– Det vil og på sikt kunne ha en nedkjølende effekt hvis ikke Etteretningstjenesten har de verktøyene de trenger for å beskytte norsk digital informasjon mot trusselaktører, sier Forsvarsministeren.
Begrepsbruk
Bakke–Jensen sa onsdag at det i lovforslaget er snakk om masselagring av metadata, ikke masseovervåking. Thon sier at han er enig i at det i hovedsak går ut på masselagring - uten at det betyr at det er uberettiget å bruke ordet masseovervåkning om praksisen.
– Jeg mener at man ikke skal bruke ord som «tilrettelagt innhenting» - det er å kalle en løve for en tamkatt. Dette er et alvorlig inngrep i personvernet, og da må man kalle det for det det er.
– I forslaget som vi har lagt fram for Stortinget, er vi tydelige på at tilrettelagt innhenting er et sterkt inngrep i personvernet. Det er ingen uenighet med Datatilsynet om dette. Men inngrepet er nødvendig for å styrke sikkerheten vår og beredskapen vår, er forsvarsministerens svar.
En server i Singapore
En annen utfordring med digitalt grenseforsvar, er at norsk internettrafikk ikke er utelukkende norsk. All internettrafikk finner den raskeste veien til mål: enten det er via norske kabler og servere, eller en server i Singapore, forklarer Nielsen.
Så å overvåke internettrafikk over grensen, vil i praksis bety å overvåke nesten all trafikk.
– Slik internett er bygget opp, så går nesten all kommunikasjon mellom norske borgere gjennom utlandet, og lagres sjeldent utelukkende på en server her i Norge, sier Nielsen.
Han bruker følgende eksempel: Hvis du sender en e-post til en kollega på kontoret ved siden av, er det ikke slik at den e-posten nødvendigvis lagres på en server i Norge, eller går gjennom norske internettkabler. Det samme gjelder meldinger som går gjennom ukrypterte meldingstjenester: Meldingene transporteres ofte gjennom internettkabler i andre land, eller lagres på utenlandske servere.
– De største internettkablene til Norge går via Sverige. Vi har ikke et nasjonalt internett som kan operere uavhengig av resten av internett. Det er derfor potensiale for at all internettkommunikasjon havner i digitalt grenseforsvar, sier Nielsen.
I det nye lovforslaget legges det begrensninger på hva slags informasjon som kan brukes av E–tjenesten: Informasjonen som lagres skal som hovedregel kun brukes til utenlandsetterretning.
Kommer tjenesten over informasjon om lovbrudd i Norge, skal dette slettes. Det skal kun varsles til norsk politi ved nødrettslige tilfeller der det handler om avverging av alvorlig trusler mot liv, helse og frihet, forklarte Frank Bakke-Jensen på onsdag.
– I praksis vil det nesten være umulig at E-tjenesten kommer over den typen informasjon all den tid det søket de får lov til å gjøre er såpass spisset og rettet mot det de i utgangspunktet leter etter , som er trusler mot Norge fra utlandet.
Lagrer data om nordmenn
All kommunikasjon mellom norske borgere skal i utgangspunktet filtreres bort i prosessen med tilrettelagt informasjonsinnhenting. Det kommer likevel til å lagres mye informasjon om nordmenn i metadatalagre, sier Datatilsynets direktør.
– Hvordan dette filteret skal lages har vært teknisk veldig omstridt. Det vil være noen enorme datamengder. Hvordan de i det hele tatt skal få tilrettelagt for lagring er det mange som har stilt spørsmål ved, sier Bjørn Erik Thon.
Akkurat på dette punktet, er forsvarsministeren delvis enig.
– Vi vil filtrere ut det vi klarer å filtrere ut, men det er en kjensgjerning at det likevel vil lagres store mengder data om norsk innenlandsk kommunikasjon. Dette er det ingen uenighet med Datatilsynet om. Etterretningstjenesten vil ikke ha tilgang til denne kommunikasjonen, sier Bakke–Jensen.
Forsvarsministeren sier han tar kritikernes bekymringer på alvor, og at FD føler opp forslag som de mener vil styrke kontrollen og redusere risikoen for misbruk og vilkårlighet.
– Jeg er trygg på at vi har funnet en god balanse, men forventer at det fremdeles vil være delte meninger om lovforslaget. Det er naturlig når vi skal lage regler som krever en avveining av ulike legitime hensyn og interesser.
Bakke-Jensen: Dette er nytt i den nye E-loven
E-tjenestens handlingsrom i Norge
Reglene om E-tjenestens handlingsrom i Norge er utformet på nytt, slik at de blir mer presise og innebærer mindre grad av skjønn, skriver Frank Bakke-Jensen til Forsvarets forum: Hovedregelen om at E-tjenesten ikke kan innhente informasjon i Norge videreføres, men med de unntakene som er nødvendige for at tjenesten skal kunne løse sine oppgaver knyttet til å avdekke og motvirke grenseoverskridende trusler mot Norge.
• En ny bestemmelse om samordning mellom E-tjenesten og PST skal sikre et avklart forhold mellom tjenestene når E-tjenesten unntaksvis kan innhente informasjon i Norge.
Tilrettelagt innhenting
• FD foreslår at Oslo tingrett, etter begjæring fra EOS-utvalget, med bindende virkning kan pålegge E-tjenesten å stanse pågående innhenting. Denne sikkerhetsventilen er utformet i tråd med en anbefaling fra Norges institusjon for menneskerettigheter (NIM).
• FD foreslår at Oslo tingrett skal oppnevne advokat i saker om bruk av tilrettelagt innhenting. Dette er i tråd med hva bl.a. Advokatforeningen, Amnesty, Borgarting lagmannsrett og NIM gikk inn for i høringen.
• FD foreslår strengere krav til hva E-tjenestens begjæring til domstolen skal inneholde, slik bl.a. Datatilsynet og NIM har gått inn for i høringen.
• FD foreslår å lovfeste at E-tjenesten skal legge til rette for EOS-utvalgets kontroll gjennom tekniske løsninger, slik Datatilsynet foreslo i sin høringsuttalelse.
• FD foreslår å sløyfe hovedregelen om søk to ledd ut i kommunikasjonskjeden, som bl.a. Advokatforeningen, Borgarting lagmannsrett og Datatilsynet var kritiske til i høringen.
• Etter innspill fra Datatilsynet og Abelia gjøres det tydelig i lovteksten at metadata vil lagres i bulk, mens lagring av innholdsdata bare kan skje målrettet.
• FD slutter seg til synspunkter fra Datatilsynet og EOS-utvalget i høringen om at det bør bygges inn kontrollmekanismer i systemene allerede under utviklingen av disse.
• FD foreslår at Nasjonal kommunikasjonsmyndighet skal føre kontroll med hvordan ekomtilbyderne utøver tilretteleggingsplikten. Den innebærer ikke at ekomtilbydere kan pålegges å utvikle bakdører til informasjon. Det lovfestes at ekomtilbyder som pålegges tilretteleggingsplikt av E-tjenesten, kan påklage beslutningen til departementet med en klagefrist på tre uker.
• Forbudet mot utlevering av overskuddsinformasjon er justert for å synliggjøre at det bare er i kvalifiserte nødrettstilfeller at det kan være aktuelt å utlevere slik informasjon. Av hensyn til kontroll skal EOS-utvalget varsles om utleveringen.
• FD egger til grunn EOS-utvalgets høringsuttalelse om hvilken styrking av ressurser som utvalget vil behøve for å kunne utføre kontrollen, bl.a. mht. tilstrekkelig teknologisk kompetanse til sekretariatet.
Andre endringer
• Reglene om kildevern er justert for bedre å gjenspeile de menneskerettslige krav som gjelder. Beslutningen om å behandle kildeidentifiserende informasjon dersom de særdeles strenge vilkårene for dette er oppfylt, skal ikke fattes av E-tjenesten, men av departementet, og skal meldes til EOS-utvalget med sikte på kontroll.
• Søk i rådata med utgangspunkt i et norsk søkebegrep begrenses til tilfeller hvor det er strengt nødvendig for å avdekke og motvirke utenlandske trusler mot Norge, bl.a. på bakgrunn av innspill fra NIM i høringen.
• Etter innspill fra bl.a. Riksadvokaten videreføres ikke forslag til straffebestemmelse for brudd på taushetsplikten og forslag til bestemmelse om straffrihet for lovlige tjenestehandlinger.
