Innlegg for personvernkommisjonen 11. april 2008

Det meste om datalagringsdirektivet er sikkert kjent for kommisjonen. Jeg skal etter hvert i fremstillingen legge vekt på sosiologiske og verdimessige momenter som kanskje er mindre kjent. Innenfor rammen av tiden som er til rådighet, kan jeg bare få nevnt noen få momenter.

Elektroniske spor i forbindelse med alles trafikkdata.

”Datalagringsdirektivet” påbyr lagring av elektroniske spor i forbindelse med alles telefonsamtaler, alles e-mails, alles mobiltelefonsamtaler, etter hvert alles internettbruk. Innhold i samtaler skal ikke lagres, ”bare” såkalte trafikkdata: Hvem som ringer til hvem, hvem som mailer til hvem, tid, sted og varighet for kommunikasjonen, skal lagres. I det mer presise språk vi finner i datadirektivets artikkel 5 gjelder lagringen følgende hovedkategorier:

a) data som er nødvendige for å spore og identifisere opprinnelsen til en kommunikasjon,
b) data som er nødvendige for å identifisere destinasjonen til en kommunikasjon,
c) data nødvendige for å identifisere dato, tid og varighet av en kommunikasjon,
d) data nødvendige for å identifisere typen kommunikasjon,
e) data nødvendige for å identifisere brukernes kommunikasjonsutstyr eller hva som går for å være deres utstyr,
f) data nødvendige for å identifisere lokaliseringen av mobilt kommunikasjonsutstyr.

Alle disse syv hovedpunkter har til sammen et tjue-talls presiserte underpunkter over data som anses nødvendige å lagre. Hele ”kart” kan på den måten utarbeides over borgernes telekommunikasjonsvaner og forbindelser.

Teletilbyderne skal forestå lagringen – og det er mange tilbydere.

De som tilbyr teletjenester skal stå for lagringen. Det er fastslått i direktivets artikkel 3.1. Fra myndighetshold fremheves det at det dermed ikke er så farlig, fordi teletilbyderne lagrer jo allerede, og fordi teletilbyderne har vi tillit til. Som statsadvokat Stein Vale sa det i Aftenposten 13. februar: ”De dataene som teleoperatørene eventuelt skal pålegges å lagre, er data som allerede i dag lagres av teleselskapene. Dagens formål med lagringen er hensynet til fakturering og kundebehandling”. Dette er en meget skjev fremstilling av de faktiske forhold: Mange nye aktører som vi ikke uten videre har grunn til å ha full tillit til, vil bli pålagt å lagre. Som Datatilsynet skriver på sin nettside: ”Datalagringsdirektivet innebærer at flere hundre internettleverandører (ISPere) vil måtte begynne å lagre personopplysninger de ikke har tradisjon for å lagre. De vil heller ikke ha en selvstendig egeninteresse av å bruke særlig med ressurser for å sikre disse opplysningene”. Grunnen for det er at de ikke driver med fakturering. Datatilsynet fortsetter: ”Datatilsynet mener det her ligger et betydelig potensial for utilsiktet utlevering, og misbruk”. I potensialet for utilsiktet utlevering og misbruk av persondata ligger det første personvernhensynet – hensynet til vernet om privatlivets fred, den personlige integritet, kvalitet på personopplysninger. Kommunikasjonstrafikkdata sier svært mye om personlige vaner og forhold, data som dette går tett inn på personen.

Lagringstiden mye lengre og opplysningene som lagres sterkt utvidet.

Myndighetene bagatelliserer også datalagringsdirektivet på annen måte. Den samme Stein Vale skriver, med bakgrunn i den uriktige påstanden om at dataene allerede blir lagret av teleselskapene, at en ”implementering av direktivet vil derfor bare innebære at lagringen får et annet formål og at lagringstiden utvides”. Fremstillingen gir den assosiasjon at disse nydannelsene bare er noe småtteri. Det dreier seg ikke om småtteri. For det første blir lagringstiden helt vesentlig lengre enn for faktureringsformål i dag – fra 6 til hele 24 måneder, kanskje mer.
For det andre gir fremstillingen inntrykk av at ingen andre data enn de som i dag lagres av teleselskapene, vil bli lagret under det nye datalagringsdirektivet: Implementering av direktivet vil jo ”bare innebære” et annet formål og at lagringstiden utvides. Dette er et springende punkt, og helt galt. Det er strenge regler i dag for lagring av trafikkdata. Med datalagringsdirektivet vil personopplysningene som lagres på avgjørende måte bli kraftig utvidet. Datatilsynet sier det slik på sin nettside: ”Følgende typer trafikkdata er per i dag ulovlig for tele- og internettselskapene å lagre:

Hvor du geografisk beveget deg når du benyttet mobiltelefonen til å snakke, sende eller motta sms, høre beskjeder i talepostkassen mv. Tidspunktene du logget deg på og av Internett og hvilke IP-adresser du benyttet. Logg over når og til hvem du sendte og mottok e-post, herunder IP-adressen du benyttet. Nevnte trafikkdata har tele- og internettselskapene i dag ikke lovlig grunnlag for å lagre. Nå vil imidlertid representanter for politiet pålegge lagring i minst et halvt år. På denne måten skal de få muligheten til å skaffe rede på hvor alle vi, som har PC og telefon, til enhver tid befant oss, hvem vi kommuniserte med og hvorvidt vi satt koplet opp mot Internett eller ikke.”

Kort sagt: Et stort antall nye tilbydere som har liten egeninteresse i kontroll med dataene, en vesentlig forlengelse av lagringstiden, og en meget kraftig utvidelse av personopplysningene som lagres, vil bli resultatet.
Formålet med direktivet er å bekjempe ”alvorlig kriminalitet” – hva er det?

Formålet med direktivet er beskrevet som følger i artikkel 1.1., slik: ”…ensure that the data are available for the purpose of the investigation, detection and prosecution of serious crime, …” Dette formålet anses naturligvis som høyverdig, men er meget problematisk i lys av direktivteksten, i lys av selve begrepet ”alvorlig kriminalitet”, og i lys av empiriske forhold rundt det som kalles alvorlig kriminalitet:

For det første direktivteksten: Setningen i artikkel 1.1. som jeg siterte, fortsetter nemlig slik: serious crime ”…as defined by each Member State in its national law”. Denne passusen er forståelig, man vil ikke legge et overordnet EU-perspektiv på nasjonalstatene, men samtidig problematisk: Den betyr at ulike land kan definere direktivets formål høyst forskjellig. Det går over til å bli dypt problematisk når man betenker den transnasjonale kommunikasjon av data som generelt er i emning i Europa (”tilgjengelighetsprinsippet”; Haag-programmet og Prüm-avtalen1) og som sikkert vil komme på dette området.

For det andre selve begrepet: Begrepet ”alvorlig kriminalitet” sikter særlig til terrorisme og organisert kriminalitet, men i lys av opinionsklima, moralske panikker og lignende kan det utvides i retninger vil ikke liker. Hva med mindre alvorlig kriminalitet? Hva med gateuorden? Hva med mer eller mindre uønsket atferd ved politiske demonstrasjoner i samband med toppmøter og annet? Hva med rene politiske demonstrasjoner der mange mennesker deltar, og noen kanskje handler panisk? Det sistnevnte - mer eller mindre politisk bruk av informasjonen – vil jeg gjerne dvele litt ved. Det skal ikke store forandringer til i det politiske klima før bruken av slike fristende opplysninger som det er snakk om her kan bli diffust utvidet til det som reelt er politiske formål. Tilsvarende har skjedd før på flere punkter i politiets arbeid – for eksempel i forbindelse med den såkalte beredskapstroppen eller ”terrortroppen” i politiet på 1970-tallet. Der ble det først sagt fra høyeste hold at denne troppen bare skulle brukes overfor kvalifisert terror, og slett ikke mot former for sosial uro. Etter hvert este imidlertid troppens arbeidsområde ut, for eksempel til vakthold ved T-banen når det var behov, utrykning i forbindelse med fengselsfanger som hadde satt seg til motverge, litt gale folk som hadde barrikadert seg og vært truende, demonstrasjoner og typisk sosial uro. Jeg kan dokumentere dette om det skulle være av interesse. Beredskapstroppen ble i de sistnevnte tilfellene ikke brukt ”som sådan”, som det het, men var ofte helt i fronten av begivenhetene og da i flertall i enheter fra ordenspolitiet. Begrepet ”terrorisme” slik det defineres i dag er også diffust og lite presist, særlig på EU-plan men også i Norge, og kan lett utvides til former for politisk uro, som demonstrasjoner mv., særlig når stemningen er mer eller mindre panisk. Det er lett å tenke seg at dette vil bli arenaer for bruk av datalagringsdirektivet. La oss for eksempel tenke på de store demonstrasjonene som fant sted i Göteborg i 2001, i samband med toppmøtet i EU og president George W. Bush’ besøk, hvor jeg selv var til stede. På viktige tidspunkter ble demonstrantene stengt inne i gater og på plasser og fluktveier kuttet. Sambandet innen demonstrantenes rekker var da tydeligvis av stor interesse for politiet. Politiet definerte en telefonering der noen demonstranter søkte å formidle informasjon til andre om hvor det var trygt på bevege seg (jeg kjenner flere av de som tok del i dette), som en slags kommandosentral i et militært slag, og det er mildt sagt høyst sannsynlig at dersom datalagringsdirektivet hadde vært implementert i Sverige da, ville det vært brukt av politiet. Var de politiske demonstrasjonene i Göteborg ”alvorlig kriminalitet”?

Dessuten forsyner historien bakover tid oss med gode eksempler på hvordan registrering av persondata er blitt benyttet av regimer vi ikke liker å sammenlikne vårt politiske system i dag med, men som vi ikke er garantert mot i all fremtid (Espen Søbye).
For det tredje empiriske forhold: Det er empirisk grunn til å tvile på at bekjempelsen av det vi intuitivt forstår som alvorlig kriminalitet reelt vil bli høynet i særlig grad. Vi må være klar over at organisert kriminalitet og kvalifisert terrorisme, som det gjerne vises til, er virksomheter som utøves av kunnskapsrike folk, fullt i stand til å la være å etterlate seg disse elektroniske sporene når de er i aktiv fase.

Spørsmålet om Norge som ”fristed” for alvorlig kriminalitet som terrorisme har vært reist: Hvis Norge bruker reservasjonsretten overfor direktivet, kan Norge bli ett av de få land som ikke har muligheten for slik lagring av trafikkdata, og derfor bli et fristed som terrorister søker til. Jeg tror ikke denne faren er stor. I Norge er kontrollen med det vi forstår som kvalifisert terrorisme allerede høyt oppdrevet, politiet har allerede hjemmel for å bruke trafikkdata (og avlyttingsdata) i særskilte saker, politiet og Politiets sikkerhetstjeneste er allment oppegående, og landet har en liten befolkning som det ikke er så lett å gjemme seg i. Andre land som mangler flere eller alle disse egenskaper, er mye mer sannsynlige som fristeder.
Hvem er myndighetene?

I artikkel 4 i datalagringsdirektivet får vi vite hvem som skal kunne ha adgang til de lagrede opplysninger. Dataene som lagres ”are provided only to the competent national authorities in specific cases and in accordance with national law”. Fremgangsmåten skal også defineres primært i henhold til nasjonal lovgivning.

Hvem er så ”the competent national authorities” – myndighetene? Hvem vil få myndighet over opplysningene – foruten naturligvis politiet? Lederen for Advokatforeningens lovutvalg for ikt og personvern, advokat Eva I. E. Jarbekk, spør: Kredittilsynet? Skatteetaten? Konkurransetilsynet? - sier det i klartekst slik: ”Hvilke myndigheter som kan kreve innsyn er ikke bestemt”, bortsett fra den føringen det gir at opplysningene skal brukes til oppklaring av ”alvorlig kriminalitet”.

Datalagringsdirektivet i kontekst

Det er av stor betydning å se Datalagringsdirektivet i kontekst av andre overvåkingsfremstøt i Europa. Vi har for lengst fått Schengen Information System, SIS, som skal oppgraderes til et teknologisk mye mer avansert SIS II. Schengen alene har nærmere 1 million personer i sin sentrale database. Vi har det parallelle SIRENE-systemet, eller Supplementary Information Request at the National Entries. Hvert land har et SIRENE-kontor som er registeransvarlig for det nasjonale SIS, og disse kommuniserer supplerende informasjon til SIS seg imellom. Vi har the European Asylum System, EURODAC, som lagrer fingeravtrykk om alle asylsøkere i Europa over 14 år. Vi har EUROPOL, med the Europol Information Systems eller TECS, som vil si tre informasjonssystemer – et standardisert informasjonssystem som likner på SIS-systemet, et arbeidsfilsystem med mulighet for å lagre meget stor mengder meget privat og sensitiv informasjon, og et index-system. Vi har mange flere.3 Vi må forstå at overvåkingssamfunnet er på bred front i fremmarsj – og datalagringssystemet er en viktig brikke, som naturligvis etter hvert vil kobles til disse andre systemene. Det er et viktig poeng.

Fra farlighet, gjennom risiko, til alle

Til slutt dette: Den britiske kriminologen Lucia Zedner har på et seminar nylig klassifisert overvåkingssystemene som utvikler seg regionalt og internasjonalt i tre hovedtyper. Den første og eldste typen er lagring av data som er ment å forutsi hvem som er de farlige, ut fra visse kriterier. Gjennom årene har det imidlertid vist seg at det å plukke ut hvem som er de farlige, er meget vanskelig. Det gjøres alt for mange feilaktige forutsigelser. Den neste typen er lagring av data ment å forutsi risiko, et bredere belte av personer som har en gitt overvekt av sannsynlighet for å vise seg farlige. Også dette har i praksis vist seg meget vanskelig. Den tredje typen er lagring av data om alle, enten det er knyttet risiko for farlighet til dem eller ikke. Datalagringsdirektivet dreier seg om slik lagring av data om alle. Alle kan overvåkes, alle er på en måte under mistanke. Flere slike lagringssystemer for data om alle er under utvikling, et av dem er obligatorisk lagring av data om luftfartspassasjerer, PNR.
Spørsmålet om effektivitet mot demokratiske verdier.

Det blir under alle omstendigheter til slutt et spørsmål om effektivitet mot verdier, verdier om demokratisk styring, innsyn i forhold som gjelder en selv, og personvern. Uansett må vi ikke la hensynet til effektivitet trampe i hjel verdiene, og i effektivitetens navn knuse de demokratiske verdiene som vi ønsker å beskytte. Alt i alt er det grunn for Norge til å bruke sin reservasjonsrett overfor datalagringsdirektivet.

 

Referanser

Tilgjengelighetsprinsippet, ”the principle of availability”, der fremstøt gjøres for å lette og effektivisere betydelig kommunikasjonen av data mellom politietater i ulike stater, er på full fart inn i EU, og finnes nedfelt i det såkalte ”Haag-programmet” og i ”Prüm-avtalen”. Når begreper som ”alvorlig kriminalitet” kan ha forskjellig betydning i ulike land, blir slik effektivisert kommunikasjon over landegrensene meget problematisk. Se Thomas Mathiesen: ”Lex Vigilatoria: Global Control Without a State?” I Mathieu Deflem (red): Sociology of Crime, Law and Deviance, Volume 10: Surveillance and Governance. Emerald Publishing 2008, s. 103-129.

Eva I. E. Jarbekk: ”Datalagringsdirektivet – mer enn et spørsmål om lagringstid”. Lov&Data nr. 93, mars 2008

Emneord: datalagring, Personvern, overvåking Av professor Thomas Mathiesen
Publisert 9. mars 2011 16:31 - Sist endra 9. mars 2011 16:39
Legg til kommentar

Logg inn for å kommentere

Ikkje UiO- eller Feide-brukar?
Opprett ein WebID-brukar for å kommentere