Må vi akseptere masseovervåkning for å beskytte rikets sikkerhet?

Norge er sårbart for digitale trusler, men masseovervåkning er neppe løsningen, skriver Eirik Løkke i VG.

Publisert: 21. februar 2017

Norge er sårbart for digitale trusler, men masseovervåkning er neppe løsningen.

I fjor høst foreslo Lysne II-utvalget å etablere et digitalt grenseforsvar (DGF), der E-tjenesten får tilgang på all digital kommunikasjon som krysser norske grenser. Bakgrunnen for forslaget er at E-tjenesten etter eget utsagn mangler gode (nok) verktøy for å beskytte norske interesser mot utenlandske trusler. Særlig utfordrende er cyberangrep som øker både i antall og kompleksitet, noe ikke minst den siste tids hackerangrep mot norske politikere illustrerer.

Nettopp derfor er det ikke overraskende at E-tjenesten og PST gjennom en rekke oppslag i VG, Aftenposten og NRK har uttrykt et presserende behov for å innføre DGF.

Det er liten grunn til å betvile at våre hemmelige tjenester møter flere og mer komplekse cyberangrep, like fullt er det grunn til å advare mot at E-tjenesten og PSTs trusselvurdering blir for dominerende som premissleverandør for det offentlige ordskiftet.

Jeg ser fire grunner til å være skeptisk til å innføre DGF: For det første innebærer DGF masseovervåkning. For det andre vil DGF kunne føre til at vi som borgere blir mindre villig til å kommunisere med hverandre, såkalt «chilling effect». For det tredje er det en reell fare for formålsutglidning. En siste grunn er at forslaget kan være i strid med menneskerettighetenes bestemmelser om privatliv.

Den første og viktigste innvendingen mot DGF er at det åpner for masseovervåkning. Forslaget gir E-tjenesten anledning til å lese all elektronisk informasjon som kommuniseres i fiberoptiske kabler inn og ut av Norge. Utvalget argumenterer med at DGF bedre vil sikre norske interesser mot cyberangrep blant annet gjennom å identifisere truslene ved grensen, noe som gjør det enklere å identifisere truslene og påfølgende gjennomføre effektive mottiltak.

Problemet er at dette ikke er mulig å gjennomføre uten potensielt å overvåke alle norske borgere. I så måte åpner DGF opp for masseovervåkning i den spesifikke betydning at alminnelige nordmenn vil kunne få sine personlige data avlest uten grunnlag.

Dette fordi kablene som krysser grensen ikke er begrenset til kommunikasjon mellom Norge og utlandet. Eksempelvis vil all vår aktivitet på sosiale medier krysse disse kablene, selv om både mottager og sender er lokalisert i Norge. Det er rent faktisk begrenset hvor mye av internettrafikken som er interessant i etterretningsøyemed. Ettersom det ikke er teknisk mulig å filtrere bort informasjon som ikke er relevant for E-tjenestens samfunnsoppdrag, kan man heller ikke innføre DGF uten samtidig å åpne opp for masseoveråkning (såkalt bulk surveillance). Dette i motsetning til overvåkning av bestemte mål utfra konkret mistanke eller annet særskilt grunnlag.

Nettopp fordi DGF åpner for masseovervåkning, kan det hende at vi som borgere er mindre villig til å kommunisere digitalt. Dette fenomenet omtales som «chilling effect» og er den andre grunnen til at vi bør være skeptisk til DGF.

Fenomenet beskriver den legitime uro som følger av at uvedkommende kan lese vår private korrespondanse. En tredje risiko er såkalt formålsutglidning. Altså at informasjonen brukes til noe annet enn dens opprinnelige intensjon. Utvalget foreslår at data fra DGF kun skal benyttes i tilfeller som berører rikets sikkerhet – og at eventuell overskuddsinformasjon ikke under noen omstendighet skal kunne benyttes i straffesaker.

Det innebærer for eksempel at E-tjenesten ikke får anledning til å dele informasjon om en seriemorder eller seksualforbryter med politiet. Denne avgrensningen har allerede fått motbør fra Kripos, som i sitt høringssvar skriver at det er uholdbart at ikke politiet skal få tilgang på informasjon om misbruk av barn. Utsagnet er et ekko fra Helga Pedersens (Ap) forsvar av Datalagringsdirektivet (DLD), der hun var villig til å forsvare direktivet hvis det «bare kunne redde ett barn». Derfor er det all grunn til å frykte formålsutglidning, også fordi et flertall av norske velgere antagelig deler argumentasjonen til Pedersen.

Husk at det var EU-domstolen som avviste direktivet, til tross for stor støtte fra velgerne, ut fra en begrunnelse om at det var for personverninngripende. Dommen illustrerer at overvåkning sjeldent møter stor motstand blant velgere; i avveiningen mellom sikkerhet og privatliv foretrekker velgerne som oftest sikkerhet. Imidlertid er retten til privatliv en menneskerett og derfor ikke utelukkende et spørsmål om hva et demokratisk flertall måtte ønske å innføre. Og spørsmålet om forslaget er innenfor menneskerettighetenes bestemmelser om privatliv, er den siste grunnen til å forholde seg kritisk til DGF.

Det sentrale juridiske spørsmål blir så vidt jeg kan bedømme en forholdsmessighetsvurdering mellom tiltak (DGF) og formål (rikets sikkerhet). En viktig årsak til at DLD ble avvist var at tiltaket (DLD) ikke sto i et rimelig forhold til formålet (kriminalitetsbekjempelse).

Men uansett om DGF skulle vise seg å være juridisk holdbart, bør Stortinget være varsom med å gi E-tjenesten tilgang til alle nordmenns digitale kommunikasjon.

Artikkelen er på trykk i VG 19.2.17.