DLD – hva nå?

Iverksettelsen av datalagringsdirektivet i Norge ble nylig utsatt med tre måneder. Det er bra, for da blir det mer tid til arbeidet med norsk forskrift for datalagring, som pågår nå. Forskriften må diskuteres politisk, ikke bare byråkratisk, fordi den vil ha politiske følger, skriver Anne Siri Koksrud, stipendiat i Civita, i VG.

Anne Siri Koksrud Bekkelund

Publisert: 24. oktober 2011

De viktige spørsmålene om datalagringsdirektivet har ikke fått svar. Den kommende forskriften om datalagring må ta innover seg problemene med direktivet og erfaringene fra Europa.

Personvernforkjemperne tapte kampen for å legge ned veto mot EUs datalagringsdirektiv. De nødvendige lovendringer ble i vår vedtatt av en halv regjering og en opposisjon splittet på tvers av partiskillelinjer.

Siden den gang har direktivet blitt kritisert av EUs eget datasikkerhetstilsyn, som i en uttalelse konkluderer med at direktivet verken oppfyller formålet om markedsharmonisering eller grunnleggende krav til personvern. Nå har også gruppen Digitalt Personvern varslet at de forsøker å få direktivet domstolsbehandlet i Norge.

Iverksettelsen av direktivet i Norge ble nylig utsatt med tre måneder. Det er bra, for da blir det mer tid til arbeidet med norsk forskrift for datalagring, som pågår nå. Forskriften må diskuteres politisk, ikke bare byråkratisk, fordi den vil ha politiske følger. Teksten i EUs direktiv er kort og upresis, spesifiserer ikke konkrete krav til implementering og er dermed svært åpent for tolkning. De vedtatte lovendringene i Norge gjør ikke de nødvendige tolkningene. Da må forskriften gjøre det. Dette er noen av de viktigste spørsmålene som må besvares av myndighetene:

1) Hvem skal lagre?

Dette ikke tydelig avklart i direktivet. Verken Post- og Teletilsynet eller bransjerepresentanter kan svare på hvem som vil være forpliktet til å lagre data.

2) Hvilke data skal lagres?

Datatypene som skal lagres er ikke klart spesifisert i selve direktivet. Direktivet benytter de upresise begrepene ”internett-epost” og ”internettelefoni”. Om man følger europeiske standarddefinisjoner, utelater disse begrepene en lang rekke kommunikasjonsmetoder via internett fra direktivet. Kommunikasjon via sosiale medier (Facebook, Twitter og lignende), direkte chat, diskusjoner på blogger og andre diskusjonsfora samt all HTTP-trafikk generelt, inkludert webmail-tjenester som Google Mail og Hotmail, skal ikke lagres.

Denne tolkningen deles ikke av alle som har innført direktivet. For eksempel lagres i Danmark alle internett-sesjoner operatører i mellom, og mellom operatør og bruker, ikke bare de sesjoner som omhandler e-post eller telefoni.

Det norske vedtaket bør legge seg på et minimum, ikke bare for perioden data lagres hos leverandør, men også når det gjelder hvilke data som lagres.

3) Hvordan skal tilgang reguleres og kontrolleres?

Det er opp til hvert enkelt land å lage retningslinjer for behandling, oppbevaring og sletting av data etter at de er overlevert politiet. Per i dag er det helt uvisst hva som skjer eller kan skje med data etter at de er utlevert. Norske myndigheter må spesifisere sletteplikt. Politiet må også underlegges denne sletteplikten.

Selv om ”full sikkerhet” aldri kan oppnås, må myndigheter og leverandører gjøre alt som står i sin makt for å sørge for sikkerhet når det gjelder forespørsel og overlevering av data. Norge må som et minimum vedta at slik lagring og kommunikasjon skal være kryptert.

Både for telekomselskapenes og politiets bruk av data må det være streng adgangskontroll, samt logging av alle tilfeller hvor data er lest.

4) Hvem skal betale?

Direktivet spesifiserer ikke i hvilken grad det offentlige skal eller kan betale for de nye kravene til datalagring og tilhørende sikkerhet. Følgelig er det stor forskjell på praksis i EU-landene. I land hvor kostnadene for datalagring ikke eller bare delvis dekkes av det offentlige, lider de små telekomselskapene, som ikke har samme muligheter for skalafordeler som de store. Noen av dem tar færre forholdsregler for de lagrede data, for å holde kostnadene nede.

I Norge bør statsbudsjettet dekke alle kostnader forbundet med innføringen av direktivet. Dette ville jevne ut konkurransen, samt gjøre det mulig senere å vurdere kostnadene opp mot den økte sikkerheten man oppnår.

5) Hvordan skal man måle effekten?

Direktivet forplikter medlemslandene til å levere statistikk for antall forespørsler, men ikke for hvorvidt det faktisk bidrar til å oppdage, etterforske, oppklare eller påtale terrorvirksomhet eller alvorlig kriminalitet.

Norske myndigheter må føre en nøyaktig, detaljert og informativ statistikk for bruk og nytte av lagrede data. Man må undersøke om masselagringen av trafikkdata har noen effekt på kriminalitetsbekjempelse i det hele tatt. Spesielt viktig er det å analysere hvilken effekt direktivet har i sammenligning med reglene som gjaldt før direktivet. Det er derfor viktig å kartlegge nåsituasjonen slik at man senere kan sammenligne.

Norske myndigheter må også utføre grundige kost-/nytteanalyser for direktivet, og delta aktivt både med disse og andre erfaringer i EUs evalueringsprosess.

6) Hvordan unngå plantede eller villedende bevis?

Intet system er perfekt. Det vil alltid være risiko for misbruk av informasjon. I tilfellet DLD kan dette enten skje ved uautorisert tilgang til data, ved at data brukes til andre formål enn hensikten, eller ved at kriminelle bevisst planter villedende spor. Informasjon som er ment for å beskytte deg kan således bli brukt mot deg. Selv det man tror er helt sikre systemer er utsatt for risiko.

Det må derfor utføres en grundig vurdering av hvordan man skal bedømme kvaliteten på lagrede data, og hvordan disse og andre elektroniske «bevis» skal brukes i rettssaker.

Dette er bare noen av de viktigste spørsmålene som fremdeles er ubesvart. Før den nye loven og tilhørende forskrifter trer i kraft må det utarbeides en komplett og detaljert oversikt over hvilke data som lagres, når og hvordan. Denne oversikten må være langt mer detaljert enn den originale direktivteksten, samtidig som den må være enkelt tilgjengelig for ikke-teknologer.

Alle har krav på å vite nøyaktig hvilken informasjon som blir lagret om deres kommunikasjon, hvem som har tilgang til den, og hva den kan brukes til.

En kortere versjon av innlegget er på trykk i VG 23. oktober 2011. Artikkelen er basert på Civita-notat nr. 14-2011.