Nettjuss, Samfunn & Sikkerhet

Advokat Jon Wessel-Aas: Digital grenseovervåkning utenfor lovlige grenser

Etterretningstjenesten ønsker tilgang til elektronisk informasjon som kommuniseres i fiberoptiske kabler inn og ut av Norge Illustrasjon: Ståle Grut / NASA / Forsvaret

Gjesteblogg: Forslaget om et nytt norsk “digitalt grenseforsvar” får tommel ned, både juridisk og teknologisk fra advokat Jon Wessel-Aas.

På bakgrunn av ønsker særlig fra Etterretningstjenesten (E-tjenesten) selv, oppnevnte Forsvarsdepartementet i februar 2016 et utvalg med mandat til å utrede sentrale problemstillinger knyttet til E-tjenestens mulige tilgang til elektronisk informasjon som kommuniseres i fiberoptiske kabler inn og ut av Norge. Det vil si all vår elektroniske kommunikasjon som passerer Norges grenser.

Det anførte formålet skulle være å bedre sikre Norges og norske interesser mot blant annet såkalte cyber-angrep og terrorisme. E-tjenesten utgjorde selv sekretariatet for utvalget. Utvalget – som er blitt hetende Lysne II-utvalget – avga sin rapport «Digitalt grenseforsvar» (DGF) 26. august 2016.

Senere samme høst, 4. oktober 2016, ble rapporten lagt ut til offentlig høring, med høringsfrist satt til i 6. januar 2017. Enkelte instanser, blant annet sentrale instanser som Datatilsynet og Nasjonal institusjon for menneskerettigheter, er gitt utsatt frist.

Rapporten er omfattende, og dens innhold reiser alvorlige samfunnsmessige spørsmål, ikke minst av juridisk og teknologisk art.

Advokat Jon Wessel-Aas
Advokat Jon Wessel-Aas

Et grunnleggende utgangspunkt for diskusjonen om disse spørsmålene, er at det foreslåtte tiltaket, DGF, vil innebære filtrering og lagring av vesentlige deler av hele den norske befolkningens elektroniske kommunikasjon, herunder kommunikasjon som foregår mellom norske borgere i Norge. Det er – særlig med hensyn til kommunikasjon via Internett, men også med hensyn til telekommunikasjon – langt på vei tilfeldig om innenlandsk kommunikasjon passerer Norges geografiske grenser.

Store deler av befolkningens bruk av Internett (herunder vanlig ”surfing”, bruk av kommunikasjonstjenester som Skype, sosiale medier og lagring i skytjenester) innebærer kommunikasjon med servere som ligger utenfor Norge. Eventuelle forestillinger om at DGF bare omfatter ”utenlandsk” kommunikasjon er derfor feilslåtte.

DGF vil nødvendigvis hovedsakelig omfatte alle norske borgeres daglige bruk av digitale kommunikasjonstjenester.

Av de høringsuttalelsene som hittil har blitt offentliggjort, har forslaget også blitt møtt med til dels sterkt kritikk fra høringsinstanser som representerer uavhengig juridisk og teknologisk fagekspertise. Som representative høringsuttalelser for den nevnte kritikken kan (basert på de uttalelsene som er offentliggjort foreløpig) høringsuttalelsene fra følgende organisasjoner fremheves:

Juridisk dreier kritikken seg blant annet om at forslaget bryter med de grunnleggende krav til person- og kommunikasjonsvern som alle borgere har etter Grunnloven, Den europeiske menneskerettskonvensjon og EU-/EØS-retten. Domstolene som håndhever person- og kommunikasjonsvernet på øverste nivå i Europa, Den europeiske menneskerettsdomstol og EU-domstolen har i en rekke avgjørelser slått fast at tvungen, statlig masselagring av personopplysninger er ulovlig.

Noen vil huske diskusjonen om og skjebnen til EUs datalagringsdirektiv, som av EU-domstolen i dom avsagt i storkammer i 2014 ble erklært ugyldig, som stridende mot EUs charter om grunnleggende rettigheter

Til tross for at avgjørelsen, som formelt bare angikk selve EU-direktivet, åpenbart innebar at de enkelte statene heller ikke i nasjonal lovgivning kunne drive med tilsvarende masselagring av borgernes kommunikasjonsdata, mente noen at dette fortsatt var en mulighet.

Det slo EU-domstolen helt nylig – i en dom av 21. Desember 2016, om lovgivning i henholdsvis Sverige og Storbritannia om masselagring av borgernes kommunikasjonsdata – at man ikke kan. Det er i strid med grunnleggende krav til person- og kommunikasjonsvern i Europa. I dommen fremgår blant annet følgende generelle uttalelser:

106    En sådan lovgivning kræver ikke nogen sammenhæng mellem de data, som foreskrives lagret, og en trussel mod den offentlige sikkerhed. Den er navnlig ikke begrænset til en lagring, som er rettet mod data vedrørende et tidsrum og/eller et geografisk område og/eller en personkreds, der på den ene eller anden måde vil kunne være indblandet i alvorlige lovovertrædelser, eller mod personer, der af andre grunde gennem lagring af deres data ville kunne bidrage til bekæmpelse af kriminalitet (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 59).


107    En national lovgivning som den i hovedsagen omhandlede overskrider derfor det strengt nødvendige og kan i et demokratisk samfund ikke anses for at være begrundet, således som det er påkrævet i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1.


108    Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for, at en medlemsstat vedtager en lovgivning, der som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet, forudsat at lagringen af disse data begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen.
EU-domstolen i dom av 21. Desember 2016

DGF – der det nettopp legges opp til slik vilkårlig masselagring, ikke bare av kommunikasjonsdata, men dels også om kommunikasjonsinnhold – vil rammes direkte av det som uttales i denne dommen. Lysne II-utvalget synes å ha vært blant dem som feilaktig har trodd at dommen fra 2014 om datalagringsdirektivet, ikke innebar noe hinder for slik nasjonal lovgivning.

Denne nye dommen, som kom etter at utvalgets avga sin rapport, viser at utvalget har tatt feil.

Forslaget faller alene på dette punktet, som stridende mot grunnleggende friheter etter både europeisk rett og Grunnloven.

Teknologisk dreier kritikken seg dels om forslagets manglende effekt overfor DGFs anførte formål, kombinert med dets inngripende effekt på kommunikasjonsvernet samt potensielt skadelige effekt på samfunnets IKT-infrastruktur, dels om manglende utredning av de relevante teknologiske problemstillingene.

Tekna peker i sin høringsuttalelse på at selve rapportens tittel (”Digitalt grenseforsvar») gir misvisende assosiasjoner, og skriver i forbindelse følgende:

Rapportens tittel gir inntrykk av at Norge kan etablere et digitalt forsvar hvor uønskede elementer kan stoppes ved grensen. Tekna mener et riktigere språklig bilde vil være digital grenseovervåking.
Høringssvar fra Tekna

Basert alene på innholdet i de refererte høringsuttalelsene, vil det være overraskende om Regjeringen fremmer noe lovforslag langs de linjer som foreslås i Lysne II-utvalgets rapport.

Både juridiske og teknologiske forhold tilsier at de formål som forslaget anføres å skulle ivareta, må søkes ivaretatt på helt andre måter, og at det i eventuelle videre utredninger må gjøres langt grundigere arbeid, der blant annet uavhengig juridisk og teknologisk fagkyndighet involveres i langt større grad.

E-tjenesten bør ikke – som tilfellet var med Lysne II-utvalget – selv være sekretariat for et eventuelt nytt utvalg.

Det er uvanlig og uheldig.

Behovet for etterretningsfaglig kompetanse bør søkes ivaretatt ved at slik kompetanse – på linje med annen fagkompetanse – enten er representert i utvalget og/eller at faglige innspill fra det etterretningsfaglige miljøet blir hentet inn på annen måte under utredningsarbeidets gang.

Når det gjelder E-tjenesten selv – som altså selv var sekretariat for utvalget, som allerede nevnt – går det tydelig frem av dens egen høringsuttalelse at den har forutsett deler av den kritikken som jeg har vist til ovenfor, ettersom den finner det nødvendig i innta følgende (for øvrig ganske tendensiøse) avsnitt i avslutningen av sin uttalelse:

Et enstemmig og menneskeretts- og personverntungt utvalg har foretatt grundige avveininger av nødvendighet og forholdsmessighet, og finner det klart at innføring av DGF er forsvarlig og påkrevet.

Til tross for dette er det grunn til å anta at det primært er de høringsinstanser som er negative til ethvert nytt overvåkingstiltak, og som ikke er opptatt av å måtte finne en rimelig balanse mellom statens sikkerhet og personvern, som vil fremme uttalelse og søke å dominere den offentlige debatt.

Vi vil derfor anbefale at departementet vurderer ytterligere informasjonstiltak for å unngå misforståelser i det offentlige rom om hva DGF egentlig innebærer, samt ser dette i sammenheng med behovet for et oppdatert lovgrunnlag ikke bare for DGF, men for enkelte andre generelle aspekter ved E-tjenestens virksomhet.
Høringssvar fra Etterretningstjenesten

Hvilke høringsinstanser E-tjenesten sikter til, når den refererer til dem som er ”negative til ethvert nytt overvåkningstiltak”, er jeg usikker på.

En slik karakteristikk rammer i alle fall beviselig ikke de høringsinstansene som jeg har referert ovenfor. Når E-tjenesten først tar opp utvalgets sammensetning, kan det dessuten nevnes at av utvalgets fem medlemmer, var tre av dem statsansatte (henholdsvis i Forsvaret, Nasjonal kommunikasjonsmyndighet og Regjeringsadvokatembetet.) Også slike skjevheter bør unngås i eventuelle fremtidige utredningsutvalg om tematikken.

Når det gjelder E-tjenestens uttrykte bekymring for konsekvensene av høringsrunden for den offentlige debatt, og dens oppfordring til Forsvarsdepartementet om å iverksette ”informasjonstiltak”, minner det om hvordan Regjeringen håndterte høringen om datalagringsdirektivet i 2011.

Det førte som kjent til at Stortinget – i strid med klare råd fra nettopp uavhengige, juridiske instanser – vedtok lovgivning som domstolene i ettertid har slått ned på.

Den feilen kan unngås denne gangen, om politikerne faktisk tar innspillene fra de uavhengige fagmiljøene på alvor.

25 kommentarer

  1. Veronica Olsen

    God gjennomgang.

    Jeg syns det er litt rart at slik data uansett skulle ha så mye verdi. Det er relativt enkelt å skjule aktivitet på nettet. Det er teknisk trivielt å flytte kontaktpunktet ut til et land som ikke overvåker – enten gjennom VPN eller en SSH-tunnel. Det er også en kompetanse som mange etter hvert har, eller som gjøres for deg av enkle apper. Det er jo slik mange unngår geografiske restriksjoner for å streame TV og media for eksempel.

    Har man mer tvilsomme formål, eller et sterkt behov for anonymity av sikkerhetsgrunner, har man en rekke andre muligheter tilgjengelig. Så ender man da stort sett ikke bare opp med å overvåke vanlige folk istedet for kriminelle?

    Svar på denne kommentaren

  2. Selv om jeg selv stemmer blått er dette aspektet åpenbart et stort problem. Høyresiden i politikken har tidvis en kontrollkåthet som gjør at man lett bryter grenser for hva som er greit med hensyn på privatliv og personvern.

    Usikker på om du berører dette, men nå er jo en slik overvåking også klart i strid med E-tjenestens mandat, som IKKE åpner for overvåking av norske statsborgere på norsk jord. Noe denne overvåkingen udiskutabelt vil medføre.

    Svar på denne kommentaren

    • Jon Wessel-Aas (svar til Jan)

      Både det poenget og rollefordeling mellom politi (her PST) og militæret (her E-tjenesten) er med i vår (ICJ-Norges) høringsuttalelse, som det er lenker til i artikkelen. Jeg er enig i at det er viktig, men alt kunne ikke tas med i denne artikkelen.

      Svar på denne kommentaren

  3. Merlin Merlow

    Skal man reelt overvåke, så må dette også skje mellom maskiner innenlands, slik som russerene gjorde i USA nylig. Det som går over grensene vil trolig være lite relevant. Å se seg blind på dette vil ikke gi noe gevinst.

    Det blir som sikkerhetssjekk ved flygning. Hvorfor skal en fly være målet? Det er bare å rulle fram en bagasjetralle med sprengstoff forran sikkerhetssjekken. Det er der alle de potensielle målene er samlet, i en større mengde enn andre steder.

    Poenget er å tenke i gjennom alt. Jeg tror ikke dette er gjort.

    Om vi skal gjennomføre full sjekk overalt blir vel for drøyt, men det er vel strengt tatt nødvendige om det er fullstendig sikring som er målet.

    Svar på denne kommentaren

  4. Godt at noen engasjerer seg. At det norske militæret skal brukes mot lovlydige nordmenn, i fredstid, er fullstendig krise. De juridiske, etiske og moralske beina i kroppen stritter i mot. At vi har politikere som ikke forstår hva dette dreier seg om er en ting – men når folk flest er opptatt av sport og flått blir det direkte kriminelt å banke igjennom noe sånt – det er få som forstår hvor ille dette er. Man kan spørre seg om Eidsvollmennene hadde syntes at dette her var en god ide – selv med deres situasjon. Hva har skjedd med landet vårt når slike ting kan skje?

    Svar på denne kommentaren

    • Terje Sande (svar til Sverre)

      Nå som Norge har trykket Kina og Xi
      til sit bryst og snubler i beina sine
      for å leve opp til deres fantastiske
      internettsystem,må selvsagt Norge følge
      i Kinas fotspor, snart blir det til at
      der må spesiell tillatele for å overhode
      å bevege seg utenfor landets grense på
      internett.

      Svar på denne kommentaren

  5. ole hvermansen

    men cudos til E tjenesten som gjør en god jobb!!

    Det værste er de mektige organisajonene vi har i norge som her forleden gjorde seg habile i justiskommiteen, hvor ingen av de kan være innhabile,

    «I norge finnes ingen korrupsjon da bindingene er for korte» Eva Joly

    Eller
    «i Norge finnes ingen korrupsjon, da alle kjenner alle»
    nytt mantra for 2017!

    Svar på denne kommentaren

    • Christian Knutshaug (svar til ole hvermansen)

      Er det god jobb å starte et stalinistisk overvåkiningsregime selv Hitler ville vært missunelig på, basert på en løgn?

      Problemet er jo at krigen mot terror og terrortrusselen er en total og banal løgn, og har vært det fra begynnelsen av. Det du kaller terror er en motstandskamp mot våre grusomme og brutale overgrepskriger.

      Det finnes ingen krig mot terror, det finnes en krig hvor Amerika myrder, torturerer, plyndrer, voldtar og terroriserer land etter land for resurser og baser, slakter hundretusner av uskyldige mennesker for fote, med oss som lydige medhjelpere. Vi har sent 9000 krigsforbrytere (frontkjempere) til Afg, de burde alle gått gjennom en Nürnbergrettsak.

      Ikke glem at samtlige amerikanske påstander om emnet siste 20 årene har blitt totalt og fullstendig motbevist og latterliggjort pga sin totale mangel på fundament i fakta, men får selvsagt støtte fra korrupte (noske) politikere, lobbyister som First House, og ubrukelig media.

      Saken om russisk hacking i USA er et prakteksempel, ser man på de såkalte «bevisene» i rapporten er dette henvisninger til påstander fra private selskap som står på Pentagons forhandlerliste, og som selv henviser til sine tidligere påstander, også fullstendig avslørt tidligere. Det eneste USAs etteretning har å holde seg til er at deler av koden i programvaren brukter skrevet i en tidssone som tilser russisk arbeidstid, og at de nevnte private selskapene en gang har påstått at personen de mener har programert koden kan muligens vissomattedersomatte ha russiske sympatier.

      DET er beviset den amerikanske etteretningen hyler om. Total og fullstendig visvass, noe norsk media ville finne ut hvis de leste rapporten og analysene av den, og ikke bare gengir amerikansk etteretning sine påstander-

      Men det er slikt vissvass som gir oss krigen mot terror, millioner drepte uskylidge sivle, partier som FRP, og groteske overgrep mot deg og meg, som denne overvåkningen vil lede til.

      Ikke vær så dum at du hjelper frem en ny Hitler, det holder med originalen og de påfølgende amerikanske variantene.

      Svar på denne kommentaren

    • E-tjenesten gjør med dette en ELENDIG jobb;
      ikke bare vil DGF skade ytringsfrihet og demokrati – det er også en «løsning» som ikke vil gjøre det tryggere for noen som helst.

      Kryptering gjør lagring av data til en kostbar og tidkrevende affære, og god kryptering er nærmest umulig å «knekke».

      Hvis DOG – digitalt overvåkede grenser – blir innført, så vil det skade vanlige folk, gjøre varsling enda mer risikabelt – og der samles data som kan være gull verdt for fremmede makter eller utro tjenere.

      Samtidig tvinger det frem enda flere inngrep, nettopp fordi mange krypterer. Neste steg er «endepunktovervåkning» – New Speak for hjemmeovervåking.

      Det vil også komme sterkt press om tilgang fra Politi og andre – som ser mulighet til å utnytte det innsamlede materialet.

      DGF er en dyr og dårlig medisin med mange bivirkninger, og den har ikke engang placebo-effekt…

      Svar på denne kommentaren

  6. Steffen Dahlberg

    Slike «verktøy» er lettvintløsninger som man nok håper ville skåne dem fra å måtte gjøre ordentlig arbeid.
    Parallellen til våpenlovgivningen er påfallende. Om ulovligheter gjøres med ulovlige våpen eller ikke bryr man seg ikke om å registrere i statistikk, for da kan man ty til lettvintløsninger som å knipe inn hos de lovlydige våpeneierne og fordi disse nettopp er lovlydige slik skape, med liten motstand, et bilde utad av at man har fått gjort mye uten å egentlig gjøre politiarbeid.
    Ulovlig lagring av DNA-registrering er en annen latskapsparallell, man hadde nok helst ønsket seg at alle verdens borgere var i registeret, for da slapp man å gjøre politiarbeid.
    Samtidig velter yrkeskriminelle seg i ulovlige våpen, chatter sammen over krypterte linjer og bakveier og brenner alle spor i DNA-paranoia.
    Men bare se så mye vi har fått til, og du har vel ikke noe å skjule?

    Svar på denne kommentaren

  7. ole hvermansen

    Jeg ser ikke noen annen hensikt av denne artikkelen, en ren sverting og mistenkligjøring av våre hemmelige tjenester!

    at dette er til offentlig skue for hvermansen er Jævla skummelt!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    derav mine lettere syrlige kommentarer over!

    jeg Håper NRK gjør sin samfunnsplikt og sender i reprise intervjuet av » den grå»
    (den tidligere sjefen for E14)
    i beste sendetid i morgen, da han belyser temaet godt der!!!!

    Natta Norge

    Svar på denne kommentaren

    • Christian Knutshaug (svar til ole hvermansen)

      Vel, opp gennom de siste tiårene har disse tjenestene bl.a. blitt tatt for massiv overvåkning av norske stadborgere (du husker vel: «Jeg vil se mappa mi»?

      Hva i din fantasiverden får deg til å tro at de hemmelige tjenestene beskytter DEG?!?
      Det er jo kun tjenestene selv som påstår dette, men ser du i lys av deres arbeid og handlinger siste 50 årene er det jo det motsatte som har skjedd, etteretningen har blitt brukt kriminelt MOT nordmenn.

      Eller trodde du det kun var østblokken og «alle de skumle gutta» som overvåket hverandre?

      Svar på denne kommentaren

    • Advokat Wessel-Aas viser til mange konkrete eksempler på at DGF ikke er bra, med kilder, sitat og referanser.

      Ser ikke noe sted at der svertes noe eller noen.

      Synes du bør sjekke definisjonen på begrepet «å sverte». Slik jeg har lært det så betyr det «skade ved baksnakking, tale nedsettende om».

      Forfatteren «tar ballen», og det på en ryddig og sivilisert måte. Skulle ønske flere debatterte på samme måte.

      Svar på denne kommentaren

  8. Argumentet om at all tilgang til data skal godkjennes av en domstol inngir ikke mye garanti om at personvernet ivaretas over tid.
    Den som kontrollerer domstolen kontrollerer domstolens kjennelser. Quis custodiet ipsos custodes?

    Neste gang vi har en justisminister som Sverre Riisnæs eller en politidirektør som Karl Marthinsen eller Jonas Lie er disse databasene fulle av særdeles interessante opplysninger som effektivt vil kunne avverge et rettferdig opprør mot tyranniet.

    Overvåkingen av det sivile samfunn blir ikke mindre betenklig av at den er godkjent av de politiske myndigheter og blir kontrollert av rettsvesenet. Virksomheten til MfS/STASI i det gamle DDR var lovlig, og de forslåtte tiltakene ville nok vært en våt drøm for Erich Mielke og vennene hans. De 91.000 ansatte hadde ikke tilsvarende overvåkingskapasitet.

    Svar på denne kommentaren

  9. Martin Hansen

    Bra at det følges med. Personvernet i denne saken bør ses i et maktperspektiv, og det råder liten tvil om et forsøk på skjev maktfordeling blant stat og individ ved bruk av slik overvåkning. En klar krenkelse av den kontekstuelle og informative integriteten, hvor innsikten er enveis.

    Samtidig er det viktig å være oppdatert på det teknologiske aspektet gjennom utdanning og mestring av slike systemer. Det er ingen hemmelighet at kapitalismen missbruker teknologien, og private og utenlandske aktører samler stordata som er blitt et verdifullt og vanlig verktøy for markedsføring.

    Da er det også trist at det norske skolesystemet kortsynt har inngått avtaler med googles alternativ til kommunikasjonsplattform med innføringen av «blackboard». Vi forkaster dermed det nåværende svenske, velfungerende, «It’s Learning». Dette fordi avgjørelsen ligger hos lettlurte prosjektledere, som tror vi sparer økonomisk kapital på den vennlige «gruppe-rabatten» google tilbyr. Når vi egentlig betaler med overvåkningen av barna våre, og en fremtidig avhengighet til teknologiske løsninger utviklet av vår tids største innsamler av personlig informasjon.

    Svar på denne kommentaren

  10. er det ett sted kampanjejournalisme hadde vært på sin plass er det nå.

    hva gjør man får til en luguber diskusjon i dax18 og får noen til å skrive en god artikkel på nrkbeta.

    og det er omtrent omtalen i norsk media av den største inngripen i den personlige friheten noensinne.

    det er godt Apenes ikke er blant oss lenger, for dette hadde hvertfall sendt ham videre.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *