Dette er datalagringsdirektivet
Vi tar deg med på et dypdykk inn i hva det omdiskuterte datalagringsdirektivet faktisk vil innebære - på godt og vondt.
Hva er DLD?
Som kjent gikk regjeringen, eller snarere regjeringens største parti , Arbeiderpartiet, rett før årsskiftet ut med et lovforslag om å innføre det omdiskuterte datalagringsdirektivet (DLD) her til lands. Direktivet innebærer at store deler av vår digitale kommunikasjon skal loggføres.
Oppdatert: Datalagringsdirektivet ble vedtatt 4. april 2011.
Vi har tatt en grundig gjennomgang av direktivet og hva en eventuell innføring i norsk lovverk vil medføre. I denne artikkelen forsøker vi å gi et bredest mulig bilde på DLD og debatten rundt, slik at du virkelig kan forstå begge sider i debatten.
Om du selv vil se på den foreslåtte innføringen av direktivet i norsk lovverk, kan du klikke deg inn på Utenriksdepartementets gjennomgang av direktivet (20 sider, PDF) og Justis- og Politidepartementets høringsnotat og forslag til implementering (141 sider, PDF).
Om du fremfor å pløye deg gjennom 161 tungtleste sider foretrekker å bli servert en kortversjon på kun fem, fortsett å lese!
Spørsmålet vi burde stille oss i denne saken er som følger: Er datalagringsdirektivet et nødvendig verktøy i kampen mot stadig mer alvorlig og organisert kriminalitet, eller er det lite mer enn et overtramp på personvernet og retten til privatliv?
Historien til DLD
La oss skru tiden tilbake til rett etter årtusenskiftet. Terrorangrepene 11. september 2001 rystet en hel verden – angrepene satt verdens myndigheter såvel som befolkning i en sjokktilstand. Dette startet en sterk vind her i vesten i retning av mer liberal lovgivning for overvåkning og registrering av befolkningen.
Illustrasjon: iStock
Amerikanerne var raskt på banen med The Patriot Act, som (blant svært mye annet) åpner for en langt bredere overvåkning enn tidligere tillatt. Så kjapt som 26. oktober 2001, på dagen én og en halv måned etter 9/11, ble lovverket vedtatt i USA.
Her i Europa lot ny lovgivning vente på seg inntil vi selv ble angrepet. Bombene i Madrid 11. mars 2004 førte til at EU allerede 14 dager senere la frem en deklarasjon om bekjempelse av terror. Deklarasjonen satt blant annet registrering av elektronisk kommunikasjon på agendaen. Etter bombene i London 7. juli 2005 ble arbeidet med et lovverk for slik registrering fremskyndet.
Året etter var arbeidet ferdig. Dermed ble EU-direktiv 2006/24/EF – her til lands kjent som datalagringsdirektivet eller DLD – lagt frem og vedtatt den 15. mars 2006 med et overveldende flertall. Selv om Norge som kjent ikke er medlem av EU, mottar vi en stor andel av de samme direktivene som EU-medlemmer får.
Dette fordi vi er medlem av den økonomiske samarbeidsorganisasjonen EØS med svært tette bånd til EU. Direktiver som beskrives som relevant for Europas indre marked blir derfor pålagt også oss. Vi har imidlertid mulighet til å si nei til direktiv fra EU/EØS gjennom en veto-rett, en rett vi bare har benyttet én gang.
Hva direktivet innebærer
Direktivet medfører at alle tilbydere av telefoni og internett blir pålagt å registrere hvem kundene har kontakt med. Dette innebærer at det meste man foretar seg via elektroniske kommunikasjonsformer – enten det er via e-post eller fast-, mobil- eller internettelefon, skal registreres.
Informasjonen som registreres inkluderer navn og adresse, samt telefonnumer eller IP-adresse, til begge kommuniserende parter. Det skal også lagres tidspunkt for kommunikasjonen, dens varighet og hvor begge parter fysisk befinner seg.
Videre skal tidspunkt for på- og avkobling til internettjenesten også registreres, noe som i mange tilfeller i realiteten vil medføre en loggføring av tidspunkt for når datamaskinen skrus av og på.
For mobiltelefoni vil det også bli pålagt lagring av både IMSI- og IMEI-nummer til begge kommuniserende parter. Dette er unike internasjonale identifikasjonsnumre henholdsvis for mobilabonnent og for mobiltelefoniutstyr.
Hva kommunikasjonen faktisk inneholder skal ikke lagres. Direktivet går kun ut på å lagre data for å identifisere hvem som kommuniserer, og når og hvor dette skjer. DLD omfatter med andre ord kun trafikk- og lokaliseringsdata, ikke innholdsdata.
Disse loggene skal ifølge EU-direktivets tekst lagres i mellom 6 og 24 måneder. I Norge er det 6 måneders lagrings som ble innført.
Tanken med direktivet er å gi Politiet et nytt våpen i kampen mot organisert og alvorlig kriminalitet. Dette begrenser seg på ingen måte til bare terrorisme, selv om flere forkjemperne for direktivet har spilt frykten for terrorisme som sitt eneste kort.
Bli med videre, så ser vi på dagens regelverk »
Dagens regelverk
Hvordan er dagens regelverk?
Tilbydere av internett og telefoni lagrer i dag trafikkdata, lokaliseringsdata og abonnementsdata. Dette gjøres i hensikt av kundeadministrasjon, opplysningstjeneste og faktureringshensyn. Data som ikke har betydning for disse formålene skal slettes eller anonymiseres.
Opplysninger lagret for faktureringshensyn inkluderer ofte trafikk- og lokaliseringsdata, altså hvem som kommuniserer når og hvor. Det er nettopp denne typen logger Politiet ofte får utlevert og benytter både under etterforskning og som bevis i kriminalsaker.
Ifølge dagens regelverk skal imidlertid denne informasjonen slettes så snart fakturaen er gjort opp. Maksimal lagringstid for disse loggene er fastsatt til fem måneder ved kvartalsvis fakturering og tre måneder ved månedlig fakturering.
Politiet har i dag mulighet til å fryse slike logger, slik at de ikke blir slettet når tidsfristen på tre til fem måneder løper ut. Denne muligheten er foreslått videreført med DLD.
Opplysninger om hvilke IP-adresser som tilhører hvilke kunder kan etter dagens regelverk ikke lagres i mer enn tre uker. Med andre ord er dagens lagringstider for alle former for trafikkdata markant kortere enn de foreslåtte 12 månedene med DLD.
Det kan sies at DLD innebærer at lovverket rettet mot internett- og teletilbydere går fra å fremme en sletteplikt til å innebære en lagringsplikt. I så måte markerer DLD en helomvending i lovverkets fokus.
For en svært god oversikt over hva som foreslås lagret med datalagringsdirektivet i forhold til hva som lagres i dag, anbefaler vi en titt på Stopp DLDs tabell.
Hvordan skal dataene lagres?
Et viktig spørsmål under Justis- og Politidepartementets høringsrunde har vært hvordan loggene eventuelt skal lagres. Direktivet legger nemlig ingen føringer på lagringsform. Dermed har det vært diskutert om all data skal lagres i et sentralisert register, eller om hver tilbyder selv skal stå for lagringen.
Blant andre Kripos, Norsk Narkotikapolitiforening, Politiets fellesforbund og NTNU har gått inn for et sentralisert register med sanntidskryptering. De gir uttrykk for at dette registeret isåfall skulle vært driftet av noen andre enn Politiet.
Støttespillerne for sentralisert lagring mener blant annet at det vil gjøre arbeidet med å sørge for tilstrekkelig sikkerhet enklere. Lokal lagring hos hver enkelt tilbyder, mener de, representerer en større risiko for dårlig sikkerhet og dermed lekkasjer.
Motstanderne mot sentralisert lagring – blant andre Telenor, Netcom, IKT-Norge og Teknologirådet – peker på at et sentralisert register innebærer en stor risiko for alvorlige lekkasjer. En eventuell lekkasje vil nemlig kunne omfatte et mer eller mindre komplett bilde av hele befolkningens kommunikasjonsvaner.
Videre peker forkjemperne for individuell lagring på andre personvernshensyn. Blant annet pekes det på at sentralisert lagring åpner for større muligheter for uønsket kobling av data. Videre hevdes det at det kan åpne for formålsglidning – at loggene brukes for andre formål enn tiltenkt.
Tilbyderne velger selv lagringsløsning
Justis- og Politidepartementet har derfor gått inn for at hver enkelt internett- og teletilbyder selv skal stå for lagringen. Dette gjøres "slik at alle egg ikke havner i samme kurv," som Norsk Senter for Informasjonssikring (NorSIS) uttalte under høringsrunden.
I praksis vil det si at hver tilbyder selv har ansvaret for vern av personopplysninger og for datasikkerhet – en videreføring av dagens praksis. De ulike tilbyderne må dermed selv velge teknologi og rutiner som best mulig sikrer mot lekkasjer.
Man trenger imidlertid ikke å se lenger enn til de millioner av hemmeligstemplede dokumenter som Wikileaks har offentliggjort for å forstå at man aldri kan være helt og holdent sikret mot lekkasjer.
I så måte er det noe spesielt å registrere at det ikke er planlagt noe krav om kryptering av loggene. De eneste føringer som vil bli lagt er at informasjonen skal lagres sikkert og at bare helt nødvendig personale skal ha tilgang.
Hvem får tilgang?
Hvem får tilgang til loggene?
I hovedsak er det Politiet og Finanstilsynet som har rett til å få utlevert trafikk- og lokaliseringsdata. For å få utlevert trafikkdata kreves det skjellig grunn til mistanke om kriminalitet med en strafferamme på fire år eller lengre.
For utlevering av lokaliseringsdata kreves en strafferamme på fem år eller lengre. Hovedregelen er at mistanken må vurderes av en domstol før det gis tilgang til informasjonen.
Kravet om fire til fem års strafferamme bygger opp under tanken om at DLD er myntet på alvorlig kriminalitet. Kravene er nemlig i tråd med FNs uttrykte definisjon.
FNs konvensjon mot grenseoverskridende organisert kriminalitet definerer nemlig "alvorlig kriminalitet" som lovbrudd som kan medføre fengselsstraff i fire år eller lengre.
Det behøves imidlertid ikke skjellig grunn til mistanke mot én bestemt person, det er nok at det finnes skjellig grunn til mistanke om at noe kriminelt er begått. Dermed kan for eksempel identiteten til alle tilkoblet en viss basestasjon i et visst tidsrom utleveres.
I dag er praksisen at Post- og Teletilsynet vurderer utlevering av slike logger. At det nå istedet skal være en domstol som foretar denne vurderingen kan sies å være en klar skjerpelse av regelverket i favør personvernet.
Store og brede unntak fra kravet om rettskjennelse
Men, det er hele 32 men. Det er nemlig så mange som 32 unntaksbestemmelser fra regelen om at en rettslig kjennelse må til. Disse bestemmelsene er definert i nok et EU-direktiv, nærmere bestemt i artikkel 2 i den europeiske arrestordren (direktiv 2002/584/RIA).
Unntakene slår i kraft om lovbruddet kan straffes med tre år eller lengre i fengsel. Legg merke til at kravet om strafferamme i disse tilfellene er senket med ett til to år, samtidig som kravet om en tur innom domstolen er frafalt.
Unntaksbestemmelsene inkluderer lovbrudd (eller mistanke om lovbrudd) som blant annet terrorisme, kidnapping, drap, voldtekt, ran, svindel, hvitvasking, sabotasje, og smugling eller omsettelse av narkotiske stoffer.
I praksis kan det sies at nærmest alle former for alvorlig kriminalitet er unnlatt behovet for en rettskjennelse. Når DLD sies å kun være myntet på alvorlig kriminalitet, er det vanskelig å se at den såkalte "hovedregelen" om rettskjennelse i praksis er noe annet enn en unntaksregel.
Enda mer oppsiktsvekkende er det kanskje at det diffuse begrepet "datarelaterte forbrytelser" ("computer-related crime") står oppført, mer eller mindre fri for tolkning. Dette betyr at for eksempel mistanke om simpel DDoS-ing fra et Anonymous-medlem kan være nok for å få utlevert trafikkdata uten en rettslig avgjørelse. Det åpner også for at det samme kan gjelde en simpel og svært utbredt forbrytelse som piratkopiering.
Rasisme står også oppført som et unntak, i tillegg til fremmedfrykt ("xenophobia"). Hvordan en frykt eller en fobi i seg selv kan være for et lovbrudd å regne er et åpent spørsmål, men vi velger å tro at forfatterne av lovverket bare forsøkte å helgardere seg.
I de mange tilfellene der unntaksbestemmelsene slår i kraft, behøver Politiet bare å sende en forespørsel til Post- og Teletilsynet om innsyn i trafikkdataene. Med andre ord videreføres dagens praksis, mer eller mindre. Dermed er det igjen noe vanskelig å få øye på den helt store styrkingen av personvernet.
Private med en viss tilgang
Private kan også få tilgang til deler av loggene, som et grunnlag for sivile søksmål. Lokaliseringsdata og såkalte sensitive trafikkdata skal ikke utleveres, med det åpnes for innsyn i abonnementsopplysninger.
Dette vil for eksempel kunne si at navn koblet opp mot visse e-postadresser eller IP-adresser kan utleveres. Ifølge forslaget kan imidlertid ikke akkurat hvem man har hatt kontakt med overleveres sivile parter.
Det er naturlig å tenke i de baner at denne muligheten vil bli spesielt flittig brukt av rettighetsorganisasjoner som forsøker seg på sivile søksmål mot personer mistenkt for piratkopiering.
Erfaringer fra EU
Erfaringer fra andre land
Danmark innførte datalagringsdirektivet allerede i september 2007. 2008-tall fra vår nabo i sør viser at internett- og teletilbyderne bare dette året lagret rundt 82 000 poster med trafikkdata per innbygger.
Totalt ble det i Danmark loggført svimlende 450 milliarder poster med trafikkdata bare i 2008. Dette tallet forventes å øke med noe mellom 50 prosent og en dobling hvert år, i takt med den eksplosive økningen i bruk av digitale kommunikasjonsmidler.
Tyskland innførte også DLD i 2007. Dette resulterte i at over 34 000 personer klaget det nye regelverket inn for grunnlovsdomstolen, noe som var ny rekord i tysk rettshistorie. I mars 2010 fant tysk høyesterett at direktivet er i strid med grunnloven, og avviste implementeringen av DLD i tysk lovverk.
Også i Romania har DLD blitt avvist. I oktober 2009 fastslo en domstol at den rumenske regjeringens implementering av datalagringsdirektivet var i strid med landets grunnlov. Romanias grunnlov garanterer nemlig retten til hemmelig korrespondanse.
Videre har Irland forsøkt å gå til søksmål for å få direktivet avslått, men landet tapte i EF-domstolen (EUs dømmende organ) tidlig i 2009. Irland, Hellas og Sverige er alle dømt for å ikke ha overholdt fristen for å gjennomføre direktivet, en frist som for EU-landene var satt til 15. mars 2009.
EUs datatilsynskomité med knusende kritikk
Datatilsynene i EUs 27 medlemsland undersøkte tidlig i 2010 hvordan DLD har blitt innført. Deres rapport kom med knusende kritikk av hvordan implementering har foregått, skal vi tro Aftenposten.no.
Granskningen skal blant annet ha vist at det i mange tilfeller blir lagret hva kommunikasjonen inneholder, selv om det i direktivet står svart på hvitt at innholdsdata ikke skal lagres. Videre lagrer noen land loggene i hele ti år, mens direktivet setter taket for lagringstid til to år.
– Vår rapport viser at dette enorme inngrepet i folks personvern ikke står i forhold til den nytten man har av denne overvåkingen. Det er ingen bevis som tyder på at dette direktivet vil hjelpe i kampen mot terror eller i bekjempelsen av alvorlig kriminalitet, sier Jacob Kohnstamm, leder for EUs datatilsynskomité, til Aftenposten.
Datatilsynskomiteen peker videre på at mengden av logger som lagres er så ekstremt stor at det er vanskelig å benytte dataene til noe konstruktivt. De mener at man burde bli flinkere til å sile ut urelevant data, noe som vil forenkle arbeidet til Politiet betraktelig.
Hoveddelen av rapportens kritikk går imidlertid ikke på DLD som sådan, men snarere på hvordan direktivet er blitt implementert av myndighetene i EU. Likevel kan det ikke stikkes under stol at datatilsynene i EU-landene ikke akkurat er fra seg av glede over datalagringsdirektivet.
Det politiske bildet
Det politiske bildet her til lands
Direktivet er ferdig behandlet hos både Utenriksdepartementet og Justis- og Politidepartementet. Deres konklusjon er at DLD burde innlemmes i norsk lovverk, og har oversendt sitt forslag til Stortinget for en avstemming ved et senere tidspunkt.
Regjeringspartiene Sosialistisk Venstreparti og Senterpartiet har begge tatt dissens i saken, med andre ord er de mot en innføring av direktivet. I en felles uttalelse skriver statsrådene fra de to partiene blant annet:
– Vi er bekymret for at systematisk, mer omfattende lagring av data enn i dag, kan bidra til å redusere det vern av personlig integritet som er en del av rettsstatens rammer og som blant annet er forankret i EMK (Den Europeiske Menneskerettighetskonvensjon, journ. anm.) og personvernlovgivningen. Vi er videre bekymret for at omfattende lagring av kommunikasjonsdata kan føre til at enkelte legger begrensninger på sin ytringsfrihet.
Arbeiderpartiet står dermed alene som eneste parti med et uttrykt ønske om å implementere direktivet. Nesten alle andre partier på Stortinget – nærmere bestemt Sosialistisk Venstreparti, Senterpartiet, Venstre, Fremskrittspartiet og Rødt – har gitt klar beskjed om at de vil stemme "nei" til direktivet.
Høyre har imidlertid enda ikke bestemt seg, og det er stor splittelse innad i partiet. Når regjeringens forslag til implementering av DLD etterhvert skal behandles i Stortinget, sitter dermed Høyre alene med makten til å avgjøre.
Stemmer partiets representanter "ja" vil direktivet få flertall og dermed implementeres. Stemmer de derimot "nei" vil vi for første gang i historien måtte nedlegge veto mot et EU-/EØS-direktiv.
De seneste signalene fra Høyre peker i retning av at de er kritiske, men muligens på gli. Viktig å merke seg er det at partiet har gått ut med et minstekrav for at de i det hele tatt skal diskutere saken: Lagringstiden må reduseres fra de foreslåtte 12 månedene til 6 måneder.
Noen mener at det fra Arbeiderpartiets side bevisst ble foreslått 12 måneders lagringstid nettopp for å ha et forhandlingskort med Høyre. Det var nemlig allerede en kjentsak at Høyre ikke ønsker mer enn 6 måneder lagringstid.
En liten oppsummering
Datalagringsdirektivet er et EU-direktiv som pålegger lagring av trafikk- og lokaliseringsdata for alle innbyggernes kommunikasjon med e-post og ulike former for telefoni. Innholdet i kommunikasjonen skal ikke lagres.
Her i Norge skal informasjonen lagres i 6 måneder, en markant utvidelse av dagens praksis for lagring. I dag har ikke internett- og teletilbyderne anledning til å lagre slike data lengre enn i mellom 3 uker og 5 måneder, avhengig av type data.
Videre vil en eventuell implementering av DLD medføre at langt mer data lagres enn det som er tilfellet i dag. Det vil ikke eksistere noe sentralisert register – internett- og teletilbyderne skal selv stå for lagring og drifting.
I utgangspunktet må det en rettslig kjennelse til for utlevering av dataene, noe som er en styrking av personvernet i forhold til dagens praksis. Det finnes imidlertid et bredt spekter av unntaksbestemmelser – 32 kriminalitetsformer der behovet for en rettslig kjennelse er lagt til side.
Ideen bak DLD er å gi Politiet et nytt våpen i kampen mot stadig mer alvorlig og organisert kriminalitet. Politiet mener selv at direktivet er en absolutt nødvendighet for at de effektivt skal kunne jobbe med dagens kriminalitetsbilde.
Motstanderne mot DLD peker på at direktivet tråkker på vår rett til privatliv. Videre pekes det på at en slik omfattende registrering i praksis vil si at vi alle anses som potensielle kriminelle. Dette til forskjell fra dagens praksis, hvor overvåkning normalt kun innledes etter en reell mistanke.
Hva mener du om datalagringsdirektivet? Diskuter gjerne i diskusjonstråden nedenfor!
(Kilder: Justis- og Politidepartementet, Justis- og Politidepartementet (2), Wikipedia, Utenriksdepartementet, Official Journal of the European Union, Aftenposten, Stopp DLD, Nettavisen, Ingeniøren)
