Teknologi og samfunn, finnes det egentlig noe klart skille der? Temaet har vært et av mine interesseområder og del av mitt fagfelt en god stund, noe som legger grunnlaget for de siste dagers interesse for Datalagringsdirektivet i denne bloggen. Jeg begynte med å være veldig kritisk, og postet så et innspill med en mer positiv vinkling. I dag har jeg forsøkt å lese mer og få oppklart noen av de spørsmålene jeg fikk og har stilt selv, og prøver å gi en liten oversikt av det jeg har funnet ut her. Kanskje ble ikke skillet mellom helt FOR eller helt MOT like tydelig for meg lenger.
Man kan diskutere dette direktivet fra mange perspektiver, noen av dem vil ikke bli nevnt i like stor grad her. For eksempel tar jeg ikke opp om det er riktig/feil at Norge skal innføre et EU-direktiv, eller for den saks skyld om vi burde være medlem av EU, eller hvilke krefter som har påvirket utarbeidelsen av dette direktivet. Jeg oppfordrer gjerne andre til å gjøre det! Jeg skrev også i forrige post at vi må skille mellom hva direktivet teknisk sier og hvordan dette virker politisk. Når jeg derfor refererer til hva som faktisk står i direktivet – i motsetning til hva noen kan ha påstått står der – innebærer ikke dette en tolkning om det er riktig eller feil at det står der, bare så det er sagt. Og nei, jeg har ingen fasit, og jeg prøver ikke å fastslå den hele og fulle sannhet om dette…..men la oss nå begynne:
Mange (inkludert meg selv) har oppfattet det slik at det skal opprettes en slags database som samler «all informasjon» i et systematisk register, og at dette bl.a. skal være tilgjengelig for politiet i etterforskningsøyemed. Det er jo ikke rart at folk blir skremt av en slik tanke!!!
Nå blir alt vi gjør registrert i ETT STORT REGISTER!!!
Nei, det gjør ikke det!! Med mindre Norges Regjering og Storting utarbeider og vedtar lover som bestemmer at vi akkurat her i Norge vil ha et slik register.
I Datalagringsdirektivet står det at det er regler som «udbydere av telenet eller –tjenester skal overholde i forbindelse med behandling af trafikdata og lokaliseringsdata» (Datalagringsdirektivet punkt 3, side 1) Det er altså teleoperatører og internettleverandører som vil bli pålagt å oppbevare data om nettverkstrafikk.
Det er ikke slik som noen gir inntrykk av at at det er en kontinuerlig utlevering av data til en sentral myndighet.
I Datalagringsdirektivets artikkel 9 om tilsynsmyndighet spesifiseres det at man på nasjonalt plan skal utpeke én eller flere myndigheter som skal påse overholdelse av bestemmelser om lagringssikkerhet. Det er muligens en mistolking av denne artikkelen som har fått oss til å tro at det vil være en sentral myndighet som vil samle inn all data, men slik er det altså ikke
Når det ikke er snakk om et slikt stort register, vil det også si at kryssreferanser og profilering av enkeltpersoner vil måtte foregå på samme måte som i dag med at man med rettslig tillatelse henter ut den informasjon som er nødvendig i etterforskningsøyemed for de man trenger å hente ut informasjon for.
Dette er spesifisert i Datalagringsdirektivets artikkel 4 – adgang til data, og formulerer det er medlemsstatenes plikt til å sikre at data » kun udleveres til de kompetente nationale myndigheter i overensstemmelse med national lovgivning» i overensstemmelse med nasjonal lovgivning og full overensstemmelse med de berørte personers grunnleggende rettigheter, som Menneskerettighetene.
Som Kenneth skrev i går:
«Direktivet betyr ikke en felles database med alt om deg, men at de som per i dag allerde lager informasjon skal lagre den på en måte som gjør at den ikke kan manipuleres eller krever at man må utlevere mer enn det som kreves av rette myndighet.»
Hvis du nå er motivert for å lese mer, har jeg gått inn på forskjellige punkter videre i artikkelen.
Årsaken til innføringen av Datalagringsdirektivet
Bakgrunnen for forslaget om Datadirektivet er at eksisterende regler om lagring varierer fra land til land, og EU ønsker å harmonisere regelverket i det indre markedet.
«Mange medlemsstater har vedtaget lovgivning om tjeneste-udbyderes lagring af data med henblik på forebyggelse, efterforskning, afsløring og retsforffølgning af strafbare handlinger. Der er store forskelle mellem disse nationale bestemmelser.» (Datalagringsdirektivet punkt 5, s. 1) og peker videre på at det er rettslige og tekniske forskjeller som er viktige (punkt 6).
Man må selvfølgelig sikre at de forskjellige registrert opplysningene, for eksempel om nettbruk, ikke blir brukt til noe annet enn det de er ment til. Underholdningsindustrien har for eksempel allerede lobbet for å kunne bruke direktivet i jakten på fildelere, noe som ikke er hensikten.
Forskjellen på lagring og overvåkning
Registrering av data er ikke det samme som overvåkning. Når Netcom eller Telenor i dag registrerer data om deg for å kunne sende deg en spesifisert faktura, føler du deg overvåket da? Antagelig ikke. Her kan du lese eksempler på skillet mellom overvåkning og registrering.
Det kommer ikke til å sitte noen i et hemmelig rom inne i fjellet og notere ned navnene på alle dem du ringer til fortløpende, for så å trykke på den store, røde alarmknappen hvis du ringer noen de ikke liker. I hvertfall finnes det ingen grunn til å si at det er dette Datalagringsdirektivet prøver å gjøre. Ingen vil bli overvåket uten skjellig grunn til mistanke, akkurat som før. Det finnes ingen gode argumenter for å overvåke noen uten skjellig grunn til mistanke, uansett teknologi eller direktiv.
Jeg håper at for eksempel lagring av sms-aktivitet som virrvarr skriver om ikke skal kunne brukes mot noen som engasjerer seg i saker og stopper aksjoner og sivil ulydighet. Personlig støtter jeg alle dem som vil uttrykke meningene sine på den måten, så lenge de ikke skader andre mennesker. Jeg vet ikke om vi har noen garanti for at en slik overvåkning ikke vil skje, men jeg tror det skal mye til før vi kommer til å få et lovverk i Norge (eller Europa) som vil tillate noe slikt.
Hva skal lagres? Forskjellen på lagring av digital innholdsinformasjon og trafikkdata.
Trafikkdata om telefon- og internettbruk
vil si for eksempel opplysninger om tid og sted for kommunikasjonen, hvem som foretok kommunikasjonen, og hvilke telefonnummer eller IP-adresser som er benyttet. Hvem som faktisk brukte telefonen er det ikke adgang til å registrere.
Det er viktig å presisere at innholdet i dine samtaler og e-poster ikke skal lagres, kun informasjon om når de ble sendt, fra hvem og til hvem. Se Datalagringsdirektivet punkt 13, side 2.
Det å lagre trafikk- og lokasjonsdata er omstridt sier Teknologirådet i en rapport om datasikkerhet: «Reglene varierer fra land til land, både med hensyn til hvor lenge dataene kan lagres, hvem som har ansvaret for dataene og hvem som skal dekke lagringskostnadene – myndighetene eller teleselskapene?» Det vil kanskje ikke være så dumt å få en avklaring på dette? En ting er at vi kanskje har gode nok regler i Norge, Datalagringsdirektivet ønsker å få mer felles praksis i Europa.
Det vil bli endringer i formålet med lagring av informasjon hvis vi innfører Datadirektivet i Norge: I dag kan teleoperatørene lagre opplysninger i opp til 6 måneder av hensyn til teknisk gjennomføring og fakturering. Innføringen av Datadirektivet medfører at noe av formålet, og dermed hvilke data som skal lagres og hvor lenge, skal kunne brukes mer systematisk i tiltak mot kriminalitet. Det betyr ikke at disse dataene kontinuerlig skal kunne overvåkes, men være tilgjengelige i en mer systematisk form og over et lengre tidsrom.
Krav til lagringsform eller format
Vox Populi påpeker i går at direktivet ikke gir spesifikke krav til lagringsform eller format. Det er helt riktig. Det er spesifisert i direktivets punkt 23, side 3 at direktivet ikke har til formål å harmonisere teknologi for lagring av data, og at valg av denne teknologi må treffes på nasjonalt plan. Det er derfor viktig at man får en kompetent diskusjon i høringsrunden om lagringsteknologi. Teknologirådet har laget en rapport om sikkerhetsteknologier som kan være verdt å lese.
Datatilsynet i Norge har tidligere påpekt at loggføring av oppslag i databaser og journalsystem hos de aller fleste store systemeiere har vært mangelfull, og at flere virksomheter har kommet ganske kort på dette området. Det gjelder blant annet sykehusjournaler. Vi må stille oss spørsmål om den manglende kontroll vi i dag har med hvilke lagringsløsninger de enkelte tele- og nettleverandører bruker for å håndtere våre persondata og informasjon om vår datatrafikk.
Hvor lenge skal informasjonen lagres, og hvordan sikrer man at den blir slettet?
Direktivet krever at data skal lagres minimum 6 måneder, og maksimum 2 år. I dag lagrer telefonselskapene informasjonen i henhold til din telefonbruk i 6 måneder – ref.
for eksempel Netcoms sider om personvern. Det er altså ikke noe nytt at informasjon lagres over tid.
At informasjon faktisk blir slettet når lagringstiden er utløpt eller vi ber om det burde bekymre oss mer. Virrvarr har et eksempel i går fra Facebook: Sletting av ting gjør dem egentlig bare usynlige i systemet, men fortsatt ligger der. Det viser også hvor viktig det er å sørge for at man har systemer for sletting av personopplysninger som gjør at informasjon blir slettet når det skal, og at det ikke er mulig å gjenopprette den. (Facebook kommer det nok til å snakkes mer om senere!!)
Det er også usikre rutiner rundt sletting av personopplysninger hos offentlige myndigheter i dag. Datatilsynet har tidligere kritisert Kripos fordi de insisterer på å lagre opplysninger i Det sentrale straffe- og personopplysningsregisteret (SSP) i 15 år, uten at det bygger på noen lov eller forskrift. I seks år skylder de på teknisk feil fordi de ikke har slettet data. I SSP finnes opplysninger om alle dommer, tvunget psykisk helsevern og rettspsykiatriske undersøkelser. I tillegg registreres alle etterforskningsskritt, som blant annet anmeldelser, signalement, pågripelser og varetektsfengslinger. En slik sak levner ingen tvil om at det trengs en felles metodikk og strengere kontroll med sletting av data!
Uvedkommendes tilgang til informasjonen
«Den naive troen på at selv om man stiller krav til lagringssikkerhet, så kan ikke denne informasjonen komme på avveie er rørende,» skriver Vox Populi (se kommentarfeltet nederst). Den ‘»rørende» tilliten kommer kanskje av en kjennskap til mye mer avansert teknologi for datalagring enn vi i dag kan forvente at de forskjellige teleaktørene har implementert.
Det er selvfølgelig utrolig unødvendig at det skal skje slike saker som for de 25 millioner engelskmenn som opplever at sensitiv personinformasjon er på avveie, som følge av at 2 CDer med informasjon i forhold til barnetrygd er kommet på avveie. Men dette er et resultat av at sikkerhetsprosedyrer ble oversett, ikke at datasikkerheten hos engelske myndigheter er for dårlig. At noen finner på å sende sikkerhetskopiene sine som CDer med posten (helt hårreisende) må ikke medføre at vi sier at slik informasjon ikke burde vært registrert. Du ser forskjellen? Det som derimot er nødvendig, er selvfølgelig å sikre seg på best mulig måte og med den best mulige teknologi for at slike feil ikke skal være mulige. Teknologien finnes, vi har kommet mye lengre i utvikling av lagringsteknologi en de fleste av oss kjenner til.
Sikring av lagret informasjon mot endring og manipulering.
Når informasjon først skal lagres, er det viktig at informasjonen ikke kan bli endret eller manipulert. Som Nicolas påpeker: «Personlig tiltrekkes jeg veldig av dette med bevismulighet av elektroniske spor – er eposten jeg hevder å ha sendt ekte, eller den du hevder å ha mottatt? Det at noen nå kan gå inn og endre informasjonen om meg i databaser og backup, for så å bruke det som bevis i retten er jo virkelig skremmende.» (Se kommentarfeltet her.)
Dette er ikke en ubegrunnet frykt, de fleste bedrifter har ikke i dag gode nok løsninger for arkivering, søk og gjenfinning av e-post. I følge digi.no viser en fersk undersøkelse at 2 av 3 virksomheter i Norge fortsatt ikke har regler rundt bruk av e-post!
Hvordan tele- og nettleverandørene praktisk sett vil organisere lagringen av dataene i overensstemmelse med direktivet er det fortsatt usikkerhet om, men en del bedrifter har allerede klaget på at dette vil medføre merutgifter til kostbare lagringssystemer, noe som til sist vil kunne ramme sluttbrukerne i form av høyere pris på tjenestene. Samtidig er bedriftene nervøse fordi det vil bli veldig strenge krav og kontroll på overholdelse av regelverket. Derfor finnes det i dag allerede (noen få) bedrifter i Europa som har begynt å tilby slike avanserte lagringstjenester til for eksempel teleoperatører. De tilbyr anonymisert lagring av trafikkdata, så telefonselskapene selv ikke trenger å investere i kostbar infrastruktur for å ivareta kravene som direktivet stiller. Tjenestene tilbyr garantert sikker lagring, med vanntette skott mellom forskjellige registre, og trygghet i forhold til manipulasjon og enkel gjenfinning av data.
Men hensikten med Datalagringsdirektivet er jo faktisk å gjøre profesjonell kriminalitet vanskeligere . Elektroniske spor blir stadig viktigere for politiet for å kunne hanskes med profesjonell kriminalitet, og blir i økende grad brukt som bevis i straffesaker. (Som Viljar skriver ville «Lommemannen» neppe vært tatt uten at bilder fra overvåkningskameraer er blitt publisert i media. Dette er bra bekjempelse av kriminalitet, men vær oppmerksom på at videoovervåkning ikke er et tema i Datalagringsdirektivet.)
Faktisk etterlyser politiet selv mer oppmerksomhet rundt dette. «Politiet trenger flere hjemler og mer kompetanse om teknologi», sier Rune Fløisbonn fra Kripos på et frokostmøte i Teknologirådet. I Datalagringsdirektivet står det følgende:»..data vedrørende anvendelsen af elektronisk kommunikation udgør et særdeles vigtigt og brugbart redskab i forbyggelse, efterforskning, afsløring og retsforfølgning af kriminalitet og strafbare handlinger, især organiseret kriminalitet.» (punkt 7, side 1)
Kriminelle tar stadig i bruk ny teknologi og nye metoder, og gjør sjelden slike avveininger som vi gjør for og imot bruk av teknologi før de setter i gang. Det bør være en viss grad av symmetri mellom de hjelpemidler som står til de kriminelles og til politiets rådighet, sier jurist Inger Marie Sunde i denne kronikken i Aftenposten. Det skjer også en globalisering av organisert kriminalitet, som gjør et samarbeid om etterforskning på tvers av landegrensene nødvendig. At lagret informasjon da finnes på samme måte i ulike land kan jeg ikke se på som noen ulempe. Det er ikke snakk om en europeisk database med all informasjon her, og lokal politimyndighet er fortsatt de som kan få ut informasjonen.
«Ingen har behov for å vite hva jeg gjør på internett»
Det skal svært mye til å klare å være usynlig på internett, selv i dag uten Datalagringsdirektiv! Også i dag logges adresser og bruksmønster. Alle mailservere og webservere logger operasjonene de utfører. Uten disse loggene ville det for eksempel være umulig å avsløre pedofile gjennom besøk på barnepornosider etc. «Faktum er at vi har alltid hatt logging av operasjoner mot mailservere og webservere siden tidenes morgen, og datalagringsdirektivet kun formaliserer krav til hva som skal logges og hvor lenge», skriver en debattant på dn.no sitt forum.
Men finnes det ikke nok lover om dette i dag da?
Det finnes selvfølgelig masse lover og forskrifter som regulerer lagring og bruk av persondata i dag også, i Norge kan vi som Vox Populi påpekte i går nevne Personopplysningsloven, ekomloven og Lov om helseregistre. En lengre liste over aktuelle lover og forskrifter finner du her: Personvern. Merk at vi skriver her at vi har disse lovene i Norge, men det finnes ingen fellesretting av lover på tvers av Europa som sikrer at persondata lagret gjennom elektronisk kommunikasjon blir lagret, behandlet og slettet på lik måte. Det er nettopp dette direktivet retter seg mot.
Teknologien og bruken av teknologien må utvikles innenfor rammene av demokratiet – i denne debatten ser vi helt klart møtet mellom teknologi og samfunn. Kanskje kunne vi sagt oss fornøyd med de lovene vi har i Norge i dag, og sagt at vi ikke trenger noe slikt EU-direktiv til å fortelle oss dette. Det blir en mer politisk diskusjon som jeg ikke skal gå inn på her.
Alle Datatilsynene i Europa er i mot, eller kritiske til direktivet.
Det er riktig at Datatilsynet i Norge stiller seg skeptisk til Datalagringsdirektivet og advarer mot en svekking av personvernet. Det er et punkt vi ikke kommer unna, og hvor man skal og må holde seg skeptisk tror jeg. Til sist blir det en avveining vi må ta, men da må vi ha kunnskap om både fordeler og ulemper ved de mulighetene vi har og den teknologien vi har tilgjengelig. Det er ikke til å komme i fra at myndighetene krever stadig større innsyn i vårt privatliv, sies det i en studie av Privacy International. Innvendinger mot direktivet har også blitt framsatt av blant annet Artikkel 29-gruppa, som er et rådgivende organ i personvernsaker i EU.
Hvem er kriminell da? Er dette kriminalisering av en hel befolkning?
«Det er et breddetiltak, ikke målrettet mot enkeltpersoner eller grupper av personer det hefter en mistanke ved», skrives det i Datatilsynets årsmelding 2006.
I følge noen, vil man kunne si at direktivet ikke fører til et overvåkningssamfunn fordi det er snakk om datalogger som stort sett brukes i etterkant, og kun ved rettsordre om utlevering av data til etterforskningsformål. I den tidligere nevnte kronikken i Aftenposten skriver jurist Sunde dette: «Uskyldspresumpsjonen hører først og fremst hjemme i rettssystemet, dvs. prinsippet om at enhver har krav på å bli behandlet som uskyldig inntil det motsatte er bevist. I dette ligger en rekke garantier som hindrer at uskyldige blir dømt, for eksempel prinsippet om at enhver rimelig og fornuftig tvil skal komme tiltalte til gode. Men dette prinsippet kan selvsagt ikke anføres mot å innføre sikkerhetstiltak på områder hvor det er behov for det.»
Teknologirådets rapport om sikkerhetsteknologi viser for øvrig at «Norske borgere er overveiende positive til overvåkningsteknologi og forventer at myndighetene tar i bruk relevant midler for å beskytte dem mot kriminalitet og terror.» Samtidig viser studien fra Privacy International at «Kampen mot kriminalitet og terror, og innvandringskontroll går ifølge studien stadig oftere foran hensynet til hver enkelt persons krav på personvern.» Men blir man stemplet som kriminell om telefonselskapet oppbevarer informasjon om dine samtaler, sms etc. i opp til 2 år, hvis denne informasjonen ikke hentes ut med mindre det er rettslig grunn til det? Jeg kan ikke finne noen fasit.
Definisjoner av hva som er ulovlig atferd er et viktig poeng, og også noe Datatilsynet påpeker som viktig i sin vurdering av Datalagringsdirektivet.
Som virrvarr sier: «Det er ikke gitt at definisjonen på kriminiell kommer til å være den samme over tid. Det skal ikke mye til å være «terrorist» i dag, og jeg vil ikke at vi skal kunne gjøre det verre.» Jeg er helt enig. Skal direktivet innføres, må en presiseres klarer hvilke former for kriminalitet som skal kunne gi tilgang til data, og hvilke instanser som skal ha tilgang. Man må også kontrollere hvordan regelverket fungerer i praksis, og gjennomgå rutinene regelmessig.
Vi vet ikke hvilke makthavere vi vil ha om 15 år!!
Nei, men det er én ting som er sikkert at om vi vil forsøke å sikre informasjon om oss selv for eventuelt fremtidige skumle makthavere, så bør vi i alle fall sikre at den informasjonen som blir lagret og registrert om oss er korrekt, sikker og blir slettet når den skal!
Se også Viljars gode kommentar om skiftninger i det politiske klima fra i går; jeg har dessverre ikke kapasitet til å gå dypere inn på akkurat denne delen av debatten i dag.
«Cat, er du egentlig for eller i mot direktivet?»
Helt ærlig, jeg mener at man skal være kritisk og forsiktig og meget nøye med hvilke lover og forskrifter man forplikter seg til når det gjelder lagring av personinformasjon, og informasjon om kommunikasjonsmønstre. Det jeg synes hørtes verst ut med Datalagringsdirektivet – det ene store registret – er jeg ikke lenger like redd for etter å ha lest og undersøkt mer rundt dette. At man skal kunne ha felles retningslinjer i Europa til hvilken informasjon man skal kunne lagre for å gjøre etterforskningsarbeid av transnasjonal kriminalitet lettere er jeg for, men jeg synes det er litt mye informasjon spesielt om nettbruk som skal kunne lagres til at jeg føler meg helt komfortabel med det. Jeg er dessuten veldig spent på hvilke bestemmelser man kommer til å innføre i Norge om lagringsformater, sikkerhet og så videre. Jeg er krystallklar på at uten minst like streng kontroll som i dag på hvem som skal ha tilgang til hvilke data på hvilket tidspunkt, er dette ikke noe å satse på.
Hemmelige tiltak er ikke veien å gå, og vi trenger en åpen debatt om sikkerhetsteknologi. Dilemmaene i forhold til bruk av sikkerhetsteknologi må diskuteres, og fordeler og ulemper må tre tydelig fram.
Det er vel så langt jeg kommer med å oppsummere akkurat nå… Som før er kommentarer og spørsmål hjertelig velkommen, og jeg skal prøve å svare så godt jeg kan så snart jeg har anledning!
(Og så kommer jeg neppe til å skrive et så langt blogginnlegg igjen…)
Natta 🙂
(c)
15 kommentarer
Pingback: A-ha » Storebror ser deg kanskje ikke så godt likevel? (En fortsettelse om Datalagringsdirektivet)
Se også innlegg hos Klinten Fra Hveten.
Store verden, hvilket grundig arbeid du har gjort her! Også så bra du skriver. Tusen takk for interessant og givende lesning!
PS: Direkte snarvei til selve innlegget på Klinten fra Hveten er: Ingen ser Storebror
Tusen takk Laila!! Ja, jeg har brukt en god del tid i det siste på å sette meg inn i hva dette faktisk handler om og hvilke konsekvenser det kan få. Flott at du likte det!
Det ligger alltid noe mer bak de tabloidiserte fremstillingene, og det viktigste var å få avklart at det ikke er snakk om et svært register myndighetene skal kontrollere.
Daglig og siden 1972 og 1994 da det Norske folk stemte Nei til EU ser vi regjeringen og det norske storting m.m. undertrykker det norske folks EU-nei flertall og bryter den demoktatiske folkerett. Regjeringens folk bør derfor regnes for kriminelle.
EU og EØS-avtalen er direkte forbruker fientlig på alle måter og det enkleste og beste er å kjempe mot EU og EØS-avtalen nå før det er forsent.
Nei til EU
http://www.neitileu.no/
Ungdommot EU
http://www.umeu.no/
Til leserne: Kommentaren over fra «Verdix» har jeg nå i kveld fått tilsendt utrolig mange ganger, og «bidragsyteren» har vært meget kritisk til meg fordi jeg ikke vil la ham bruke kommentarfeltet til sakene om Datadirektivet som generelt talerør for en Nei til EU-debatt. Se kommentarene nederst her .
Nå har dere sett det Verdix ville si, så da blir det forhåpentligvis roligere.
Jeg har til gode å se artikler som påstår det er snakk om en sentral database. Jeg har i hvert fall aldri blitt misledet til å tro noe slikt. (dvs jeg ble i hvert fall ikke overrasket over «avsløringene», men det er jo fint at du oppklarer saken for noen).
Du sier blant annet at all trafikk på web-/mail-servere allerede i dag loggføres. MEN dette skjer av uavhengige parter som ikke kan pusle alle informasjonsbitene sammen for å kartlegge deg. Dessuten er politi/overvåkingsmyndighet på ingen måte garantert innsyn i private logg på min personlige webserver.
Som du nevner åpner direktivet et marked for tredjeparter som tilbyr sentraliserte logglagringstjenester. Selv om det trolig vil være fornuftig økonomisk sett vil det allikevel også trolig være uforuftig sett fra et sikkerhetsperspektiv: om flere databaser samles på hendene til én kan data lettere krysskobles (google anyone?) — og det blir en sikkerhetsavveining samlet sett ved at man trolig unngår at inkompetente trafikkoperatører heller outsources jobben til mer kyndige folk, men ulempen er at om det først foregår et datainnbrudd blir informasjonen på avveie potensielt mangedoblet.
Videre skriver du blant annet:
«Nei, men det er én ting som er sikkert at om vi vil forsøke å sikre informasjon om oss selv for eventuelt fremtidige skumle makthavere, så bør vi i alle fall sikre at den informasjonen som blir lagret og registrert om oss er korrekt, sikker og blir slettet når den skal!»
Ja, du er kanksje redd for at noen slemme skal besitte en database der noen har blantet uheldige ting om deg, og derfor vil du heller frivillig besørge at all info som lagres er korrekt?
Jeg ville heller foreslått en annen strategi: alle gjør sitt for å korrumpere innholdet, slik at de som styrer databasen innser at den er upålitelig?
Du hadde et par punkter til som provoserte meg litt, men jeg lar dem ligge til en annen gang (innlegget var så langt at jeg nesten hadde roet meg ned igjen da jeg var ferdig, og jeg orker ikke lete de fram igjen).
Jeg trenger i hvert fall ikke å ha livlig fantasi om fjellhaller og røde knapper for å likevel bli skremt av forslaget.
Og så noen nøtter til deg:
Hvorfor er du egentlig for at man skal ha felles retningslinjer for lagring og tilgang til kommunikasjonslogger i Europa? Er «transnasjonal» kriminalitet verre enn nasjonal, så du og jeg skal tåle en ekstra runde på tvinga på strekkbenken for å få bukt med den?
«Ingen vil bli overvåket uten skjellig grunn til mistanke, akkurat som før. Det finnes ingen gode argumenter for å overvåke noen uten skjellig grunn til mistanke, uansett teknologi eller direktiv.»
Det siste er jeg enig i, det første tror jeg ikke vi (du, jeg og det offentlige pressekorps) vil kunne kontrollere helt og holdent (tenk bare på hvor lett norske myndigheter vil presses til å utveksle/utlevere info til store, brautende NATO-allierte).
I USA har det gått så langt at man knapt trenger indisier for å få lov til å avlytte/overvåke mennesker. Noe lignende vil skje her og: såfort direktivet er implementert vil terskelen for å hente ut informasjon jekkes stadig lavere. Og da er det for seint å snu: da blogges det nok heller om det er greit at myndigheter sjekker din 2 år gamle www-surfelogg før du får reise til USA, eller om det bare skal gjelde de med muslimske slektninger.
Jeg tror forøvrig ikke det hjelper stort å «håpe» på at myndigheter vil overse SMS-logger dersom det gjelder sivil ulydighet. Dersom «de» definerer situasjonen som truende nok vil de titte under enhver stein.
Ellers vil jeg rose deg for å skrive et svært grundig og sånn sett bra blogginnlegg! Her er det mye _sak_ man kan diskutere 🙂
Einar: Tusen tusen takk for den siste setningen din!!! Endelig en person som ser at jeg vil diskutere sak, og ikke nødvendigvis fordi jeg har et behov for å være fanatisk MOT eller FOR.
Jeg har hatt hendene litt for fulle her i kveld med å slette unna alle kommentarene med drittslenging mot meg som person fordi jeg (som startet med å være veldig kritist mot direktivet) ville diskutere andre aspekter ved saken og faktisk skaffe meg litt kunnskap om det også… Så det var VELDIG godt at det kom en person innom som faktisk tok seg tid til å lese og svare på det som faktisk er skrevet!! 😀
Jeg har lyst til å svare deg litt skikkelig på det du skriver – du har noen gode poenger, men i kveld må jeg bare melde pass. Håper du skjønner det, stikk innom igjen i løpet av de nærmeste dagene da!
Hei Cat,
en annen ting som kan være interessant å tenke over er om det er fornuftig å tro at Innsynsretten i Personopplysningsloven vil bevares slik den er i dag selv om det foreslåtte Datalagringsdirektivet implementeres.
Da kan man jo tenke seg en uhorvelig mendge jeg-krever-innsyn-spam^H^H^H^Hforespørsler fra oss nysgjerrige (se f.eks http://www.personvern.uio.no/pvpn/innsyn/index2.html på eksempler på hva du har rett til å få innsyn i — gratis!) Dette vil kunne gjøre lagringen ekstra kostbar. Kundene får regninga (det fine er at du trenger ikke være kunde for å kreve generelt innsyn, så du trenger ikke å få din «egen» regning).
Om direktivet innføres, men innsynsretten fjernes vil det i hvert fall bli katastrofe (_nesten_ utenkelig)!
Det var bare en digresjon, kanskje noe for deg å blogge om ved en senere anledning 🙂
For det første. Veldig gjennomarbeidet og bra post.
Jeg synes det er bra at du satser på å belyse temaet fra flest mulig vinkler. Personlig synes jeg at poenget med at terskelen
for å bli stemplet kriminell jekkes stadig lavere er det skumleste aspektet ved denne saken, selv om det kan sies å være noe på siden av kjernediskusjonen. Jeg skal forsøke å lage en post som ser litt nærmere på denne siden av saken.
Som Einar sier:
«I USA har det gått så langt at man knapt trenger indisier for å få lov til å avlytte/overvåke mennesker. Noe lignende vil skje her og: såfort direktivet er implementert vil terskelen for å hente ut informasjon jekkes stadig lavere. Og da er det for seint å snu: da blogges det nok heller om det er greit at myndigheter sjekker din 2 år gamle www-surfelogg før du får reise til USA, eller om det bare skal gjelde de med muslimske slektninger.»
Altså, som ejg har nevnt tidligere, dette direktivet vil nok ikke ha noen særlig innvirkning på vårt daglige liv enda. Likevel er jeg bekymra for den jevne samfunnstrenden som dreier i retning mer og mer overvåkning.
Du sier at registrering ikke er det samme som overvåkning, og det har du rett i. Problemet tror jeg vil være i det øyeblikk myndighetene lar seg påvirke av presedensen storebror i vest (USA) har skapt når det gjelder terskelen for myndighetens mulighet til å ta i bruk aktiv overvåkning på grunnlag av at man er regimekritisk politisk dissident. (Ja dette har allerde skjedd i USA, som en utvidning av «the patriot act» som kalles «the domestic terrorist act» http://www.indypendent.org/2007/11/19/homegrown-terrorism/
Men som du påpeker cat, dette er vel heller en litt annen side av diskusjonen.
Hei Einar!
Det tok litt tid før jeg kunne komme tilbake med et svar på kommentaren din, men jeg håper dette er greit. Du stiller veldig gode spørsmål, og jeg vet ikke om jeg klarer å gi et grundig nok svar på alle; det er begrenset hvor mye kapasitet jeg har til å gi gode utredninger av alle aspekter 🙂
Før jeg begynner må jeg også si at jeg synes det er bra at du ikke er en av dem som har oppfattet meg som ensidig FOR eller MOT; jeg synes for all del folks skepsis i forhold til personvern, overvåkning, om vi beveger oss i retning totalitære samfunn etc. skal tas på alvor, og jeg prøver ikke å skyve dette til side. Akkurat her har jeg bare valgt å forsøke å dra fram litt forskjellige aspekter. At det skulle provosere noen til å bli veldig sint hadde jeg egentlig ikke forutsettt, men det er en annen sak.
Bra du ikke har trodd det var snakk om en sentral database da! Når det gjelder påstander om en sentral database er dette noe for eksempel denne bloggeren skriver om: «All informasjonen som nedtegnes legges i en database og lagres for et tidsrom av 6-24 måneder.» og denne artikkelen i Aftenposten hvor de sier at «Av dokumentene fremgår blant annet at det er aktuelt å opprette en sentral database for lagring av trafikkdata i Norge.» selv om artikkelen motsier seg selv i neste setning: «I tillegg kommer det frem at myndighetene ønsker at Internettleverandørene skal lagre såkalte trafikkdata.» Kanskje de mener at informasjonen skal lagres begge steder? Kanskje de ikke vet enda?
Dette lagringsspørsmålet er jo noe av stridens kjerne for tele- og nettleverandører her, som frykter store utgifter til lagringsutstyr som oppfyller direktivets krav.
At din trafikk på web-/mail-servere ikke kan pusles sammen for å kartlegge deg stiller jeg meg noe tvilende til… Sikkert ikke som en aktiv overvåkning, men om du blir mistenkt for noe har vel politiet rett til å ta beslag i alt ditt datautstyr og be om logger fra ISPen din? Mulig jeg tar feil her, men det er sånn jeg har oppfattet det. Det blir forresten ikke noe mer aktiv overvåkning av å innføre Datalagringsdirektivet hvis man kun lagrer data (ikke screener det daglig eller noe), og kun henter ut data med rettsordre ved skjellig grunn til mistanke om kriminelle forhold.
Hjelp Einar, du må ikke sammenligne det med å samle flere databaser i hendene til én lagringsbedrift med Google!!! 😉 Jeg tror nå faktisk dette kunne være sikrere jeg da, fordi et profesjonelt foretak av denne typen har mulighet til å implementere en type datalagringsteknologi som for oss «vanlig dødelige» er komplektst, men mye sikrere enn vi kan forestille oss – at det kommer til å være vanntette skott mellom ulike databaser er jeg ganske trygg på faktisk, det må jo være forutsetningen for å levere slike tjenester. Se kommentar nr. 17 nederst her, jeg siterer: «Det finnes formater i dag som både sikrer data mot manipulasjon, bruk og gjør de anonyme. Selv ikke de som produserer dataene har tilgang til de. Dette skjer gjennom en engangsprosess der data lagres med metadata som inneholder informasjon om sensitivtet og krav til lagring og NÅR disse data skal automatisk slettes.»
For øvrig helt riktig at får man datainnbrudd i en slik bedrift er faren for informasjon på avveie mangedoblet. Der har vi en utfordring. Men vet du hva? Jeg tror faren er større i dag for å få X mengde informasjon på avveie, enn om vi hadde den i et supert datalagringssystem. Jeg ville følt meg tryggere på å overlate mine personlige opplysninger til et slikt firma, enn til diverse myndigheter i England som kan finne på å sende sine backup-data som 2 CD-er i posten… Jeg mener, hvis du i dag klarer å få tak i backup-tapene til en norsk bedrift så sitter du jo der med stort sett alt av selskapets verdier i form av kunnskap, korrespondanse etc. i hendene…
Jeg skjønte ikke helt det du skrev med at jeg var redd for at noen hadde blandet inn uheldige ting om meg etc. og det med at alle kunne gjøre sitt for å korrumpere innholdet? Kan du utdype litt? Jeg gjetter meg til at du ser for deg en slags «person-profil» her, som man ikke ønsker at skal finnes? (Det ville jeg for så vidt vært mot også. Men jeg er ikke i mot at det finnes én database om teletrafikk, én om nett-trafikk etc. etc.)
Så skriver du: «Hvorfor er du egentlig for at man skal ha felles retningslinjer for lagring og tilgang til kommunikasjonslogger i Europa? Er “transnasjonal” kriminalitet verre enn nasjonal, så du og jeg skal tåle en ekstra runde på tvinga på strekkbenken for å få bukt med den?»
Jeg synes ikke at transnasjonal/internasjonal kriminalitet er verre enn nasjonal, men jeg registrerer at kriminalitet i likhet med de fleste andre samfunnsfenomener påvirkes av det vi kaller globalisering, og at kriminelle i likhet med andre aktører (private og offentlige) er i stand til å utnytte denne utviklingen til sin fordel, og at det blir en økning i denne type kriminalitet. Det er derfor viktig at det finnes verktøy som gjør det mulig å etterforske på tvers av landegrenser, og det å vite at det finnes den samme type informasjon i aktuelle land ser jeg da på som en fordel. Jeg tror ikke vi får bukt med all kriminalitet av den grunn, blant annet fordi kriminelle er smarte nok til å klare å ligge ett skritt foran myndighetene når det gjelder bruk av teknologi, men jeg tror det er et mulig verktøy. Jeg vet ikke at det vil hjelpe for sikkert, for dette er jeg ikke noen ekspert på, men hvis jeg skal uttale meg så bastant som alle motstanderene gjør så TYDER ALT PÅ AT DET ER SÅNN!!
Jeg håper både du og jeg slipper strekkbenken, men jeg kan godt la Netcom registrere mer om meg, for eksempel lokaliseringsdata, hvis det å registrere lokaliseringsdata en eller annen gang fører til lettere oppklaring av en trafficking-sak fra Balkan til Norge for eksempel. (Det kan jeg noe om, der har jeg jobbet.)
Men det er klart at dette dreier seg om valg vi må ta!! Nå er jo dette direktivet kommet på bordet, og da håper jeg bare at den gruppa som utreder dette ser på forskjellige muligheter og veier de forskjellige hensynene opp mot hverandre.
«- Vi skal balansere interesser. Politiets behov og hensynet til personvern og kostnader ligger på hver sin side av vektskålen, sier Magnar Aukrust som er avdelingsdirektør i politiavdelingen i Justisdepartementet»(samme artikkel i Aftenposten).
Sitatet over belyser også at debatten har minst to sider, og det er jo dette som gjør det så vanskelig å diskutere direktivet på en måte som gjør alle fornøyde…Jeg vet ikke om direktivet vil føre til at vi alle får det verre eller bedre eller ca. det samme. Hvis norske politikere etter høringsrunden finner ut at «ok, dette var ikke noen god idé – vi vil ikke innføre direktivet», så skal jeg si meg fornøyd med at de har tatt en gjennomtenkt avgjørelse. Hvis de velger å innføre det, og vi om 10 år lever i en Orwellsk verden, så vil jeg selvfølgelig hate det.
Les forresten denne kronikken i Aftenposten:
http://www.aftenposten.no/meninger/kronikker/article1549610.ece
Jeg synes det er vanskelig å sammenligne USA og Norge i forhold til hvilke lover som blir innført og hvor «overvåket» man blir. Dette blir fort en politisk diskusjon, hvor noen mener at vi i økende grad blir styrt av krefter utenfor våre egne landegrenser, mens andre mener at nasjonalstaten fortsatt har en stor betydning og at lokal politikk og råderett blir stadig vikrigere. Jf en slik globaliseringsdebatt er det skrevet tusenvis av innlegg og bøker, og selv om jeg har masse å si om den saken også, så setter jeg strek her.
Jeg håper at jeg svarte på noen av punktene dine på en bra måte. Nå har jeg skrevet så mye om Datalagringsdirektivet i det siste at jeg begynner å ha mareritt om det om natta, så jeg tror jeg skal slå meg til ro med at jeg i hvertfall har lest og tenkt og diskutert dette med kloke folk, og at jeg har fått utbytte av det! 🙂
Til Einars kommentar nr. 2!!
Hei igjen! Du er nå sannelig ganske gjennomtenkt da! 🙂 Jeg må innrømme at akkurat det med innsynsretten har jeg ikke tenkt noe særlig igjennom i løpet av disse dagene. Det høres ikke noe lurt ut at folk skal kunne «spamme» ned administrator-bedriften for å få «se mappa si», så det måtte man ha funnet en ordning på. Det er i hvertfall IKKE noen løsning å fjerne innsynsretten, det må være klinkende klart. Dette må jeg tenke mer på, og kanskje kommer jeg til å skrive om det når jeg slutter å være lei av å tenke mer på Datalagringsdirektivet. Har du en blogg, så kan du nå kanskje ta din egen utfordring og skrive om det som egen sak? 🙂
Ha en fortsatt fin dag!
Viljar: Jeg tror jeg klarte å oppsummere ganske bra i svaret til Einar, i forhold til det jeg skrev om tidligere her. Jeg har ikke snakket noe særlig om USA, påvirkningspress etc. Det er ikke fordi jeg tror det er irrelevant i sammenhengen, jeg bare hektet meg fast i visse aspekter ved saken jeg mente var viktig å få frem. Det er etter min mening litt for mange som roper FARLIG! FARLIG! uten å være åpen for en saklig diskusjon om hva som er fordeler OG ulemper ved innføring av dette direktivet.
For å være litt flåsete, så har jeg i visse diskusjoner følt at debatten har gått sånn:
A: Men er det ikke bra at politiet får den informasjonen de trenger for å oppklare alvorlige forbrytelser da? De sier jo selv at de trenger mer kompetanse i å etterforske elektroniske spor og tilgang til riktig informasjon?
B: Joda, men det er ikke det de vil. De vil bare overvåke oss alle sammen. Dessuten gjør de alle til kriminelle fordi de lagrer informasjon om oss hele tiden.
A: Men det vil jo fortsatt være slik at det må være skjellig grunn til mistanke om kriminelle handlinger for at de skal få ut informasjon? De får det jo ikke ut uten grunn?
B: Joda, bare vent. De kommer til å misbruke systemet.
A: Ja, hvordan vet du det da?
B: Jeg vet det fordi alt tyder på det. Det finnes rapporter på at man kan være bekymret over utviklingen, og det er jo bare å se på USA.
A: Men hva med alle de som sier at det ikke tyder på det da? Det finnes jo rapporter som går andre veien også, og de som mener at USA er forskjellig fra Norge og resten av Europa og at hvis man følger rådene som blir gitt nå kan det faktisk bli vanskeligere å misbruke data fordi man tar i bruk datalagringsteknologi som er utformet ut fra hensynet til både personvern og kampen mot kriminalitet?
B: De hører vi ikke på. Jeg vet det blir et totalitært samfunn med fullstendig og systematisk overvåkning. Det er det de vil.
A: Hvem «de»?
B: USA. Politiet. Staten. Markedskreftene. EU.
A: Åja… Ja, da så. Når du vet at det er det de vil så. 😕
B: Ja, nemlig.
Hei,
Jeg foreslår at du tar med disse kildene i dine vurderinger av Datalagringsdirektivet:
André Kristoffer Dahl: Kommentar: Storebror ser deg
http://www.hardware.no/artikler/kommentar_storebror_ser_deg/47378
Jan Omdahl: Farvel til kildevernet?
EUs datalagringsdirektiv truer den frie journalistikken.
http://www.dagbladet.no/dinside/2008/01/16/524018.html
EFN om Datalagringsdirektivet:
http://efn.no/personvern/atferdsdatalagring-pm.txt
http://efn.no/itakt-seminar2006referat.txt
http://efn.no/datalagringsrapport-08092006.html
http://www.bokogbibliotek.no/gamlebob/2007/0701/trygghet.html
Kilder med relevant bakgrunnsstoff:
http://efn.no/afin-personvernkonferanse2007.txt
http://efn.no/apenes-dns2006referat.txt
http://www.efn.no/personvern.html
http://efn.no/afin-personvernkonferanse2006.txt
http://www.bokogbibliotek.no/gamlebob/2005/0504/somlos-personvern.html
http://www.bokogbibliotek.no/gamlebob/2006/0603/bok-lovogrett.html
http://www.bokogbibliotek.no/gamlebob/2007/0701/trygghet.html
Personvern i Norge (PiN), dokumentsamling:
http://www.personvern.no/wiki/index.php/Dokumentsamling
Mvh,
Thomas Gramstad
thomas@efn.no
Hei Thomas! Tusen takk for imponerende liste med linker og bakgrunnsstoff. Jeg er litt ferdig med å forske og skrive om Datalagringsdirektivet for denne gang. Jeg har skrevet både en veldig kritisk post om dette, samt forsøkt å belyse andre sider. Har fått veldig god respons og gode kommentarer fra mange, og er veldig glad for det!! Mulig jeg kommer tilbake til det senere, og da skal jeg lese gjennom det du har anbefalt grundig. Lar det ligge her, så kanskje noen andre kan ha nytte av det også.