Magma topp logo Til forsiden Econa

Digitalt grenseforsvar – en trussel mot personvernet?

figur-authorfigur-authorfigur-authorfigur-author

Sammendrag

I november 2018 fremstilte regjeringen et forslag til ny lov om Etterretningstjenesten, også omtalt som tilrettelagt innhenting. Formålet er å gi Forsvarets etterretningstjeneste rettslig forankring gjennom etablering av et regelverk som styrker dens evne til å avdekke og hindre alvorlig kriminalitet i en digital verden (Forsvarsdepartementet, 2018). Lovforslaget skal sette norske sikkerhetstjenester i stand til å beskytte Norge mot trusler og angrep fra fremmede makter, terroristorganisasjoner og enkeltindivider, ved å gi Etterretningstjenesten innsyn i datastrømmer som krysser den norske landegrensen. Forslaget er imidlertid omstridt, spesielt siden det utfordrer borgernes rett til privatliv.

I denne artikkelen vil vi gi en nærmere utredning av hvorfor regjeringen ønsker å opprette et digitalt grenseforsvar, hva det vil innebære, og på hvilke måter et digitalt grenseforsvar utfordrer personvernet. Artikkelen har basert seg på et dokumentstudium av hovedpunktene i samfunnsdebatten sett i et personvernrettslig perspektiv, med innspill og førstehåndsinformasjon fra sentrale aktører for utdypning av deres standpunkt. Blant annet har forsvarsminister Frank Bakke-Jensen, professor Olav Lysne og direktør i Datatilsynet Bjørn Erik Thon gitt verdifulle innspill.

1 Introduksjon

I et demokrati er ivaretakelse av personvernet et viktig fundament for digitalisering både i privat og offentlig sektor. Personvernet gir arbeidstakere og borgere trygghet for at digitale løsninger ikke krenker deres muligheter til privatliv, selvbestemmelse og selvutfoldelse. Alle mennesker har rett til en egenkontrollert privat sfære hvor man fritt kan handle uten innblanding eller tvang, det være seg fra staten, fra virksomheter eller fra andre privatpersoner. Dette prinsippet er forankret i Den europeiske menneskerettighetskonvensjon (EMK) og ble i 2014 også implementert i Grunnlovens § 102 for å styrke vernet om personlig integritet:

  • Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. (EMK artikkel 8)
  • Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. (Grunnloven § 102)

Personvern er grunnlaget for tillit i et digitalisert samfunn. Norge har hatt personvernlovgivning siden 70-tallet (personregisterloven av 1978). Senest i 2018 ble lovgivningen revidert ved en ny personvernforordning, General Data Protection Regulation (GDPR). Formålet er å sikre at alle virksomheter, private og offentlige, er underlagt de samme personvernbestemmelsene.

Personvernet er imidlertid ikke en fast størrelse. Selv om lovverket er utarbeidet for å samsvare med tidens digitale løsninger og utfordringer, forutsetter den teknologiske utviklingen, kombinert med nye bruksområder og muligheter, en kontinuerlig vurdering og revurdering av hva som skal tillates, og hva som ikke skal tillates. Et tema som særlig utfordrer personvernet, er regjeringens forslag om opprettelse av et digitalt grenseforsvar. I regjeringen arbeides det nå med å utvikle et regelverk som tillater Forsvarets etterretningstjeneste å overvåke all digital kommunikasjon som krysser landets grenser. I tillegg til metadata – data som beskriver mellom hvem, hvor og når en samtale finner sted – ønsker man også å få tilgang til selve innholdet i kommunikasjonen. Digitalt grenseforsvar omtales også som tilrettelagt innhenting i regjeringens lovforslag.

Bakgrunnen for forslaget om digitalt grenseforsvar er en drastisk økning i trusselbildets kompleksitet, en utvikling som ventes å prege samfunnet i tiden fremover. Den nåværende etterretningstjenesteloven ble sist revidert i 1998. Siden den gang har det skjedd store teknologiske endringer. Det digitale rom benyttes aktivt av mange, og vi ser stadig nye metoder for å utøve kriminalitet. Elektroniske kommunikasjonsplattformer kan benyttes til påvirkning for å skape splid, til infiltrering for å sabotere og spionere, eller til samarbeid, rekruttering, planlegging, koordinering og finansiering av terrorhandlinger mellom internasjonale terrorister (Søreide, 2017). Til tross for dette har den norske Etterretningstjenesten per dags dato ingen lovmessig hjemmel som tillater dem å innhente informasjon som krysser norsk grense via internett og telefoni. Beskrivelser av teknologi eller metoder for innhenting av informasjon omtales heller ikke innenfor Etterretningstjenestens virke. Det argumenteres derfor for at et digitalt grenseforsvar vil bidra til økt statssikkerhet, eksempelvis ved å fange opp kommunikasjon mellom terrorister i Norge og utlandet. Tiltaket skal også avdekke og hindre sabotasje knyttet til kritisk infrastruktur i samfunnet, samt avverge forsøk på cyberangrep og spionasje. Ved å følge datastrømmene som passerer norsk grense, kan Etterretningstjenesten langt lettere identifisere datatrafikk og personer som utgjør en trussel mot Norge.

Etterretningstjenesten har dog ikke et sikkerhetsmandat. Det betyr at Etterretningstjenesten kun skal bruke innsamlet informasjon til å varsle og gi råd til andre aktører slik som Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). Det betyr at informasjon innhentet gjennom tilrettelagt innhenting må deles om den skal kunne brukes preventivt av andre deler av norsk myndighetsapparat. Om man for eksempel oppdager et hackerangrep fra et annet land, kan ikke Etterretningstjenesten gripe inn og stanse det, men må gjennom Felles cyberkoordineringssenter (FCKS) overlate til NSM å gjøre det. Det forutsetter dermed at aktørene kan dele innhentet informasjon. I det videre vil vi søke å gi en nærmere utredning av bakgrunnen for opprettelsen av et digitalt grenseforsvar, hva det vil innebære, og hvordan et digitalt grenseforsvar utfordrer personvernet.

2 Bakgrunn

En av de mest sentrale diskusjonene knyttet til personvern og digital overvåking oppsto i kjølvannet av et økende antall terrorangrep tidlig på 2000-tallet, herunder blant annet 11. september 2001 i New York, bombeeksplosjonene i Madrid 2004 og terrorangrepet på kollektivsystemet i London i 2005. Som en reaksjon på disse hendelsene vedtok EU i 2006 innføringen av et datalagringsdirektiv (DLD). Hensikten med direktivet var å «gi justismyndighetene et verktøy for å avdekke, etterforske og straffeforfølge alvorlig kriminalitet» (Stortinget, 2011a). Politiet hadde frem til da hatt tilgang til lagret datakommunikasjon for etterforskningsformål, men med datalagringsdirektivet skulle politiet gjøres i stand til å opptre proaktivt og samle inn informasjon allerede før en hendelse har oppstått. Innsamlingen skulle omfatte overvåking av alle enkeltpersoners digitale kommunikasjon, hvor man, til tross for at innholdet i kommunikasjonen ikke skulle avsløres, fikk vite blant annet hvor, når, mellom hvem og hvor lenge kommunikasjonen hadde funnet sted (Datatilsynet, 2014). I praksis ville DLD innebære at politimyndighetene kunne spore opp enhver tekstmelding, mail eller telefonsamtale, vite hvem deltakerne i kommunikasjonen var, hvor de befant seg, og hvor lenge kommunikasjonen varte. Til tross for at innholdet skulle forbli hemmeligholdt, kunne de foregående nevnte kjennetegn i mange tilfeller være avslørende nok, og for mange ble dette oppfattet som en inngripen i privatlivet. Hvorvidt man var under mistanke for straffbare forhold eller ei, var også uten betydning – all kommunikasjon skulle kunne overvåkes og opplysningene lagres i opptil seks måneder. Datalagringsdirektivet fikk massiv kritikk. Noen av de mest fremtredende motargumentene var at direktivet var i strid med Den europeiske menneskerettighetskonvensjon, og at det kunne oppleves som en massiv inngripen i den enkelte borgers personvern og dermed en direkte krenkelse av privatlivets fred (Stortinget, 2011b). Datalagringsdirektivet ble til slutt erkjent ugyldig av EU-domstolen i 2014.

I 2015–2016 oppsto det en ny debatt om digital overvåking i det offentlige rom. Denne gangen var det forslaget om å innføre et digitalt grenseforsvar som vekket interesse. Forslaget kom som følge av en utredning om det norske samfunnets digitale sårbarhet, gjennomført av et utvalg ledet av professor Olav Lysne, derav også kalt Lysneutvalget. Lysneutvalget ble nedsatt av regjeringen i 2014. Formålet var å beskrive de digitale sårbarhetene Norge sto overfor både da og i nærmeste fremtid. Videre skulle utvalget foreslå konkrete tiltak for å styrke beredskapen og redusere denne digitale sårbarheten (NOU 2015: 13). Rapporten ble fremlagt for Justis- og beredskapsdepartementet 30. november 2015 og tok for seg en rekke kritiske sårbarhetsområder samt tiltak for å beskytte enkeltmennesker og samfunn i en digitalisert verden. Lysneutvalget påpekte blant annet hvordan trusselbildet endres på grunn av økende bruk av elektronisk kommunikasjon, økende avhengighet av uoversiktlige, digitale verdikjeder samt myndighetenes manglende evne til å operere i det digitale domenet.

Den 24. februar 2016 vedtok Forsvarsdepartementet å oppnevne Lysne II-utvalget for å utrede sentrale problemstillinger knyttet til Etterretningstjenestens eventuelle tilgang til elektronisk informasjon som kommuniseres i fiberoptiske kabler inn og ut av Norge. Lysne II-utvalgets rapport beskriver digitalt grenseforsvar som «en innretning og en virksomhet som gir Etterretningstjenesten innsyn i digitale datastrømmer som krysser den norske landegrensen» (Lysne II-utvalget, 2016). Dette innebærer at all digital kommunikasjon som krysser landets grenser, skal kunne overvåkes av Etterretningstjenesten, med det formål å beskytte landet mot trusler og avanserte angrep. I likhet med Datalagringsdirektivet omfatter forslaget metadata (hvem du har kontakt med, hvor og når), men også innholdet i kommunikasjonen. Den innhentede informasjonen ble foreslått å skulle kunne lagres i 18 måneder for Etterretningstjenestens bruk. Lysne II-utvalgets rapport er den første som omhandlet hvordan innføringen av et digitalt grenseforsvar kan utvikles i Norge. Kort oppsummert inneholder rapporten en risikoutredning knyttet til potensielle trusler og svakheter som må ivaretas dersom et slikt system innføres (eller ikke), samt et oppsett for formål, struktur, kontrollmekanismer og begrensninger for å ivareta personvernet og andre risikofaktorer. Lovforslaget ble utarbeidet på bakgrunn av fire ufravikelige kriterier som utvalget hevder måtte være tilfredsstilt for at et digitalt grenseforsvar forsvarlig kunne anbefales innført i Norge:

  • Løsningen kunne ikke gå i strid med loven eller menneskerettighetene (juridisk holdbarhet).
  • Befolkningens tillit til de hemmelige tjenestene måtte opprettholdes.
  • Løsningen måtte ha etterretningsmessig verdi.
  • Løsningen måtte være teknisk implementerbar og gjennomførbar.

3 Nåværende lovforslag

12. november 2018 la regjeringen frem et nytt høringsnotat, med forslag til ny lov for Etterretningstjenesten (Forsvarsdepartementet, 2018).

Lovutkastet foreslår at Etterretningstjenesten på nærmere vilkår får hjemmel til å lagre metadata om elektronisk kommunikasjon som passerer landegrensen. Tilbydere av elektronisk kommunikasjon pålegges en tilretteleggingsplikt. Først etter at en domstol har godkjent det i en kjennelse, vil Etterretningstjenesten kunne søke i de lagrede metadataene og innhente innholdsdata.

(avsnitt 1.3.3)

Videre står det:

I denne forbindelse er det et viktig poeng at etterretningstjenester, hvis oppgave er å oppfylle myndighetenes informasjonsbehov på overordnet nivå, ikke har – i motsetning til politi- og sikkerhetstjenester – håndhevelses- eller beslutningsmyndighet overfor enkeltpersoner. Selv om etterretningstjenesters virksomhet i seg selv kan være inngripende, innebærer dette at informasjon som innhentes om personer, aldri vil bli brukt til å treffe beslutninger som direkte berører disse uten at dette først vurderes, besluttes og effektueres av en eller flere uavhengige tredjeparter (f.eks. av politiet som grunnlag for å be retten om kjennelse for bruk av tvangsmidler).

(avsnitt 4.2.5)

Lovforslaget bygger i stor grad på Lysne II-utvalgets utredning, imidlertid inkludert enkelte endringer som særlig knytter seg til innretningen og organiseringen av kontrollmekanismene. Kjernen i forslaget går i likhet med opprinnelig anbefaling ut på å tilrettelegge for at Etterretningstjenesten på nærmere bestemte vilkår skal kunne få tilgang til utvalgt elektronisk kommunikasjon som gjennom fiberoptiske kabler er i transitt over landegrensen. Forslaget gir imidlertid kun innsyn i data som er i bevegelse, og omfatter ikke tilgang til lagrede data. Dette innebærer derimot ikke at to eller flere parter må kommunisere med hverandre – også ensidig overføring av lyd, tekst, bilder eller andre data omfattes (Forsvarsdepartementet, 2018).

Oppgavene dette omfatter, er nærmere definert under lovforslagets § 3-1 Informasjonsinnhenting om utenlandske trusler (Forsvarsdepartementet, 2018):

Etterretningstjenesten skal innhente og analysere informasjon om utenlandske militære og sivile forhold som kan bidra til å avdekke og motvirke

a. trusler mot Norges selvstendighet og sikkerhet, territorielle integritet og politiske og økonomiske handlefrihet,

b. alvorlige trusler mot samfunnssikkerheten i Norge,

c. alvorlige trusler mot norske interesser i utlandet,

d. fremmed etterretningsvirksomhet,

e. fremmede sabotasje- og påvirkningsoperasjoner,

f. grenseoverskridende terrorisme,

g. spredning av masseødeleggelsesvåpen og utstyr og materiale for fremstilling av slike våpen,

h. internasjonal våpenhandel som kan utgjøre en alvorlig sikkerhetstrussel, og

i. eksport av sanksjonerte, listeførte eller sensitive varer og tjenester.

Etterretningstjenesten vil være avhengig av at tjenesteleverandører og tilbydere av internettbaserte kommunikasjonstjenester tilrettelegger for deres tilgang til kommunikasjonsstrømmen (Forsvarsdepartementet, 2018). Dette fremgår av tilretteleggingsplikten under § 7-2 som pålegger kommunikasjonstilbydere å bistå Etterretningstjenesten i å komme rundt krypteringsteknologi, et tiltak som opprinnelig er til for å sørge for konfidensialitet ved at informasjonen ikke kan leses av uvedkommende. For å sørge for ivaretakelse av personvern og konfidensialitet under innhentingen hevdes tilrettelagt innhenting å bli underlagt verdens kanskje strengeste og mest omfattende kontrollregime, bestående av både menneskelig og teknisk kontroll; en forhåndsgodkjenning av en domstol, en uavhengig kontroll og en etterhåndskontroll av et uavhengig organ – EOS-utvalget (Søreide, 2017). Regjeringen foreslår å gi EOS-utvalget (Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste) en sentral rolle. Argumentet er at det skal være en helt uavhengig aktør som kontrollerer. Kontrollregimet i det nyeste lovforslaget er satt sammen på følgende måte:

  • Forutgående domstolskontroll lagt til Oslo tingrett: Etterretningstjenesten må for ethvert søk fremme begjæring til domstolen for tillatelse. Uten rettens kjennelse kan ikke Etterretningstjenesten søke i metadatalageret eller innhente og lagre innholdsdata. Sakene følges opp av en særskilt oppnevnt advokat som ivaretar rettssikkerheten til dem som berøres av Etterretningstjenestens begjæring.
  • Løpende kontroll utført av EOS-utvalget: EOS-utvalget skal ha evne til å føre løpende kontroll med alle søk knyttet til tilrettelagt innhenting.
  • Etterfølgende kontroll utført av EOS-utvalget: Utvalgets kontroll kan for eksempel rette seg mot hvorvidt søk og behandling av data har skjedd i samsvar med rettens kjennelser. I tillegg har EOS-utvalget et særskilt søkelys på Etterretningstjenestens anvendelse av de tekniske systemene.

4 Debatten om digitalt grenseforsvar

Forslaget til ny lov for Etterretningstjenesten er i skrivende stund under behandling, hvor over 90 sentrale aktører har kommet med høringssvar. I det videre skal vi se nærmere på utvalgte utdrag fra debatten samt hvilke konsekvenser et digitalt grenseforsvar vil medføre for personvernet.

4.1 Utdrag fra kritikken

A system of secret surveillance for the protection of national security may undermine or even destroy democracy under the cloak of defending it.

Den europeiske menneskerettighetsdomstolen, 29. juni 2006, no. 54934/00, § 106

Med dette sitatet innleder Datatilsynet sitt høringssvar (Datatilsynet, 2019a), hvor de holder fram et klart nei til innføring av et digitalt grenseforsvar slik det er fremlagt. De hevder at nåværende forslag ikke er tydelig nok på hva lovens inngripen og forslaget faktisk betyr, både for den jevne mann og kvinne, og for samfunnet som helhet. Datatilsynet presiserer videre at det ikke er til å unngå at mengden informasjon som omfattes av lovforslaget, vil bli enorm, hvor en massiv og generell innsamling og lagring av kommunikasjonsopplysninger på mange måter vil tilnærme seg totalovervåking.

I regjeringens høringsnotat står det skrevet:

Tilgang på store mengder data er for det første avgjørende for at Etterretningstjenesten skal kunne gjennomføre effektiv målsøking,

og

[f]or det andre er metadata nødvendig for at tjenesten skal kunne foreta retrospektiv analyse der dette er nødvendig. Retrospektiv analyse av metadata brukes for eksempel til å danne et bilde av størrelsen til et terrornettverk eller omfanget av en nettverksoperasjon basert på trafikkanalyse av kommunikasjonsmønster og IP-adresser.

(Forsvarsdepartementet, 2018)

Metadata inneholder blant annet informasjon som navn, dato, klokkeslett, geografisk plassering og IP-adresse. Dette kan i all forstand kategoriseres som personopplysninger, og analysert på riktig måte vil data som gjøres tilgjengelig, i stor grad kunne si mye om hver og en av oss, våre tanker, våre relasjoner og våre liv. Datatilsynet hevder derfor at løsningen som fremlegges, er altfor omfattende, for lite målrettet og altfor inngripende overfor enkeltmennesket (Datatilsynet, 2017a; 2019a). Både Grunnlovens § 102 og bestemmelsene innenfor Den europeiske menneskerettighetskonvensjon (EMK) gir tydelige føringer: En ny lov skal ikke krenke borgernes personvern og grunnleggende menneskerettigheter. Datatilsynet mener at det er en fare for at lovforslaget vil bryte med disse prinsippene, blant annet grunnet innsamlingens proporsjonalitet (Datatilsynet, 2017a; 2019a). Før en lov innføres, har borgerne også rett til å vite hvilken effekt og betydning den har for oss som lever i samfunnet, ut fra rettsstatsprinsippet forutberegnelighet. Det innebærer at borgerne må ha adgang til rettsreglene slik at de kan sette seg inn i dem, og at reglene er formulert på en slik måte at borgerne kan forstå dem. Til tross for at kravet til forutberegnelighet er noe lavere under kriminalitetsbekjempelse enn ellers, må loven likevel klargjøre rekkevidden av Etterretningstjenestens myndighet, slik at det ikke gjøres vilkårlige eller utilbørlige inngrep i borgernes privatliv. I den forbindelse har det vært rettet kritikk mot at lovforslaget ikke legger opp til at kontrollorganet, EOS-utvalget, tilføres mer ressurser enn i dag.

4.2 Mulig nedkjølingseffekt

Datatilsynet peker også på at en datainnsamling av en så omfattende karakter som loven legger opp til, vil bidra til en nedkjølingseffekt, hvor samfunnsdebatten kan svekkes av innbyggernes frykt for å bli overvåket. Kritikerdebatten har ved flere anledninger ytret en bekymring om at borgerne ved innføring av et slikt system kan legge bånd på eller sensurere seg selv samt unnlate å kommunisere fordi de frykter at deres egne utsagn vil kunne slå tilbake på dem i etterkant. Datatilsynet skriver i sitt høringssvar:

… dersom innbyggerne vegrer seg for å kommunisere og innhente informasjon som følge av en frykt for å bli overvåket, vil dette kunne betraktes som en direkte konsekvens for ytringsfriheten.

(Datatilsynet, 2017a)

Og videre:

Uten retten til et privatliv vil det være tilnærmet umulig for enkeltmennesket å skape seg et rom til å utvikle refleksjoner og vurderinger på et selvstendig grunnlag uten å bli forstyrret eller kontrollert av andre. Det er derfor svært viktig at vi verner om den enkelte borgers privatliv, både fordi det er en grunnleggende menneskerettighet, men også fordi det er en viktig byggestein i et velfungerende demokratisk samfunn.

(Datatilsynet, 2019b)

Olav Lysne kommenterer at dette er et argument som veier tungt. Ifølge Lysne er personvernet uten tvil den største utfordringen for et digitalt grenseforsvar, og særlig forholdet knyttet til befolkningens tillit til at myndighetene ikke overvåker dem. Nedkjølingseffekten er ikke en definert størrelse, og det er ikke mulig å regne ut hvor sterk effekten vil være. Konsekvensene må derimot defineres ut fra skjønnsmessige vurderinger. Man kan eksempelvis trekke linjer til hvordan situasjonen har vært i andre land. Google har blant annet registrert at befolkningen blir forsiktige med å bruke enkelte søketermer i perioder hvor digital overvåking er oppe til offentlig debatt. Datatilsynet henviser til en studie (Penny, 2016) som viser hvordan søk i Wikipedia endret seg etter en avsløring av amerikanske myndigheters elektroniske overvåking. En annen studie viser hvordan minoriteters bruk av Facebook har endret seg av samme årsak. Man kan altså observere at befolkningen tar forholdsregler dersom det er kjent at kommunikasjonen deres er tilgjengelig for andre. En eventuell nedkjølingseffekt må derfor hensyntas i debatten. Datatilsynet hevder at Forsvarsdepartementet per dags dato undervurderer denne risikoen, mens Lysne hevder at det er et spørsmål om styrken på effekten, hvor tilliten kan opprettholdes dersom man opererer med transparens og oppfordrer til en åpen og inkluderende samfunnsdebatt.

En gjennomgående utfordring i drøftelsen av lovforslaget er at regjeringen ikke kan utvise full åpenhet om hvilke muligheter Etterretningstjenesten har til å nyttiggjøre seg den informasjonen som hentes inn, blant annet fordi dette vil gi trusselaktører mulighet til å endre sin atferd for å unngå å bli avdekket. Et effektivt tiltak forutsetter derfor at Etterretningstjenestens metoder, kapasiteter og kilder skjermes (Forsvarsdepartementet, 2018). Dette påpekes også av forsvarsminister Frank Bakke-Jensen. Han hevder at man ikke kan utvise full åpenhet om hvilke muligheter Etterretningstjenesten har til å nyttiggjøre seg informasjonen som hentes inn, nettopp fordi en for stor grad av åpenhet vil kunne gjøre tiltaket både mindre treffsikkert og mindre effektivt. I høringsnotatet står det skrevet:

Full åpenhet ville undergrave tjenestens virksomhet, med de alvorlige konsekvenser det ville få for norsk sikkerhet. Manglende innsyn og transparens må for etterretningsvirksomhet derfor avbøtes med andre kontrolltiltak på fellesskapets vegne.

(Forsvarsdepartementet, 2018)

Det tas likevel høyde for at spørsmålet om tillit og kontroll kan komme særlig på spissen i dette tilfellet, ettersom tiltaket potensielt angår kommunikasjonen til svært mange mennesker.

4.3 Overlappende handlingsrom og territoriell begrensning

Under dagens mandat sikres den norske stat et nødvendig informasjonstilfang for beslutningsstøtte gjennom en tydelig ansvarsfordeling mellom Forsvarets etterretningstjeneste og Politiets sikkerhetstjeneste (PST). Etterretningstjenestens virksomhet skal innrettes mot å forsvare Norge mot trusler fra utlandet, mens det er en politioppgave å etterforske kriminalitet som har sin opprinnelse på norsk territorium (Riksadvokatembetet, 2019). Dette er presisert i gjeldende lov om Etterretningstjenesten, hvor det i § 4 står skrevet:

Etterretningstjenesten skal ikke på norsk territorium overvåke eller på noen annen fordekt måte innhente informasjon om norske fysiske eller juridiske personer.

(Etterretningstjenesteloven, 1998, § 4)

Grenseoverskridende terrorisme er imidlertid et aktuelt eksempel på at det er vanskelig å skille mellom etterretning som retter seg mot trusler som har sin opprinnelse på norsk territorium (Politiets ansvar), og etterretning mot trusler som har sin opprinnelse utenfor landets grenser (Etterretningens ansvar).

Både Riksadvokaten og PST fremmer i sine høringssvar en bekymring knyttet til parallellitet og mulige overlappinger i instansenes rollefordeling og virkeområder i det fremlagte lovforslaget. Riksadvokaten skriver: «Unntakene etter utkastet i §4-2 er imidlertid formulert slik at de favner vidt, og det er vanskelig å se hvor grensene faktisk trekkes.» PST er i forlengelsen av dette bekymret for at risikoen for etterretningssvikt øker, hvor det vil være uheldig dersom tjenestene opererer mot de samme miljøene eller personene uten å være kjent med det (PST, 2019). Til tross for at forslaget er ment å omfavne grenseoverskridende informasjon alene, er det vanskelig å utarbeide en løsning som er forenlig med disse rammene. Utfordringen er at det i dagens digitale samfunn nesten ikke er noe som utelukkende kan kategoriseres som innenlands kommunikasjon, som ikke setter spor på de fiberoptiske kablene, og som ikke krysser grenser. Dette på grunn av at dagens digitale plattformer, med skylagringstjenester og sikkerhetskopiering til servere i utlandet, fører til at også innenlands kommunikasjon flyter over landegrensene. Tiltaket vil dermed i praksis omfatte de fleste norske brukere av telefoni og internett, ikke utelukkende de som kommuniserer på tvers av land.

4.4 Formålsutglidning og fritak fra avvergeplikten

Under presentasjonen av lovforslagene hevdes en løsning etter Lysne II-utvalgets utredning å bli underlagt verdens antageligvis strengeste og mest omfattende kontrollregime. Ytterligere tiltak som foreslås for å verne om den enkeltes personvern og konfidensialitet, er å innskrenke rammene for utlevering av overskuddsinformasjon etter § 7-12 samt et bevisforbud etter § 7-13 hvor informasjon som fremkommer av innhentingen, ikke vil kunne brukes som grunnlag for ileggelse av straff eller andre strafferettslige reaksjoner (Forsvarsdepartementet, 2018).

Kripos er av dem som har gått tydelig ut mot begrensningen i deling av informasjon mellom etterretningstjenesten og politimyndigheter. For Kripos har det vært spesielt viktig å kunne motta overskuddsinformasjon for å kunne håndtere alvorlig og samfunnsskadelig kriminalitet, noe nåværende lovforslag ikke lenger vil tillate dem (Kripos, 2019). De mener derfor at det i dette lovforslaget gis for snever adgang, og de hevder videre at det er uholdbart å ikke kunne benytte informasjon som Etterretningstjenesten samler inn, dersom den eksempelvis avslører seksuelle overgrep mot barn. Også Riksadvokaten fremmer bekymringer knyttet til dette, og skriver at «det er meget problematisk om Etterretningstjenestens personell og operative kilder skal fritas fra den alminnelige avvergeplikten». I henhold til straffeloven § 196 er enhver forpliktet til å «avverge en straffbar handling eller følgene av den, på et tidspunkt da det fortsatt er mulig og det fremstår som sikkert eller mest sannsynlig at handlingen er eller vil bli begått». Avvergeplikten omfatter blant annet drap, voldtekt og særlig voldtekt av barn under 14 år; sakstyper som er av høyeste prioritet for regjering og Storting (Riksadvokatembetet, 2019).

Datatilsynet diskuterer denne problematikken opp mot kontrollstrukturen som foreslås, og de er skeptiske til hvorvidt kontrollmekanismene, enkeltvis eller i sin helhet, er gode nok til å motvirke potensielt misbruk (Datatilsynet, 2019a). De hevder at risikoen for en eventuell formålsutglidning er såpass stor og tilstedeværende at den ikke kan utelukkes, spesielt ettersom dataene er av såpass betydelig etterretningsmessig verdi, både i straffesaker og for andre aktører på justis- og sikkerhetsfeltet (Datatilsynets høringssvar, 2017b; 2019a). De etiske dilemmaene vil også være fremtredende: Vil det være riktig at informasjonen som innhentes av Etterretningstjenesten, ikke skal gjøres tilgjengelig, eksempelvis dersom den kan felle en seriemorder eller serieovergriper (Færaas, 2016)? Ikke minst, er det naivt av oss å tro at dette ikke kommer til å skje uavhengig av regelverket som blir satt? Tidligere eksempler har vist at det knytter seg et paradoks til nettopp myndighetenes bruk av overvåking i et åpent og demokratisk samfunn – nemlig ved at åpenheten og den demokratiske prosessen før en eventuell innføring faktisk kan virke i retning av enda mer overvåking enn om den hadde blitt gjort i skjul (Færaas, 2016). Dersom man ser for seg at Etterretningstjenesten har tilgang til informasjon som kan brukes som bevismateriale i alvorlige kriminaletterforskningssaker, kan det ikke utelukkes at det vil oppstå et press for å få anledning til å bruke denne informasjonen. Datatilsynet hevder at utleveringen med stor sannsynlighet vil bli mer inngripende enn man i første omgang tar stilling til, nettopp ved at folk flest, politikere og media vet at slik overvåking skjer, noe som trolig vil føre til et økende press på å utvide rammene for når dataene kan benyttes. Det vil altså være svært vanskelig – både etisk og i praksis – å ivareta de strenge kontrollprinsippene, og overvåkingen kan som sådan skape usikkerhet om sikkerhetstjenestenes virke og føre til manglende tillit fra befolkningens side (Datatilsynet, 2019a).

Hva gjelder bevisforbud, vil Etterretningstjenesten også med stor sannsynlighet komme over opplysninger om kriminelle hendelser som man ikke vil lykkes med å hindre. En oppfølging av hendelsen vil i slike tilfeller måtte skje gjennom etterforskning og straffesak. Dersom rettssystemet ikke vil kunne benytte seg av det informasjonsgrunnlaget som finnes, vil straffeutmåling være svært krevende, og man vil risikere å miste muligheten til å stille personen(e) bak handlingen til ansvar (Riksadvokatembetet, 2019).

4.5 Hva er konsekvensene av ikke å opprette et digitalt grenseforsvar?

Hva vil være konsekvensene dersom Etterretningstjenesten ikke får lovmessig anledning til tilrettelagt innhenting av digital kommunikasjon inn og ut av Norge, altså et digitalt grenseforsvar? Ifølge Forsvarsdepartementet vil dette blant annet svekke Norges evne til å bidra i internasjonalt etterretningssamarbeid. Dersom vi ser til våre naboland, finner vi at flere allerede har innført et lignende system som det som nå er oppe til debatt i Norge. Det er derfor all grunn til å tro at innsamling av digital datakommunikasjon er mer vanlig enn det er uvanlig i land vi ofte sammenligner oss med. Norske myndigheter er i dag avhengig av å samarbeide med andre land som allerede har lovverk og systemer for digitalt grenseforsvar, for å få informasjon om mistanker tilknyttet alvorlig kriminalitet. Dette avhengighetsforholdet medfører flere betydelige utfordringer, særlig ettersom vi er prisgitt andre lands etterretningstjenester for å avdekke alvorlige trusler mot vår egen nasjon. Uten en norsk lov for digitalt grenseforsvar kan andre nasjoners etterretningstjenester bli mindre villige til å dele informasjon med vår etterretningstjeneste. Vi risikerer dermed å bli en mindre attraktiv partner blant våre allierte – noe som vil kunne gi oss problemer med å få tilgang på essensiell informasjon om trusler mot Norge. I verste fall kan en mangel på et nasjonalt digitalt grenseforsvar svekke vår evne til å iverksette nødvendige tiltak angående nasjonal sikkerhet. Det mange er bekymret for, er en situasjon hvor vi fortsetter å gi Etterretningstjenesten oppdrag i det digitale rom, men uten åpent å gi dem de rette verktøyene.

5 Avslutning

Hovedutfordringen med digitalt grenseforsvar er å få på plass et lovverk som de fleste kan enes om. Saken er spesielt vanskelig fordi det eksisterer flere sterke argumenter både for og imot. Argumentene om nedkjølingseffekter, lovens inngripen i den enkeltes privatliv samt potensielle brudd på personvern og menneskerettigheter veier tungt. Samtidig er konsekvensen av å unnlate innføring tilsvarende alvorlig. Det kan gå utover norsk sikkerhetsberedskap dersom vi ikke kan avdekke alvorlige trusler mot nasjonen, det være seg i form av terror, spionasje eller angrep mot kritiske samfunnsfunksjoner og infrastruktur. Man kan på mange måter si at begge standpunkt utgjør en trussel mot oss som borgere og våre demokratiske grunnverdier. Hvorvidt ivaretakelse av innbyggernes personvern vil være forenlig med innføringen av et digitalt grenseforsvar, vil, som vi har sett, avhenge av en rekke faktorer, slik som løsningens struktur, oppfølging, kontroll, og sist, men ikke minst – vår egen tillit den endelige løsningen i et personvernrettslig perspektiv.

Debatten rundt digitalt grenseforsvar er svært spesiell ettersom vi aldri før har stått overfor en liknende situasjon. Det har ikke tidligere vært teknologisk og økonomisk mulig for myndighetene å samle inn informasjon om hva alle borgerne gjør på internett døgnet rundt. Å gi tilgang til en slik praksis etablerer et veiskille. Gir vi først tilgang, vil det antagelig være umulig å reversere. Dette understreker alvoret i saken. Kanskje er det dette vår generasjon blir testet på om femti til hundre år: Hvordan vi taklet dette spørsmålet. Det er et tungt alvor som hviler over denne beslutningen. Det finnes tungtveiende grunner til å la det være, og det er svært gode grunner til å innføre et digitalt grenseforsvar. Der står saken. Det må likevel fattes en beslutning.

Takk:

Forfatterne vil gjerne takke den anonyme fagfellen for gode og konstruktive forslag til forbedring av artikkelen.


Econa er foreningen for høyt utdannede innen økonomi og administrasjon. Er du ikke medlem?
Sjekk medlemstilbudene og meld deg inn i dag.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS