Ukategorisert

Referat fra høringen om datalagringsdirektivet

Hvilken bedre måte å markere at det er to måneder siden Liberalerens epostkampanje startet, enn å delta på dagens høring i Stortinget om nettopp datalagringsdirektivet. Syv innledere – og over 100 påmeldte. Justisdepartementet sjokkerte, og Telenor overrasket positivt. Friskest var ikke uventet Datatilsynets direktør Georg Apenes.

Det var Venstre som arrangerte seminaret, sammen med Datatilsynet, IKT-Norge og Teknologirådet. sistnevntes direktør Tore Tennøe ledet gjennomføringen av programmet.

Venstres nestleder Trine Skei Grande åpnet med å henvise til Andre Bjerkes «I en tid der frihet aktes lite», og reflekterte over en oppgave hennes klasse hadde på skolen, om Orwells roman «1984». Skei Grande og hennes klassekamerater hadde kommet til at det ikke var mulig å samle så mye informasjon om hvert enkelt menneske at Orwells skrekkscenario lot seg realisere. Men idag, derimot, er det fullt mulig å samle så mye informasjon.

Skei Grande berørte også hvorfor innføringen av datalagringsdirektivet skaper så mye engasjement, sammenlignet med for eksempel spørsmålet om kameraovervåkning i det offentlige rom. Hun antydet at folk sannsynligvis oppfatter at direktivet griper inn i den personlige sfære på en måte som kameraovervåkningen ikke føles å gjøre.

Liberalere har oppfattet staten som den store truselen når det gjelder overvåkning, men i denne sammenheng er det private selskaper som skal stå for lagringen agv de innsamlede trafikkdataene om oss alle. Dette reiser nye problemstillinger.

Overraskelsesbesøk fra Erik Lahnstein
Arrangørene hadde forgjeves forsøkt å få politisk ledelse i Justisdepartementet til å stille opp. Istedet dukket statssekretær Erik Lahnstein i Samferdselsdepartementet opp. Det er dette departementet som har ansvaret for eventuell innlemmelse av datalagringsdirektivet i norsk lov – og Lahnstein leder en tverrdepartemental gruppe som utreder hvorledes dette skal skje.

Lahnstein sa at det er bra med debatt i Norge om EU-prosesser og debatter, som er relevant for oss. Det er også viktig med debatt om personvern kontra andre viktige hensyn.

Om prosessen sa Lahnstein hva alle visste; at regjeringen ikke har konkludert. Det diskuteres om direktivet er EØS-relevant. Som lesere av Liberaleren vet, har Lahnstein nylig uttalt at det er aktuelt å avvente EUs interne rettsprosesser.

Lahnstein fikk spørsmål fra salen om når det kommer en avklaring om direktivets EØS-relevans. Hans svar var at Irland har satt igang en rettsprosess fordi landet mener at direktivet baserer seg på et ugyldig rettsgrunnlag. Denne prosessen er ikke kommet langt. Man avventer fortsatt generaladvokatens uttalelse. Det er derfor ikke mulig å angi noe tidspunkt for avgjørelse her.

Om fremdriften i prosessen sa Lahnstein at det heller ikke er mulig å gi svar på dette. Regjeringen har ikke behandlet direktivet i plenum ennå.

Fra salen kom det spørsmål om ikke enkeltpartier i regjeringen kan debattere direktivet offentlig, selv om regjeringen ikke har konkludert.

Svaret var at det er helt greit å debattere, men regjeringspartiene må henvise til at regjeringen er i en prosess. Og regjeringen må uansett tale med en stemme.

Grunnkurs i datalagringsdirektivet
Christine Hafskjold, prosjektleder i Teknologirådet gav et grunnkurs i datalagringsdirektivet. Hun presenterte forskjellen på dagens lagringspraksis i forhold til hva som skal lagres hvis direktivet blir innført.

Hafskjold poengterte også hva Norge må ta stilling til:

– lagringsperiode (6 mnd til to år)
– hvordan organisere lagringen
– når skal det gis innsyn i lagrede data
– er direktivet EØS-relevant?
– bør reservasjonsretten benyttes?

IT-guru Gisle Hannemyr poengterte at Hafskjold sa at innholdsdata ikke skal lagres, kun trafikkdata. Men IP-adresser kan gjøres om til URL, og dermed kan man likevel få tilgang til innholdet.

Hafskjold svarte at hun ikke visste om dette kan hindres. Hennes manus finner du her.

Lagring en rett, ikke en plikt
Gry Steen Hvidsten er lovrådgiver i Justis- og politidepartementets lovavdeling. Hun var kanskje den som provoserte mest under dagens seminar.

Hvidsten sa at når regjeringen ikke har konkludert er det vanskelig å delta i debatten om direktivet. Det er likevel mulig å klargjøre hva som er problemstillingene. Hun ville derfor presentere gjeldende rett, sammenlignet med hva som blir nytt med direktivet.

Hun påpekte at nettleverandører idag ikke har plikt, men rett til å lagre trafikkdata. Derimot har man plikt til å slette dataene når det ikke lenger er behov for dem. Dessuten har leverandørene plikt til å tilrettelegge data for politiet.

Hvidsten mente at direktivet vil representere størst forskjell når det kommer til å lagre data som har med internettrafikk og epost å gjøre. Man skal likevel ikke kartlegge individers bevegelsesmønster på internett, fordi dette er definert som innholdsdata og dermed ikke skal lagres.

Justisdeparementet anser at man må tillegge vekt til behovet for å oppklare og hindre kriminalitet, når man diskuterer om datalagringsdirektivet skal innføres. Hvidsten påpekte at andre land i hovedsak velger 12 måneder som lagringsperiode for trafikkdataene.

Hvidsten fremholdt at informasjonssikkerheten hos markedets aktører er avgjørende for den enkeltes personvern når dataene lagres. Hun anså at personvernet er godt ivaretatt på lovsiden. Utfordringen er å få dette til også i praksis.

Reagerer på tonen i debatten så langt
Justisdepartementets representant kom også med kritikk av tonen i den offentlige debatten om datalagringsdirektivet. Hun henviste til formuleringene fra Vox Populi i bloggposten «Du må ikke sove«, nemlig formuleringen «Tenk deg at det står en myndighetsperson ved postkassen din hver dag. Han registrerer all posten din.»

Hvidsten sa at det ikke vil stå noen politimann ved postkassen og registrere post. Det er nemlig ikke politiet som skal lagre dataene. Hun mente også det var lite treffende å påstå at «alle overvåkes». Politiets tilgang til lagrede trafikkdata vil kun være basert på mistanke, iht. Straffeprosesslovens regler.

Hvidsten kritiserte også formuleringen «totalitært svermeri«, som Datatilsynets direktør Georg Apenes, har kommet med. Hun påpekte at vi lever i en rettsstat. – Justisdepartementet vet konsekvensene av hva vi holder på med, forsikret hun. Og fortsatte med at personvernet ikke skal være det eneste som tillegges vekt. Bl.a må kriminalitetsbekjempelse vektlegges når direktivet skal vurderes innført.

Omfattende spørsmålsseanse
kom i efterkant av Hvidstens innlegg. Hallstein Braathen Bjercke i IKT-Norge stilte spørsmål om «kriminalitet med en viss grad av alvorlighet» var Justisdepartementets tolkning av direktivets formulering om «serious crime». Hvidsten brukte denne formuleringen i sin innledning.

Hvidsten svarte at nasjonale myndigheter skal fastsette regler for innsyn i innsamlede data, og for politiets tilgang. Det skal være mulig å stille krav til strafferamme for forbrytelse ved innsyn.

Fra salen kom spørsmål om dagens praksis for innsamling og lagring av trafikkdata er lovlig. Hvidsten svarte at det ikke bare er faktureringshensyn som begrunner den lagringen som foregår idag.

Trine Skei Grande poengterte at lagring av trafikkdata er kostnadskrevende, og dermed konkurransevridende. Nye tilbydere vil få problemer med å konkurrere. Hvidsten svarte at myndighetene i datalagringsdirektivet har en viss frihet til å bestemme forholdene for lagringen av trafikkdata. Om dette ansvaret skal ligge på den enkelte nettleverandør – eller hos staten.

Statssekretær Erik Lahnstein poengterte at direktivet medfører at trafikkdata for flere områder og lengre tidsrom vil bli lagret. Og det er ikke bare politet som får tilgang. Også andre kan få dette, da regulert ved lov.

Lahnstein viste til at det i EU foregår revisjon av regler hele tiden, det utvikles rettspraksis (for nye direktiver), og det er i det hele tatt mye dynamikk i prosessene. Dette må Norge ta hensyn til.

Lahnstein stilte så spørsmål til representanten fra Justisdepartementets lovavdeling om Norge ensidig kan innføre innholdet i datalagringsdirektivet i norsk lov, uten å innføre selve direktivet.

Hvidsten uttalte at hun ikke forstod spørsmålet, men i tillegg til politiet vil Kredittilsynet ha tilgang til dataene. Men ikke flere.

Kun veto – eller andre muligheter
Professor Finn Arnesen ved Senter for europarett ved Universitetet i Oslo skulle informere om hvilke muligheter Norge har for eventuelt å unngå direktivet. Han påpekte at direktiver er rammer for hva nasjonale myndigheter kan gjøre, men gir ikke i seg selv myndighet.

I EØS-avtalen er det EØS-komiteen som vedtar regelendringer, og da ved enstemmighet. Det er her vetomuligheten kommer inn.

Han henviste til at datalagringsdirektivet er hjemlet i EF-traktatens artikkel 95, noe som i henhold til EØS-avtalens artikkel 1 gjør direktivet EØS-relevant. Irland har anlagt sak for EU-domstolen, mot Rådet og Europaparlamentet (sak 1-301/06), fordi man mener at direktivet er vedtatt på galt rettsgrunnlag. Irland mener at et riktig grunnlag vil være Unionstraktatens avdeling VI om politi- og justissamarbeid. Arnesen påpekte at Norge har flere andre samarbeidsrelasjoner med EU enn EØS-avtalen. For eksempel Schengen-avtalen slik at dersom det skulle være slik at direktivet ikke er indre marked -relevant, og heller ikke EØS-relevant, kan det dukke opp i en av disse samarbeidsrelasjonene. Og der kan det hende at konsekvensene av å reservere seg er mer vidtrekkende enn konsekvensene av en reservasjon mot innlemmelse i EØS-avtalen.

Arnesen pekte på at tvisten (som Irland har med Rådet og parlamentet) gjør at det kan bli utsatt gjennomførelse av direktivet, og derfor er det ingen grunn til å forhaste seg. Flere EU-land har bestemt seg for å utsette gjennomføringen av den delen av direktivet som omhandler internettdata.

Hva så hvis direktivet viser seg å være EØS-relevant?
Da må man avgjøre hvilket av vedleggene i EØS-avtalen som direktivet er relevant for, og isåfall må endres. Ved uenighet mellom EU og EFTA, må EØS-komiteen avklare dette (iht. artikkel 111).

I EØS-komiteen skal det være enighet (enstemmighet). Hvis det er manglende enighet, skal det iht. EØS-avtalens artikkel 102 nr 4 undersøkes andre muligheter (for å innføre direktivet). Her er det en 6 måneders frist.

Hvis reservasjon (veto) benyttes gir ikke dette EU rett til innføring av beskyttelsestiltak. Og dette setter ikke EØS-avtalen på spill. Kun relevante deler av avtalen kan suspenderes.

EU kan si opp avtalen med ett års frist – men da ved enstemmighet. Arnesen mente det var tvilsomt om dette ville skje. For Norge må da ha minst én venn i EU. Det som kan skje er nedkjøling av forholdet, eller reaksjoner fra EU på områder som ligger utenfor EØS-avtalen. Her er EUs handlefrihet begrenset av blant annet WTO-avtalen.

Arnesen pekte på at det ligger et alternativ til reservasjonsretten i EØS-avtalens artikkel 97. Denne bestemmelsen gir adgang til å opprettholde nasjonale regler på områder som omfattes av EØS-avtalen. Arnesen oppsummerte med at det kan hevdes at direktivet ikke er EØS-relevant, at vetoretten er til for å brukes, og at EU-reaksjoner isåfall vil komme utenfor EØS-avtalen.

På spørsmål fra salen om Norge bør «sitte på hendene og vente», svarte Arnesen at Norge bør vente på domstolens avgjørelse om korrekt rettsgrunnlag.

Arnesen understreket imidlertid at hvis datalagringsdirektivet blir tatt inn i EØS-avtalen, og det på et senere tidspunkt avgjøres at direktivet er ugyldig i EU vil det likevel fortsatt være en del av EØS-avtalen, men at det vil være kurant å endre avtalen.

På spørsmål om hvor god Irlands sak er, mente Arnesen at Irland har en sekk full av argumenter, og at direktivet har lite med fri bevegelighet å gjøre. Han opplyste at EU-domstolen flere ganger har underkjent direktiver grunnet galt rettsgrunnlag. Hvis Irland vinner er direktivet ugyldig. Kommisjonen må da starte på nytt, med et annet rettsgrunnlag. For eksempel via EUs 3.søyle – noe som forutsetter enstemmighet. Men det kan også tenkes at et direktiv med regler som ikke avviker svært fra datalagringdirektivets kan begrunnes på en slik måte at det lar seg vedta med hjemmel i EF-traktaten

Politiets behov for teletrafikkdata
ble belyst av assisterende politidirektør Vidar Refvik og assisterende KRIPOS-leder Ketil Haukaas. Refvik sa at kriminaliteten har endret seg fra 60-tallets skapsprengere til dagens organiserte virksomhet – og politiet må bruke relevante metoder. Han sa at uten direktivet må likevel innholdet inn i norsk lov. Lagring av data må bli pålagt.

Haukaas påpekte at elektroniske spor er spesielt viktig i narkosaker, der man ofte tar kurerene men ikke bakmennene. Han viste til flere eksempler på at dagens grense på 5 mnd hindrer viktig efterforskning bakover i tid.

Han opplyste at efter drapene på en skole i Finland hadde det blitt lagt ut trusler mot 3 norske skoler på Youtube. Med tips og hjelp fra politiet i Finland og Danmark kunne disse sakene oppklares. Men i hvilken grad kan Norge vente hjelp hvis vi har mer restriktive regler enn våre nærmeste naboland?

Haukaas påpekte at teleselskapene er iferd med å endre faktureringsrutiner (fra pris pr samtale til fast pris for tidsperiode), og da forsvinner selskapenes behov for å lagre data. Regelverket for utlevering av data er også uklart. Den enkelte aktør kan selv avgjøre om og hva som skal utleveres til politiet.

På spørsmål fra salen om politiet kunne ønske seg tilgang til å lagre innhold svarte Haukaas at dette var en uaktuell problemstilling.

Direktivets konsekvenser for teleselskapene
skulle divisjonsdirektør i Telenor Nordic Berit Svendsen belyse. Hennes budskap var at omfanget og konsekvensene av direktivet/lagringen er ukjent, rettssikkerheten er svak. Svendsen påpekte at man må være klar over at database gir datamakt. Ikke minst stilte hun kontrollspørsmålet som berører direktivets begrunnelse: Tar vi terroristene?

Svendsen gav eksempler på hvor mye det er mulig å vite om hver enkelt av oss, bare ved at vi har på og med oss vår mobiltelefon. Hun trakk en parallell mellom datalagring som teleselskapene vil bli pålagt og det at Posten skulle lagre hvilke brev man mottar.

Svendsen gav eksempler på den svake rettssikkerheten; idag kan teleoperatører spore en IP-adresse til husveggen, men ikke vite hvilken PC i huset som er brukt. Dermed kan gal person bli arrestert. Trådløse nettverk er fint, men naboen (eller leieboeren) kan ha surfet via dine linjer. Hun viste til at sikkerhetsklarering blir stadig vanlige, og i fremtiden kan vi risikere at jobben ryker på grunn av manglende klarering. For politiet kan f.eks få utlevert data om hvilke aviser du har gått inn på. Hun illustrerte dette med en Klassekampen-logo…

Et viktig spørsmål er hvem som får tilgang til dataene. Svendsen opplyste at idag kan Fengselsvesenet styre/stenge mobilnettet. Teleoperatørene før beskjed efter at avgjørelsen er tatt.

Terroristenes tilpasning
er ikke uvesentlig. Svendsen påpekte hva terroristene kan gjøre for å omgå direktivet:

– sende brev
– bruke Skype
– gå på biblioteket og bruke PC der
– flytte i kollektiv
– bo på Grünerløkka (stor tetthet av trådløse nettverk)

For teleselskapene er direktivet en utfordring, avsluttet Svendsen. De er avhengige av kundenes tillit. Men direktivet utfordrer denne tilliten.

Fra salen kom spørsmålet om det er teleselskapenes kunder som får regningen for hva det koster å lagre alle disse trafikkdataene (anslått til 250 mill kr). Svendsen kunne bekrefte at kundene må betale, og dermed finansierer sin egen mappe på nettet.

Det er 160 bredbåndsaktører i Norge. Direktivet er en utfordring for små aktører. Det krever finansiell styrke og faglig kompetanse å lagre og beskytte dataene.

Salen viste å sette pris på Svendsens klare formuleringer av utfordringer og problemstillinger knyttet til direktivet.

Spissformulert Apenes angrep Justis
Georg Apenes, direktør i Datatilsynet, avsluttet innledersekvensen. Han påpekte at et liberalt demokrati er avhengig av tillit mellom styrende og styrte, og denne tilliten er skjør. Vårt demokrati hviler på at tilliten forblir intakt.

Apenes gikk i strupen på representanten for Justisdepartementets lovavdeling, og mente at Hvidsten karakteriserte meningsmotstandere. Med slike refleksjoner som Hvidsten hadde gitt uttrykk for var det knapt behov for noen prosess, mente Apenes.

Han fremholdt at med ekstreme eksempler kan grensene tøyes. Med henvisning til saken mot «Lommemannen» spurte Apenes om det var noen forskjell på argumentene for 2 års lagringstid og 30 år. Svaret var nei.

Apenes gav uttrykk for at debatten som nå er iferd med å ta seg opp er bra, og han så gjerne at debatten fortsatte i påvente av avgjørelse i EU-domstolen (Irland), i opp til et og et halvt år – før «den daværende regjering» konkluderte.

Apenes mente at politiet ikke hadde uttrykt noe ønske om lengre lagringstid, før de ble satt på ideen fra Brüssel. Dette ble han korrigert på av politiets representanter, som henviste til en offentlig utredning fra 1997.

Ifølge Apenes mener Datatilsynet at enkeltpersoner bør har rett til innsyn i hvilke trafikkdata som lagres om oss.

Paneldebatten
kom efter alle innledningene, men artet seg mer som en spørsmål og svar-runde mellom salen og panelet. Spørrelysten var stor.

Jeg stilte spørsmål til Berit Svendsen fra Telenor. Hun hadde ytret seg kritisk til hele direktivet, men sa at hvis de ble pålagt å lagre trafikkdata ville de gjøre dette.

Jeg henviste til alle de prinsipielle problemstillingene som var blitt berørt, og spurte om det ikke på noe tidspunkt var aktuelt å sette foten ned og si stopp.

Svendsen svarte at vi lever i Norge, og Telenor har en statlig majoritetseier. Da må de følge loven uansett.

For Liberaleren er spørsmålet viktig å stille. Skal man bare lydig følge med på ferden når balansen mellom stat og individ forrykkes? Hvis noen fikk assosiasjoner til grunnleggende temaer fra Nürnbergprosessen, var det tilsiktet.

Kjernen er: Det personlige ansvar for å si ifra når myndighetene går for langt, stanser det når loven er vedtatt?

Arnesen savnet annen debatt
Professor Finn Arnesen mente det burde analyseres hva en minimumsinnføring av direktivet ville bety.

Den debatten Arnesen ville se er en debatt om hva direktivet inneholder som vi ikke ønsker her i Norge, og hva en implementering av direktivet ville medføre av slike ting. Han mente en debatt på dette grunnlaget ville bli en mer reell debatt.

Flere gav uttrykk for at det kan være behov for et nytt seminar om samme tema om ikke altfor lenge, slik debatten og utviklingen rundt temaet er.

Det er all grunn til å rose arrangørene for seminaret. Problemstillinger og opplysninger belyst og gitt på seminaret burde sparke igang flere interessante debatter i offentligheten, faktisk uavhengig av selve direktivet.

Forbehold: Dette er skrevet efter egne notater gjort under seminaret, uten innledernes manus. Skulle det forekomme faktiske feil, vil disse bli rettet opp når evt feil påpekes.

Liberaleren minner om at epostkampanjen fortsetter for fullt.

Mest lest

Arrangementer