Referat fra ITAKT-seminar om EUs Datalagringsdirektiv, holdt på kafé
Edderkoppen i Oslo den 15. juni 2006

(ITAKT er en forkortelse for "Internett- og Telebransjens
Anti-Kriminalitets Tiltak", se www.itakt.no )

Av Per Inge Østmoen, EFN

Temaet for dette seminar var EUs datalagringsdirektiv, med følgende
beskrivelse: "Directive 2006/24EC of the European Parliament and of
the Council of 15. march 2006."

De som enten var til stede, eller skulle være til stede, er listet opp
nedenfor.

Fra bedrifter som er medlemmer i ITAKT:

- Henrik Seip, styreleder i ITAKT, Telenor ASA
- Karl-David Nilsen, styrerepresentant, ITAKT og BaneTele
- Marit Brodal, BaneTele
- Per Carlson, BaneTele
- Yngve P. Pettersen, Chess
- Hogne Haug, Jernbaneverket
- Ola Thorsen, styrerepresentant i Itakt, PowerTech
- Lars Nøring, PowerTech
- Oddvar Dahle, TDC/Song
- Vegard Tvedt, Tele2
- Leif Henrik Rønnevig, Telenor ASA
- Audun Tollum Andersen, Telenor Nordic
- Terje Rudin, Telenor Nordic
- Lars Sollund, Telenor Nordic
- Ina Faye-Lund, Telenor Nordic
- Kari Kjølhamar Johansen, styresekretær ITAKT, Telenor Nordic

Fra andre bedrifter:

- Atle Dieseth, Bankenes Betalingssentral
- Andreas Lorentzen, NextGenTel
- Margrete Raaum, NSM/NorCert
- Frank-Arne Stamland, Secode Norge A/S
- Ole Ødegård, UPC

Foredragsholdere:

- Odd Martin Helleland, Post & Teletilsynet
- Christina Christensen, Samferdselsdepartementet
- Atle Årnes, Datatilsynet
- Randi Punsvik, NetCom
- Eric Ekern, Telenor Nordic

I tillegg var Per Inge Østmoen fra EFN og Helge Heyerdahl Follestad
fra ungdomsorganisasjonen, Elektronisk Forpost Norge Ungdom, innbudt
og hadde møtt frem.

HVA SOM SKJEDDE

Under seminaret ble følgende temaer drøftet:

* Formål med Datalagringsdirektivet
* Hensyn som skal tas i forhold til berørte interesser
* Harmonisering av lovgivningen i de enkelte medlemsland når det
gjelder lagring av trafikkdata

Dessuten ble de følgende problemstillinger i forbindelse med
implementeringen (dårlig og lite velklingende norsk låneord fra
engelsk, men det var hva som ble brukt i diskusjonen, derfor brukes
det også her) reist:

1. Hvem skal lagre?
2. Hva skal lagres?
3. Hvor skal det lagres?
4. Hvor lenge skal det lagres?
5. Hvem skal gis tilgang til trafikkdata?
6. Hva er prosessen for utlevering av trafikkdata?
7. Hvem skal betale for dette?

De svarene som utkrystalliserte seg på spørsmål 1-7 var de følgende:

1. Den foreløpige plan er at tilbyder, dvs. det enkelte teleselskapet,
skal foreta registreringen og lagringen av opplysningene om den
enkelte borgers kommunikasjonshandlinger.

2. Hva som skal lagres, er informasjon om tidspunkt og sted
(destinasjon) for: fasttelefoni, mobiltelefoni, bredbåndstelefoni,
e-post og internettaksess.

3. Det har vært drøftet en mulighet for en sentral lagringsløsning,
hvor den enkelte tilbyder sender dataene til en lagringssentral som
administreres av statlige myndigheter. Fra en slik sentral kan så
opplysningene om den enkelte borgers elektroniske adferd og
kommunikasjon utleveres.

4. EU-direktivet sier minimum 6 måneder, men 24 måneder er også
foreslått. Ifølge møtelederen ønsker politiet at opplysninger skal
lagres i minst 12 måneder, men det ble ikke nærmere presisert hvilke
politiinteresser dette dreide seg om. Politiet var heller ikke til
stede på ITAKT-seminaret.

5. Her blir det enda mer interessant. EUs Datalagringsdirektiv sier
nemlig at de som skal ha tilgang til borgernes trafikkdata er
"kompetente nasjonale myndigheter i overensstemmelse med nasjonal
lovgivning." Det innebærer at det i prinsippet ikke er noen grense for
hvilke myndigheter som kan få tilgang til opplysningene om borgernes
telefoni, e-postutveksling og internett-bruk. Dette ble da også
erkjent på møtet. Politiet, Kredittilsynet, skattemyndigheter, og en
lang rekke etater vil kunne tenkes å være interessert i å få
opplysninger om folks elektroniske adferd. Her er det også viktig å
være oppmerksom på at bestemmelsene om når slike opplysninger kan
utleveres, /ikke/ stiller krav til et hypotetisk straffbart forholds
alvorlighetsgrad.

6. Det finnes ikke noe regelverk som gir klare retningslinjer som
angir når de ovenfor nevnte "kompetente myndigheter" skal få utlevert
dataene. Én ting kan sies med sikkerhet, og ble erkjent på møtet: Har
man først lagret opplysninger, så vil de bli brukt. Dette
grunnprinsippet ble som sagt erkjent, og ble nevnt med Jon Bing som
referanse.

7. Når det kommer til spørsmålet om hvem som skal betale for den
påtenkte lagringen, hadde de tilstedeværende teleselskapene og
internettaksesstilbyderne landet på det standpunkt som kunne
forventes: Nemlig at når et lands myndigheter bestemmer at slik
lagring skal skje, må de også ta det økonomiske ansvaret. Dette
punktet er interessant på mer enn en måte, ettersom myndighetene i så
fall vil måtte synliggjøre de økte kostnadene som følger av denne
kartleggingen av samtlige borgeres elektroniske bevegelser.

Foredragene var i stor grad informative, og Post & Teletilsynets
Helleland redegjorde for de mer politiske sidene ved EUs
datalagringsdirektiv og beslutningen som er fattet.

Samferdselsdepartementets Christensen snakket en del om hvor de
innsamlede trafikkdataene skulle lagres for tilgjengeliggjøring for
politi og andre "kompetente myndigheter." Hvem skal stå for utlevering
av opplysninger ved et sentralt system? Hva med legitimiteten? I
diskusjonen som fulgte, kom det frem at tilbydersiden helst så at
offentlige myndigheter tok på seg så mye ansvar som mulig, både
økonomisk og vedrørende det rent tekniske ved lagringen.

En annen ting som også ble gitt klart uttrykk for, er at hvis
myndighetene skulle forestå langtidslagringen vil kostnadene bli
synliggjort ved at de nødvendigvis må belaste offentlige budsjetter.
Dertil vil en lagring i myndigetenes regi synliggjøre at det faktisk
er landets myndigheter som overvåker egne borgere, og overvåker alle
borgerne uansett om de er mistenkt for noe kriminelt eller ikke.

Randi Punsvik fra Netcom snakket for en stor del om de samme temaer
som Christensen, og uttrykte stor forståelse for de personvernmessige
betenkeligheter som følger av Datalagringsvedtaket fra EU. Men i
likhet med de fleste av de andre foredragsholderne hadde hun ingen
andre forslag enn å mane til at lagringstiden skulle settes så kort
som mulig, og da konkret til seks måneder. Men i neste åndedrag ble
det så sagt at "så får man heller øke lagringstiden hvis det skulle
vise seg behov for det." Med andre ord, det er liten tvil om i hvilken
retning presset går, selv om også IKT Norge også har tatt til orde for
at nasjonale krav ikke må gå ut over Direktivets minstekrav, og at
seks måneders lagring etter deres mening er tilstrekkelig.

Når nesten ingen tar mot til seg og sier direkte ut at det er
fullstendig uakseptabelt overgrep å samle opplysninger om alle
borgeres elektroniske bevegelser, blir debatten redusert til en
relativt uinteressant diskusjon om hvor lenge det skal lagres - selv
om alle vet at sterke krefter presser på for å øke lagringstiden. Når
Datalagringsvedtaket først er gjennomført, er det avgjørende skrittet
tatt. Da er de lovlydige borgere gjennom lov fratatt sin rett til å
bevege seg anonymt for makthaverne, en rett som hittil har vært en
selvfølge.

Hittil har det i Norge vært sletteplikt etter Ekomlovens paragraf 2-7,
som knesetter prinsippet på denne måten: "Trafikkdata skal slettes
eller anonymiseres så snart de ikke lenger er nødvendige for
kommunikasjons- eller faktureringsformål." Dette har altså hittil,
inntil Datalagringsdirektivet fra EU, vært gjeldende rett i vårt land.
I praksis har dette i tid innebåret at dataene har vært lagret i fra
tre til fem måneder.

Eric Ekern fra Telenor snakket om de tekniske sidene ved datalagring.
Det er snakk om en total økning av datamengden som tilsvarer mer enn
50 ganger dagens lagring. Konkretisert ved faktiske kostnader er det
estimert at for hele EU/EØS-området vil det dreie seg om et
investeringsbehov på minst 100 millioner Euro, og årlige permanente
merkostnader på 30-40 millioner Euro. Som kjent blir slike estimater
gjerne for konservative. Ekern understreket at selve lagringsmengden
ikke er hva som i første rekke driver omkostningene oppover. Prisene
for lagringen i seg selv synker fordi lagringsmediene blir stadig
rimeligere pr. byte lagret. Likevel vil omkostningene øke svært meget,
fordi systemmodifiseringer, søkningsmekanismer og rapporteringsrutiner
må bygges ut og vedlikeholdes når behovet øker så voldsomt som det
gjør dersom Datalagringsdirektivet skal gjennomføres.

Datatilsynets Atle Årnes hadde mange gode synspunkter, og vi som hadde
møtt for EFN og EFNU kunne bare gi vår tilslutning til dem. Først
beskrev han hvordan Datatilsynets hittil gjeldende
telekonsesjonsvilkår krever at trafikkdata lagret for
faktureringsformål skal slettes i det øyeblikket de ikke lenger er
nødvendige for dette formålet.

Årnes poengterte at hva som planlegges, er en total elektronisk
overvåkning av alle borgere, hvorav de aller fleste må formodes å være
ikke-kriminelle. "Hvorfor ønsker nå noen å gå til det skritt å
overvåke alle?" "Dette er noe helt nytt," konstaterte Datatilsynets
representant, og fortsatte med å spørre retorisk:

"Om overvåkningsbarrieren nå brytes, stopper man her, skal enhver
bevegelse overvåkes fordi det kan skje at en kriminell handling foretas?"

Årnes kommenterte også at Datalagringsdirektivet er blitt forsvart med
at det er ment å skulle være et verktøy for politiet for å kunne
etterforske, oppklare og straffeforfølge alvorlig kriminalitet, og
reiste spørsmålet om hva som er "alvorlig kriminalitet."
Det har nemlig vist seg at på den korte tiden som er gått siden
Datalagringsdirektivet ble vedtatt i EU-parlamentet og Europarådet har
ulike krefter presset på for å få aksept for å utvide både
lagringstiden og kriteriene for når opplysningene om den enkeltes
bevegelser skal utleveres til de "kompetente myndigheter." Som
tidligere nevnt, eksisterer det ingen nedre grense for
alvorlighetsgraden som kreves for utlevering av slik informasjon om
den enkelte. Når vi også vet at hva som til enhver tid betraktes som
"alvorlig nok" kan og vil endres, er det ikke så vanskelig å forstå at
skaden på borgernes rettssikkerhet kommer til å bli betydelig. En
avgjørende barriere er brutt når makthavere har drevet gjennom at det
ikke skal være lov å bevege seg fritt, anonymt og uovervåket i den
elektroniske sfæren.

Direktivet er videre vedtatt under den såkalte "første pillar,"
hvilket innebærer at vedtaket faller under artikkel 95 i EU-traktaten
som omfatter samarbeidet i det indre markedet. Dermed blir
Datalagringsdirektivet etter alt å dømme bindende for samtlige EU- og
EØS-land som deltar i dette markedet. Derunder Norge. Hvis alle
underordner seg lydig for ikke å si servilt og ingen protesterer
massivt, blir det derfor gjennomført. For undertegnede var det en
selsom opplevelse å registrere hvordan nesten samtlige av de
tilstedeværende mislikte Datalagringsdirektivet. Samtidig var det i
første rekke Datatilsynet og EFN som formulerte seg så advarende som
det er berettiget å gjøre når myndigheter ønsker å føre kontroll med
hva samtlige borgere gjør på "den elektroniske landevei" og når de
gjør det.

Datatilsynets kritikk av det fullstendig nye i å skulle lagre
trafikkdataene for alle innbyggere uten at de er mistenkt for noe galt
var så sterk at møtelederen spurte Årnes om det var slik at
Datatilsynet ønsket å motarbeide Datalagringsdirektivet. Det er godt å
ha Datatilsynet, men de kan ingenting gjøre når ting som dette først
har blitt nedfelt i lov. Jobben med å forsvare sine rettigheter må
borgerne til syvende og sist gjøre selv.

Tatt i betraktning den store og økende betydning elektronisk
kommunikasjon og internett har og vil få i vanlige menneskers hverdag,
kan det vanskelig uttrykkes hvor fundamentalt et inngrep i den enkelte
borgers liv det her er snakk om, og det må være lov å utrykke håp om
at det siste slag i sakens anledning ikke har blitt utkjempet.
Datalagringsdirektivet er en beslutning som er tatt over hodene på de
mange hundre millioner innbyggere i EU- og EØS-området, og fremtiden
vil vise hva som skjer med tillitsforholdet mellom borgere og
myndigheter når massiv overvåkning av lovlydige borgere nå søkes
gjennomført med loven i hånd.

Det er mer enn mulig at vi her har å gjøre med et eksempel på
demokratiets bedøvende og sløvende effekt. Folk tror at fordi vi har
et såkalt "demokrati," er vi vaksinert mot maktovergrep fra
makthavere. I det gamle Sovjetunionen ville alle forstått at
kartlegging av alle borgeres elektroniske bevegelser ikke er noe man
burde ønske seg, og mange ville utvise stor kreativitet i å unndra seg
overvåkningen. I dagens vestlige samfunn har vi hatt det så  trygt så
lenge at vi ikke tror at politi og andre myndigheter har eller
noengang vil ha annet enn godt i sinne. Deri ligger nok demokratiets
svøpe, og det er grunn til å spørre hva som må til for at folk flest
skal våkne og omsider stå opp for å forsvare også de former for
rettigheter som ikke direkte har sammenheng med innholdet i lommeboken.

For Datatilsynet har helt rett når de fremhever at innsamling av alle
opplysninger om alle borgeres gjøren og laden er noe fundamentalt
nytt. Et slikt tiltak er noe som ikke hører hjemme i et fritt samfunn,
og nå er det opp til Europas borgere å ta konsekvensen av det.

Per Inge Østmoen, 26.juni 2006