Referat fra ITAKT-seminar om EUs Datalagringsdirektiv, holdt på kafé Edderkoppen i Oslo den 15. juni 2006 (ITAKT er en forkortelse for "Internett- og Telebransjens Anti-Kriminalitets Tiltak", se www.itakt.no ) Av Per Inge Østmoen, EFN Temaet for dette seminar var EUs datalagringsdirektiv, med følgende beskrivelse: "Directive 2006/24EC of the European Parliament and of the Council of 15. march 2006." De som enten var til stede, eller skulle være til stede, er listet opp nedenfor. Fra bedrifter som er medlemmer i ITAKT: - Henrik Seip, styreleder i ITAKT, Telenor ASA - Karl-David Nilsen, styrerepresentant, ITAKT og BaneTele - Marit Brodal, BaneTele - Per Carlson, BaneTele - Yngve P. Pettersen, Chess - Hogne Haug, Jernbaneverket - Ola Thorsen, styrerepresentant i Itakt, PowerTech - Lars Nøring, PowerTech - Oddvar Dahle, TDC/Song - Vegard Tvedt, Tele2 - Leif Henrik Rønnevig, Telenor ASA - Audun Tollum Andersen, Telenor Nordic - Terje Rudin, Telenor Nordic - Lars Sollund, Telenor Nordic - Ina Faye-Lund, Telenor Nordic - Kari Kjølhamar Johansen, styresekretær ITAKT, Telenor Nordic Fra andre bedrifter: - Atle Dieseth, Bankenes Betalingssentral - Andreas Lorentzen, NextGenTel - Margrete Raaum, NSM/NorCert - Frank-Arne Stamland, Secode Norge A/S - Ole Ødegård, UPC Foredragsholdere: - Odd Martin Helleland, Post & Teletilsynet - Christina Christensen, Samferdselsdepartementet - Atle Årnes, Datatilsynet - Randi Punsvik, NetCom - Eric Ekern, Telenor Nordic I tillegg var Per Inge Østmoen fra EFN og Helge Heyerdahl Follestad fra ungdomsorganisasjonen, Elektronisk Forpost Norge Ungdom, innbudt og hadde møtt frem. HVA SOM SKJEDDE Under seminaret ble følgende temaer drøftet: * Formål med Datalagringsdirektivet * Hensyn som skal tas i forhold til berørte interesser * Harmonisering av lovgivningen i de enkelte medlemsland når det gjelder lagring av trafikkdata Dessuten ble de følgende problemstillinger i forbindelse med implementeringen (dårlig og lite velklingende norsk låneord fra engelsk, men det var hva som ble brukt i diskusjonen, derfor brukes det også her) reist: 1. Hvem skal lagre? 2. Hva skal lagres? 3. Hvor skal det lagres? 4. Hvor lenge skal det lagres? 5. Hvem skal gis tilgang til trafikkdata? 6. Hva er prosessen for utlevering av trafikkdata? 7. Hvem skal betale for dette? De svarene som utkrystalliserte seg på spørsmål 1-7 var de følgende: 1. Den foreløpige plan er at tilbyder, dvs. det enkelte teleselskapet, skal foreta registreringen og lagringen av opplysningene om den enkelte borgers kommunikasjonshandlinger. 2. Hva som skal lagres, er informasjon om tidspunkt og sted (destinasjon) for: fasttelefoni, mobiltelefoni, bredbåndstelefoni, e-post og internettaksess. 3. Det har vært drøftet en mulighet for en sentral lagringsløsning, hvor den enkelte tilbyder sender dataene til en lagringssentral som administreres av statlige myndigheter. Fra en slik sentral kan så opplysningene om den enkelte borgers elektroniske adferd og kommunikasjon utleveres. 4. EU-direktivet sier minimum 6 måneder, men 24 måneder er også foreslått. Ifølge møtelederen ønsker politiet at opplysninger skal lagres i minst 12 måneder, men det ble ikke nærmere presisert hvilke politiinteresser dette dreide seg om. Politiet var heller ikke til stede på ITAKT-seminaret. 5. Her blir det enda mer interessant. EUs Datalagringsdirektiv sier nemlig at de som skal ha tilgang til borgernes trafikkdata er "kompetente nasjonale myndigheter i overensstemmelse med nasjonal lovgivning." Det innebærer at det i prinsippet ikke er noen grense for hvilke myndigheter som kan få tilgang til opplysningene om borgernes telefoni, e-postutveksling og internett-bruk. Dette ble da også erkjent på møtet. Politiet, Kredittilsynet, skattemyndigheter, og en lang rekke etater vil kunne tenkes å være interessert i å få opplysninger om folks elektroniske adferd. Her er det også viktig å være oppmerksom på at bestemmelsene om når slike opplysninger kan utleveres, /ikke/ stiller krav til et hypotetisk straffbart forholds alvorlighetsgrad. 6. Det finnes ikke noe regelverk som gir klare retningslinjer som angir når de ovenfor nevnte "kompetente myndigheter" skal få utlevert dataene. Én ting kan sies med sikkerhet, og ble erkjent på møtet: Har man først lagret opplysninger, så vil de bli brukt. Dette grunnprinsippet ble som sagt erkjent, og ble nevnt med Jon Bing som referanse. 7. Når det kommer til spørsmålet om hvem som skal betale for den påtenkte lagringen, hadde de tilstedeværende teleselskapene og internettaksesstilbyderne landet på det standpunkt som kunne forventes: Nemlig at når et lands myndigheter bestemmer at slik lagring skal skje, må de også ta det økonomiske ansvaret. Dette punktet er interessant på mer enn en måte, ettersom myndighetene i så fall vil måtte synliggjøre de økte kostnadene som følger av denne kartleggingen av samtlige borgeres elektroniske bevegelser. Foredragene var i stor grad informative, og Post & Teletilsynets Helleland redegjorde for de mer politiske sidene ved EUs datalagringsdirektiv og beslutningen som er fattet. Samferdselsdepartementets Christensen snakket en del om hvor de innsamlede trafikkdataene skulle lagres for tilgjengeliggjøring for politi og andre "kompetente myndigheter." Hvem skal stå for utlevering av opplysninger ved et sentralt system? Hva med legitimiteten? I diskusjonen som fulgte, kom det frem at tilbydersiden helst så at offentlige myndigheter tok på seg så mye ansvar som mulig, både økonomisk og vedrørende det rent tekniske ved lagringen. En annen ting som også ble gitt klart uttrykk for, er at hvis myndighetene skulle forestå langtidslagringen vil kostnadene bli synliggjort ved at de nødvendigvis må belaste offentlige budsjetter. Dertil vil en lagring i myndigetenes regi synliggjøre at det faktisk er landets myndigheter som overvåker egne borgere, og overvåker alle borgerne uansett om de er mistenkt for noe kriminelt eller ikke. Randi Punsvik fra Netcom snakket for en stor del om de samme temaer som Christensen, og uttrykte stor forståelse for de personvernmessige betenkeligheter som følger av Datalagringsvedtaket fra EU. Men i likhet med de fleste av de andre foredragsholderne hadde hun ingen andre forslag enn å mane til at lagringstiden skulle settes så kort som mulig, og da konkret til seks måneder. Men i neste åndedrag ble det så sagt at "så får man heller øke lagringstiden hvis det skulle vise seg behov for det." Med andre ord, det er liten tvil om i hvilken retning presset går, selv om også IKT Norge også har tatt til orde for at nasjonale krav ikke må gå ut over Direktivets minstekrav, og at seks måneders lagring etter deres mening er tilstrekkelig. Når nesten ingen tar mot til seg og sier direkte ut at det er fullstendig uakseptabelt overgrep å samle opplysninger om alle borgeres elektroniske bevegelser, blir debatten redusert til en relativt uinteressant diskusjon om hvor lenge det skal lagres - selv om alle vet at sterke krefter presser på for å øke lagringstiden. Når Datalagringsvedtaket først er gjennomført, er det avgjørende skrittet tatt. Da er de lovlydige borgere gjennom lov fratatt sin rett til å bevege seg anonymt for makthaverne, en rett som hittil har vært en selvfølge. Hittil har det i Norge vært sletteplikt etter Ekomlovens paragraf 2-7, som knesetter prinsippet på denne måten: "Trafikkdata skal slettes eller anonymiseres så snart de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål." Dette har altså hittil, inntil Datalagringsdirektivet fra EU, vært gjeldende rett i vårt land. I praksis har dette i tid innebåret at dataene har vært lagret i fra tre til fem måneder. Eric Ekern fra Telenor snakket om de tekniske sidene ved datalagring. Det er snakk om en total økning av datamengden som tilsvarer mer enn 50 ganger dagens lagring. Konkretisert ved faktiske kostnader er det estimert at for hele EU/EØS-området vil det dreie seg om et investeringsbehov på minst 100 millioner Euro, og årlige permanente merkostnader på 30-40 millioner Euro. Som kjent blir slike estimater gjerne for konservative. Ekern understreket at selve lagringsmengden ikke er hva som i første rekke driver omkostningene oppover. Prisene for lagringen i seg selv synker fordi lagringsmediene blir stadig rimeligere pr. byte lagret. Likevel vil omkostningene øke svært meget, fordi systemmodifiseringer, søkningsmekanismer og rapporteringsrutiner må bygges ut og vedlikeholdes når behovet øker så voldsomt som det gjør dersom Datalagringsdirektivet skal gjennomføres. Datatilsynets Atle Årnes hadde mange gode synspunkter, og vi som hadde møtt for EFN og EFNU kunne bare gi vår tilslutning til dem. Først beskrev han hvordan Datatilsynets hittil gjeldende telekonsesjonsvilkår krever at trafikkdata lagret for faktureringsformål skal slettes i det øyeblikket de ikke lenger er nødvendige for dette formålet. Årnes poengterte at hva som planlegges, er en total elektronisk overvåkning av alle borgere, hvorav de aller fleste må formodes å være ikke-kriminelle. "Hvorfor ønsker nå noen å gå til det skritt å overvåke alle?" "Dette er noe helt nytt," konstaterte Datatilsynets representant, og fortsatte med å spørre retorisk: "Om overvåkningsbarrieren nå brytes, stopper man her, skal enhver bevegelse overvåkes fordi det kan skje at en kriminell handling foretas?" Årnes kommenterte også at Datalagringsdirektivet er blitt forsvart med at det er ment å skulle være et verktøy for politiet for å kunne etterforske, oppklare og straffeforfølge alvorlig kriminalitet, og reiste spørsmålet om hva som er "alvorlig kriminalitet." Det har nemlig vist seg at på den korte tiden som er gått siden Datalagringsdirektivet ble vedtatt i EU-parlamentet og Europarådet har ulike krefter presset på for å få aksept for å utvide både lagringstiden og kriteriene for når opplysningene om den enkeltes bevegelser skal utleveres til de "kompetente myndigheter." Som tidligere nevnt, eksisterer det ingen nedre grense for alvorlighetsgraden som kreves for utlevering av slik informasjon om den enkelte. Når vi også vet at hva som til enhver tid betraktes som "alvorlig nok" kan og vil endres, er det ikke så vanskelig å forstå at skaden på borgernes rettssikkerhet kommer til å bli betydelig. En avgjørende barriere er brutt når makthavere har drevet gjennom at det ikke skal være lov å bevege seg fritt, anonymt og uovervåket i den elektroniske sfæren. Direktivet er videre vedtatt under den såkalte "første pillar," hvilket innebærer at vedtaket faller under artikkel 95 i EU-traktaten som omfatter samarbeidet i det indre markedet. Dermed blir Datalagringsdirektivet etter alt å dømme bindende for samtlige EU- og EØS-land som deltar i dette markedet. Derunder Norge. Hvis alle underordner seg lydig for ikke å si servilt og ingen protesterer massivt, blir det derfor gjennomført. For undertegnede var det en selsom opplevelse å registrere hvordan nesten samtlige av de tilstedeværende mislikte Datalagringsdirektivet. Samtidig var det i første rekke Datatilsynet og EFN som formulerte seg så advarende som det er berettiget å gjøre når myndigheter ønsker å føre kontroll med hva samtlige borgere gjør på "den elektroniske landevei" og når de gjør det. Datatilsynets kritikk av det fullstendig nye i å skulle lagre trafikkdataene for alle innbyggere uten at de er mistenkt for noe galt var så sterk at møtelederen spurte Årnes om det var slik at Datatilsynet ønsket å motarbeide Datalagringsdirektivet. Det er godt å ha Datatilsynet, men de kan ingenting gjøre når ting som dette først har blitt nedfelt i lov. Jobben med å forsvare sine rettigheter må borgerne til syvende og sist gjøre selv. Tatt i betraktning den store og økende betydning elektronisk kommunikasjon og internett har og vil få i vanlige menneskers hverdag, kan det vanskelig uttrykkes hvor fundamentalt et inngrep i den enkelte borgers liv det her er snakk om, og det må være lov å utrykke håp om at det siste slag i sakens anledning ikke har blitt utkjempet. Datalagringsdirektivet er en beslutning som er tatt over hodene på de mange hundre millioner innbyggere i EU- og EØS-området, og fremtiden vil vise hva som skjer med tillitsforholdet mellom borgere og myndigheter når massiv overvåkning av lovlydige borgere nå søkes gjennomført med loven i hånd. Det er mer enn mulig at vi her har å gjøre med et eksempel på demokratiets bedøvende og sløvende effekt. Folk tror at fordi vi har et såkalt "demokrati," er vi vaksinert mot maktovergrep fra makthavere. I det gamle Sovjetunionen ville alle forstått at kartlegging av alle borgeres elektroniske bevegelser ikke er noe man burde ønske seg, og mange ville utvise stor kreativitet i å unndra seg overvåkningen. I dagens vestlige samfunn har vi hatt det så trygt så lenge at vi ikke tror at politi og andre myndigheter har eller noengang vil ha annet enn godt i sinne. Deri ligger nok demokratiets svøpe, og det er grunn til å spørre hva som må til for at folk flest skal våkne og omsider stå opp for å forsvare også de former for rettigheter som ikke direkte har sammenheng med innholdet i lommeboken. For Datatilsynet har helt rett når de fremhever at innsamling av alle opplysninger om alle borgeres gjøren og laden er noe fundamentalt nytt. Et slikt tiltak er noe som ikke hører hjemme i et fritt samfunn, og nå er det opp til Europas borgere å ta konsekvensen av det. Per Inge Østmoen, 26.juni 2006