Gjesteblogg: Utvalgsmedlem Eva Jarbekk mener digitaliseringen av Norge er avhengig av en viss overvåkning.
Lysne II-rapporten anbefaler et digitalt grenseforsvar (DGF) i Norge. Da jeg ble spurt om å sitte i utvalget tenkte jeg meg om, fordi det var et utvalg som ville bli sterkt kritisert uansett konklusjon. Min erfaring som personvernadvokat har lært meg at det finnes fordeler og ulemper ved det meste – og at man må lytte til begge sider i en sak. Jeg ble med i utvalget fordi jeg gjerne medvirker til en nyansert debatt.
Anbefalingen om å innføre et DGF har utløst en offentlig debatt og det var faktisk noe av hovedpoenget med rapporten. Dersom regjeringen går videre med arbeidet og det kommer et lovforslag, vil det sikkert utløse en ny runde med debatt.
Her går jeg inn på fakta som har vært avgjørende for meg.
Clik here to view.
Jeg kan selvfølgelig ikke uttale meg om hva som var avgjørende for andre utvalgsmedlemmer.
Jeg ser mange grunner til å si nei til et DGF, men etter å ha gjennomgått den teknologiske virkeligheten i Norge i dag var det til slutt ikke mulig å overse en viktig grunn til å si ja. En helt avgjørende grunn for meg: Digitaliseringen av Norge. Digitaliseringen av Norge kommer ikke til å stoppe, tvert imot arbeides det iherdig både i privat og offentlig sektor for at den skal fortsette og forsterkes slik at vi blir mer effektive og konkurransedyktige.
Vi må ha et cyberforsvar mot ondsinnede angrep og hendelser over nettet. Slike hendelser har potensielt like stor skadeeffekt som noe klassisk terrorangrep. Det kan gjelde angrep på grunnleggende tjenester i landet som kan medføre store tap av liv, helse og også demokrati dersom de lykkes.
Hva gjelder angrep over internett er det vanskelig å tenke seg alternativer til et forsvar på nett. Det ble avgjørende for meg. Da er spørsmålet hvordan man best kan organisere overvåkningen så skaden blir minst mulig.
Skal man spissformulere det, mener jeg man kan trekke det så langt som å si at vårt digitaliserte demokrati er avhengig av en viss overvåkning. Særlig nå.
Hvis man aksepterer at cybertrusler nødvendiggjør en viss overvåkning, må man ta stilling til hva som er teknisk mulig. Her er det noen interessante misforståelser i debatten. Flere har sagt at man ikke skal ha «bulk-lagring», men at man kanskje kan akseptere «rettede» søk eller uthenting i datastrømmen. Rett og slett fiske ut det man er interessert i og la alt annet fare forbi uten å ha tilgang til det eller se på det. At ingen skal kunne se på alt. Det hadde vært fint. Problemet er bare at det ikke er teknisk mulig.
En slik datastrøm som det er tale om i disse tilfellene er komplisert, og består blant annet av en rekke tekniske metadata som ligger rundt innholdet som formidles. Disse metadataene endres ofte av tjenesteleverandørene av tekniske årsaker. For å kunne følge for eksempel kommunikasjonen fra en viss app, signatur eller adresse, må man bruke metadata. For å kunne finne riktige metadata må man følge med på hvordan leverandøren «tuner» metadataene fortløpende.
Det betyr at noen må kunne se de tekniske innstillingene i hele datastrømmen for å kunne justere silingskriteriene etter nye innstillinger hos leverandørene. Og da er det også mulig å se innhold, dersom man skulle ønske det. Da er det ikke mulig å ha en fullstendig rettet uthenting. Dessverre. Noen må kunne se på alt, om enn i så kort periode som overhodet mulig.
På dette punktet skal E-tjenesten ha honnør for å muliggjøre en veldig åpen fremstilling av hvordan slike søk skjer. Kanskje kan den innsikten vi fikk åpne for, medvirke til at man får en litt annerledes og mer realistisk diskusjon også i andre land. Det er lett å være enig i at en «rettet siling» hadde vært det aller beste, men når det ikke er mulig må man sørge for at det innsynet som skjer er så begrenset som mulig.
Det er ikke plass til å gå inn på detaljene om dette i en enkel kronikk, men rapporten anbefaler at bulk-tilgangen er svært snever med høy grad av tidsbegrensning og ekstern kontroll.
Samtidig må man ta inn over seg at overvåkning kan medføre det mange kaller en chilling effect, altså at personer juster sin adferd på nettet med en mulig konsekvens at demokratiet ikke får en like fri diskusjon. Det er åpenbart negativt. Foreløpig er det vanskelig å anslå omfanget av en chilling effect fordi det ikke er mange undersøkelser på området. Flere av undersøkelsene som finnes viser ikke de helt store utslagene. Men det forskes på dette og det er bra.
Uansett, i lys av nyhetene som nå kommer om påvirkning av valg i USA, etc, må man også innse at fravær av digital kontroll også kan ha en negativ konsekvens for demokratiet.
Demokrati og fri meningsutveksling, frie valg, er det viktigste vi har.
Et argument som stadig kommer opp i DGF-debattene er at faren for terror øker. Noe statistikk viser at det faktisk dør færre i Vest-Europa på grunn av terror nå enn i slutten på forrige århundre. Dette må isolert sett være et sterkt argument mot DGF og all annen overvåkning. Det er mulig å stanse diskusjonen om terror der og si at intet DGF kan vurderes før dagens situasjon er langt verre enn hva den var før. Men, skal man se en sak fra flere sider, så er det grunn til bekymring ved at tallene på drepte i Vest-Europa nå stiger ganske mye og at arten av terror som nå sees er annerledes enn i forrige århundre.
Jeg tror det blir feil å se helt bort fra at også ikke cyber-basert terror kan motvirkes og oppklares ved et DGF såfremt det settes stramme grenser for hvordan, slik vi har foreslått.
Clik here to view.
Noen debattanter har forsøkt å antyde at utvalget har ment at DGF bør tillates fordi lignende systemer finnes i land rundt oss. Det er naturligvis ikke slik at det at andre land har overvåkningsregimer betyr at Norge må ha det. Men andre lands overvåkningsregimer rammer intern-norsk kommunikasjon. Det betyr at norske borgeres kommunikasjon ikke er ikke særlig mye mindre overvåket om Norge ikke har en egen kontroll. For meg er dette ikke noe argument i noen retning – bortsett fra at det er relativt naivt å tro at vi ikke blir overvåket om Norge unnlater å innføre DGF.
Også på informasjon mellom nordmenn – i Norge (fordi den trafikken rutes via utlandet).
Da vi skulle utarbeide vår anbefaling i utvalget, så vi også på hva alternativene til et DGF er. Noen av de som nå debatterer har sagt at det ikke er deres ansvar å ta stilling til alternativer. Det er lite ansvarlig. Det er viktige samfunnsaktører og samfunnsdebattanter som er i manesjen.
Dersom vi ikke har et grenseforsvar, må norske bedrifter og offentlige virksomheter forsvare seg på en annen måte mot cyberangrep. Kanskje ved hjelp av flere private aktører eller kanskje ved å legge tilsvarende funksjoner til andre offentlige myndigheter. Det er langt fra sikkert at en slik løsning gir bedre kontroll og mindre overvåkning, mindre chilling effect eller mindre fare for formålsutglidning.
Til slutt noen ord om de nye dommene om menneskerettigheter og overvåkning. Det er flere av dem og det vil komme enda flere. Vi var godt klar over dette da vi anbefalte DGF. Norge skal selvsagt overholde sine internasjonale forpliktelser. I debatten sammenligner noen DGF med DLD. Det blir feil.
Det DGF som er foreslått er vesensforskjellig fra DLD. Det er også vesensforskjellig fra de overvåkningsregimer som praktiseres i andre land i Europa og som vil bli prøvet for retten fremover. Åpenheten rundt hvordan DGF kan settes opp i Norge er imponerende. Sikkerhetstiltakene rundt det DGF vi har foreslått er mye sterkere enn hva vi er kjent med finnes noe annet sted. Hva DGF skal kunne brukes til er svært snevert og snevrere enn noe sammenlignbart land.
Lovteksten et DGF skal bygge på er ikke skrevet og kan skrives så konkret at selv om faren for formålsutglidning ikke kan fjernes, så kan den gjøres liten ved hjelp av god lovteknikk. Uansett, er hva som vil bli akseptert av en menneskerettighetsdomstol et sammensatt og komplisert spørsmål. Jeg vil mene at det ikke er opplagt at dommene så langt forhindrer enhver form for et DGF og jeg blir jo litt overrasket når noen debattanter er skråsikre på at enhver form for et DGF vil bli underkjent. Av og til kan man også lure på om også dommerne har forstått det teknologiske faktum.
Har domstolen i Tele2-avgjørelsen forstått om det teknologisk sett er mulig å programmere rettede søk, uten å la programmererne studere hvordan de dataene det skal søkes i ser ut?
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.