Magma
21.04.2020
1 INTRODUKSJON
I et demokrati er ivaretakelse av personvernet et viktig fundament for digitalisering både i privat og offentlig sektor. Personvernet gir arbeidstakere og borgere trygghet for at digitale løsninger ikke krenker deres muligheter til privatliv, selvbestemmelse og selvutfoldelse. Alle mennesker har rett til en egenkontrollert privat sfære hvor man fritt kan handle uten innblanding eller tvang, det være seg fra staten, fra virksomheter eller fra andre privatpersoner. Dette prinsippet er forankret i Den europeiske menneskerettighetskonvensjon (EMK) og ble i 2014 også implementert i Grunnlovens § 102 for å styrke vernet om personlig integritet:
Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. (EMK artikkel 8) Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. (Grunnloven § 102) Personvern er grunnlaget for tillit i et digitalisert samfunn. Norge har hatt personvernlovgivning siden 70-tallet (personregisterloven av 1978). Senest i 2018 ble lovgivningen revidert ved en ny personvernforordning, General Data Protection Regulation (GDPR). Formålet er å sikre at alle virksomheter, private og offentlige, er underlagt de samme personvernbestemmelsene.
Personvernet er imidlertid ikke en fast størrelse. Selv om lovverket er utarbeidet for å samsvare med tidens digitale løsninger og utfordringer, forutsetter den teknologiske utviklingen, kombinert med nye bruksområder og muligheter, en kontinuerlig vurdering og revurdering av hva som skal tillates, og hva som ikke skal tillates. Et tema som særlig utfordrer personvernet, er regjeringens forslag om opprettelse av et digitalt grenseforsvar. I regjeringen arbeides det nå med å utvikle et regelverk som tillater Forsvarets etterretningstjeneste å overvåke all digital kommunikasjon som krysser landets grenser. I tillegg til metadata - data som beskriver mellom hvem, hvor og når en samtale finner sted - ønsker man også å få tilgang til selve innholdet i kommunikasjonen. Digitalt grenseforsvar omtales også som tilrettelagt innhenting i regjeringens lovforslag.
Bakgrunnen for forslaget om digitalt grenseforsvar er en drastisk økning i trusselbildets kompleksitet, en utvikling som ventes å prege samfunnet i tiden fremover. Den nåværende etterretningstjenesteloven ble sist revidert i 1998. Siden den gang har det skjedd store teknologiske endringer. Det digitale rom benyttes aktivt av mange, og vi ser stadig nye metoder for å utøve kriminalitet. Elektroniske kommunikasjonsplattformer kan benyttes til påvirkning for å skape splid, til infiltrering for å sabotere og spionere, eller til samarbeid, rekruttering, planlegging, koordinering og finansiering av terrorhandlinger mellom internasjonale terrorister (Søreide, 2017). Til tross for dette har den norske Etterretningstjenesten per dags dato ingen lovmessig hjemmel som tillater dem å innhente informasjon som krysser norsk grense via internett og telefoni. Beskrivelser av teknologi eller metoder for innhenting av informasjon omtales heller ikke innenfor Etterretningstjenestens virke. Det argumenteres derfor for at et digitalt grenseforsvar vil bidra til økt statssikkerhet, eksempelvis ved å fange opp kommunikasjon mellom terrorister i Norge og utlandet. Tiltaket skal også avdekke og hindre sabotasje knyttet til kritisk infrastruktur i samfunnet, samt avverge forsøk på cyberangrep og spionasje. Ved å følge datastrømmene som passerer norsk grense, kan Etterretningstjenesten langt lettere identifisere datatrafikk og personer som utgjør en trussel mot Norge.
Etterretningstjenesten har dog ikke et sikkerhetsmandat. Det betyr at Etterretningstjenesten kun skal bruke innsamlet informasjon til å varsle og gi råd til andre aktører slik som Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). Det betyr at informasjon innhentet gjennom tilrettelagt innhenting må deles om den skal kunne brukes preventivt av andre deler av norsk myndighetsapparat. Om man for eksempel oppdager et hackerangrep fra et annet land, kan ikke Etterretningstjenesten gripe inn og stanse det, men må gjennom Felles cyberkoordineringssenter (FCKS) overlate til NSM å gjøre det. Det forutsetter dermed at aktørene kan dele innhentet informasjon. I det videre vil vi søke å gi en nærmere utredning av bakgrunnen for opprettelsen av et digitalt grenseforsvar, hva det vil innebære, og hvordan et digitalt grenseforsvar utfordrer personvernet.2 BAKGRUNN
En av de mest sentrale diskusjonene knyttet til personvern og digital overvåking oppsto i kjølvannet av et økende antall terrorangrep tidlig på 2000-tallet, herunder blant annet 11. september 2001 i New York, bombeeksplosjonene i Madrid 2004 og terrorangrepet på kollektivsystemet i London i 2005. Som en reaksjon på disse hendelsene vedtok EU i 2006 innføringen av et datalagringsdirektiv (DLD). Hensikten med direktivet var å «gi justismyndighetene et verktøy for å avdekke, etterforske og straffeforfølge alvorlig kriminalitet» (Stortinget, 2011a). Politiet hadde frem til da hatt tilgang til lagret datakommunikasjon for etterforskningsformål, men med datalagringsdirektivet skulle politiet gjøres i stand til å opptre proaktivt og samle inn informasjon allerede før en hendelse har oppstått. Innsamlingen skulle omfatte overvåking av alle enkeltpersoners digitale kommunikasjon, hvor man, til tross for at innholdet i kommunikasjonen ikke skulle avsløres, fikk vite blant annet hvor, når, mellom hvem og hvor lenge kommunikasjonen hadde funnet sted (Datatilsynet, 2014). I praksis ville DLD innebære at politimyndighetene kunne spore opp enhver tekstmelding, mail eller telefonsamtale, vite hvem deltakerne i kommunikasjonen var, hvor de befant seg, og hvor lenge kommunikasjonen varte. Til tross for at innholdet skulle forbli hemmeligholdt, kunne de foregående nevnte kjennetegn i mange tilfeller være avslørende nok, og for mange ble dette oppfattet som en inngripen i privatlivet. Hvorvidt man var under mistanke for straffbare forhold eller ei, var også uten betydning - all kommunikasjon skulle kunne overvåkes og opplysningene lagres i opptil seks måneder. Datalagringsdirektivet fikk massiv kritikk. Noen av de mest fremtredende motargumentene var at direktivet var i strid med Den europeiske menneskerettighetskonvensjon, og at det kunne oppleves som en massiv inngripen i den enkelte borgers personvern og dermed en direkte krenkelse av privatlivets fred (Stortinget, 2011b). Datalagringsdirektivet ble til slutt erkjent ugyldig av EU-domstolen i 2014.
I 2015-2016 oppsto det en ny debatt om digital overvåking i det offentlige rom. Denne gangen var det forslaget om å innføre et digitalt grenseforsvar som vekket interesse. Forslaget kom som følge av en utredning om det norske samfunnets digitale sårbarhet, gjennomført av et utvalg ledet av professor Olav Lysne, derav også kalt Lysneutvalget. Lysneutvalget ble nedsatt av regjeringen i 2014. Formålet var å beskrive de digitale sårbarhetene Norge sto overfor både da og i nærmeste fremtid. Videre skulle utvalget foreslå konkrete tiltak for å styrke beredskapen og redusere denne digitale sårbarheten (NOU 2015: 13). Rapporten ble fremlagt for Justis- og beredskapsdepartementet 30. november 2015 og tok for seg en rekke kritiske sårbarhetsområder samt tiltak for å beskytte enkeltmennesker og samfunn i en digitalisert verden. Lysneutvalget påpekte blant annet hvordan trusselbildet endres på grunn av økende bruk av elektronisk kommunikasjon, økende avhengighet av uoversiktlige, digitale verdikjeder samt myndighetenes manglende evne til å operere i det digitale domenet.
Den 24. februar 2016 vedtok Forsvarsdepartementet å oppnevne Lysne
Gå til mediet Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. (EMK artikkel 8) Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. (Grunnloven § 102) Personvern er grunnlaget for tillit i et digitalisert samfunn. Norge har hatt personvernlovgivning siden 70-tallet (personregisterloven av 1978). Senest i 2018 ble lovgivningen revidert ved en ny personvernforordning, General Data Protection Regulation (GDPR). Formålet er å sikre at alle virksomheter, private og offentlige, er underlagt de samme personvernbestemmelsene.
Personvernet er imidlertid ikke en fast størrelse. Selv om lovverket er utarbeidet for å samsvare med tidens digitale løsninger og utfordringer, forutsetter den teknologiske utviklingen, kombinert med nye bruksområder og muligheter, en kontinuerlig vurdering og revurdering av hva som skal tillates, og hva som ikke skal tillates. Et tema som særlig utfordrer personvernet, er regjeringens forslag om opprettelse av et digitalt grenseforsvar. I regjeringen arbeides det nå med å utvikle et regelverk som tillater Forsvarets etterretningstjeneste å overvåke all digital kommunikasjon som krysser landets grenser. I tillegg til metadata - data som beskriver mellom hvem, hvor og når en samtale finner sted - ønsker man også å få tilgang til selve innholdet i kommunikasjonen. Digitalt grenseforsvar omtales også som tilrettelagt innhenting i regjeringens lovforslag.
Bakgrunnen for forslaget om digitalt grenseforsvar er en drastisk økning i trusselbildets kompleksitet, en utvikling som ventes å prege samfunnet i tiden fremover. Den nåværende etterretningstjenesteloven ble sist revidert i 1998. Siden den gang har det skjedd store teknologiske endringer. Det digitale rom benyttes aktivt av mange, og vi ser stadig nye metoder for å utøve kriminalitet. Elektroniske kommunikasjonsplattformer kan benyttes til påvirkning for å skape splid, til infiltrering for å sabotere og spionere, eller til samarbeid, rekruttering, planlegging, koordinering og finansiering av terrorhandlinger mellom internasjonale terrorister (Søreide, 2017). Til tross for dette har den norske Etterretningstjenesten per dags dato ingen lovmessig hjemmel som tillater dem å innhente informasjon som krysser norsk grense via internett og telefoni. Beskrivelser av teknologi eller metoder for innhenting av informasjon omtales heller ikke innenfor Etterretningstjenestens virke. Det argumenteres derfor for at et digitalt grenseforsvar vil bidra til økt statssikkerhet, eksempelvis ved å fange opp kommunikasjon mellom terrorister i Norge og utlandet. Tiltaket skal også avdekke og hindre sabotasje knyttet til kritisk infrastruktur i samfunnet, samt avverge forsøk på cyberangrep og spionasje. Ved å følge datastrømmene som passerer norsk grense, kan Etterretningstjenesten langt lettere identifisere datatrafikk og personer som utgjør en trussel mot Norge.
Etterretningstjenesten har dog ikke et sikkerhetsmandat. Det betyr at Etterretningstjenesten kun skal bruke innsamlet informasjon til å varsle og gi råd til andre aktører slik som Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). Det betyr at informasjon innhentet gjennom tilrettelagt innhenting må deles om den skal kunne brukes preventivt av andre deler av norsk myndighetsapparat. Om man for eksempel oppdager et hackerangrep fra et annet land, kan ikke Etterretningstjenesten gripe inn og stanse det, men må gjennom Felles cyberkoordineringssenter (FCKS) overlate til NSM å gjøre det. Det forutsetter dermed at aktørene kan dele innhentet informasjon. I det videre vil vi søke å gi en nærmere utredning av bakgrunnen for opprettelsen av et digitalt grenseforsvar, hva det vil innebære, og hvordan et digitalt grenseforsvar utfordrer personvernet.2 BAKGRUNN
En av de mest sentrale diskusjonene knyttet til personvern og digital overvåking oppsto i kjølvannet av et økende antall terrorangrep tidlig på 2000-tallet, herunder blant annet 11. september 2001 i New York, bombeeksplosjonene i Madrid 2004 og terrorangrepet på kollektivsystemet i London i 2005. Som en reaksjon på disse hendelsene vedtok EU i 2006 innføringen av et datalagringsdirektiv (DLD). Hensikten med direktivet var å «gi justismyndighetene et verktøy for å avdekke, etterforske og straffeforfølge alvorlig kriminalitet» (Stortinget, 2011a). Politiet hadde frem til da hatt tilgang til lagret datakommunikasjon for etterforskningsformål, men med datalagringsdirektivet skulle politiet gjøres i stand til å opptre proaktivt og samle inn informasjon allerede før en hendelse har oppstått. Innsamlingen skulle omfatte overvåking av alle enkeltpersoners digitale kommunikasjon, hvor man, til tross for at innholdet i kommunikasjonen ikke skulle avsløres, fikk vite blant annet hvor, når, mellom hvem og hvor lenge kommunikasjonen hadde funnet sted (Datatilsynet, 2014). I praksis ville DLD innebære at politimyndighetene kunne spore opp enhver tekstmelding, mail eller telefonsamtale, vite hvem deltakerne i kommunikasjonen var, hvor de befant seg, og hvor lenge kommunikasjonen varte. Til tross for at innholdet skulle forbli hemmeligholdt, kunne de foregående nevnte kjennetegn i mange tilfeller være avslørende nok, og for mange ble dette oppfattet som en inngripen i privatlivet. Hvorvidt man var under mistanke for straffbare forhold eller ei, var også uten betydning - all kommunikasjon skulle kunne overvåkes og opplysningene lagres i opptil seks måneder. Datalagringsdirektivet fikk massiv kritikk. Noen av de mest fremtredende motargumentene var at direktivet var i strid med Den europeiske menneskerettighetskonvensjon, og at det kunne oppleves som en massiv inngripen i den enkelte borgers personvern og dermed en direkte krenkelse av privatlivets fred (Stortinget, 2011b). Datalagringsdirektivet ble til slutt erkjent ugyldig av EU-domstolen i 2014.
I 2015-2016 oppsto det en ny debatt om digital overvåking i det offentlige rom. Denne gangen var det forslaget om å innføre et digitalt grenseforsvar som vekket interesse. Forslaget kom som følge av en utredning om det norske samfunnets digitale sårbarhet, gjennomført av et utvalg ledet av professor Olav Lysne, derav også kalt Lysneutvalget. Lysneutvalget ble nedsatt av regjeringen i 2014. Formålet var å beskrive de digitale sårbarhetene Norge sto overfor både da og i nærmeste fremtid. Videre skulle utvalget foreslå konkrete tiltak for å styrke beredskapen og redusere denne digitale sårbarheten (NOU 2015: 13). Rapporten ble fremlagt for Justis- og beredskapsdepartementet 30. november 2015 og tok for seg en rekke kritiske sårbarhetsområder samt tiltak for å beskytte enkeltmennesker og samfunn i en digitalisert verden. Lysneutvalget påpekte blant annet hvordan trusselbildet endres på grunn av økende bruk av elektronisk kommunikasjon, økende avhengighet av uoversiktlige, digitale verdikjeder samt myndighetenes manglende evne til å operere i det digitale domenet.
Den 24. februar 2016 vedtok Forsvarsdepartementet å oppnevne Lysne
