Rammene for intervjuet var at han ikke skulle intervjues om personlige forhold, for eksempel hvordan han hadde det i Moskva. Den dyktige journalisten Per Anders Johansen i Aftenposten stilte imidlertid flere spørsmål om dette, og Snowden svarte villig vekk. Blant annet sa han at han levde et ganske normalt liv. Han ville heller levd i USA, men dypest sett levde han livet sitt på internett – og det kunne han gjøre fra Moskva. Amerikanske myndigheter kunne heller ikke nekte ham å undervise på Princeton og Harvard. Men samtidig var livet vanskelig, han hadde forlat «paradiset Hawaii», forlatt kjæresten sin og det var vanskelig å treffe familien.

Mest interessant var imidlertid Snowdens politiske budskap. Det store skillet var, ifølge Snowden, at man ikke lenger trengte fysisk tilstedeværelse for å overvåke noe, og at det ikke var noen teknologiske begrensninger i hva som var mulig å iverksette av overvåkningstiltak i terrorbekjempelsens navn. Og som hans sa: Hva annet kan de bruke dataene til? Mellom linjene sagt; absolutt alt.

Snowden snakket også om metadata og understreket hvor ekstremt avslørende slike data er. Han mente det var viktig å utvikle ny teknologi og nye standarder for å sikre beskyttelse av personvernet. Han understreket også betydningen av kryptering er for å sikre trygg kommunikasjon.

 

For Edvard Snowden var dette det aller viktigste: Sannheten kom fram og det ble avslørt at myndighetene ikke hadde tillit til sin egen befolkning.

Et spørsmål mange lurte på var om Snowden angret på det han hadde gjort. Han svarte et klare nei på det, og det var åpenbart at han mente han hadde gjort en forskjell. Han trakk bl.a. fram at flere av de overvåkingsprogrammene han hadde avslørt var avsluttet. Han nevnte viktige vedtak i kongressen og senatet (uten å være spesifikk på hvilke) og viktige domstolsavgjørelser, blant annet EU-domstolens avgjørelse om at datalagringsdirektivet var ugyldig. Han mente også at hans avsløringer hadde bidratt til å vise at massiv overvåking av befolkningen faktisk ikke hadde noen effekt for å avdekke og forebygge terror og alvorlig kriminalitet. Som han sa: «De visste hvem terroristen var, men klarte ikke å stoppe ham».

Edvard Snowden mottar Bjørson-prisen

For Snowden handler personvern dypest sett om demokrati og ytringsfrihet. Han fryktet en utvikling der folk unnlot å gjøre ting dersom de følte seg overvåket. «Hvilken bok vil du ikke tørre å lese» spurte han retorisk.

Folks likegyldighet var hans siste tema. Mange sier de ikke er opptatt av personvern fordi de ikke har noe å skjule. Snowdens elegante resonnement er at det er som å si at man ikke er opptatt av ytringsfrihet fordi man ikke har noe å si. Han mente alle kunne gjøre en forskjell og at alle hadde en ansvar for å engasjere seg. Han snakket ned sin egen betydning og mente han var en vanlig fyr. Han innså imidlertid at han hadde gjort en viktig jobb. Og for Edvard Snowden var dette det aller viktigste: Sannheten kom fram og det ble avslørt at myndighetene ikke hadde tillit til sin egen befolkning.

Og mannen som snakket hadde mer på lager. Han snakket om viktigheten av kryptert informasjon. Kanskje fikk han også fram gåsehuden hos tilhengerne da han dro følgende frase: «We believe that people have a fundamental right to privacy. The American people demand it, the Constitution demands it, morally.»

Så er spørsmålet: Hvem sa disse Pauli ord? Overraskende nok: Apple-sjef Tim Cook, som tok et oppgjør med en forretningsmodell som er rådende blant mange av de stor teknologiselskapene, som Google og Facebook: Det er våre personopplysninger som er betalingen for de tjenestene vi får.

Jeg har lenge undret meg over hvorfor ikke flere selskaper forsøker å gjøre personvern til et konkurransefortrinn. Nå har Apple både ett og to personvernsvin på skogen, men det er interessant å se at en av de virkelig store, og utvilsomt mest ikoniske teknologiselskapene, så klart og tydelig taler personvernets sak. Vi må selvsagt ikke innbille oss annet enn at Tim Cook gjør dette for å tjene penger, og ære være ham for det, men fortjenesten skal skaffes ved å fri til de som er opptatt av personvern.

Vi har sett det også tidligere. I kjølvannet av Edward Snowdens avsløringer ble det skapt usikkerhet om hvor trygt amerikansk skylagring var. Flere norske selskaper opplevde stor tilstrømning av kunder, og de markedsførte seg med godt personvern og trygg lagring utenfor amerikanske klør. Det har nærmest vært en bølge blant amerikanske teknologiselskaper om å innføre kryptering, og de aller fleste selskaper publiserer transparancy reports, der de offentliggjør hvor mange forespørsler om innsyn de mottar fra politiet i ulike land. Hensikten er å spille personvernkortet, å vise åpenhet overfor sine kunder, å tilby sikkerhet og trygghet slik at de … nettopp! kan tjene flere penger.

Det er umulig å forutse hvordan utviklingen blir fremover. Det avhenger også av om regelverket legger til rette for at folk kan ta med seg dataene sine dersom de bytter selskap, slik vi kan med mobilnummeret vårt når vi bytter mobilabonnement. I EUs forslag til ny personvern-forordning er det foreslått å innføre dataportabilitet, som på visse vilkår åpner for at vi forbrukere kan kreve våre data overført til et nytt selskap. Og for en personverner som meg: Til det selskapet som er best på personvern. Og hvis teknologiselskapene begynner å konkurrere om det kan vi se framtida lysere i møte.

At Norge forvalter domenet .no er ingen hemmelighet. Færre vet at vi i tillegg har kontroll på domene .sj (Svalbard og Jan Mayen) og .bv ( Bouvetøya). Dette er sovende domener, derfor syntes jeg Håkons ide var interessant og nytenkende.

Prosessen som fulgte har vært den merkeligste jeg har opplevd i de årene jeg har jobbet med forbruker- eller personvernspørsmål.  Det toppet seg 10. juli. Da fikk jeg et brev fra Samferdselsdepartementet. Normalt er det vanskelig å få et departement i tale, og dette er faktisk første gang jeg har opplevd at et departement har tatt aktiv til motmæle mot høyttenking uten at det har vært noen form for kontakt på forhånd.

Departementet ønsket å gi en «umiddelbar» reaksjon på det som ble framstilt som «et forslag» fra Datatilsynet. Vi kunne lese at:

• «departementet ønsker derfor ingen prosess som har til formål å undergrave ideen om .no som et sikkert og trygt domene»
• «at norske selskaper i tillegg vil bli tvunget til å anskaffe domenenavn også under .sj og .bv for å beskytte sine interesser ansees som uheldig» »
• «et personvernvennlig domene kan enkelt realiseres under Datatilsynets eget domenenavn eller under et nytt underkategori under .no»

Les brevet fra Samferdselsdepartementet her

Ønsker en ny leverandør å etablere en ny internettjeneste under domenet, skal ikke bruker akseptere et sett med betingelser – det er tjenesteleverandøren som aksepterer bruksbetingelsene for domenet

Teknologirådet inviterte til høring om forslaget den 10. september. Det ble et interessant og inspirerende møte. Jeg holdt et innlegg, og nedenfor gjengir jeg det jeg sa i innledningen min:

Det er stor oppmerksomhet om manglende informasjonssikkerhet. Datasentre hackes, sensitiv informasjon kommer på avveier og det er generelt alt for dårlig informasjonssikkerhetstenkning i Norge. Som et eksempel kan jeg nevne at Datatilsynet har gjennomført ca 20 tilsyn mot norske kommuner og funnet feil og mangler hos nær sagt alle. Det er behov for et krafttak for personvern i kommunal sektor.

Samtidig beveger samfunnet seg i retning av mer overvåking og kontroll. PSTs forslag om bruk av stordata og Edvard Snowdens avsløringer er eksempler på det. Vi registreres hvor enn vi er på nett og cookies av ulike slag slipper vi ikke unna. Ny teknologi introduseres nærmest daglig. På tilsyn finner vi for ofte at data lagres for lenge.

Det hevdes at .no er et av verdens tryggeste og sikrest domener, og det er sikkert helt riktig. Men hva gjør .no for personvern og informasjonssikkerhet? Kan det hindre at PST får bruke data fra firmaer med en .no – adresse i sin big data – analyse. Etterleves personopplysningslovens sletteregler bedre på et .no – domene? Blir vi i mindre grad tracket av cookies på et .no – domene? Og er informasjonssikkerheten bedre på et .no – domene?

Svaret på disse spørsmålene er nei!

Så er spørsmålet – kan vi ved å bruke de to toppdomenene .sj og .bv bidra til større sikkerhet og bedre personvern?

Jeg vet ikke, men det jeg liker med denne ideen er den tvinger oss til å tenke i nye baner. For tror vi at utfordringene knyttet til overvåking, til manglende informasjonssikkerhet og til manglende etterlevelse av personopplysningsloven blir mindre i årene som kommer? Selvsagt ikke.

Hele ideen er egentlig oppsummert i følgende setning i invitasjonen: «Ønsker en ny leverandør å etablere en ny internettjeneste under domenet, skal ikke bruker akseptere et sett med betingelse – det er tjenesteleverandøren som aksepterer bruksbetingelsene for domenet».

Den sveitsiske protonmail.ch er nevnt som et eksempel i invitasjonen. Tjenesten tilbyr blant beskyttelse under sveitsiske regelverk, kryptering, ingen tracking av brukeren og en n anonymitets-garanti. Nå er selskapet registrert under et .ch-domene. Tjenesten kunne kanskje vært registrert også på .no. Men så er spørsmålet: Ønsker det norske politiske miljøet å bruke de frie toppdomenene til å etablere en trygg havn der nettopp slike tjenester kan etablere seg? Ønsker de kanskje å stille tilleggskrav om informasjonssikkerhet? Ønsker de å stille tilleggskrav om sletting, om kryptering osv?

Jeg har ikke svaret på dette, men spørsmålet må besvares med annet enn en beskjed om å ligge unna. Kanskje kan det også ligge penger i dette. Dersom .sj og .bv etableres som en trygg havn kan det  tiltrekke seg selskaper som ønsker å tjene penger på å tilby sikre tjenester, enten det er epost, netthandel, helserådgivning eller kredittkort, for å nevne noen eksempler. Målet må i så fall være at .bv eller .sj etableres som et varemerke for sikkerhet og personvern. Da kan vi også se selskaper som har et «vanlig» .no domene der vi selger personopplysningene våre mot personifisert reklame, men en egen .sj-avdeling der vi kanskje betaler en femtilapp om måneden for å slippe nettopp reklamen.

Dette er foreløpige tanker. Det hører definitivt med til kategorien «tenkt, men ikke tenkt ferdig». Men skal vi skape bedre levekår for personvern og informasjonssikkerhet må vi iblant tenke nytt og snu nye steiner. Det er det jeg synes vi skal gjøre nå.

Det ble en fin debatt etterpå. Folk fra NORID kom med saklige motforestillinger mot forslaget, bl.a. at det kunne føre til en oppdeling av internett ( balkanisering) og at man måtte vise at det var interesse for å knytte seg til et slikt domene. Dette er fornuftige innspill. Balkanisering må unngås, og det ligger selvsagt viktig utredningsarbeid foran oss dersom vi skal gå videre med ideen. Her er noen innspill til hvilke krav som kan stilles til .sj og .bv:

• Lagring skal skje i Norge og under norske jurisdiksjon
• Det må stilles strenge krav til hvilke typer cookies som kan aksepteres
• Det må tilbys brukervennlig og sikker kryptering
• Det må være streng tilgangskontroll
• Data må ikke selges til tredjeparter
• Selskapet må forplikte seg til jevnlig gjennomgang av egen sikkerhet
• Selskapene må forplikte seg til å følge forbrukerregelverket og operere med kontrakter som er i overensstemmelse med reglene i markedsføringsloven
• Det kan etableres et klageorgan som kan frata selskapet retten til å operere under .sj og .bv – domenet.

Det vi i denne omgang trenger er politisk interesse for å gå videre. I et samfunn som skriker etter bedre personvern og bedre informasjonssikkerhet er det alt for defensivt å skyte ned forslaget slik Samferdselsdepartementet har forsøkt å gjøre.