Den 5. juni 2013 var Edward Snowden en ukjent mann. Kort etter var han på alles tunger. Nå er han foreslått som kandidat til Nobels fredspris og støttes av et imponerende knippe samfunnstopper.

Snowden avslørte at vår nærmeste allierte USA sto bak massiv overvåking av både Jørgen Hattemaker og Angela Merkel. Kilden til informasjonen var våre hverdagstjenester og arbeidsverktøy fra selskaper som Microsoft, Facebook og Google. Avsløringer av denne typen fører selvsagt til sterk kritikk og nedsettelse av refsende komiteer. Men hva har den egentlig virkningen av saken vært, nå ett år etter?

Oppslag i Washington post 7. juni 2013.

Ny personvernforordning

I flere år har EU jobbet med en ny personvernforordning. Arbeidet sto i stampe, og EU-parlamentet slet med å komme fram til enighet. Til manges overraskelse kom EU-parlamentet i mars i år fram til enighet om et forslag som på mange punkter styrket personvernet. Blant de interessante forslagene var at enhver behandling av data i Europa skal følge EUs regelverk. En amerikansk bedrift som retter sin virksomhet mot europeiske borgere kan altså ikke lenger unnskylde seg med at den ikke er etablert i Europa.

Datalagringsdirektivet kjent ugyldig

Datalagringsdirektivet ( DLD) ble vedtatt i Norge i april 2011 etter omfattende debatt, og loven skulle tre i kraft 1. juli 2015. I april i år kom imidlertid EU-domstolen til at direktivet var i strid med EUs charter for grunnleggende rettigheter. Domstolen la blant annet vekt på at datalagringsdirektivet på en alvorlig måte grep inn i borgernes grunnleggende rett til respekt for sitt privatliv og til beskyttelse av sine persondata. Lagring av trafikkdata kunne, ifølge dommen, gi borgerne en følelse av at deres privatliv var under konstant overvåking. EU-domstolen la stor vekt på at direktivet omfattet lagring av alle typer trafikkdata uten noen form for differensiering eller begrensning i lys av direktivets formål, som var å bekjempe alvorlig kriminalitet. Man burde altså skilt mellom ulike typer trafikkdata.

Lagring av trafikkdata kunne, ifølge dommen, gi borgerne en følelse av at deres privatliv var under konstant overvåking

Press for økt åpenhet

Snowdens avsløringer har naturlig nok også vakt reaksjoner hos de store teknologiselskapene. I et forsøk på å utvise åpenhet, og slå tilbake påstanden om at de hadde samarbeidet med sikkerhetsmyndighetene i USA, har stadig flere selskaper laget såkalte transparency reports. Der fremgår det blant annet hva slags og hvor mange henvendelser de har fått fra politiet i ulike land og hva slags opplysninger de etterspør. Microsoft og Google frontet et søksmål mot Justisdepartementet fordi de mente regelverket stengte for å offentliggjøre visse type opplysninger. Resultatet ble et kompromiss der selskapene bl.a. kunne offentliggjøre antall saker som falt inn under de såkalte FISA-regelverket (som gjelder registrering av utenlandske statsborgere) og det totale antall henvendelser de mottok fra myndighetene.

Økt interesse for personvern

Datatilsynet ønsket også å se om Snowden-saken har endret folks holdninger til personvern. I en undersøkelse høsten 2013 spurte vi folk om i hvor stor grad de var opptatt av personvern. 87 prosent svarte at de var ganske opptatt eller svært opptatt av personvern, mens kun 13 prosent svarte at de var lite opptatt av personvern. Tallene i 1997 var henholdsvis 77 prosent og 23 prosent. Vi spurte også om de hadde blitt mer eller mindre opptatt av personvern de to-tre siste årene. 49 prosent svarte at det var like opptatt, mens hele 46 prosent svarte at de var mer opptatt av personvern enn før. Tallene bekrefter vår antagelse, nemlig at folk er blitt mer opptatt av personvern.

Datatilsynets undersøkelse viser tydelig at folk har blitt mer opptatt av personvern de siste årene

Hva nå?

Jeg er ikke i tvil om at Snowdens avsløringer har hatt stor påvirkning på personvernforordningen, på DLD-dommen, på teknologigigantenes åpenhet og på folks holdninger til personvern. Personvern er blitt en interesse som ikke lenger kan overses. Hva så med Norge? Vi noterer med glede at DLD ble lagt bort og at gjeldsregisteret fortsatt ikke er vedtatt. Flere viktige saker nærmer seg regjeringens bord. Vil den følge opp PSTs forslag om å få overvåke folks tastaturer? Vil det komme forslag om et nytt, alternativt datalagringsdirektiv? Vil sikkerhet- og sårbarhetsutvalget i tilstrekkelig grad ta hensyn til at tung sikring av data ofte innebærer overvåking av enkeltmennesker? Vil gruppen som evaluerer EOS-utvalget overskue den enorme teknologiutviklingen som nå foregår i samfunnet og gi utvalget de musklene det trenger?

Personvern er blitt en interesse som ikke lenger kan overses.

Vi ser med tilfredshet at personvern er mer tilstede i debatten enn noen gang. Men det er mye tapt terreng å vinne tilbake. Vi får håpe EUs domstol og parlament inspirerer våre nasjonale beslutningstakere.

Nylig la Microsoft fram sin rapport om innsynsbegjæringer de mottar fra politiet i ulike land. Selskapet mottok 75 278 innsynsbegjæringer som potensielt rettet seg mot over 137 000 kontoer. Norsk politi kom med 187 henvendelser mot 426 kontoer. For Norges del ble det  ikke i noen tilfelle utlevert innholdsdata, typisk innhold i en hotmail-melding. Det ble derimot i nesten 90 prosent av henvendelsene utlevert annen type data (ikke innholdsdata). Dette dreide seg om informasjon om et kundeforhold, for eksempel hvem som er registrert som eier av en epost-adresse, vedkommendes alder og hvilken land som var oppgitt som bosted. Microsoft legger også fram et konkret eksempel på hva de opplyser om ved en standard  utlevering til politiet.

Også Google publiserer  slike rapporter. De mottok 66 249  begjæringer mot kontoer i 2012. Første halvår 2012 kom det 37 henvendelser fra norsk politi. I de tre årene rapportene er publisert  har de opplevd en betydelig økning i antallet henvendelser. I følge en bloggpost fra Center for Internet and Society på Stanford University mottok Twitter henvendelser knytta til 2 614 kontoer mens Dropbox mottok 164.

Datatilsynet  har etterlyst slike rapporter fra flere selskaper. Blant annet har vi oppfordret Facebook til å utarbeide en tilsvarende rapport, uten at dette så langt er etterkommet.

Derfor er det gledelig at Microsoft nå legger seg på en linje med større åpenhet om politiets innsynsbegjæringer. Her kan både norske selskaper og myndigheter ha noe å lære. Regjeringen har dessuten varslet at datalagringsdirektivet trer i kraft i løpet av 2013.

Vi forventer at det utarbeides god statistikk over hvor mange saker politiet ber om opplysninger i, hva slags opplysninger de ber om og hva som slags opplysninger de får. Åpenhet og gjennomsiktighet er viktige verdier i et liberalt demokrati, og vil dessuten bidra til at folk kan bruke retten til innsyn i hva som er lagret om dem.

Vi fikk en meget grundig innføring i Microsofts personverntenkning, blant annet deres do not track – løsning i Internet Explorer 10. Dette var ikke minst interessant fordi do not track har vært et gjennomgangstema i flere av møtene våre her i USA. Geff Brown gikk deretter gjennom skytjenesten Microsoft 365. Vi kjente hovedpunktene fra før, men det var beroligende å høre fra sentralt Microsoft-hold at forbrukerdata som lagres i deres cloud-løsning ikke mingles med andre forbrukerdata. Vi fikk også en orientering om Microsoft Trust Center.

Et av formålene med denne turen har vært å fange opp trender, og i så måte har den vært en stor suksess. I diskusjonen om cloud-løsninger og sensitive data kom det fram at mange helseinstitusjoner i USA lagrer pasientdata i skyen. Vi skal ikke her felle en dom over det, men det er ingen tvil om at dette ville vært svært krevende i Norge – og det er trolig heller ikke på den politiske dagsorden. Microsoft påpekte for øvrig at det i USA var mange små helseforetak med dårlig informasjonssikkerhet som fikk økt sikkerheten ved å gå i skyen.

Microsoft ga oss også en presentasjon av dagens – og morgendagens – teknologiske muligheter, og her som de andre stedene vi har besøkt konkluderte vi med at framtida blir spennende – og krevende.