**

Takk for invitasjonen. Det er et svært viktig tema vi skal diskutere, nemlig personvernets går i dag.

Det er flere symbolske tidsskiller i denne diskusjonen:

• 11. september 2001: New York og Washington ble rammet av terrorangrep
• 22. juli 2011: Terrorangrep mot regjeringskvartalet og Utøya.
• 7. juni 2013: Edward Snowdens avsløringer ble presentert for første gang
• 8. april 2014: Datalagringsdirektivet (DLD) ble kjent ugyldig
• 8. juni 2016: Dataavlesing vedtas i Norge
• 6. september 2016: Forslaget om å innføre digitalt grenseforsvar legges fram
• 21. desember 2016: Datalagringsdirektiv-dom II – Sverige og UKs implementering av direktivet blir kjent ugyldig av EU-domstolen

Men det startet 11. september 2001, og senere terroraksjoner i London og Madrid. I kjølvannet av disse forferdelige hendelsene ble Patriot act innført i USA, og Europa fulgte etter ved å vedta DLD i 2006. Dette direktivet er et ektefødt barn av de nevnte terrorhandlinger. I tillegg fikk vi flere ulike anti-terrorpakker i 2002 og 2005 her hjemme.

DLD innvarslet noe helt nytt. Det har alltid vært slik at data som allerede var samlet inn til andre formål, kunne brukes i politietterforskning. Men nå gikk vi over til storstilt før-var-innsamling av data om alle norske borgere. Det var altså snakk om data om oss alle, det var snakk om hvem vi ringte, hvem vi tekstet med, hvem vi sendte eposter til og når vi gjorde det. Selv om ikke innhold skulle lagres, vil hvem vi har hatt kontakt med avsløre innholdet i kommunikasjonen. En telefon til Støttesenteret mot Incest etterfulgt av en telefon til politiet er svært avslørende.

DLD ble årets debatt i 2011, og vedtatt med minimalt flertall i Stortinget, 89 mot 80 stemmer. Det ble holdt 105 innlegg og debatten varte i 9 ½ time.

Så kom 22. juli 2011. Delvis i kjølvannet av dette ble det innført en endring i reglene for det straffbare forsøk, ved at tidspunktet for det straffbare ble flyttet til et tidligere tidspunkt i gjerningsprosessen, til et tidspunkt da ytre tegn peker mot gjennomføringen. Det var altså et langt stykke fra Andenæs’ postulat: Planleggingens tid er forbi, nå skrider han til verket. Begrunnelsen var dessuten oppsiktsvekkende. Det var ikke å straffe, men straffbarheten skulle åpne for bruk av tvangsmidler på et tidligere tidspunkt. Dette innvarslet noe helt nytt i norsk rett

7. juni 2013 var jeg i USA for å drive research til en bok jeg skrev om Den amerikanske presidents norske datter. Samme dag hadde Washington Post sitt først oppslag om Edward Snowdens avsløringer. Personverndebatten tok en ny retning, særlig etter at det kom fram at Angela Merkels telefon hadde blitt avlyttet. USAs forhold til flere land, herunder Tyskland, ble skadet, og fortsatt sliter man med sår som ikke har grodd og manglende tillitt.

Det interessante for dagens tema er midlertid dette: Det kom en helt ny dynamikk inn i personverndebatten. Og i april 2014 etter kom altså EU-domstolens avgjørelse om at DLD var ugyldig.

Hvorfor ble direktivet kjent ugyldig? Det kan oppsummeres slik:

• Det griper inn i borgernes rett til respekt for sitt privatliv
• Lagring kan føre til at folk får en følelse av å være under konstant overvåking
• Alle typer trafikkdata ( epost, IP-adresser, mobildata, sms osv) behandles likt, uten å differensiere hvor stor betydning de ulike datatypene har for å bekjempe kriminalitet
• Det er for uklare kriterier for straffbarheten, for hva er egentlig alvorlig kriminalitet?
• MEN: Domstolen anerkjenner at det er legitimt å registrere trafikkdata for å bekjempe kriminalitet

Det direkte resultat av dette her i Norge var at loven som implementerte DLD aldri trådt i kraft. Og vi skulle kanskje tro at appetitten på data ble noe svekket etter dette. Men nei, allerede i slutten av august samme år foreslo PSTs sjef Benedicte Bjørnland å «samle inn og bruke stordata». I begrunnelsen var hun forbilledlig åpen på hva dette ville bety:

• PST ville «samle en større mengde informasjon over tid», og de var helt åpne på at mange som ikke har gjort noe galt ville bli registrert
• Kilder i stordataanalyse skulle være all vår nettaktivitet og alle våre dagligdagse aktiviteter
• Terroristalgoritmer ville bli brukt til å flagge mistenkelige personer
• Forslaget ville fravike prinsippet om formålsbestemthet, nødvendighet og relevans

Kl 13:28 samme dag som forslaget ble lagt fram, meldte NRK at forslaget [var] nedstemt før det er foreslått. Samtlige partier sa nei. Dermed kunne vi jo, igjen, håpe at det ble tatt en pause i iveren etter å innføre nye tiltak.

Men igjen ble grensene flyttet, og denne gangen i form av forslag om å innføre dataavlesing, som ble vedtatt sommeren 2016.

Datatilsynet var kritisk til dette forslaget. Dette skyldes blant annet at det ikke er, og må aldri bli, forbudt å tenke ondsindige eller farlige tanker. Vi må heller ikke frata mennesket dets rett til å gjennomføre gode etiske valg, til å følge sitt moralske kompass, om for eksempel å tenke på å gjennomføre en kriminell handling, men når tiden nærmer seg beslutte å ikke gå videre med planene.

Å tillate dataavlesing er et stykke på vei en kriminalisering av tanken

Å tillate dataavlesing er et stykke på vei en kriminalisering av tanken. Et slikt virkemiddel krever en meget god begrunnelse og dokumentasjon for at dette tiltaket faktisk vil ha en så stor effekt på kriminalitetsbekjempelsen at det veier tynge enn inngrepet i personvernet til borgerne. Vi uttrykte i vår høring overraskelse over at slik dokumentasjon ikke ble framlagt, og ble ikke beroliget av at dette heller ikke har latt seg gjøre i våre naboland.

Men vi forsøkte å komme regjeringen i møte, og foreslo at det etter to år måte gjennomføres en evaluering av hvorvidt tiltaket har hatt noen effekt for kriminalitetsbekjempelsen, sett opp mot rettsikkerhets- og personvernmessige konsekvenser.

For å sikre at evalueringen faktisk blir gjennomført, foreslo vi at reglene ble vedtatt som en såkalt solnedgangslov. Dersom det ikke fremlegges solid dokumentasjon på at dataavlesing er et proporsjonalt tiltak, gikk reglene automatisk ut på dato.

Dette ble dessverre ikke vedtatt.

Jeg vil også her komme innom årsmeldingen fra Norges Nasjonale Institusjon for Menneskerettigheter og deres glimrende temarapporten om Grunnlovens § 102 og dataavlesing. Her konkluderes det, riktignok forsiktig, med at deler av reglene om innføring av dataavlesing er i strid med Grunnlovens § 102. Særlig reglene som hjemler bruk av dataavlesing i avvergende og forebyggende øyemed kan være grunnlovsstridig. Dessuten påpekes det at dataavlesing er svært løst definert, og kan innebære en lang rekke tiltak, fra mobiler til printere og treningsarmbånd, som kan gi tilgang til svært ulike type, og i varierende grad relevant, informasjon.

Siste tilskudd på overvåkningsstammen er forslaget om å innføre et digitalt grenseforsvar ( DGF) i Norge, kanskje det største angrepet på personvernet noen gang.

Etter vår mening er utvalgets forslag i strid med Den Europeiske Menneskerettighetskonvensjonens art 8 og Grunnlovens § 102.

Dette skyldes særlig DLD-dom II fra 21. desember i fjor mot bl.a. Sverige, og som gjaldt den svenske implementeringen av DLD. Denne dommen slo fast at masselagring av personlig informasjon om oss er uforenlig med menneskerettighetene.

Begrunnelsen er svært interessant. Domstolen peker først, slik den også gjorde i den første DLD-dommen, på at slike tiltak vil føre til at befolkningen vil få en følelse av å være under kontinuerlig overvåkning. Domstolen sier videre at det må være en sammenheng mellom de dataene som lagres og den konkrete trusselen som tiltaket har til hensikt å avverge.

Videre uttaler domstolen at det er et krav at lagringen må være avgrenset med hensyn til tid, sted og ikke minst personkrets. Denne dommen er usedvanlig klar: den stenger helt enkelt døra for generell masselagring av borgernes data.

Digitalt grenseforsvar vil innebære overvåkning av kommunikasjonen til de fleste innbyggerne i Norge, uten hensyn til om de som blir overvåket har vært involvert i en straffbar handling eller ikke.

DGF vil innebære overvåkning av kommunikasjonen til de fleste innbyggerne i Norge, uten hensyn til om de som blir overvåket har vært involvert i en straffbar handling eller ikke. Og formålene er svært omfattende: Tjenestens lovbestemte oppgaver og årlige politisk fastsatte etterretningsbehov.

Ytterligere merkverdig blir det når vi ser på debatten om såkalt formålsutglidning, nemlig at de innsamlede dataene bruker til nye formål og av andre organer er opprinnelig vedtatt. Her fremmet utvalget tre forslag som skal forhindre slik bruk:

• Informasjon fra DGF som er overskuddsinformasjon for E-tjenesten, kan ikke leveres videre (og skal slettes).
• PST, NSM, Tolletaten og andre myndigheter skal ikke selv kunne søke, og heller ikke kunne bestille informasjon fra DGF – ikke til eget formål i hvert fall, og som en selvstendig begrunnelse.
• Data fra DGF skal ikke brukes som bevis i konkrete straffesaker.

Dette er forståelig at andre organer ønsker tilgang til dataene. Som utvalget skriver: I praksis vil dette si at dersom E-tjenesten – mot formodning og uten hensikt – skulle komme over informasjon om at en person har begått et drap, seksuelle overgrep mot barn eller deltatt i annen alvorlig kriminalitet som ikke er av relevans for E-tjenestens ansvarsområde, vil slik informasjon bli slettet uten videre oppfølging.

Utvalget er imidlertid krystallklare på at slik utvidet bruk rett og slett vil gjøre kretsen av personer som får tilgang til denne type data for omfattende, og de slår ned en grensepåle.

Debatten etter framleggelsen har vist at andre organer meget sterkt argumenterer for å få tilgang.

Riksadvokaten skriver for eksempel at det bør være mulig for E-tjenesten å dele slik informasjon fremkommer i DGF med andre offentlige myndigheter. De skriver at «[Det er] viktig at loven åpner for at overskuddsinformasjon om begått eller pågående alvorlig kriminalitet mot en person liv [], kan deles med politi og påtalemyndighet». Kripos mener at opplysninger fremkommet ved DGF i noen tilfelle må deles med andre og benyttes.

Hva sier utvalget selv om dette? For å oppnå et rettslig forsvarbart DGF, er det etter utvalgets oppfatning ikke mulig å fravike dette oppsettet i stor grad, og selv små svekkelser i kontrollmekanismene kan føre til at menneskerettigheter og personvernhensyn vil bli ansett som brutt.

****

Oppsummert: Hvordan er personvernets kår i dag?

Med visse unntak – ting har beveget seg i feil retning over mange år. Summen av de tiltak jeg her har gått gjennom har ført til en svekkelse av folks personvern.

Samtidig må vi erkjenne at personvern ikke eksisterer i et vakuum. Politiet må ha gode virkemidler til å forebygge og oppklare kriminelle handlinger. Når politiet stadig møter kryptert kommunikasjon, må vi ha en åpen debatt om det er behov for nye virkemidler. Men dessverre tas det ofte for lett på å dokumentere behovet. Hans Petter Graver og Henning Harborg konkluderte slik i sin rapport til Samferdselsdepartement og Justis- og beredskapsdepartementet om datalagring og menneskerettigheter:

For det første antar vi at domstolene vil stille strenge krav til dokumentasjonen av nødvendigheten av å lagre kommunikasjonsdata til etterforskingsøyemed eller for å avverge straffbare handlinger. I det materialet som er lagt frem hittil finnes ikke en slik dokumentasjon ut over generelle påstander og anekdoter.

I forslaget til dataavlesning ble det ikke engang forsøkt å dokumentere den konkrete betydningen, og Stortinget sa til og med nei til vårt forslag om å grundig dokumentere bruken, og ikke minst innføre dette som en solnedgangslov.

I forslaget til DGF er argumentasjonen for å innføre en form for nettpatruljering knyttet til cybertrusler ganske god, og den er forståelig, men adskillig dårligere når det gjelder terror og annen alvorlig kriminalitet. Det kan også stilles store spørsmål med om de tekniske løsningene som er valgt vil filtrere bort det som skal filtreres bort. Det er også all grunn til å reise tvil om DGF faktisk vil bli et nyttig instrument i en verden der f eks kryptering og dark web gir god mulighet for å skjule alle spor.

Vi går på de små skritts vei. Norge er et fritt, demokratisk land. Men vi trenger en personvernkommisjon på justissektoren. Den må vurdere hvor vi står i dag, hvilken vei vi skal gå videre når det gjelder overvåkning av befolkningen og hva slags vurderinger som må gjøres før slike tiltak iverksettes. Dessuten må en kommisjon undersøke om vi ser tendenser til en nedkjølingseffekt i samfunnet vårt. Begynner noen grupper av befolkningen å bli redde for hva de sier, og hvem de sier det til? Det er kanskje greit for oss som sitter i denne salen. Men vi hører til samfunnets mest taleføre og ressurssterke borgere. Hva med de som lever i randsonen i samfunnet? Raringene, særingene, de med en annen politisk oppfatning eller religiøs oppfatning. Hva med varslere, kilder og klientene til advokater, psykologer og leger?

Eller hva med Yassine, som var informant i en masteroppgave i kriminologi om nedkjølingseffekt som nettopp ble levert? Hun uttrykker det slik:

Jeg har tenkt over det sjæl, når jeg er på telefonen og prater om Islam, så tenker jeg «oi shit, det burde jeg kanskje ikke ha sagt … Tenk om noen hører det og tror jeg kanskje skal bombe noen» eller no ikke sant, det er helt sykt. Du blir jo paranoid.

Jeg er særlig bekymret for Yassine!

«Nedkjølingseffekten» er i denne sammenheng ideen om at vi endrer oppførsel dersom vi mistenker at noen titter oss over skulderen. Begrepet beskriver at vi lar være å gjøre noe fordi vi frykter at personopplysningene vi etterlater oss kan få negative konsekvenser. Begrepet er omstridt og det er vanskelig å måle, men funnene fra Oxford-studien bekrefter altså en nedkjølingseffekt etter Snowden-avsløringene i 2013.

Ill: Birgitte Blandhoel

Den nye studien viser at det var 20 prosent nedgang i sidevisninger på Wikipedia-artikler som handlet om terrorisme, og som for eksempel nevnte «Al-Qaeda», «bilbombe» eller «Taliban». En av forskerne uttalte følgende til The Washington Post: «Hvis folk blir skremt eller usikker på konsekvensene av å lese om viktige politiske temaer som terrorisme og nasjonal sikkerhet, er det en reell trussel for den opplyste demokratiske debatten».

Nedkjøling i Norge
I november 2013, akkurat seks måneder etter Snowden-avsløringene, gjorde Datatilsynet en internettundersøkelse blant nordmenn der vi spurte om de har unnlatte å gjøre noe fordi de er usikker på hvordan opplysningene kan bli brukt senere.

Tallene fra 2013 viser at en vesentlig andel av befolkningen svarte at de har unnlatt å gjøre enkelte aktiviteter fordi de er usikre på hvordan opplysningene kan bli brukt senere. Det er verdt å merke seg at så mange som 26 prosent har unnlatt å skrive under på opprop og at 16 prosent har unnlatt å foreta bestemte søk på nett.

Å legge bånd på seg både på nett og i det virkelige liv kan ofte være en god ting og er en del av den kritiske dømmekraften enhver av oss har med oss når vi ferdes på nett. Men når vi lar være å støtte en sak, søke på et tema vi er interessert i eller på annen måte engasjere oss i samfunnet er det problematisk.

Nedkjøling av demokratiet
Et eksempel på en problematisk konsekvens av nedkjølingseffekten er at PEN America fant at en av seks skribenter hadde tilpasset innholdet i sine tekster i frykt for overvåkning. 250 amerikanske skribenter deltok i studien i oktober 2013, og resultatet viste som nevnt at hele 20 prosent sensurerte seg selv fordi de var usikre på om de var overvåket av myndighetene.

En sentral følge av nedkjølingseffekten er press på ytringsfriheten, som i neste konsekvens kan svekke demokratiet ved at borgerne begrenser sin deltakelse i åpen meningsutveksling. Men nedkjølingseffekt handler også om at usikkerhet knyttet til hvordan våre personopplysninger blir brukt, kan føre til at vi unngår helt ordinære gjøremål. Vi kan for eksempel unngå å låne en bestemt bok på biblioteket eller å ringe psykologen, i frykt for hvordan disse opplysningene eventuelt kan bli brukt senere.

(Dette innlegget sto på trykk som kronikk i Dagens Næringsliv 13. mai 2015.)

Jeg har vært på utenlandsreise og sliter med jetlag. Jeg googler «søvnproblemer». De neste dagene forfølges jeg av annonser for legemidler på norske og internasjonale nettsider. Hvordan kan det ha seg at alle disse selskapene plutselig vet at jeg ikke får sove om natten?

Det pågår for tiden et datakappløp i medie- og markedsføringsbransjen. Bruk av ny teknologi og muligheten til å samle inn og analysere store datamengder er i ferd med å endre måten annonsører når sine kunder på. Bransjen er på vei bort fra tradisjonell massemarkedsføring og over til å henvende seg direkte til den enkelte. I dag får du persontilpasset reklame på nett, men om ikke lenge får du det også når du ser på tv.

Motoren i markedet for digital annonsering er fremveksten av annonsebørser, der kjøp og salg av annonseplasser foretas av dataprogrammer i løpet av hundredels sekunder. Den annonsøren som byr høyest på en bruker, får vise vedkommende reklame. Og den som byr høyest er gjerne den som har mest data om brukeren – og ser at brukeren har en verdifull profil. Hvis annonsebørsene er motoren, er personopplysninger drivstoffet.

Google og Facebook er blant vinnerne i dette markedet fordi de sitter på enormt mye data om oss. For ikke å tape annonsekampen mot disse globale kjempene bygger norske aktører opp egne plattformer for datastøttet annonsering.

Vi er vitne til en massive innsamling av personopplysninger. Utnyttelsen av disse til kommersielle formål setter personvernet under press.

Den største utfordringen er at markedet for digital annonsering er lite åpent og gjennomsiktig. De fleste av oss vet ikke at vi blir profilert. Selv om vi samtykker til noe av cookie-bruken, er det ikke mulig å ha oversikt over det samlede omfanget av opplysninger som samles inn om oss. På mange av nettsidene vi besøker er det ofte flere titalls ulike selskaper til stede som samler inn opplysninger om oss bak kulissene. Vi blir ikke opplyst om hvilken kunnskap som utledes om oss på bakgrunn av disse dataene, og hvilke profiler vi ender opp med å få.

Det er et paradoks at mens vi borgere aldri før har delt mer informasjon om oss selv, så er selskapene som utnytter disse opplysningene svært hemmelighetsfulle om sin aktivitet. Vi har fått en informasjonsasymmetri: Tusentalls selskaper vet svært mye om oss, mens vi ikke en gang vet hvem som vet og hva de vet. Dette er uheldige fordi det gjør oss sårbare for urettmessig diskriminering og manipulering. Når vi ikke vet hva som foregår er vi heller ikke i en posisjon til å ta informerte valg.

Hvis du føler at du mister kontroll over dine egne personopplysninger og ikke vet hvem som ser deg, kan det føre til at du begynner å legge bånd på deg selv. Du kan for eksempel unnlate å søke etter kreftmedisin eller skrive under på et opprop i frykt for at du legger igjen spor som kan blir brukt mot deg. Datatilsynet gjennomførte en spørreundersøkelse i 2013 som viste at 16 prosent har latt være å foreta enkelte søk på nett fordi de er usikre på hvordan disse opplysningene kan bli brukt senere.

I USA avdekkes det stadig eksempler på selskaper som sammenstiller og selger svært sensitive profiler til annonsører. For eksempel profiler som «tidlig stadium av Alzheimer» eller «spillavhengige over 50 år». I Europa har vi i dag en strengere personvernlovgivning som hindrer tilsvarende utnyttelse av personopplysninger.

Lagring av enorme datamengder om enkeltindivider utgjør også i seg selv en risiko. Konsekvensene ved datainnbrudd og datalekkasjer blir enda større når datamengdene er store og kan gi et rikt og avslørende bilde av enkeltpersoner.

Bransjen hevder at det kun er anonyme data som benyttes til profilering. Men jo mer detaljerte og nærgående profilene er, jo større er imidlertid faren for at det er mulig å reidentifisere enkeltindivider i datasettene.

Nytt personvernregelverk (i form av en forordning) er nå på trappene i EU. Skjerpet informasjonsplikt for virksomheter og styrket eiendomsrett over egne data er viktige elementer. Ett av forslagene går for eksempel ut på at det skal bli lettere for enkeltpersoner å motsette seg at dataene blir brukt til profilering. Loven vil også gi oss større rett til å kreve data slettet. Sanksjonene skjerpes betydelig, og særlig interessant blir det å se hva slags sanksjoner ulovlig reidentifisering av data blir møtt med. Vårt håp er at norske politiske myndigheter bruker all innflytelse de har til å unngå at forordningen svekkes i sluttforhandlingene som begynner etter sommeren.

]]> https://www.personvernbloggen.no/2015/05/22/du-er-til-salgs/feed/ 0 https://www.personvernbloggen.no/2014/05/05/rapport-fra-et-internasjonalt-mote-i-makedonia/ https://www.personvernbloggen.no/2014/05/05/rapport-fra-et-internasjonalt-mote-i-makedonia/#respond http://www.personvernbloggen.no/wp-content/uploads/2015/07/Bjørn-Erik-Thon_avatar_1436432631-200x200.jpg Mon, 05 May 2014 09:39:15 +0000 http://www.personvernbloggen.no/?p=1060 Det er et utstrakt internasjonalt samarbeid på personvern-omådet. En viktig gruppe er den såkalte Berlin-gruppen, som nå holder møte i Skopje i Makedonia. I et staselig lokale med god takhøyde, og et klimaanlegg med lav grunntemperatur, diskuteres i skrivende stund personvernproblemer mellom et tyvetalls land.

En interessant del av slike møter er å høre hva som foregår i andre land. Danmark fortalte nettopp om den pågående Se og Hør-skandalen i hjemlandet, Portugal har lansert et «data protection survival kit» – et sted å få hjelp til selvhjelp i et krevende personvernlandskap, og Japan redegjorde for sin nye måte å organisere personvernarbeidet på.

Flere viktige temaer står på agendaen, blant annet kroppsnær teknologi, BYOD, SmartTV, sosiale nettsamfunn og «Snowden»-saken. Selv om Berlin-gruppen ikke har noen formell myndighet, har den en klar dagsordenfunksjon. I tillegg til å dele informasjon, skriver gruppen rapporter og utredninger. Disse plukkes ofte opp av mer formelle organer, som f eks EUs Working party 29, så aktiv deltagelse i Berlin-gruppen er en viktig satsing for Datatilsynet.

På dette møtet har den norske delegasjon (som i tillegg til meg består av Catharina Nes og Martha Eike)  flere viktige oppgaver.  Catharina Nes har flere ganger skrevet om big data på personvernbloggen.no, og bl.a. som følge av det arbeidet vi har gjort på dette området i Norge har vi nå skrevet en rapport om big data for Berlin-gruppen. Det er først gang vi skriver en slik rapport for denne gruppen, så dette er en stor tillitserklæring. I tillegg skal vi legge fram tallene fra personvernundersøkelsen 2014 om en begynnende nedkjøling-effekt i Norge. Vi vil også gi innspill blant annet til en rapport om kroppsnær teknologi, som skrives av Canada.

Ved dagens markering av den internasjonale personverndagen er det umulig å komme utenom Edward Snowden. Hans avsløringer om hvordan amerikanske National Security Agency jobber, gir oss et omfattende bilde av hvilke utfordringer personvernet står overfor akkurat nå. Vi vil oppsummere det i fire punkter:

 1. Overvåking har blitt billig

NSA samler inn nærmere 200 millioner tekstmeldinger daglig, og gjør nærmere fem milliarder registreringer fra basestasjoner i mobilnett over hele verden. Fremveksten av Internett, smarttelefoner og skytjenester gjør slik masseovervåkning mulig, enkelt og billig. Tidligere var teknologien og økonomien med på å begrense hva etterretningsbransjen kunne gjøre. Nå er disse barrierene i ferd med å viskes ut. Når forskjellen på hva etterretningstjenester har lov til å gjøre og hva de faktisk er i stand til å gjøre blir stadig større, gjør det personvernet mer sårbart.

 2. E-tjenestene har gått fra harpun til trål

I tradisjonell etterretning har man hentet inn informasjon om personer som er under mistanke. Snowden har avdekket at etterretningen nå samler inn informasjon om et stort antall mennesker som ikke er mistenkt for noe kriminelt. NSA har fått anledning til å samle inn, lagre og analysere telefoni-metadata, ikke bare til én mistenkt, men også kontakter i tre ledd. Hvis hver person har 40 kontakter, betyr det at over 2,5 millioner mennesker kan trekkes inn i én enkelt sak. 

3. Metadata er den nye oljen

Metadata er «data om data», og en forutsetning for at denne typen masseovervåking kan skje. Det omfatter informasjon om hvem som er avsender og mottaker av f.eks. en e-post, klokkeslett, tid og sted. Slike data er et nødvendig biprodukt av våre digitale liv og virker kanskje uskyldige alene. Satt i riktig sammenheng kan de imidlertid tegne et svært detaljert bilde av hvem du er, hva du gjør og hvem du omgås. Metadata avslører ikke innholdet i en telefonsamtale, men kan vise at du ringte gynekologen din, pratet i 23 minutter og like etter ringte en abortklinikk. Eller de kan avsløre hvem som mest sannsynlig er kilden til journalist Per Anders Johansens siste artikkel i Aftenposten.

 4. Persondata lever farlig utenlands

De fleste land har lovbestemmelser som skal beskytte innbyggerne mot overvåking fra sine egne myndigheter, men vi er nærmest rettsløse når våre data kommer i hendene på andre lands etterretning. I USA har de største overskriftene naturlig nok dreid seg om overvåkingen av amerikanere, ikke oss andre.

 Vi ser klare tegn på en nedkjølingseffekt

I en fersk undersøkelse har vi spurt folk om de har latt være å gjøre noe fordi de er usikre på hvordan opplysningene vil bli brukt senere. Her svarer èn av fire nordmenn at de har unnlatt å skrive under på et opprop, og like mange har heller tatt en muntlig samtale enn å kommunisere elektronisk. 16 prosent har latt være å gjøre et søk på nett. Dette peker klart i retning av en nedkjølingseffekt som kan true kildevernet for varslere og ytringsfriheten, og begrense folks frie kommunikasjon. Den dagen folk ikke tør å ringe for å bestille time hos psykologen, eller ringe en gammel venn som har sittet i fengsel, har vi mistet en vesentlig samfunnsverdi. Da kan det være for sent å snu utviklingen.

 Ved et veiskille?

Mye tyder på at vi nå står ved et veiskille for personvernet. Dette gir grunn til bekymring, men også optimisme. Aldri har vi sett så sterke reaksjoner på et overvåkningstiltak som det Snowden avslørte. Obama har varslet innstramminger i NSAs praksis. Konkurrentene Google og Microsoft, har gått sammen i et søksmål mot amerikanske myndigheter for å få vise større åpenhet om hva slags data de må utlevere til sikkerhetsmyndighetene. Beregninger viser at amerikanske skyselskaper kan tape opp mot 35 milliarder fordi virksomheter ikke lenger ønsker å lagre data i USA. Personvernundersøkelsen viser dessuten at folk bryr seg om personvern. Nesten halvparten er mer opptatt av personvern enn for to-tre år siden, og hele 88 prosent ser godt personvern som en forutsetning for et fritt og demokratisk samfunn.

En ny personvernpolitikk

 Dette gir et godt utgangspunkt for en debatt om norsk personvernpolitikk. Etter vår mening står disse spørsmålene sentralt:

 – Er kontrollen med de hemmelige tjenestene god nok? Det bør vurderes om EOS-utvalget trenger utvidede fullmakter, mer ressurser, nye metoder og større teknologisk kompetanse.

 – Bør det opprettes internasjonale kontrollorganer for hemmelige tjenester? På samme måte som etterretningsmyndighetene samarbeider og utveksler informasjon, bør også kontrollorganene gjøre det.

 – Når Datalagringsdirektivet trer i kraft, vil metadata kunne samles inn i stort omfang også i Norge. Er det tatt høyde for hvor potente disse dataene er?

 – Bør norske data lagres på norske servere, fremfor utenlandske? For å sikre innbyggerne mot overvåkning utenfra, utforsker nå flere land mulighetene for å utvikle mer nasjonale internettløsninger. Brasil vurderer å pålegge aktører som Facebook å lagre data om brasilianske brukere lokalt. Vi kan stille tydeligere krav til markedsaktørene for å sørge for at data om norske borgere er sikret gjennom norsk personvernlovgivning.

 – Det må gjøres grundige vurderinger av personvernvernkonsekvenser ved alle lovforslag, også med tanke på hva det vil bety for totaliteten av personverninngripende tiltak.