- Vi har nesten ikke noe informasjon om hvordan e-tjenesten skal løse overvåkningen teknisk. Det er på alle måter en "black box". Det gjør at det er vanskelig å støtte loven, sier Elisabet Haugsbø, nestleder i Tekna og "Head of data" i HUB Ocean, til kode24.
Regjeringen åpner for at Etterretningstjenesten kan prøve ut et system som kan fange opp store mengder data om norske borgere.
Avgjørelsen falt 2. september, har siden blitt debattert blant norske utviklere på blant annet kode24-klubben, og blant annet blitt omtalt av NRK og Digi.
Testingen faller under paragraf 7.3 i den nye etterretningstjenesteloven, som har høringsfrist 27. september. Tekna var blant organisasjonene som i 2020 og i fjor var involvert i høringsrundene rundt den nye etterretningsloven.
Datatilsynet vil bøtelegge Meta for overføring av data om deg til USA
Fagforeningen var og er sterkt kritiske til loven, som vil gjøre det mulig å lagre data om all digital kommunikasjon der det har foregått kommunikasjon mellom en norsk statsborger i Norge og ikke-norske statsborgere i utlandet.
Reagerer på høringsprosess
Overvåkingen skal skje ved at loven pålegger internett- og kommunikasjonstilbydere, som Telenor, å lagre metadata om hvilke personer som har kontakt med hvem.
Denne dataen har e-tjenesten i utgangspunktet ikke lov til å søke i før de har fått en rettskjennelse, og det er opp til tingretten til å avgjøre om det er lov til å gjøre et bestemt søk.
Haugsbø mener det er bekymringsverdig at det virker som at det ikke er en ekte høringsprosess.
- At de nå skal begynne testingen før høringsfristen går ut, tilsier at de ikke har lagt inn tid til å lese høringssvarene og tenke over det. For Tekna virker dette som en skinnprosess som bare skal bankes igjennom, sier Haugsbø.
Danske barn nektes å bruke Chromebook - datatilsyn mener de bryter GDPR
"Vanvittige enorme mengder data"
Tekna er bekymret for at etterretningsloven vil ha en "nedkjølingseffekt" på hva folk tørr å si.
- Så er det også spørsmålet om hvordan de har tenkt å gjøre dette. Det er snakk om enorme mengder med informasjon. Det betyr at de må sette opp et system som skal håndtere vanvittige enorme mengder med data.
Ifølge Haugsbø skal dataene lagres i en server eid av e-tjenesten, og skal vedlikeholdes av dem.
- Hva med kompetansen de må ha til å få til dette? Det er jo bare å se på utfordringene knyttet til håndteringen av helsedata. Jeg ser ikke for meg at dette blir mindre utfordrende, sier hun.
Hun legger til at rådataene som skal samles inn inneholder hvilken som helst uprosessert kommunikasjon mellom to individer som krysser landegrensene.
- Dette innebærer alt fra hvor lenge samtalen varer, om det ble sendt bilder og hvilke serverer som var involvert.
«Så skriver de at det skal krypteres... Selvfølgelig skal det krypteres! Høringen bærer preg av at loven ikke er godt gjennomtenkt.»
Ikke godt gjennomtenkt
Haugsbø trekker fram at det er snakk om stordata fra mange kilder
- En bekymring er hvordan tingretten med hånda på hjertet virkelig kan si om dette søket er greit eller ikke. Hvordan kan de vite at dette ikke kan identifisere personen? I tillegg støtter jo e-tjenesten seg på at EOS-utvalget skal etterkontrollere alt. Men de gjør jo bare stikkprøver og har ikke kapasitet til å håndtere det på en god måte, sier hun.
EOS-utvalget skrev i sitt høringssvar da lovforslaget var til høring i 2019, at de verken kan eller bør være en garantist for at feil ikke kan skje. Den manglende infoen om de tekniske løsningene gjør at Tekna synes det er vanskelig å støtte loven.
- Det er flere ubesvarte spørsmål: Skal det ligge på en server som e-tjenesten eier i Norge? Det eneste som ligger ved er et kostnadsestimat. Så skriver de at det skal krypteres... Selvfølgelig skal det krypteres! Høringen bærer preg av at loven ikke er godt gjennomtenkt, sier hun.
Må kunne avslutte evalueringen
- La oss si at jeg bruker en VPN med server i Sveits. Vil jeg da bli overvåka?
- Det er et utrolig godt spørsmål, og var ett av spørsmålene vi stilte i fjor. Vi fikk ikke annet svar enn: "Vi vet hvordan vi får identifisert det". Hvordan har de tenkt å identifisere det? La oss si at det rutes via 14 serverhopp i hele verden, hvordan kan de finne ut av det? Det er noen begrensinger her, sier Haugsbø.
- Hva blir veien videre?
- Nå skal de teste det. Jeg regner med at neste steg er å ta det i bruk. Tekna forventer at regjeringen følger opp løftene om at systemet skal evalueres, vi er også opptatt av at det må være en mulighet for å avslutte det om evalueringen viser uønskede effekter, sier Haugsbø.
«Det gjenstår å se hvordan etterretningstjenesten vil tolke loven, og om tilbydere av for eksempel spill med meldingstjeneste, vil motsette seg utlevering av metadata»
Må foreligge saklig grunn
Vebjørn Søndersrød, advokat og partner i Advokatfirmaet Ræder, sier at etterretningstjenesteloven på mange måter er en videreføring av datalagringsdirektivet. Sistnevnte ble lagt på is etter store protester.
Advokaten legger til at den nye loven ikke tillater at e-tjenesten uten videre kan overvåke alle. Det må foreligge saklig grunn.
- Samtidig kan de undersøke om dataene frembringer informasjon som er relevant til etterretningsformål. Det er jo ganske lite begrensende, sier Søndersrød.
Ber utviklere være bevisst på dark patterns: - Lag et mindre manipulerende internett!
Kan dele data med andre land
Ifølge advokaten kan ikke dataene e-tjenesten samler brukes til oppklaring av straffesaker. Samtidig legger loven opp til et e-tjenesten kan dele data med andre lands etterretningstjenester.
- Flere har sammenlignet loven med amerikanske PRISM. Er det noe i dette?
- Det er hvert fall ikke feil å snakke om det. Dette er også et overvåkningssystem der staten samler inn metadata fra kommunikasjon.
Kan bli overvåka mens du spiller
Ifølge Søndersrød kan loven gå så langt som å omfatte spill og andre tjenester som har meldingsfunksjonalitet.
- Men sikkert er dette ikke, det gjenstår å se hvordan etteretningstjenesten vil tolke loven, og om tilbydere av for eksempel spill med meldingstjeneste, vil motsette seg utlevering av metadata, sier han.
Søndersrød legger til at formålet bak loven taler for at alle tjenester som inneholder meldingsfunksjonalitet skal være omfattet.
- Hvis ikke kan terrorister bytte fra Messenger og til chat i for eksempel World of Warcraft, og ved dette lett komme seg unna etterretningens overvåkning og terrorforebygging.
«Dette skaper et gigantisk teoretisk potensiale for misbruk»
Gigantisk potensiale for misbruk
Søndersrød mener det er særlig problematisk at norsk etterretning får muligheten til å pålegge selskaper som Telenor å lagre massive mengder med data.
- Når dataene først finnes er det et problem. Nå blir de nemlig lagret, og det har de ikke vært tidligere. Dette skaper et gigantisk teoretisk potensiale for misbruk, sier han.
Søndersrød legger til at loven på et mer konstitusjonelt nivå har blitt kritisert for hemmelighetshold.
- Stortingets EOS-utvalg skal følge løpende kontroll med at en ikke overvåker mer enn det loven tillater. E-tjenesten må til en vanlig dommer for å få kjennelse til å søke i data selv. Så kan man lure på om det burde vært enda mer domstolkontroll og at domstolen burde kontrollere mer og be om en kjennelse.