Innlegget er skrevet av Bjørn Erik Thon, direktør i Datatilsynet, og er inspirert av innlegget Thon holdt på Rettspolitisk forenings arrangement Rettspolitisk kjepphest 2. september

I disse dager innføres et digitalt grenseforsvar i Norge. Det er uklart hvilken data – om meg og deg – som samles inn.

Et digitalt grenseforsvar betyr, litt forenklet, at en svart boks blir plassert på de kablene som transporterer data inn og ut av Norge, de «fanger datastrømmene» og lagrer dem i 18 måneder for e-tjenestens bruk. E-tjenesten kan søke i disse dataene, for eksempel for å avdekke angrep som planlegges mot Norge. Når er det riktignok slik at e-tjenesten ikke kan overvåke norske borgere i Norge, og at deres primære oppdrag er å drive utenlandsetterretning, altså trusler mot Norge. Men slik teknologien er i dag tar en stor del av vår kommunikasjon en sveip utenlands, og vil bli fanget opp og lagret i e-tjenestens datalager. 

Hva er det egentlig vi snakker om, når vi snakker om data i denne sammenhengen? Jo, vi snakker om personlige opplysninger om omtrent alle norske borgere. Vi snakker virkelig om enorme mengder data – data om deg og meg. Metadata inneholder blant annet informasjon om kilden til kommunikasjon og bestemmelsessted, geografisk plassering, dato, klokkeslett, varighet, type kommunikasjonsutstyr, navn, adresse, abonnement, telefonnummer, IP-adresse, brukernavn og annen informasjon som gjør det mulig å identifisere hvem som har kommunisert, hvorfra og med hvilken hyppighet. Fra en smarttelefon vil det i dag gå en kontinuerlig strøm av metadata til og fra ulike apper, som vil kunne gi en detaljert kartlegging av en persons liv.

Jeg synes ofte vi hører snakke om at «det er jo bare data». Men data i dag handler om mennesker. Det handler om hvem jeg har som venner, hva jeg gjør på jobb og i fritiden, mine politiske og religiøse oppfatninger, min seksuelle legning, min etnisitet, min sivilstand, og så videre . I tillegg finnes det stadig mer informasjon om oss: i løpet av ett minutt gjør vi 3,5 millioner søk på Google, og vi sender 1,8 millioner snaps.

Et av Datatilsynets ankepunkter mot loven om digitalt grenseforsvar, er at det er uklart hva slags data (i tillegg til de som er nevnt over) som samles inn. Reglene i den vedtatte loven sier at alle som tilbyr internettbaserte kommunikasjons- eller meldingstjenester skal «speile og gjøre tilgjengelig utvalgte kommunikasjonsstrømmer». Dette er skikkelig juss-gresk, og umulig å forstå for de fleste, selv vi som jobber med dette til daglig. Før loven ble vedtatt stilte vi i Datatilsynet derfor noen spørsmål, både til regjeringen og Stortinget:

• Er f.eks Finn.no, med godt over 2 millioner unike brukere i uken, omfattet av loven, i og med at de har en meldingstjeneste?
• DnB, Norges største bank, har en meldingstjeneste. Er denne omfattet og vil bli fanget opp av e-tjenesten?
•  Tui, en av Norges største charteroperatører, har en chattetjeneste. Kan sjefen for etterretningstjenesten pålegge disse aktørene å «tilgjengeliggjøre utvalgte kommunikasjonsstrømmer» for e-tjenesten? Og hva om den vi chatter med ikke sitter i Norge, men i Tyskland, eller kanskje i India?

Spørsmålene vi stilte, har ikke blitt besvart, og konsekvensene av at disse tjenestene er omfattet, er ikke utredet. Det var direkte nedslående at Stortinget i behandlingen av loven ikke har berørt, eller forsøkt å besvare, disse spørsmålene.

E-tjenesten er avhengig av tillit i befolkningen for å få aksept for sitt viktige oppdrag. Uklare lovbestemmelser, og hjemler som griper for langt inn i folks privatliv, kan undergrave denne tilliten. Ingen har oppsummert dette bedre enn Riksadvokaten, som i sin høringsuttalelse til det første utkastet til e-lov, skrev dette: «For vidtgående kontrollregimer vil før eller siden utfordre det alminnelige publikums tillit til kontrollørene og de systemene de representerer».

En av farene ved for vidtrekkende overvåking er nedkjøling, altså at vi av frykt for overvåkning, ikke tør å kommunisere fritt. Nedkjølingseffekt er påvist i en rekke studier. En studie viser hvordan søk i Wikipedia endret seg etter avsløringen av amerikanske myndigheters elektroniske overvåkning. En annen studie tar for seg hvordan minoriteters bruk av Facebook har endret seg. Det er også viktig å understreke at nedkjøling ikke oppstår fra en dag til en annen. Den kommer snikende, skritt for skritt.

Begynner noen grupper i befolkningen å bli redde for hva de sier, og hvem de sier det til, er vi som samfunn på ville veier. De gjelder særlig de som lever i randsonen i samfunnet; raringene, særingene, de med en annen politisk oppfatning eller religiøs oppfatning. Hva med varslere, kilder og klientene til advokater, psykologer og leger?  Ellers som Frank Rossavik sier: Ytringsfrihet er til for de redde, de misfornøyde, de som mener noe annet enn makthaverne og flertallet.

Eller hva med Yassine, som var informant i en masteroppgave i kriminologi om nedkjølingseffekt som ble levert for ikke lenge siden? Hun uttrykker det slik:  

“Jeg har tenkt over det sjæl, når jeg er på telefonen og prater om Islam, så tenker jeg «oi shit, det burde jeg kanskje ikke ha sagt … Tenk om noen hører det og tror jeg kanskje skal bombe noen» eller no ikke sant, det er helt sykt. Du blir jo paranoid.”