I sommer vedtok Stortinget en ny lov om den norske etterretningstjenesten som åpner for masseinnhenting av kommunikasjonsdata, såkalt «tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon». Mange har vært skeptiske, og ikke minst Datatilsynet som ga et 60 sider langt høringssvar til lovforslaget.
I forrige uke uttalte EU-domstolen seg om masseinnhenting av kommunikasjonsdata i dommen C-623/17 (Privacy International). Domstolen konkluderte med at masseinnhenting av data og lokasjonsdata er ulovlig uten rettsikkerhetsgarantier. Dette har aktualisert debatten om den norske etterretningstjenesteloven, da ingen ønsker en tilsvarende dom mot Norge.
Konsekvenser for ny e-lov?
I avgjørelsen understreket EU-domstolen den grunnleggende retten til privat kommunikasjon, uten innblanding fra statlige myndigheter. Staten har likevel anledning til å gjøre unntak på bakgrunn av nasjonale sikkerhetshensyn. Domstolen poengterte at unntaket er snevert, og må være proporsjonalt, formålsrettet og nødvendig. I tillegg må det medfølge rettssikkerhetsgarantier som sikrer mot misbruk. Eksempler på rettssikkerhetsgarantier er domstolskontroll, kontrollutvalg som EOS-utvalget og innsynsrett.
I situasjoner med trusler mot nasjonal sikkerhet, kan myndighetene pålegge kommunikasjonstilbydere å utlevere kommunikasjonsdata. Lovgivningen må inneholde klare grenser for når og på hvilke vilkår utleveringen kan skje, slik at unntaket ikke blir hovedregelen. Dommen slår fast at generell tilgang til data uten at det foreligger en slik sammenheng, er ulovlig.
Forsvarsministeren uttalte til digi at departementet nå vurderer følgene av dommen. Ministeren nevnte ikke konkrete planer om endringer eller utsettelse, og understreket at loven allerede inneholder en rekke mekanismer som skal garantere rettssikkerheten.
Vide fullmakter
Den norske loven gir etterretningstjenesten vide fullmakter til å innhente ulike typer personopplysninger, og til å bruke opplysningene når de først er innhentet. Adgangen til å innhente såkalt rådata i bulk illustrerer hvor vid denne adgangen er. Rådata defineres som «ubearbeidet eller automatisk bearbeidet informasjon i enhver form hvis etterretningsverdi ikke er vurdert». Med innsamling i bulk menes informasjon og datasett hvorav en vesentlig andel antas å være irrelevant for etterretningsformål. Denne typen bulkinnhenting av kan være er problematisk, fordi den kan gripe inn i den enkeltes privatliv uten at lovens formål er vurdert.
Generelle vilkår for innhenting av informasjon uavhengig av metode, betyr at det gjøres en forholdsmessighetsvurdering i forkant, og at det foreligger konkrete holdepunkter som viser at informasjonen er relevant for etterretningsformål. Forholdsmessighet innebærer at mindre inngripende tiltak vurderes, dersom innhenting og bruk av informasjonen regnes som et uforholdsmessig inngrep for den enkelte. Grunnvilkårene skal kunne kontrolleres av EOS-utvalget ved tilsyn i etterkant. I første omgang gjør E-tjenesten selv disse vurderingene, uten noen form for ekstern kontroll.
Loven åpner videre for at sjefen for E-tjenesten kan pålegge tilbydere av elektroniske kommunikasjonstjenester, som f.eks. Telenor og Telia, å legge til rette for innsamlingen av grensekryssende elektronisk kommunikasjonsdata i bulk. Dette gir tilgang til metadata og innholdsdata om deg og meg, så lenge dataene krysser Norges grenser. Metadata er informasjon om hvem som snakker sammen, hvor lenge og hvor kommunikasjonen skjer fra.
Domstolskontroll er først et krav når etterretningstjenesten skal søke i lagrede metadata eller innhente innholdsdata. Dette skjer etter etterretningstjenesten har besluttet at tilbydere av elektroniske kommunikasjonstjenester skal utlevere eller gi tilgang til elektronisk kommunikasjonsdata. Domstolskontroll er en rettssikkerhetsgaranti som er et så sterkt kontrollelement, at akkurat denne delen av loven sannsynligvis vil kunne stå seg.
En ny vurdering
Dersom Forsvarsdepartementet vurderer at loven kan tre i kraft uten endringer 1. januar, er det langt fra enden på visa for den norske loven om etterretningstjenesten. Den europeiske menneskerettsdomstolen har to saker om masseinnhenting av elektronisk kommunikasjon fra Sverige og Storbritannia til behandling i storkammer: «Centrum för rättvisa» mot Sverige og «Big Brother Watch» mfl. mot Storbritannia.
Det svenske regimet for masseinnhenting ble ikke ansett for å være i strid med den europeiske menneskerettskonvensjonen av domstolen i 2018, så alle former for utleveringspålegg er ikke i strid med menneskerettighetene.
Vi håper at Forsvarsdepartementet nå går i tenkeboksen, og i lys av International Privacy International-dommen vurderer e-loven på ny, slik at man er på den sikre siden før den trer i kraft 1. Januar 2021. En ny etterretningslov i tråd med internasjonal lovgivning vil kunne bidra til å opprettholde den høye tilliten til E-tjenesten, og den er vi alle avhengige av.