Overfiske i personlig informasjon

I det digitale samfunnet finnes stadig mer informasjon lagret om oss. Lagring av informasjon har blitt en integrert del av vår hverdag. Vi legger igjen informasjon frivillig på nettsteder, myndigheter samler inn informasjon, og teleselskapene lagrer informasjon for å kunne fakturere oss. Datahavet med personlige opplysninger vokser hurtig. Konsekvensene er ukjente.

Myndigheter og private aktører vil fiske i datahavet for å kunne tilby oss bedre produkter og tjenester. Informasjonen kan fortelle mye om oss. Hvem vi er, våre (u)vaner og sosiale nettverk kan effektivt kartlegges. Jo fler registere som kan kobles sammen jo mer sier det om oss.

Det er 2 hovedtyper data som kan regnes som personlig informasjon:

• Innhold 
• Ustrukturert som bilder, tekst, tale osv
• Strukturert i fagsystemer som f.eks. skatteetaten bruker
• Metadata (tekniske data) som avledes av vår bruk og produksjon av innhold. F.eks:
• IP-adresser
• Mobilnr
• epost avs/mottager
• lokasjon
• Tidspunkt
• Ulike karakteristika for data som transporeres

De tekniske dataene beskriver hvem og hvor men også endel om hva. Med tekniske data kan man finne ut ganske mye om hva siden det angir hvor innholdet finnes. Kjenner man avsender og mottager av f.eks. en epost er det ikke noen stor jobb å finne innholdet. Selv om data er kryptert kan karakteristika til en viss grad avsløre hva som sendes.

Det er ikke vanskelig å tenke seg at disse dataene kan benyttes til mange formål. Det er ikke dermed sagt et det er riktig å gjøre det. Datalagringsdirektivet er som en stor trål, som skal sikre bevis om vår atferd og hvem vi kommuniserer med. DLD tar ikke hensyn til om det vi gjør er kriminellt. Alt skal lagres, ihht til gjeldende forslag i 12 måneder. Det er forøvrig 6 måneder mer enn det EU setter som minimumskrav. Myndighetene tenker på sitt eget behov. Våre kommunikasjonsdata er deres verktøy. Personlig informasjon er ikke et verktøy. Teknologien som benytter den er det. Å kalle mitt privatliv for verktøy er en fornærmelse, og sier ganske mye om myndighetenes holdning overfor borgerne.

At de samme dataene kan bli misbrukt og stjålet ser heller ikke ut til å gå nevneverdig inn på politikere selv om det stadig er eksempler i media på at det skjer. De vedtar selv lovtekniske justeringer de ikke ser konsekvensen av, og kriminelle vil skaffe seg illegal tilgang.

Alle som kan litt om fiske vet at formålsløst fiske med feil redskap gir dårlig kvalitet på fangsten. Dessuten kan det gå hardt ut over bestanden av enkelte arter. Analogien her er at DLD vil påvirke oss og endre vår oppførsel. Det kan ha en avkjølende effekt på viktige sikkerhetsventiler i et demokrati. Men her brekker analogien, fordi Fiskerinæringen reguleres av myndighetene slik at de negative effekter ikke blir for store. Det er kriminellt å fiske mer en kvoten. I datahavet går derimot myndighetene selv inn for overfiske uten å sjekke konsekvensene. Med det råkjøret som nå pågår fra Arbeiderpartiets side i Stortinget, velger man bevisst å ikke vente på mer informasjon om DLD er nyttig og sideeffekter. Enkelte politikere bruker til og med private aktørers tvilsomme praksis som alibi for DLD. Alle andre gjør det, og vi vil også være med på festen... Tankesløs og uansvarlig argumentasjon.

De nedsetter ikke engang prinsipper som forslag om utvidelser av direktivet kan prøves mot. Paradoksalt nok med bl.a. Fiskeriminister Helga Pedersen i spissen som burde vite bedre...

Det er enda et paradoks her fordi Utenriksminister Jonas Gahr Støre sier Wikileaks lekkasjene fra det amerikanske diplomatiet vil ha en nedkjølende effekt på internasjonale relasjoner. Samtidig argumenterer han for DLD. Istedet for å fremme transparens på statlig nivå og beskytte borgernes privatliv snues det hele opp ned. Da er Staten i ferd med å spore av det demokratiske sporet. I et fungerende demokrati er staten et akvarium som innbyggerne kan se inn i, med kun begrensede områder uten innsyn.

For å bortforklare hva de holder på med, ser vi politikere som forsøker å omdefinere og uthule begrepene personvern og rettsstat slik at de passer med deres egne mål. Nytalen har fått flere tunger i argumentasjonen for DLD.

Staten, med hederlige unntak som Datatilsynet og Barneombudet, svikter sin oppgave i det digitale samfunnet. Istedet for å gripe tak i utfordringer og lede mot en positiv utvikling velger man å misbruke makt. Man bytter rolle fra balansert forvalter til opportunist for ensidig måloppnåelse. Samtidig stilles det spørsmål, av EU selv, ved om kriminalitetsbekjempelse vil styrkes med DLD. Høyre kan sette en stopper for et forhastet tiltak med ukjente konsekvenser. De kan, om de vil, bidra til en positivt og helhetlig utvikling av det digitale samfunn.

Datalagring og analyse

Hvor mye skjønner Storberget,om datainnsamling og analyse, når han sier vi trenger DLD for å avsløre terrorister?

Det er 2 muligheter:

• Han vet at for å finne ukjente potensielle gjerningsmenn må man analysere trafikkdata i store mengder og uavhengig av mistanke. I så fall sier han ikke dette til borgerne.
• Han har blitt fortalt halve sannheten og har akseptert en mangelfull argumentasjon som tilstrekkelig for å innføre DLD.

Begge deler er alvorlig. Å unndra, eller lyve om, sannheten i en slik sak er alvorlig. Alternativet er inkompetanse.

For å forklare hvorfor det er sånn, må jeg forklare litt om sammenhengen mellom informasjon og kunnskap. DLD krever at trafikkdata lagres. Dette er råmaterialet (bevisene som Storberget kaller det, på tross av at de færreste som er representert i datagrunnlaget faktisk har gjort noe kriminellt). Data er informasjon som må bearbeides og analyseres for å kunne gi kunnskap. Det er ikke slik at terrorister og hasjselgere spretter ut av trafikkdataene bare fordi de er lagret.

Det er det mulig å trekke kunnskap ut av trafikkdata. Kunnskap om våre kontaktnettverk, kommunikasjons- og bevegelsesmønstre. Jeg ser ikke noe galt i det så lenge det benyttes mot de som det er skjellig grunn til å mistenke for kriminell virksomhet. Derimot er det svært problematisk når en skal bruke informasjonen til å finne helt ukjente potensielle gjerningsmenn. Det vil si at Politiet må hente ut trafikkdata for et større utvalg personer. Det er innlysende at de aller fleste av disse vil være uskyldige. Prinsippet om at man er uskyldig til det motsatte er bevist viskes ut. En må spørre seg hvor langt samfunnet er villig til å gå med å samle inn og analysere uskyldige borgeres personlige informasjon.

Skulle det svenske Politiet brukt trafikkdata til å avsløre mannen som sprengte seg selv i Stockholm måtte de ha analysert trafikkdata i store mengder. Selv da har jeg mine tvil om denne personen ville blitt identifisert, men det vil forhåpentligvis etterforskning vise. Dette er ikke snakk om store mengder sett fra et databehandlingståsted. Men det er alvorlig store mengder sett fra personvernssynsvinkel.

Jeg tror Storberget helst vil snakke om hovedregel for uthenting av trafikkdata som er 4 års strafferamme (5 år for lokasjonsdata). Samtidig begunner han innføring av DLD med kriminalitet hovedregelen umulig kan bidra å forhindre kriminalitet og terror. Uthenting av informasjon via domstolskontroll vil ikke ha noen effekt om man skal forsøke å finne helt ukjente gjerningsmenn. PST har allerede i dag mulighet for å hente ut trafikkdata i forebyggende øyemed, uten domstolskontroll. Med DLD vil de få tilgang til enda mer. Er allmenheten godt nok opplyst om disse tingene og er konsekvensene utredet?

Jeg tror Storbergets og Arbeiderpartiets desinformasjon (alternativt: kunnskapsløshet) fungerer veldig bra til å stoppe dette fra å nå ut til borgerne. Media har mye arbeid å gjøre her for å avsløre kunnskapsmangel og tilbakeholdelse av informasjon. De må stille kritiske spørsmål til politikerne som avslører om de da har satt seg godt nok inn i slike problemstillinger.

Jeg funderer på i hvor stor grad det i dag hentes ut store mengder trafikkdata for analyse allerede i dag. Dette er kopier av operatørenes logger, og er nok ikke underlagt dagens sletteplikt. Hvor lenge lagres disse. Finnes det noe regelverk? Såvidt meg bekjent sier heller ikke DLD noe om regelverk for kopier av data, noe som vil bety at PST vil etterhvert kunne besitte ganske store mengder historiske data uten noen plikt til hverken å opplyse den enkelte uskyldige borger (man kan jo alltid gjøre seg skydlig i noe i fremtiden, og da kan det finnes bevismateriale i historikken må vite). Det finnes eksempler på at Politiet har lagret for mye data for lenge. Jeg nekter å tro at det er enestående eksempel hvor det faktisk ble pålagt sletting av data det ikke var tilgang til å lagre.

PS! Informasjon er makt
Jeg tror ikke politikerne skjønner rekkevidden av DLD. At makt kan forflytte seg ut av Stortinget og Regjeringen bortforklares med paranoia og noen har forlest seg på 1984. Som en annen blogger har skrevet: Dette kan like gjerne slå tilbake på politikere og samfunnstopper. PST sjefen kan få den mest politiske stillingen i Norge. Trafikkdata og korrelering av data kan gi et balletak på mange sentrale personer om de ikke holder seg på den smale sti.

Digitalt klasseskille

Datalagringsdirektivet medfører lagring av hvem du har snakket med og hvor du har vært i 1 år. Et ganske omfattende tiltak i en liberal rettstat.

På en annen side er det veldig lett å omgå, særlig om man har litt kunnskap og er villig til å endre litt på sine kommunikasjonsmønstre. Dette har ingenting med hvorvidt du er kriminell eller ikke, men er noe tverrgående i befolkningen som mange andre typer kompetanse med mer.

Poenget er at lagring om hvem vi har kontakt med og bevegelsesmønstre er veldig privat informasjon. Teknologien gjør det mulig å samle inn informasjonen på veldig effektivt vis. På god og vondt er teknologien agnostisk til hvem og hvordan informasjonen brukes. Datamaskiner bryr seg ikke om domstolstilgang, strenge regler og direktiver. Den gjør akkurat det den som har tilgang ber den om å gjøre.

Altså må vi ta styring over hvordan teknologien brukes. Den har veldig mange positive effekter, men også endel negative. Massiv overvåkning er helt klart en negativ anvendelse. Jeg erkjenner at overvåkning kan være nødvendig i gitte situasjoner, men jeg anser ikke at nasjonen er i en slik situasjon at alle må overvåkes.

Det spesielle her er at Arbeiderpartiet m.fl. vil i praksis innføre et klasseskille på hvem som kan unngå overvåkning og de som ikke gjør det. Kriminelle som går under radaren kan få mindre fokus på sin virksomhet fordi etterforskningsmetodene til Politiet innrettes mot elektroniske spor. En eventuell feiltolkning eller planting av elektroniske bevis på uskyldige vil dessuten ha alvorlige konsekvenser for den enkelte. Har du ikke riktig kompetanse, eller advokaten din ikke har det vil du kunne ligge dårlig an.

Informasjon gir makt. Det har den alltid gjort. Når staten ekspropierer vårt privatliv, får den så klart mer makt enn tidligere. Skillet går da hvem som klarer unngå at det lagres mye data om dem , og de som ikke gjør det. Det er her skillet for full demokratisk frihet vil gå. Her går grensen til rettsstaten. Blir du utsatt for ID-tyveri og ikke klarer å gjøre rede for deg, kan det bli ubehagelig.

Er det riktig at jeg som kjenner informasjonsteknologien skal ha større ytringsfrihet, personvern og rettssikkerhet enn de som ikke gjør det? Jeg synes det er grunnleggende feil, og det klasseskillet skal ihvertfall ikke økes av en regjering i en liberal rettsstat. Vil vi ha denne type skjevheter i samfunnet knyttet til kunnskap om teknologi?

Jeg blir derfor svært oppgitt over Bjørn Jarle Rødberg-Larsen, ivrig  forkjemper for DLD, som sier jeg inntar elitististens rolle som bedreviter til dette. Det er totalt skivebom og et usaklig forsøk på å underminere min argumentasjon. Jeg prøver å formidle min kunnskap om informasjonsteknologiens positive og negative anvendelsesområder. Hans eget yrke som internettmarkedsfører hører inn under bransje som ikke akkurat er kjent for å ivareta personvernet. Jeg har ikke grunnlag for å påstå at Rødberg Larsen er blant værstingene i bransjen, men helt generellt  benytter de faktisk overvåkningsteknikker for å spore oss når vi surfer på nettet. Problemet er så stort at forbrukermyndigheter vil innføre mottiltak. Har Rødberg Larsen er objektivt syn på personvern og overvåkning, eller kan han være farget av fortreffeligheten han ser i å samle inn informasjon om folk?

Jeg bruker f.eks. Firefox med HttpsEverywhere og Noscript plugins, og kan tildels styre når noen kan spore meg når jeg surfer. Flertallet av nettbrukere vet ikke om hverken problemet eller hvordan unngå det. Det er et stort problem for personvernet.

Det samme gjelder med Datalagringsdirektivet.

Når kartet ikke stemmer med terrenget

I dag har Regjeringen vedtatt at innføring av Datalagringsdirektivet skal behandles i Stortinget før jul. Samtidig overrekkes Nobels Fredspris til Liu Xiabo, som kjemper på kinesiske myndigheter som bruker bl.a. overvåkning av elektronisk kommunikasjons for å holde kontroll med sine innbyggere. Ikke så ulikt Datalagringsdirektivet, og det danner derfor et dobbeltmoralsk bakteppe for Arbeiderpartiets vettløse råkjøring.

Oppdatering
Det er kanskje ikke helt innlysende for alle lesere hvorfor jeg setter DLD i sammenheng med utdelingen av Nobels fredspris, men i Aftenposten står det en god kronikk som beskriver hvordan teknologien setter ytringsfriheten under press. Årets prisvinner kjemper nettopp for ytringsfrihet.

Formålet er kanskje formulert litt anderledes enn i Kina, men formålsutglidning er allerede på gang. NAV, Skattemyndighetene og Finanstilsynet vil også bruke trafikkdataene til å avsløre svindlere. Ikke usannsynlig vil man på sikt ende opp med en "kinesisk modell" med ganske så omfattende overvåkning og bruk av innsamlede data.

I det konkrete forslaget (forenklet hos NRK) som foreligger er det foreslått en nedre strafferamme på 4 år (5 år for lokasjonsdata) for tilgang. Man skal altså sikre bevis fra alle innbyggere, men ha en ganske høy terskel for tilgang til data. Samtidig sier man at det hovedsakelig skal gis tilgang vha domstolskontroll. Her er grunnen beredt for formålsutglidninger. Men Politiet opprinnelig ønsket DLD for å sikre bevis vil få en betraktelig høyere terskel før man får tilgang til trafikkdata, enn dagens praksis! Utformingen av forslaget er irrasjonelt og bærer preg av hastverk. Selv Justsisdepartementets pressemelding var mangelfull, den manglet informasjon om at epost og bruk av internett er omfattet av lovendringen. Dessuten så er det en utbredt oppfatning at slike lover er drevet frem av frykt. Frykt er en dårlig driver for rasjonelle handlinger.

Er direktivet egnet for å løse problemene i Politiet? Jeg har tidligere forklart at jeg ikke tror det kan løse de egentlige problemene, og når tilgangen blir såpass begrenset blir effektivitetsgevinsten liten. Faren er at man faktisk vil løse færre saker med trafikkdata enn i dag. Dette på tross av at man har samlet inn massive mengder data, og sikret bevis for både kriminelle såvel som lovlydige Særlig de småkriminelle kan vinne på innføring av DLD. Kriminelle kan også nyttiggjøre seg trafikkdata som de illegalt skaffer seg tilgang til, noe som garantert vil skje. De kriminelle vinner altså enda en gang ved innføring av direktivet. Det er ikke usannsynlig at Høyre faktisk vil kreve enda høyere strafferamme for å gjøre direktivet mer spiselig, alternativt kortere lagringstid. Samtidig sier man data skal sikres med strenge regler, noe som i seg selv en falsk påstand.

Direktivet lider tydelig av design by comittee. Politikere som ikke har satt seg ordentlig inn i problemene, og som ikke lytter til faglig ekspertise hverken på datasikkerhet eller personvern utformer et håpløst ubrukelig direktiv. Jeg tror også det bommer på målet for Politiet. Oppsummert ser jeg disse feil og svakheter, men det er nok mange fler:

• Massivt inngrep i personvernet og rettsstaten
• Til tross for massive mengde data, er de gjort mer utilgjengelig for de som skal bruke dem fordi politikere har dealet om minimums strafferamme for å gjøre det "spiselig". Det er misforstått personvern som ligger til grunn for dette. I en personvernkontekst er det ikke Politiets legale tilgang, men illegal tilgang og formålsutglidning som er det største problemet med DLD. Økt lagringstid driver nedre strafferamme for tilganng oppover! Altså jo mer data som lagres, jo mindre tilgjengelig for  Økt strafferamme blir bare leppestift på grisen.
• Man kan ikke viske ut skadevirkningen av overvåkning ved å ha strengere tilgang. Dataene er lagret og ligger klare til misbruk og formålsutglidning. Da er faren for skade allerede oppstått, og jo mer data jo større sannsynlighet er det for at det skjer. Strenge regler for sikring er ikke sikrere enn fartsgrenser er mot fartsovertredelser. Informasjonssikkerhet er fag og nitidig arbeid, ikke regler. For de som lurer hva jeg tenker på, se på hvordan data ble hentet ut fra Pentagon til Wikileaks. Dette er utfordringer IT/Telekonbransjen uansett bør se på uavhengig av direktivet.
• Påstanden om at DLD kan benyttes til å sjekke noen ut av en sak tviler jeg på. Dette vil ofte gå på lokasjon, og en må da i såfall sikte personer for en forbrytelse med hele 5 års strafferamme for å sjekke personen ut av saken. Unødvendig arbeid og ubehagelig for uskyldige, og vil neppe bli brukt noen særlig grad. 4 års strafferamme er heller ikke særlig attraktivt for uskyldige...
• Det hjelper ikke på Politiets ressursproblemer, fordi de småkriminelle går under DLD radaren. Strafferammen blokkerer for bruk av trafikkdata.
• Teknologien har løpt fra, og vil snart løpe enda raskere fra direktivet. EU komiteer kan aldri holde følge med teknologien. Sosiale media, Skype o.l. omfattes generellt ikke av direktivet, men det vil derimot ble supernøyaktig sporing av din lokasjon pga virkemåten til moderne mobiltelefoner.

Jeg mener det vil være mer hensiktsmessig med generell sletteplikt, med så kort frist som overhodet praktisk mulig. Da trenger man ikke høy minimums strafferamme for tilgang for styre tilgang. Dagens praksis med målrettet tvangslagring ved skjelllig grunn til mistanke opprettholdes. Politiet må heller bli flinkere til se  hvordan de kan benytte det som ellers måtte finnes, også digitalt. Slik får man ikke noe statlig overgrep mot personvernet. Trafikkdata kan brukes i de saker hvor det er hensiktsmessig og vil da være et godt virkemiddel i kampen mot ulike typer kriminalitet. Da binder man heller ikke opp etterforskningsmetoder i teknologiske løsninger som er i rask endring.

Kartet stemmer ikke terrenget for Datalagringsdirektivet generellt og Arbeiderpartiets lovforslag spesiellt. Her er noen gode grunner til å kaste forslaget eller i det minste utsette beslutning om å innføre DLD:

• Datalagringsdirektivet er ikke overenstemmelse med rettsstatens prinsipper, og vil trolig aldri bli det.
• Direktivet vil ha en chilling effect på et demokratiets grunnleggende mekanismer og sikkerhetsventiler.
• Det vil ikke kunne løse polititets utfordringer mhp effektivitet. 
• Det er ventet at EU vil komme med en evalueringsrapport i April og det vil være viktig kunnskap for å kunne gjøre riktig beslutning, dersom man ikke allerede anser personverovergrepet som så stort at det uansett ikke er aktuellt. 

Hastverk er lastverk

Politikerne må ta ansvar og skaffe seg kunnskap. De må lese uttalelsene til alle høringsinstanser, følge med på debatten og ikke minst avvente EUs egen evaluering. Alt annet er viljeløs EU absorbering uten kunnskap om hva man driver med, effekter og bieffekter. Her er ikke poenget å gjøre noe for se ut som man er dyktig politiker. Det virkelige terrenget må kartlegges før man kan finne virkelige løsninger. Man kan ikke løse utfordringer i en liberal rettsstat ved å underminere den. De som sier noe annet kan ikke ha satt seg inn i problemstillingen. Man kan rett og slett ikke slippe løs så dårlig håndverk i samfunnet, så være snill og sett ned foten før det er for sent.

Oppdatering 11.12.2010
Jeg ser jeg har tatt utgangspunkt i hovedregelen for uthenting av data. Forslaget er ganske innfløkt (typisk juss-prosa). Greie oppsummeringer

• Slik vil AP lagre dine data (VG)
• Sikkerhet for enhver pris

Forslaget kan ved første inntrykk (innsalg) se ut som om det er streng tilgang til data, men i praksis lekker det som en sil. Forslaget bør så absolutt forkastes, eller helst bruke vetoretten uten mer om og men. Det er umulig å tilfredstille alle som vil ha tilgang og ha god sikkerhet. Det kan man bare glemme.

Vedrørende kritikk av posten
Jeg har blitt kritisert, på Twitter, for første avsnitt i posten fordi jeg er for drøy i min sammeligning med Kinas overvåkning av sine innbyggere. Når man går lovforslaget i sømmene, er det egentlig en drøy påstand jeg kommer med? Det er både likheter og ulikheter, men den totale virkningen på personvern og privatliv har utvilsomt noen sammenfallende trekk.

Verdien av nærhet

Høringsttalelse på Fremtidens helsetjeneste, gjengitt her.

Premissene i argumentasjonen om endring i akutttilbudene er generelt ensidig og overforenklet. For det første er den Norske geografien svært variabel. Vårt langstrakte land består av flate sletter, fjorder og fjell. Værtypene er veldig forskjellige, og det finnes lokalsamfunn som blir helt eller delvis isolert i kortere perioder av året.

Så lenge vi har en offentlig finansierte helsetjenester, eid og betalt av borgerne må det sørges for at midlene brukes slik at så mange som overhodet mulig har et forsvarlig tilbud. Etterhvert som infrastuktur bedres kan lokalisering av tilbud endres. Endringene kan være riktig på grunn av endret reisemønster, økonomiske eller faglig karakter. Men endringer krever ansvarlighet og lokal kunnskap. I debatten om sykehusstrukur ser økonomi til å veie tungt, og akuttfunksjonen er ressurskrevende. Akutt krever vaktberedskap som ikke til enhver tid har fullt belegg med arbeidsoppgaver.

Som det er beskrevet på Regjerings nettsted om Ulike styringsformer for å nå samfunnsmessige eller sektorpolitiske mål:
“2.3.3 Velferdsstatlige og demokratiske begrunnelser for statlig eierskap
I de nordiske velferdsstatene har det vært tradisjon for at staten har tatt et økonomisk og innholdsmessig ansvar for flere sentrale tjenester og infrastrukturer i samfunnet med det formålet å sikre en lik tilgang for alle og et likt tilbud til alle. Det har vært antatt at tilgangen til og kvaliteten på noen sentrale tjenester som helse, utdanning og andre sosiale hjelpetjenester har stor betydning for hvordan samfunnet som helhet fungerer.”

I utgangspunktet må det være positivt at det er lite å gjøre på akutten, men det har allikevel verdi at den er der. Ressursbruk må balanseres med krav til tilgjengelighet for alle som er innenfor området som dekkes. Selv om akuttfunksjonen er den dyreste å drive så kan det ikke være automatikk i at det der man skal kutte. Økonomi er kun en av faktorene som spiller inn, og det vil alltid være en smertegrense når det gjelder tilgjenglighet. Handlingsrommet ligger mellom hva som er økonomisk mulig, og forsvarlig sett fra et samfunnsikkerhetsperspektiv. Akuttfunksjonen er en sentral del av et sykehus, og fjernes den reduseres innholdet betydelig. Overført i et banalt eksempel: ville du fjernet motoren på bilen fordi den er dyr og krever mye vedklikehold? Akutt er på mange måter motoren i et fullverdig sykehus.

Det er et paradoks at vi setter alle kluter til for sikkerhet på flyplassene, men i distriktene med den dårligste infrastrukturen legges det ned akuttavdelinger begrunnet i økonomi. Sjansen for å dø av terror på fly er tross alt forsvinnende liten i forhold til å ikke rekke frem til akutten når ulykken er ute. Dette synes jeg er irrasjonelt, og feil bruk av felles ressurser.

Må det ikke vurderes hvor viktig og verdifull akuttfunksjonen, med lokaler vurderinger, er før man kutter? Verdien i akutt ligger i nærhet, det ligger jo i navnet. Om akutttjenesten flyttes lengre vekk fra folk, reduseres verdien for samfunnet. Er det vel anvendte midler når kostnadsreduksjonen er marginal og verdien reduseres? Hva med økte kostnader i ambulanseberedskap og reisevirksomhet for pasienter, pårørende og ansatte. Jeg tror ikke store (hvor stort kan det egentlig bli i distrikts-Norge?) fagmiljø veier opp mot økte reiseavstander målt i verdien nærhet til akutt gir. Den samme argumentasjonen mener jeg også er gyldig for fødeavdelinger, siden fødsler like gjerne kan være akutt med fare for liv til både mor og barn.

Jeg savner mer dyptgående analyser av slike problemstillinger. Det ville hjulpet både på å forstå hvorfor folk i distriktene er opprørte, og gi bedre beslutninsgrunnlag til å løse virkelige problemer og gjøre virkelige forbedringer. Offentlige midler kan ikke kun sees på isolert i hvert enkelt budsjett. Kutt et sted vil slå ut i økte utgifter på et annet dersom endringer ikke i settes i sammenheng med resten av samfunnet. Verdien av nærhet kan måles med statistiske metoder, ROS-analyser, folkehelse, trygdebudsjetter og folkemening. Det er på tide det settes krav til at helseforetakene ser ut av vinduet til samfunnet som ligger utenfor.

Terror, statistikk og realisme

Jeg er ikke statistiker, men vet faget kan gi god beslutningstøtte. Jeg unngår bevisst å kalle det beslutningsgrunnlag fordi: Det finnes som kjent 3 typer løgner: løgn, fordømt løgn og statistikk.  For identifisering av problemer, aktuelle tiltak, beregning av omfang og nødvendighet av tiltak kan allikevel statistiske metoder være uvurderlig. I arbeidet mot terror og kriminalitet bør statistikk brukes aktivt for

• å sannsynliggjøre at ulike destruktive hendelser kan skje
• basert på sannsynlighet for at ulike hendelser vil inntreffe, 
• Identifisere målrettede tiltak
• finne riktig nivå og omfang av tiltak
• Kvantifisere sannsynlighet for at tiltaket løser eller bidrar til å løse problemet

Når staten skal iverksette tiltak for samfunnssikkerhet er det essensielt at disse rettes mot reelle trusler samt forutsi muligheten for måloppnåelse gjennom tiltaket. Noe annet vil være misbruk av felles ressurser, uheldige inngrep i det normale samfunnet og øke sannsynligheten for at man ikke når målet. Det ultimate målet må være opprettholdelse av normaltilstand og positiv utvikling. Vi må opptre rasjonellt og målrettet i arbeidet mot destruktiv atferd i samfunnet. Noen viktige nøkler er statistikk, statistiske metoder og kunnskap.

Tiltak som innvirker negativt i seg selv overflødiggjør ihvertfall terrorvirksomhet fordi vi i effekt står for den selv. I frykt for hva som kan skje, begår vi urettmessigheter mot vår egen frihet. Dette rimer også med Al-Qaidas nye strategi om å få Vesten/USA til å endre oppførsel gjennom mange små angrep. Dersom den uttalte trusselen i seg selv er nok til at de oppnår sitt mål, er det optimalt for terroristene. Som Anders Romarheim i Institutt for Forsvarsstudier sier:

Terrorisme er en ikke-statlig aktørs systematisk bruk av vold og ødeleggelse – eller trusler om dette – mot ikke-stridende med sikte på å skape en tilstand av frykt, få oppmerksomhet om en politisk sak og å påvirke atferden også til andre enn de direkte ofrene for terroraksjonen.

Hvor mange terrorangrep har blitt avverget av trafikkdata og sikkerhetskontroll på flyplasser? Står tiltakene i stil med trusselen, eventuelle konsekvenser og mulighetene for at de kan hindre hendelser eller begrense skader? Kan man oppnå like stor, eller enda bedre sikkerhet, med uforutsigbare stikkprøver, kunnskap og statistikk? Jeg begriper ikke at vestlige land, som gjerne skryter av hvor mye kunnskap vi besitter, kan innføre så allmenne tiltak brute force, uten å finne ut om de virker og de negative konsekvensene.

Det finnes ikke statistisk grunnlag for å si at allmenne sikkerhetstiltak har effekt selv etter ganske mange år med anti-terror lover og tiltak. Etter å ha hørt på noen podcaster som Saltklypa.no og The James Allen Show om flyplass scanning, og forsøkt å google etter statistikk som viser grunnlaget for lover og tiltak, samt beviselig effekt begynte jeg å tenke på denne blogposten.

Når alle behandles som kriminelle og terrorister av staten gjennom masselagring av personlige opplysinger og sikkerhetskontroller er det lett å gjemme seg i mengden. Når trafikkdata allment sikres som bevis vil det ihvertfall være det første kriminelle og terrorister forsikrer seg mot skal avsløre dem. Det er vanskeligere å gjemme seg i mengden når det foretas forskjellige stikkprøver. Statistikere kan beregne hvor mange stikkprøver en må foreta for å kunne ha minst like god samfunssikkerhet som allmenn bevissikring av trafikkdata og nitidig sjekk av alle flypasassjerer. Skjellig grunn til mistanke er basert på kunnskap og kvalifisert gjetning for å sjekke spesifikke personer og be om utvidet lagring av trafikkdata for disse. Jeg er såpass "gammeldags" at jeg fortsatt har stor tro på sikkerhets- og politifaglig håndverk istedet for brute force type arbeidsmetoder som i tillegg har en rekke uheldige sideeffekter.

Når Justisministeren åpent sier at bevis skal sikres for alle borgere, så må du være ganske blåst som terrorist eller kriminell om du går i den fella. Å stille alle opp i rekke for sikkerhetskontroll på flyplasser rammer bare alle som ikke har destruktive mål med flyturen. Du vil ikke finne menn med langt skjegg og bombe under armen der.

Forutsigbare sjekker er mye lettere å omgå enn uanmeldte og ulike former for stikkprøver. Dessuten koster målrettede tiltak mindre, og har mindre innvirkning på det normale samfunnet. Hvis borgerne kan unngå negative konsekvenser for dem selv, vil de velge bort atferd oppfattes som negativt/tungvindt men som faktisk kan være ønskelig for samfunnet. Allmenne tiltak vil medføre generelle endringer i borgernes oppførsel, særlig om de har negative konsekvenser for den enkelte. De samme tankene ligger ofte bak avgiftspolitikk. Vil en ikke innrømme at Datalagringsdirektivet har negative konsekevnser sier man også at avgiftspolitikk heller ikke innvirker på f.eks. forbruksmønsteret.

Statsministeren vår Jens Stoltenberg kjenner godt til statistiskikk og metoder, det er faktisk faget hans. Det er åå tide han begynner å anvende sine kunnskaper og deler dem med sine kollegaer i Regjeringen. I utforming av lover og i offentlig forvaltning må vi bruke kunnskap og metoder, og ihvertfall ikke la oss styre av frykt og en massesuggesjon rundt terror og kriminalitet. Bildet av manglende respekt for uavhengig og faglig fundert beslutningsgrunnlag forværres av hvordan forskning blir påvirket av forvaltningen, slik vi kan lese i nyhetene nå.

PS! The James Allen show er sånn passe forstyrrende for en skandinav som ser forskjell på sosialdemokrati og kommunisme; en del amerikanske "ekstremister" der. Det er dog noe å tenke over at nettopp kommunistiske og totalitære stater benytter brute force metoder for å kontrollere sine borgere.

Oppdatering 27.10.2010:
Meget bra artikkel om temaet: TSA's Failure Based on Myth of Perfect Security

Sikring av data - teater og realisme

I følge Politimyndighetene vil trafikkdata sikres ved innføring av Datalagringsdirektivet. Det er en påstand som ikke er IT-faglige forankret. Det er vesentlig forskjell på en slik påstand og den virkelige verden.

Når Politimyndighetene og Justisministeren snakker om sikring av trafikkdata får de det til å høres veldig enkelt og universelt ut. I virkeligheten finnes ikke enkle og universelle sikringsløsninger på slike komplekse behov. Sikkerhetstiltak må rettes mot de data og miljø som trenger beskyttelse, og samtidig tilfredsstille alle bruksbehov. Påstander om at man kan kjøpe ferdig utstyr og programvare er ikke gyldige i praksis. En generell løsning kan ikke dekke spesifikke behov, det er ganske innlysende. Gode løsninger konstrueres på bakgrunn av velformulerte problemstillinger. Men selv utmerket sikkerhet gir ingen garanti for at data aldri vil komme på avveie. All programvare og nettverk med litt kompleksitet har feil og svakheter som kan utnyttes. Det svakeste ledd er allikevel menneskene fordi det rett og slett er menneskelig å feile. Det hele blir en avveining mellom behov, risiko og konsekvens, og det faktum at 100% løsninger ikke finnes.

Datasikkerhet er ikke et produkt man kjøper og installerer i et system-miljø. Et produkt kan ivareta enkelte sikkerhetsaspekter, men ikke helheten. Sikkerhet må være et klart definert og gjennomgående ansvar i systemarkitektur. Komplekse (heterogene) systemer består gjerne av mange komponenter som virker sammen. Selv om noen av enkelt-komponentene har god sikkerhet, er ikke systemets sikkerhet sterkere enn det svakeste ledd. Sikring av systemer er en pågående prosess i hele systemets levetid, og innsatsen vil variere med antatte og opplevde trusler. Lagring av data i et omfang systemet ikke var tiltenkt vil i praksis svekke sikkerheten, på grunn av økt kompleksitet og fare for innbrudd. Jo større mengder data jo større konsekvens vil et innbrudd få. Jeg liker å sammenligne systemsikkerhet med immunforsvaret og trusler det må oppdage og bekjempe.

Lagringen må enten skje hos den enkelte teleoperatør eller i et sentralt register. Lagring hos teleoperatører gir mindre konsentrasjon av data, men i systemer som i utgangspunktet ikke er laget for å ivareta slike sikkerhetsbehov Datalagringsdirektivet krever. Systemene som lagrer og behandler trafikkdata hos operatørene er ulike. De kan ikke sikres med generelle metoder eller produkter utenpå de eksisterende systemer. Hvorvidt det vil være mulig å sikre eksisterende systemer forsvarlig er ikke analysert. Risiko for innbrudd og lekkasjer samt konsekvenser er heller ikke utredet.  Å vedta implementerering uten å utføre slike analyser er ikke å anbefale. Ekstrakostnadene må trolig bæres av operatørene og vil egentlig bare være en byrde som bidrar til kompleksitet og negativt bidrag på bunnlinjen. Teleoperatører har lekket data før, og det vil nok skje igjen og vil svekke omdømmet deres. Det er ikke operatørenes oppgave å sikre bevis for Politiet. Det virker unaturlig å pålegge dem et ansvar for allmen sikring av bevis.

Med en sentral lagringsløsning vil data kopieres til et felles register. Det høres kanskje sikkert ut, og selve lagringsløsningen vil nok ha høy sikkerhet, men konsentrasjonen av sensitiv informasjon gjør den til et mer attraktivt mål for kriminelle. Dessuten vil data samlet fra flere ulike kilder gjøre det lettere å sammenstille ulik informasjon. Faren for formålsutglidning vil være større, siden kombinerte data vil ha bredere anvendelsesområder.  I den fysiske verden så er transport et svakt punkt,  for eksempel penge- eller fangetransport. I den elektroniske verden er også transport forbundet med en viss risiko.  Selve transporten av data vil nok sikres, men for at data skal kunne hentes ut må det være åpninger som slipper de gjennom. Feil i programvare og konfigurasjon vil gjøre det mulig å bryte seg inn i løsningen før eller senere. Ulike former for avlytting av datatransport som følge av svakheter i sikkerhet er ikke uvanlig. De vanligste oppdateringer du får på din PC er nettopp tetting av sikkerhetshull. På lignende vis krever også store systemer kontinuerlig vedlikehold av sikkerhet. Selv med gode sikkerhetsmekanismer vil det være mulig å finne svake punkter. I tillegg kan en utro tjener gjøre stor skade. En skal heller ikke undervurdere fremmed etteretnings interesse for trafikkdata.

Vi begynner allerede å se hvordan trafikkdata blir tilgjengelig for ulike offentlige effektiviseringstiltak. Dette vil skape flere kopier av dataene. Antallet personer som kan skaffe seg tilgang øker betraktelig jo flere muligheter for uthenting som eksisterer, og kontrollen med data svinner hen. Jeg tviler på at NAV-ansatte har kompetanse om sikring av et større omfang data utenfor deres egne fagssystemer. Oppgavsrettsorganisasjoner har også fått tilgang til å hente ut ip-adresser for å avsløre fildelere. Hvor godt vil uthentede data for ulike formål sikres?

Uten å ha gjort faglige vurderinger av ulike sikkerhetsløsninger og flyt av data vet man ikke hvor god sikringen blir. Det blir kun en påstand. Man kan kanskje vise til andre land, men fakta er at nordmenn er ganske langt fremme på bruk av teknologi. Finnes det land med sammenlignbare forhold hvor direktivet er implementert, og hvor sikringen er er god nok? EUs Datatilsyn har i sin evaluering vist at sikringen har vært utilstrekkelig, samt at det lagres mer data enn forutsatt. Når en begynner å gå påstanden fra Politimyndighetene i sømmene ser en at den ikke holder.

På nett kopieres data raskt og effektivt. Selv om en forsøker å hindre at det skjer, vil det skje allikevel.  Sikkerhetsløsninger hjelper ikke når data først kommer på avveie. Data som ikke har blitt lagret, kan heller ikke stjeles, kopieres og misbrukes. Når data først er kommet på avveie er det for sent. Det sikreste er begrenset lagring i både omfang og tid. At for eksempel militær informasjon havner på Wikileaks viser at det er umulig å holde sensitive data innelåst. Det viktigste momentet er mengden av sensitive data som kan lekke. Sikkerhetstiltak gjør det bare vanskeligere, men de er ikke uoverkommelige hindere for å skaffe seg tilgang.

ROS- og Konsekvensanalyser i beslutningsgrunnlag

Det foreligger forslag på vidt forskjellige områder som vil innvirke på vår samfunnssikkerhet. Et fellestrekk i beslutningsgrunnlaget for flere av dem er manglende ROS-analyse og konsekvensutredninger. På en side gjør man endringer uten å sjekke hva det har å si for samfunnsikkerhet, på en annen side droppes analyser og utredringer som kan si  om endringer vil ha ønsket effekt. Risiko må analyseres fordi de representer noe som kan gå galt. For å skjønne hva som kan gå galt, og sjansen for at det skjer er vesentlig for å kunne ta ansvar, beslutte og gjennomføre tiltak.

I forbindelse med forslaget om innføring av EUs Datalagringsdirektiv ser det heller ikke ut til å være utført slikt arbeid for forberede et beslutningsgrunnlag. Det finnes noe, men ganske motstridene, fakta om hvorvidt direktivet er et bra verktøy for Politiet. I EU er det tendensen at man ser at direktivet ikke har mye for seg. Trafikkdata brukes som etterforskningsverktøy, men det er først og fremst den målrettede lagringen som gir resultater. Bevissikring som om internett er et gedigent åsted har ikke det, noe Storberget skrev i Dagbladet. EUs evaluering av Datalagringsdirektivet er forsinket men når den foreligger kan det være viktig kunnskap å benytte i beslutningen om innføring. Det er viktig å merke seg det Regjeringen selv skriver om evalueringen:

en pågående evalueringen vil ha til hensikt å vurdere om de proporsjonalitetsvurderingene som ble gjort ved vedtakelsen av direktivet i 2005 fortsatt er gjeldende. Evalueringen vil vurdere om direktivet er proporsjonalt i forhold til hensynene for kriminalitetsbekjempelse, kostnadene for markedet, samt virkningen på grunnleggende rettigheter, særlig retten til privatliv og personvern. Malmström indikerte også at en konsekvensanalyse for mulige endringer kan starte når evalueringsrapporten er ferdigstilt. 

At Storberget ikke vil avvente denne evalueringen før en beslutning taes  er ikke annet enn oppsiktsvekkende. Det blir ikke bedre av at forespørsel i innsyn i prosessen konsekvent avslåes av Justisdepartement.

Det er også på det rene at datalekkasjer er en sikkerhetsrisiko både for individer og samfunn. I Rettsstaten i et digitalt samfunn trekker jeg frem noen slike problemstillinger. Slike analyser må inn i DSBs arbeid, og Datatilsynet har allerede en god del kunnskap om dette. Problemet er at Datatilsynet blir ansett av flere som hysteriske. Det er verdt å minne om at en av de første aksjonene motstandsgruppen til Max Manus gjennomførte var nettopp sprengning av registere som var et viktig verktøy for okkupasjonsmakten. Sensitive data krever godt gjennomtenkte løsninger for innsamling, lagring, omfang og sletting.

Helseforetakene, og spesiellt Helse Nordmøre og Romsdal hvor jeg har fulgt med på endringer i akutttilbudet faller inn i det samme mønsteret. De ønsker å legge ned akuttmottak i Kristiansund og sentralisere i Molde, uten ROS analyse og konsekvensutredning. Heldigvis ble forslaget enstemming stoppet av styret i Helse-Midt. Men helseforetaket er pålagt å utføre slike analyser, det er ikke valgfritt. Å hoppe bukk over innhenting av nødvendig beslutningsgrunnlag er direkte uansvarlig og burde havne på helseministerens bord.

Hvor kommer denne motstanden mot å skaffe grunnleggende beslutningsgrunnlag fra? Det virker som om det er en trend at man vet svaret på forhånd, og en ikke ønsker informasjon som kan komme i veien. Slik som enkelte aktører nå turer frem står man i fare for å svekke samfunnssikkerheten istedet for å styrke den. Informasjon og kunnskap om konsekvenser mangler, men det er veldig mange som sier at endringene som er iferd med å skje er utvikling i gal retning.

Et vesentlig trekk med disse tingene er manglende forståelse for problemstillingene hos media. De blir ansett som for komplekse. Har vi fått et mediebransje som bare vil surfe saker som er enkle å beskrive på 1 linje over forsiden? Som Anders Brenna, leder i StoppDLD nettopp sa: Journalistene sover. Den kritiske journalistikken og viktig samfunnsdebatt flyttes mer og mer vekk fra tradisjonelle media og over i bloggsfæren. Jeg har ikke noe sterke meninger for og imot en slik utvikling, men akkurat nå utelukker dette en stor andel av befolkningen fra debatten. Det er for mange som knapt nok har lært seg å surfe på nett. Å delta i debatt er et godt stykke frem for de fleste.

Overvåkning nå og da

Kåre Willoch har uttalt seg om overvåkningen som er utført av tidligere norske politifolk på oppdrag fra amerikansk etteretning. I nevnte artikkel uttaler han

For å finne de skyldige, må vi lete i vide kretser, men de som blir overvåket uten grunn, skal ikke påføres noen skade

Jeg tror man må tolke utsagnet ut ifra de erfaringer han har med Norsk etteretning, som på 70- og 80 tallet overvåket den politikse venstreside. Utsagnet kan taes til inntekt for at overvåkning av et stort antall personer er helt greitt bare det kan begrunnes i å finne skyldige. Følger man logikken i dette åpnes slusene for en overvåkning av det borgerne en aldri tidligere har sett maken til.

Sett i lys av de muligheter vi har i dag til å effektivt registrere store mengder personlige opplysninger, er uttalelsen lite reflektert. Myndighetene kan i dag ved en lovendring skru på massiv overvåkning. Dette var ikke mulig å gjøre i tilsvarende skala tidligere. Datalagringsdirektivet er en slik endring. Slike vidtgående overvåkningstiltak viser liten forståelse for borgernes rettigheter til å ha kontroll med egen informasjon. Det at vi har moderne og effektive kommunikasjonsmidler, som tilfeldigvis gjør det mulig å overvåke, er ingen grunn for myndighetene til å ta seg til rette. Moderne kommunikasjonsmidler endrer på kommunikasjonsmønstre, men sfæren er like privat som tidligere.

Willoch ser det kanskje ikke selv, men han argumenter veldig likt med makter han kjempet mot på 70- og 80-tallet. Sovjet m.fl. hadde svært god kontroll med befolkningen gjennom registere og overvåkning. Dissidenter levde farlig, og harde straffer i Sibir ventet for de som opponerte i f.eks. Sovjetunionen. I Kina ser vi at dette fortsatt er inntakt. I Norge overvåket man for 30 år sidenui et fåtall som sympatiserte med disse maktene. Dette var en del av spillet i den kalde krigen. Når han sier at alle (tolkning: vide kretser) må påregne overvåkning er det ganske så lik kommuniststatenes argumentasjon for nøyaktig det samme. Vi vet hvordan det kan utvikle seg. En beslutning nå kan få alvorlige konsekvenser på lang sikt. Forskjellen på nå og da er at massiv overvåkning i dag er langt mer effektiv, og datainnsamling gjøres allerede av private foretak. Det er bare å sikre omfang tilgang.

Politiet har en viktig oppgave med å håndtere avvik. Jobben de gjør er grunnleggende viktig for samfunnet. Men det er fortsatt avvik. Samfunnet kan ikke orienteres rundt avviksbehandling. Da vil alle, lovlydige som kriminelle, bli underlagt endel tiltak som ikke fremmer en positiv utvikling. Kriminelle vil få begrenset sin frihet og kontroll med egen informasjon. Lovlydige skal ikke miste denne retten under normale omstendigheter. De truslene som benyttes som argumentasjon, er utfordringer de fleste vestlige stater jobber med og kan neppe beskrives som en unntakstilstand.

Forvaltning av samfunnet med muligheter og utfordringer vi står overfor krever forståelse av hvordan teknologien påvirker oss på mange plan. Å gripe tak i lettvinte muligheter for å bekjempe problemer uten å vurdere de langsiktige konsekvensene er uansvarlig.
 
Vi overlevde den kalde krigen uten overvåkning av befolkningen. Da burde vi klare å overleve noen islamske terrorister også. Willoch er selv inne på momenter som kan redusere motivene terroristene kan ha for å skade oss. Det høres ut som mye bedre tiltak på lang sikt synes jeg.

Til slutt vil jeg nevne en pussig selvmotsigende uttalelse på slutten:

Willoch er ikke i tvil om at det er en voksende risiko for at det innenfor Norges grenser kan finnes personer eller vokse fram nettverk som ønsker å tjene andre samfunns interesser.

Hvem er det han sikter til her? Amerikansk etteretning? Islamister? Er det greitt at noen danner nettverk, men ikke andre? Dette er en farlig vei å bevege seg inn på, selv om noen land er allierte bør de uansett respektere norsk lov og menneskerettigheter generellt. Så får vi heller jobbe med unntakene.

Managing symptoms doesn’t solve problems

Tittelen på denne posten synes jeg beskrivende for Politiets effektivitetsproblemer, og spørsmålet om innføring av Datalagringsdirektivet. Direktivet er ikke løsningsorientert. Det fungerer mer som smertelindring for en presset etat. John Seddon, som er flink på å løse kostnadsproblemer i tjenesteytende organisasjoner, er opphavet til tittelen i denne posten .

Jeg skrev nettopp en kronikk på Nyemeninger.no om at teknologien må forholde seg til rettsstaten, ikke omvendt. Der kommer jeg inn på hvorfor jeg tror Justisdepartementet og Politiet gjerne vil at direktivet innføres. Her vil jeg utdype hva jeg tror er en viktig motivasjon for det, men uklar problemdefinisjon medfører at man ikke løser virkelige problemer.

I en Twitter-diskusjon fikk jeg et innspill på hvorfor man (altså Politiet og Justisdepartementet) er så ivrige: En debattant mente kostnader forbundet med bevis kunne være et vesentlig moment; trafikkdata er rimeligere å frembringe enn andre bevis. Det stemmer nok at selve bevisssikringen er billigere, bevisene er jo sikret på forhånd og det "bare å hente dem ut". Når er det kanskje ikke fullt så enkelt i praksis. Dersom det jeg beskriver her har noe rot i virkeligheten, viser det både hvor feil direktivet er og at det skjuler Politiets virkelige hindringer for å bli mer effektive.

At man har fokus på kostnader er nok sannsynlig, og økonomene vil straks begynne å se på hvordan man kan kontrollere dem. Økonomer er ikke alltid opptatt av investeringer for å oppnå langsiktige effekter. Dersom også ledelsen er opptatt av kortsiktig kostnadsreduksjon vil den fokusere på lowhanging fruits, altså raskeste og enkleste vei til "målet". Jeg skriver målet i anførselstegn fordi man glemte kanskje å definere det på en god måte? Hastverket skyldes trolig frykt for terrorangrep og forsøk på få kontroll over kostnader. Frykt leder til irrasjonelle beslutninger, og da skal det godt gjøres at en klarer å løse underliggende problemer. Når økonomi  kun brukes som brems på løpende kostnader, istedet for aktivt pådrag og investeringer i ønsket retning stivner organisasjonen. Dermed utvikles ikke tjenestene Politiet skal levere til samfunnet slik de burde. Politiet må gjerne bruke moderne teknologi, man da primært til å løse sine egne problemer og uten kreve kontroll over alle borgernes personlige informasjon.

I forhold til i dag hvor det er målrettet tvangslagring data ved mistanke, vil det med direktivet blir tvangslagret data for alle. Datamengden vil da øke formidabelt. Jeg har sett tvitret om DLD at det fundamentale problemet er Design by comittee. Direktivet er ikke utformet med utgangspunkt i et presist definert problem, og som følge av det skal alle bevis sikres. I frykt for terror skytes det på alt som rører seg som en slags helgardering.

Hvis motivasjonen for å innføring av Datalagringsdirektivet er kostnadsreduksjon er det tegn på at man ikke har analysert de underliggende utfordringene og kostnadsdriverne. Skal budsjettet sminkes ved å betale i dyre dommer av personvernet? Skjule kostnader ved lagring og sikring av sensitive data ved å dytte det over på teleoperatører og internettilbydere? Er økonomien en driver for innføring av direktivet kan det med sikkerhet forutsies at gevinsten vil bli forsøkt optimalisert. Da vil vi se trafikkdata bli brukt som bevis foran andre typer som er dyrere å frembringe. I en del høyt profilerte saker, hvor trafikkdata har vært sikret har det  vært vanskelig å få domfellelse. Kanskje er trafikkdata ikke godt egnet som bevis, men heller som spor? Hvor viktig er egentlig trafikkdata for domfellelse? Et fingeravtrykk, DNA-bevis eller vitneobservasjon er mye mer håndfast enn trafikkdata som er vanskeligere å knytte til en bestemt person på gitt tidspunkt. For å nevne eksempler på hvorfor det er slik: Jeg vil tro kriminelle stjeler nye, og bytter, telefoner mye oftere enn lovlydige. Abonnement registreres kanskje med falsk eller stjålet identitet.

Skal tvangslagring av data for alle ha noe for seg, vil det bli hentet ut data for mange flere personer, gjerne knyttet til bestemte lokasjoner og tidsrom. Disse dataene må analyseres, noe som vil kreve kostbar arbeidskraft. Dataanalyse av en slik karakter er det nok ikke mange etterforskere som har kompetanse på. Dataanalyse vil helt klart koste penger, og gå på bekostning av andre ressurser. Det som kan se ut som kostnadsbesparende og effektivisering kan bli til en ny utgiftspost. Politi i gatene kan forhindre kriminalitet, mens trafikkdata kan nok være til hjelp når en skal finne mulige mistenkte. Vesentlig forskjell.

Skal man løse virkelige problemer er kravet at de defineres presist. Ellers løser man  feil, eller kanskje et konstruert problem. Datalagringsdirektivet sikrer bevis blindt og formålet er uklart definert: Bekjempelse av terror og barneporno (overgrep mot barn kan det ikke hjelpe mot) og grov kriminalitet, men hvordan direktivet skal bli et godt verktøy er mer uklart. Det hele virker som en kjapp løsning på et uklart problem, som har alvorlige konsekvener for individets kontroll med egen informasjon (se min kronikk). Effekten av direktivet i landene som har innført det viser heller ikke klart at det fungerer etter hensikten. Direktivet er under evaluering i EU, og fristen for når evalueringen skal være ferdig flyttes stadig. Storberget har ikke tid til å vente på resultatet av denne evalueringen og vil ha direktivet innført så raskt som mulig. Slik hast bidrar ytterligere til en prosess hvor kunnskap og fakta ikke er en del av beslutningsgrunnlaget. Fryktdrevne prosesser har irrasjonalitet innebygd og det er mange tegn på at det er det som skjer.

Jeg kjenner ikke detaljert til hvordan Politiet jobber, men gjennom media og Riksrevisjonen vet jeg at både organisasjon og IT-systemene ikke støtter Politiet for å effektivt kunne bekjempe organisert kriminalitet. Ineffektivitet er en kostnadsdriver, fordi man må bruke mer ressurser enn det som burde være nødvendig for å løse saker. Vis man søker på nettet etter saker som henlegges på grunn av ressursmangel får man fryktelig mange treff. 3100 i Google per 6.11.2010. Så mange henlagte saker utgjør et stort problem. Man har bevis og gjerningspersoner men mangler ressurser til å få dem dømt. Det er altså ikke bevis det står på, og da hjelper det ikke med trafikkdata heller. I direktivet kreves det forøvrig en strafferamme på minimum 3 år for uthenting, noe som utelukker trafikkdata fra å brukes i "småsakene". Uten direktivet har man ikke dette kravet, men omfanget av data man kan være mindre der man ikke har fått godkjent tvangslagring av domstol på et tidligere tidspunkt.

Ved å skyve kostnader over på andre, blinder man seg selv fra å se sine egne problemer. Smerter man ikke kjenner selv, er lett å ignorere. I personlige relasjoner sier en om sånt: det der er dårlig gjort! Man skyver ikke sine egne problemer over på sine venner.

Ideer for digital radio

I noen år har nå de store radiokanalaene forsøkt å overbevise lytterne om fortreffeligheten med digital radio, nærmere bestemt basert på standarden DAB. Lytterne har vært heller lunkne, særlig på grunn av den høye prisen på mottagere, men også at de ikke får noe mer igjen for pengene. FM-mottagere gir for de fleste mer enn god nok kvalitet til en rimelig penge. Pådriverne virker å ha trodd å kunne styre markedet som om vi bodde i en sovjetstat. Vi lever i en markedsøkonomi, remember?

Endel kritikere av DAB-standarden har inntatt en fundamentalstisk holdning, og vil ikke ha noe med DAB å gjøre. DAB+ som har endel tekniske fordeler, bl.a. bedre lydkvalitet på lavere båndbredde er et av argumentene for å ikke velge DAB. Personlig synes jeg det ikke er noen grunn til å tviholde på DAB, når DAB+ er her og vil gi noe mer verdi for lytterne.

I sommer satte DAB-pådriverne igang kampanjen Ja til radio. Jeg får ikke helt taket på hva målet med kampanjen er annet enn å overbevise lytterne om å kjøpe noe de ikke får noe vesentlig igjen for. Lisensbaserte kanaler brukte lisenspenger på å finansiere kampanjen, noe som ikke er helt OK etter mitt skjønn. Kritikerne på sin side startet motkampanjen Nei til radio. Da nærmer hele diskusjonen seg Monty Pythonske tilstander, som i The Argument Sketch. Hele diskusjonen glemmer det som er viktig: hva vil få lytterne til å velge digital radio. De må overbevises om at den høyere prisen gir dem noe igjen.

Jeg har noen forslag, som sikkert vil få opphavsrettsindustrien til å hoppe i stolen. Men de er også avhengig av radio for å spre musikk de har opphavsretten til. Uten radio, hvordan skal de gjøre nye utgivelser kjent? Radio beriker også musikken med kommentarer, intervjuer og anmeldelser. Altså må radiobransjen og opphavsrettsbransjen samarbeide. Begge må gi noe for å få noe igjen. Det vil kreve modige valg av en gjenstridig bransje, men vil de overleve har de ikke mye valg. I Norge har denne bransjen har nettopp sendt et brev til Kulturdepartementet med krav om at de må få tilgang til IP-adresser de mistenker for fildeling. Kravet kan virke berettighet, men de vil ikke virke med mindre de oppretter en global poltitistat mot den globale kopieringsmaskinen Internett. Les mer på Digi.no

Jeg har noen ideer som jeg gjerne skulle sett drevet gjennom åpen innovasjon og åpen kildekode. Jeg mener ideene er gode, men sett fra dagens opphavsrettsmessige standpunkt sikkert helt absurde. Det at jeg deler ideene er også et bevis på at jeg mener alvor med deling av kunnskap og informasjon, som jeg har blogget om i det siste. Dersom noen finner ideene gode nok, må de gjerne ta kontakt. Denne listen er ikke komplett og må videreutvikles, men er ihvertfall et innblikk i hvordan jeg tror innholds- og distribusjonsbransjene kan komme ut av myra de står oppe i. Dette er muligheter for videreutvikle radio- og innholdsbransjene istedet for å flyte med strømmen. Det er som kjent bare døde fisk som følger den.

For at folk skal velge digital radio må dette ha en merverdi ut over FM-radio. Jeg tror følgende kan være merverdi lytterne vil sette pris på:

• Lagring av innhold for gjenavspilling og deling. Ja du leste riktig! Kan f.eks. være tidsbegrenset.
• Koble radio med sosiale media direkte i apparetet. Nyttig både for musikk,  debatt og tilstedeværelsesløsninger (presence).
• Lagre til spillelister i f.eks. Spotify når man hører en sang man liker, og som man kan hente opp igjen i f.eks. bilen.
• Kjøp av musikk direkte til enheten når man hører en sang
• Programoversikt i et skikkelig display på radiomottageren.

Med Googles Android mobile operativsystem har man en plattform dette kan bygges på, og man kan få et mangfold av produkter for ulike formål. En slik plattform for digital radio kan bringe det sosiale tilbake ved opplevelse av lyd. I dag går mange rundt med iPods, og musikk har blitt en usosial opplevelse.

Regimer for kopibeskyttelse er den sosiale musikkopplevelsens værste fiende. Den eldre musikken jeg hører på i dag i f.eks. Spotify, er gjerne knyttet til minner jeg har fra ungdomstiden. Dagens ungdom vil ikke ha slike minner i samme grad som jeg.

Håkon Wium Lie er en mann med visjoner. Han spår at weben vil påvirke samfunnet på samme måte de neste 500 årene som boktrykkerkunsten har gjort de siste 500 årene i dette intervjuet. Det tror jeg man skal ta inn over seg, og gjøre noe med. Å kjempe i mot er en tapt kamp. Weben og internett vil drive utviklingen av radio også. Digital distribusjon krever digital verdikjede. Merverdien ligger ikke i koding av signalet, men i deling av musikk og sosiale opplevelser.

Infrastruktur for verdiskaping

Siden start har kulturer som deler og utveksler vært mer levedyktige enn andre. Se nøye på denne TED Talk videoen med Matt Ridley, som uttrykker dette som When Ideas have sex

For at deling og utveksling skal kunne skje må man ha infrastruktur. Dette ble veldig tydelig med oppblomstring av seilskutekompanier på 17- og 1800-tallet, veldig levende beskrevet i Vi, De druknede av Carsten Jensen. Videre så er betydningen av jernbanen i Amerikansk historie godt beskrevet i The Longtail: Why The Future Of Business is selling less of more av Chris Anderson. Uten sjøfart og jernbane ville verdiskaping på tvers av landegrenser og store avstander vært vanskelig for ikke å si umulig. Jeg har har hørt at de Bergensbanen ble bygget, så hadde vi egentlig ikke råd, men gjorde det allikevel. Man hadde en visjon og det viste seg etterpå hvor viktig dette arbeidet var. I dag kan vi se eksempler som Amazon.com som er et vidunder av en distribusjonsmaskin og er en videreføring av det som startet med jernbanen i USA. Hvorfor har vi ikke noe sånt i Norge?

Vårt økonomiske system er bygget på uendelig vekst, men vår verden er på mange måter endelig. Uendelig vekst er ikke mulig, ihvertfall ikke på tradisjonelle områder på grunn av fysiske begrensninger. Skal man ha fortsatt vekst er man avhengig av innovasjon, og det ligger i menneskets natur å utforske. Derfor vil det være mulig å ha fortsatt vekst på nye områder. Innovasjon i dag bygger ofte på eksisterende teknologi og deling av kunnskap. Ting har blitt såpass avansert at få eller ingen har komplett innsikt i hvordan de virker. Derfor er deling av kunnskap og informasjon essentiellt for innovasjon og vekst. Effektiv deling av kunnskap er en forutsetning for det samfunnet som nå utformer seg.

Når statsbudsjettet for neste år ble lagt frem, er moms på ebøker og elektroniske tjenester nye avgifter. Det er ikke moms på bøker av papir, og det finnes ikke norske ebøker ennå. Media fokuserte på at det ble moms på Spotify, som er digital distribusjon og arena for deling av musikkopplevelser. Musikkopplevelser som konserter er fritatt fra moms, mens CDer (noen som kjøper disse lengre?) ikke er det. Det som media ikke fikk med seg er at det også vil bli moms på Google Apps, leie av plass til blogger osv. Jeg skjønner at staten må ha inntekter, (og bortsett fra med ebøker) er en harmonisering med avgifter som er pålagt Norske tjenestetilbydere. Problemet er at dette vil være unntaket for de utenlandske tjenestetilbyderne, og det kan være enklere å ikke tilby tjenestene i Norge enn å underlegge seg Norske regler. De vil bare velge bort Norge eller drifte tjenestene fra land der Norge har lite de skal ha sagt. Særnorske regler på nett er og blir sært. Det er ikke hensiktsmessig å tenke landegrenser på nett på samme måte, og særlig elektroniske tjenester. Dessuten snakker vi om beskjedne inntekter, og relativt høye administrasjonskostnader. Finansdepertementets anslag på 5 mill kr for å sette dette ut i livet virker ikke særlig realistisk.

Jeg vil ikke bestride at det på sikt kan være nødvendig å pålegge avgifter på elektroniske tjenester, men tidspunktet er helt feil. Jeg er en stor tilhenger av velferdstaten, og betaler skatt om ikke med glede så ihvertfall ikke uvilje.

Utviklingen av elektroniske tjenester på nett er voldsom, og dette er gjøres i stor grad av oppstartsfirmaer. De vil neppe prioritere å være kompatible med Norske særregler. Bok- og musikkbransjen prøver (noe gjenstridig) å finne ut av sin rolle i digital distribusjon og det blir feil å gjøre det vanskeligere å distribuere på nett enn fysiske media. Det vil bare føre til mer piratkopiering. Jeg tror det vil være riktigere av Norge å ta dette opp i internasjonale fora, og diskutere når og hvordan slike avgifter eventuellt skal innføres. Jeg vil anbefale å lese Werner Frimandslunds kommentarer på Pål Skogholts blog, om hvorfor det ikke vil være helt rett frem å sette disse avgiftene ut i livet

Moms på ebøker og digitalt distribuert musikk blir bilder på betydningen i en større sammenheng. Regjeringen har ikke respekt for de byrder de pålegger andre, og avgiftsbelegger infrastrukturen vi er avhengig av for innovasjon, verdiskaping og vekst. Vi har også betalt en god del avgifter allerede på datautstyret og bredbåndstilkoblingen vi benytter for å bruke disse tjenestene. Er det noe vi ikke trenger er det nettopp avgifter på elektroniske tjenester nå. Det finnes gode gamle uttrykk for dette:

• Sage av greina man sitter på
• Skyte seg selv i foten

Velferdstaten må være bærekraftig. Årets statsbudsjett viser at utgiftsnivået er veldig høyt, og uten oljeinntektene ville vi måtte velge bort deler av den. Man skal være forsiktig med å finansiere velferdstaten i dag med grunnlaget for morgendagens inntekter.

Verdiskaping i helsesektoren

Hvordan skaper man verdi i helsesektoren? For hvem skapes det verdi?

Still disse spørsmålene neste gang du treffer på en vaskeekte helsebyråkrat eller politiker som ikke ser noen feil ved dagens organisering. Svar som utførte behandlinger basert på et absurd diagnosekodesystem er ikke verdiskaping. Det er aktivitetsindikatorer, men sier ikke noe om hvor mange og hvor effektivt pasientene behandles, ei heller kvalitet eller hvor human behandlingen er.

Bloggposten Offentlig ansatt - vær stolt av det sier noe om at det offentlige skaper verdi. På grunn av de økonomiske modellene som brukes, isoleres det offentliges forbruk fra den verdien de skaper. Jeg tror dette er årsaken til mange misforståelser rundt offentlig verdiskaping, og som får helsebyråkrater til å tro at de kan skape verdi ved å ha flere farger på kulene i kuleramma (mange diagnosekoder).

Selvfølgelig skal man ha indikatorer på aktivitet i helsetjenestene, men man skaper verdi ved å gi pasientene et bedre liv, forhåpentligvis tilbake til et normalt liv og ut i jobb/skole om mulig. Helsevesenet må måles på hvor godt de ivaretar det helsemessige ansvaret i samfunnet.

På konsulentspråket bruker man begreper som prosesser og kvalitet for å beskrive hvordan og hvor godt man jobber. I helsevesenet er prosessene kanskje de mest intense mellommenneskelige form for profesjonelle tjenester mennesker yter til andre, men store deler av prosessene lar seg ikke uttrykke i flytskjemaer. Prosessene består av mer en piller, røntgen og teknikk. De består også av et smil på lur, et øre å låne bort, vennlige hender, motivasjon, empati, mulighet for besøk av familie og venner og våkne sinn. Hvordan skal denne pasienten kunne ha det best mulig og hvordan gi denne tilbake et normalt liv? Jeg er overbevist om at arbeidere i Norsk helsevesen i stor grad gjør en god jobb både på det tekniske og mellommenneskelige plan, men den mellommenneskelige delen blir ikke sett, selv om den er uhyre viktig del av den jobben de gjør.

Min påstand er at de mellommenneskelige faktorene er så viktige for kvaliteten og verdien på tjenestene helsevesenet leverer at de må synliggøres og verdsettes.

Ser man på verdiskapingen i helsesektoren, og utformer tjenestetilbudet slik at det gir størst mulig verdi for pasientene og samfunnet vinner alle interessenter, og helsearbeidere får kanskje et nytt syn på den jobben de utfører. Det kan hjelpe dem til å se hvordan hver enkelt kan bidra til verdiskaping i kontakten de har med pasientene og til faglig utvikling.

Det sier seg selv at slik verdiskaping ikke kan uttrykkes i et økonomisystem og modell som f.eks. beskrevet her. Økonomisystemene må brukes til det er best til: styre ressursbruk. Men ikke la dette utforme og kontrollere verdiskapingen, se heller hvor mye verdi man kan skape for de ressurser man har.

Samfunnsikkerhetens verdigrunnlag

I går tweetet jeg følgende eksistensielle spørsmål:

#DLD Hjemmelekse: Hvilke land har best samfunnsikkerhet, og hvorfor? Hvilke verdier ligger til grunn for god samfunnsikkerhet?

Det finnes åpenbart ikke noe fasitsvar, og for noen vil det tilsynelatende være riktig å svare at totalitære stater har god samfunnsikkerhet. Det kan de muligens ha, i en snever definisjon og et isolert tidsperspektiv så lenge ledelsen har kontrollen.

En liberal rettstat med lange demokratiske tradisjoner, vil ha en maktbalanse som er mer robust enn den totalitære. Dersom noe fremmed forstyrrer maktbalansen vil de indre kreftene søke balanse igjen. Grunnen til at dette skjer er at den liberale rettstaten bygges på verdier som anerkjennes av borgerne, og er noe de er villig til å forsvare. Innbyggerne i en totalitær stat kjenner ikke slike verdier, og har ikke noe å forsvare. En totalitær stat har ingen maktbalanse, som vil søke tilbake til likevekt, men opprettholdes ved makt. For Norges del kom dette tydelig frem under 2. Verdenskrig. Motstandsbevegelsen og flertallet i folket ville kjempe for å få tilbake landet sitt. Ville de gjort det om de utgangspunktet var et kuet folk? En diktator er ofte ikke værre enn en annen.

Innholdet i begrepet samfunnsikkerhet vil variere avhengig av hvem du spør. Forsvar og Politi vil nok de fleste ta med, men dette er ikke dekkende for hele begrepet etter mitt skjønn. Direktoratet for Samfunnsikkerhet og Beredskap har følgende i headingen på sin webside: "et trygt og robust samfunn - der alle tar ansvar". Samfunnsikkerhet er et et felleskapsprosjekt hvor alle bidrar sammen med institusjoner som har som sin oppgave å sørge for et sikkert samfunn.

I en liberal rettstat består samfunnsikkerhet av en rekke elementer som virker sammen slik at man opplever trygghet:

• Vellfungere Politi, på den liberale rettstatens premisser
• Godt distribuert akuttberedskap og helsevesen
• Forsvar
• Infrastruktur som er godt og egnet samt vedlikeholdt, herunder transportveier, energi forsyning, telenett, vannforsyning mv.
• Brannvesen
• Rettferdig rettsvesen

Man kan sikkert ramse opp flere konkrete tiltak for samfunnsikkerhet, men det viktigste og mest langsiktige er borgerne selv. Dersom de mister troen på den liberale rettstaten og demokratiske grunnverdier vil dens egenforsvarsevne bli svekket. I et lengre perspektiv er det verdiene som teller. Devaluerer man disse verdiene forvitrer eksistensgrunnlaget for den liberale rettstaten. En slik forvitring starter når en innfører løsninger,som ikke respekterer disse verdiene, på problemer man møter. Skulle vi komme ut for en virkelig trussel vil viljen til å forsvare landet med sitt liv være svekket. I en liberal rettstat har alle lovlydige borgere rett til å føle seg frie til livsutfoldelse og ikke trenge legge bånd på seg innenfor dens rammer. Det er dette borgerne vil kjempe for å få tilbake om det skulle bli alvorlige problemer.

Den liberale rettstaten er bl.a. manifestert gjennom lover og menneskerettigheter. Når et forslag til tiltak fremlegges, som helt klart er i konflikt med disse, må det ringe en bjelle. For de som ser disse problemstillingene er det bare å riste med bjella til alle husker på hvordan en liberal rettstat er skrudd sammen.

Ikke senk standardene for den liberal rettstaten!

PS! Inspirasjon til denne bloggposten er hentet fra Forsvarsledelsen og departementets bakholdsangrep på sine egne, og debatten om Datalagringsdirektivet. Vi lever i en global verden og det å ta ansvar i den er ikke noen lett oppgave. Men uansett må vi ikke glemme hvem vi er.
PS2! På min datters konfirmasjonsgudtjeneste kom presten med følgende sitat, som jeg festet med spesiellt ved, fra bibelen: Du kan ikke tvinge noen til å elske deg av sin frie vilje. Jeg er ikke videre religiøs, men mener at dette er en veldig viktig å ta med seg i verdidebatter.

Kategorisk imperativ i et digitalt samfunnsperspektiv

Jeg er ingen utdannet filosof, men fatter interesse for filosofiske temaer jeg kommer over. I går ledet det ene til det andre og jeg begynte å lese mer om et tema jeg har hørt om før, men ikke satt meg godt innn i.

Immanuel Kant formulerte det Kategoriske imperativ, som er et prinsipp for moralsk handling. Det vil si han formulerte det egentlig 3 ganger:

• Universalformuleringen: Handle bare etter den maksime gjennom hvilken du samtidig kan ville at den skal bli en allmenn lov

• Naturlovformuleringen: Handle som om maksimen for din handling gjennom din vilje skulle bli en allmenn naturlov

• Humanitetsformuleringen: Handle slik at du alltid bruker menneskeheten både i egen og i enhver annen person samtidig som et formål og aldri bare som et middel

Prinsippet kommer til anvendelse i alt vi gjør, og ligger i underbevisstheten til de fleste av oss. Men det er imidlertidig ikke gitt hvordan hver enkelt tolker og handler i ulike situasjoner, selv om de fleste baserer det på det samme prinsipp. Gitt ulik erfaringer og verdisyn vil man handle ulikt men allikevel i god hensikt.

I saken om Datalagringsdirektivet ser vi at tolkningen er veldig ulik. Begge sider, motstandere og tilhengere, ønsker å oppnå noe de mener er til det bedre. I motstandernes tilfelle handler det om å beskytte den enkeltes privatliv, frihet og våre demokratiske rettigheter. Tilhengerne vil beskytte oss mot trusler som rettes mot samfunnet vårt i form av kriminalitet og terror. På overflaten er det tilsynelatende ikke noe brudd på disse prinsippene sett fra noen av ståstedene. Jeg mener allikevel at det er vesensforskjell i den dypere mening i prinsippet.

Universalformuleringen kan benyttes av begge sider slik jeg tolker den, og ingen er mer moralsk riktigere enn den andre. Motstanderne har allerede den Europeeiske Menneskerettighetskonvensjon å vise til, som faktisk er allmen lov. Tilhengerne kan til en viss grad støtte seg til at visse inngrep i privatliv mm må påregnes for å beskytte samfunnet i sin helhet. Når vi snakker om innføring av Datalagringsdirektivet er det en form for "allmen lov" som det kan argumentes for at er nødvendig. Jeg tror det her vil være grunnleggende verdisyn som avgjør hvilken side man lander på. Personlig vektlegger jeg privatliv, personvern, frihet og demokratiske rettigheter over å overvåke alle borgere for å motvirke trusler. Endel av truslene kommer nettopp fra samfunn i verden som ikke vektlegger de verdier vårt liberale rettstat og demokrati bygger på, og river vi ned det for å beskytte oss mot terrortrusler hva er så meningen med det?

Naturlovsformuleringen synes jeg viser tydeligere forskjell på om innføring av Datalagringsdirektivet er en riktig moralsk handling. Det er så enkelt som dette: Vil ta fra borgerne privatlivet, og på sikt begrense vår frihet som er fundamentet i vår liberale rettstat og demokrati? Dersom lagring tvangslagring av personopplysninger aksepteres ikke bare flyttes en grense, men det kan bli vanskelig å dra en ny. Man skaper en logikk hvor det er aksept for inntrenging i privatlivet for et samfunnsformål. Nei sier jeg. Skal innføringen kunne rettferdigjjøres må det foreligge en reell trussel mot demokratiet. Noe sånt har vi vel ikke sett siden invasjonen i 1940 (1).

Humanitetsformuleringen er mer direkte i forhold selve direktivet: avledete private kommunikasjonsdata skal benyttes som et middel for kriminalitets- og terrorbekjempelse. Man anser ikke individets frihet og kraft til å motvirke negative krefter (og gjøre dette til målet) som et middel, men man vil heller bruke individet som et middel (verktøy). Jeg tror at det er bedre å fremheve hvordan frihet og demokratiske verdier kan være motkraft til negative istedet for å ta ibruk borgerne som midler er en riktigere vei å gå. Det vil også være i tråd med våre tradisjoner, og styrke dem.

Det er viktig å ha klart for seg at Datalagringsdirektivet ikke er en garanti mot terror og kriminalitet. Det kan sikkert hindre, og bidra til oppklaring til noen saker. Problemet er at det ikke styrker de verdier vi har bygd demoktratiet og den liberale rettstaten på. Jeg mener det faktisk svekker disse istedet. Hvis man tenker 100 år frem, hva vil være den sterkeste grunnmuren for vårt samfunn? En grunnmur kan ikke bygges på kortsiktige tiltak som virker riktig i snevert perspektiv. Den må stå på solid grunn, og det vil si på borgerne som utgjør det demokratiske sammfunnet. Ergo er det viktig at borgerne er seg bevisst disse verdiene, og vi er tilbake til start ved det kategoriske imperativ.

1) Det var nettopp grunnmuren, bygget på stolthet over frihet og demokrati, i folket som utgjorde kraften i motstandsbevegelsen. I motsetning til registrene som var et verktøy for de Tyske okkupantene. Dette belyser hvorfor forskjellen er så viktig.

Oppdatert 08.06.20011
Anbefalt lesning:
Staten preger sitt samfunn - Jørn Jacobsen for Nils Klim-prisen for sin forskning innen strafferett.

Manifest mot datalagringsdirektivet

I går fikk jeg ideen til å lage et manifest mot Datalagringsdirektivet (DLD). Jeg overvar DLD-debatten på JavaZone 2010, og det slo meg hvor "lett" representantene for tilhengerne kunne vise til det ene argumentet etter det andre. Motstanderne har en mye mer krevende jobb med å bygge opp en tankerekke for tilhørere slik at de virkelig ser det langsiktige konsekvensene for demokratiet og den liberale rettstat.
Et manifest som er godt formulert vil inneholde konsentrert argumentasjon som kan inspirere til videre søk etter kunnskap om temaet.

Jeg ønsker innspill til forbedringer av manifestet, og at det republiseres på andre sosiale media. Send meg melding på @dagbnor for innspill og beskjed om republisering, gjerne med forbedringer.  Jeg kommer til å forsøke å oppsummere i dokumentet her.

Bøker om forsvar av personvernet og ringvirkninger av krigen mot terror

Til forsvar av personvernet
Bok i debattformat, redigert av Kristin Clemet og John Olav Egeland.
Her finner du kapitler om personvernets og rettsstatens historiske bakteppe; om det filosofiske og prinsipielle forsvaret for personvernet; dagsaktuelle eksempler på områder der personvernet utfordres - samt diskusjoner om hvordan personvernet kan og bør styrkes.

Terrorindustrien
Denne boken gir et skremmende innblikk i et kontrollsamfunn under utvikling. Den reiser et stort spørsmål for vårt demokrati: Er det virkelig dette vi ønsker?


Norge i kamp mot terrorisme
Bok som beskriver tiltak mot terror i Norge. Taktikk er endret fra passiv til preaktiv. Boken viser problemstillingen knyttet til disse tiltakene.

Sjekk også ut aksjonen mot Datalagringsdirektivets hjemmeside og Facebookside

Trafikkdata er avledet av sosialisering og daglig kommunikasjon

Mennesker har delt sine tanker og visjoner gjennom lange tider, og det begynte med som hulemalerier og steintavler. Disse mediene var forholdsvis tungvindte å produsere, kopiere og distribuere. Inntil ganske nylig (i dette perspektiv) har mellommenneskelig dagligtale vært forbehold de som var tilstede fysisk. Dette gjelder også kunnskapen om hvem som har snakket med hvem. I det man tar ibruk elektroniske kommunikasjonsmidler oppheves begrensninger som at en samtale er bundet til en fysisk lokasjon. En sideeffekt er at fordi leverendørene av elektroniske kommunikasjonstjenester skal faktuerer kundene, lagres det trafikkdata. Trafikkdata er egentlig å anse som derivater av min og din kommunikasjon. Dersom vi tiltror en tjenesteleverandør å lagre denne informasjonen, må vi kunne forvente at den forblir der, og vi selv kan avsløre hvem vi har kommunisert med og når. Trafikkdata er endel av vår private sfære, men alikevel tilgjengelig for andre. Vanlig dagligtale er som ringer i vannet; de ebber ut. Det gjør forsåvidt trafikkdata også, men hvis staten griper inn i lagringstid er det en 3dje part som tar kontroll over hvor raskt dette skjer.

Siden trafikkdata kan avsløre hvem man har snakket med og når, har dette naturligvis vakt interesse ifbm etterforskning av kriminalsaker. Etterhvert som elektronisk kommunikasjon griper stadig mer inn i vår daglige kommunikasjon og sosialisering, vil avledet informasjon kunne si enda mer om våre vaner og kommunikasjonsmønstre. Det at myndigheter skaffer seg tilgang til disse dataene er et etisk dilemma, og må rettferdigjøres. Graden av innsyn må være veloverveid, og balansere med et reellt behov.

EUs Datalagringsdirektiv pålegger teleoperatører og internettleverendører å lagre visse opplysninger, samt en miniums lagringstid. Desto mer detaljert, og desto lengre lagringstid, jo større er inngrepet i individets privatliv. Dessuten så vil en økning i bruk av elektroniske kommunikasjonstjenester også medføre en økning i mengde og detaljeringen. Denne utviklingen er ikke medregnet når man veier behovet opp mot inngrepet det vil medføre i den enkeltes privatliv. Det er ikke triviellt at man tvangslagrer data avledet av vår daglige kommunikasjon og sosialisering til politiformål.

Har det virkelig oppstått en trussel mot vårt samfunn som krever et slikt inngrep i den enkeltes privatliv?

Siden lokasjon vil bli pålagt lagret, ihht det gjeldene forslag for implementering av direktivet, vil det i effekt fungere som et overvåkningskamera: Man kan se hvor, hvem og når noen har kommunisert. Forskjellen er at trafikkdata er (eller ihvertfall kan gi inntrykk av) å være veldig presise når det gjelder fakta, mens overvåkningskamera kan nyansere med sinnstemning o.l. Begge deler har elementer av Panopticon, som er ment å gi en følelse av å være overvåket slik at uønsket oppførsel dempes. Det er kanskje ikke intensjonen med direktivet, men effekten vil være der likefullt. Dessuten er det veldig fristende å utvide bruken av trafikkdata.

En av opplysningene som blir lagret av alle internettleverendører i dag er IP-adresse. Den lånes ut til brukerne og må fornyes med jevne mellomrom. Ved å finne ut hvilken IP-adresse en husstand (den er ikke personlig med mindre det kun er 1 bruker av forbindelsen) hadde på et gitt tidspunkt, kan man også finne innhold lastet opp via denne adressen. IP-adressen er en innholdspeker, og kan dermed indirekte angi innhold. Det er understreket at innhold ikke skal lagres ifbm Datalagringsdirektivet, men allerede i dag kan Politiet raskt finne en god del innhold knyttet til IP-adressen. Fordi de som ikke vet hvordan man skal omgå denne knytningen ( og lagring av trafikkdata generellt) vil Politiet ha meget bra verktøy for å finne innhold. Jeg synes ikke dette er tilstrekkelig belyst i debatten om direktivet, og må absolutt med i balansering av tiltak vs inngrep i uskyldiges liv.

En skal også huske på at det som vedtas av dagens politikere nedarves til etterkommere, og de kan ha andre agendaer og mål enn dagens. En bruksutvidelse av trafikkdata for f.eks. profilering av individer vil utvilsomt kunne medføre massiv maktforsyvning i samfunnet. Det vil bl.a. rokke ved organisasjonsfrihet og ytringsfrihet, siden individet vil avveie ulempen dette vil kunne ha i andre sammenhenger dersom man selv ikke bestemmer hva man videreformidler.

Både Den europeiske menneskerettsdomstolen (EMD) og UN's Human Right Council mener lover tilknyttet terrorbekjempelse går altfor langt og medfører altfor stort inngrep i innbyggernes liv. Disse intansene vil få mange saker å jobbe med om utviklingen fortsetter i den iheldige retningen den nå har.

Innhold og trafikkdata: en lapskaus

Hva er innhold og hva er trafikkdata? Disse spørsmålene er sentrale i forbindelse med hvilke data som som pålegges lagret og ikke i Datalagringsdirektivet. Rent intuitivt virker det opplagt: innhold er det vi sier på telefon, laster opp og skriver på internett, mens trafikkdata er IP-adresser, telefonnr, epostadresser og lokasjon.

Dersom man går i dybden på dette, er det kanskje ikke så opplagt hva som er innhold og trafikkdata. Uten skarpe definisjoner vil det være lett å flytte grenser i begge retninger.

I løpet av det siste året har lokasjonsbaserte tjenester blitt svært populære, som en naturlig følge av det enorme salget av mobiltelefoner med GPS. I denne forbindelse er lokasjon innhold. Jeg vil tro de fleste oppfatter tittellinjen i en epost som innhold, mens i en del land som har implementert Datalagringsdirektivet er dette faktisk betraktet som trafikkdata. Jeg tror dette skillet kan være svært vanskelig å trekke ettersom teknologien utvikler seg, og nye typer innhold- og trafikkdata oppstår. Hvem skal definere hva som er hva? Teknologiutviklere, myndigheter eller uavhengige instanser? Som med lokasjonsdata vil det helt sikkert komme data som er begge deler.

Datakommunikasjonsfaget omhandler ulike kommunikasjonsprotokoller. På laveste nivå er protokoller for kommunikasjon mellom fysiske enheter over trådløse eller kablet nettverk. Videre så legges lag på lag med protokoller med høyere abstraksjonsnivå. De fleste har vel observert at det står http:// i adresselinjen i nettleseren. Dette står får Hypertext Transfer Protocol. På en gitt enhet i en gitt kommunikasjon ligger denne protokollen seg over de lavere protokollene (TCP/IP mm) og skjuler en hel masse underliggende datatrafikk for at nettleseren skal kunne vise en webside. For de som bruker Twitterklienter, som f.eks. Seesmic eller Tweetdeck er http:// det underliggende transportlaget, mens Twitter APIet er "protokollen" det snakkes over.
Trafikkdata i Twitter APIet er hvilke kall man har gjort mot tjenesten, og hvilke argumenter som ble sendt med. Bruker man Skype defineres skype-ider ikke på lik linje med telefonnr. Skype og andre chat-systemer har protokoller som maskerer hvem som kommuniserer.

Man kan f.eks. trekke en analogi til kjøp av bolig, hvor kjøpet består av en hel rekke kjøps- lånedokumenter og banktransaksjoner. Er det mulig å trekke en grense mellom "trafikk" og "innhold" i en slik sammenheng?

Hva som menes med trafikkdata er ikke så innlysende som man skulle tro. Desto mer det heller mot innhold desto mer sensitivt for personvernet. Desto mer sensitivt desto sterkere sikring av data behøves. Sikring må være lik på tvers av ulike teleoperatører, og vil kreve en betydelig innsats enten det lagres sentralt eller hos operatøren. Begge varianter har svakheter: sentralisering setter enda høyere krav til sikring da mye data lett kan sammenstilles, mens det må settes lit til mange ulike ansatte hos operatørene ved desentral lagring.

Definisjonen av hva som er trafikkdata og innhold er kontekstavhengig. På internett blir det nærmest rent tilfeldig hva som regnes som trafikkdata, siden det er avhengig av hvilke tjenester den enkelte benytter. Dette er ganske tekniske temaer, men likefullt en del av beslutningsgrunnlaget når politikerne skal bestemme om Norge skal implementere Datalagringsdirektivet.

Jeg mener man må sette en skarp grense, slik at eventuelle forslag om nye datatyper som skal pålegges lagring kan behandles skikkelig. Det skal være vanskeligere å legge til enn å trekke fra. Grensene må settes slik at de er lettfattelige, og endringshåndtering blir reell.

Det vil raskt oppstå en misforhold, kanskje særlig sett fra politimyndighetenes side, etter at en skarp grense er trukket og ny teknologi kommer. Endring i hvilke data som skal lagres, vil kunne kreve endring i sikkerhetsrutiner. Sikkerhetsrutinene derimot vil ikke være så lette å endre, og den effekten trafikkdata enkelte påstår vil ha i etterforskning vil etterhvert dreneres.

En rapport fra EUs medlemslands Datatilsyn ble tilgjengelig i dag. Det rådes til at man enten skroter hele direktivet eller endrer det radikalt. Der fremkommer det at implementering er svært ulik, mhp hva som lagres og hvor lenge i medlemslandene. Direktivet har uklare definisjoner på trafikk-, innholdsdata og grov kriminalitet. Det stilles spørsmål om sikring av data er god nok, og det vises også til at det ikke finnes statistikker som viser at man oppnår de mål man ville nå med direktivet. Rapporten er svært verdifull og lesverdig, så bruk tid på den. Særlig de som mener de ikke har noe å skjule bør lese den nøye. Lagring av trafikkdata er ikke så triviellt som en først skulle tro, og konsekvensene kan bli store for demokrati og samhandling.

Hele direktivet virker på meg som en elendig røre av oppkonstruerte tiltak som ikke er målrettede. En Twitter-bruker sa en gang at feilen med Datalagringsdirektivet var "design by comittee". Det tror jeg han har helt rett i. Varsellampene burde blinke faretruende hos politikerne i Norge som snart skal ta stilling til om direktivet skal implementeres.

Jeg foreslår at man begynner fra begynnelsen og ser på reelle behov og veier disse nøye opp mot inngrep i borgernes privatliv. En må huske at det lagres stadig mer data om oss, og behovet for pålagt lagring skulle logisk sett minke, ikke øke. Det er faktisk slik at uten lagring av personopplysninger så stopper AS Norge, og et pålegg blir da smør på flesk når internett og mobilbruk allikevel fører til ganske detaljert lagring som det er (om enn noe tilfeldig).

Datalagring - en del av vår infrastruktur

I debatten om datalagringsdirektivet har jeg blitt oppmerksom på at mange har problemer med å skjønne hva som lagres og hvorfor. Jeg vil prøve å redegjøre for det grunnleggende her, og hvorfor det bør stilles krav til hva som må lagres og at lagring av personopplysninger bør behovsprøves.

Norge AS ville ha mer eller mindre stoppet opp uten lagring av personopplysninger. Det er et uomtvistelig fakta. Helsevesen, skatt- og avgiftsystemer, bank og en rekke viktige institusjoner er helt avhengig av opplysninger om oss for å kunne utføre sine tjenester på vegne av oss selv og salmfunnet. Mengden data som lagres akselerer kraftig, med stadig økt bruk av internett, betalingskort og smarttelefoner. Det ser ut til at denne trenden vil styrkes i årene som kommer. Så lenge registrering av opplysninger foregikk manuellt, ble omfanget stort sett begrenset til det som var viktig for tjenesten. Når tjenester digitaliseres kan man automatisere lagring av opplysninger i større omfang og på helt nye områder. Sett i forhold til manuell datalagring er omfanget av lagrede opplysninger enormt i et digitalt samfunn. Mye av dette er begrunnet i faktureringsbehov og lovverk. Banktransaksjoner har vært underlagt bestemmelser og en del må lagres for at det skal fungere rent teknisk.

Som jeg vil beskrive under er også data som lagres også interessante i andre sammenhenger enn det formålet de opprinnelig var tiltenkt.

En rekke nyttige tjenester vil kreve nye opplysninger om oss fremover. Det er dermed ikke sagt at alle nye tjenester, og all lagring av data er positivt for den enkelte og samfunnet. Politimyndighetene ønsker større tilgang til våre trafikkdata (telefon, mobil og internett), med argumentasjon om at det kan løse flere kriminalsaker og avdekke terroroperasjoner. Dette har klart negative konsekvenser for privatlivet til den enkelte, samt at det stilles spørsmål til om det virkelig vil gi noen vesentlig gevinst i saker som omfatter alvorlig kriminalitet. Det er ikke uten grunn at de Internasjonale Juristkommisjonen henviser til konflikt med den Europeiske Menneskerettighetskonvensjon (EMK) når de er negative til direktivet i sin høringsuttalelse. Trafikkdata skiller seg også vesentlig ut i fra andre personopplysninger fordi lagring foregår "uten samtykke" (ubevisst lagring) og man har ikke andre alternativer enn å avstå fra å bruke telefon, mobil og internett. Til sammenligning, kan man om av en eller annen grunn (også legitime), ønsker å betale anonymt (f.eks. julegaver), kan en alltids ta ut penger på forhånd.


PS! Man kan alltids omgå lagring av endel typer trafikkdata om man virkelig ønsker, men det er vel egentlig tullete og noe man egentlig ikke skulle trenge å kunne.

Behandling av personopplysninger i en stor skala som vi vil se fremover vil kreve god tilgangssikring og god datakvalitet. Om data kommer på avveie, eller brukes til andre formål enn tiltenkt, kan konsekvensene bli alvorlige. En kan bare se på tilfelle av lett anonymiserte søkedata som ble offentliggjort og hvilke konsekvenser det fikk. En norsk blogger som kjenner godt hvordan søkemotorer virker gir deg innsikt i hvordan data vil komme på avveie.

Jeg er ikke imot datalagring. Uten lagring vil ikke være umulig med videre utvikling av vårt digitale samfunn. Det er bare liten forstand hos tilhengere av Datalagringsdirketivet som får det til å virke som om Datalagringsdirektiv-motstandere er mot lagring av data generellt. Helsevesenet kan forbedre sine tjenester med økte lagring av opplysninger, og det har verdi for individet. Det man imidlertidig må passe på er at det kun lagres data som virkelig har verdi for den tjenesten som tilbys samt at man behovsprøver hva som skal lagres opp mot gjeldende lovverk og Menneskerettighetskonvensjonen. Dersom bruken av eksisterende persondata utvides for ett eller annet formål, må dette gjennom samme vurderingsprosess.
Gjeldende lovverk kan pålegge/forby lagring av visse opplysninger til ulike formål. Digitale tjenester som omfatter personopplysninger må gi individet eierskap og innsyn, slik at man selv kan verifisere og korrigere feil. Videre så bør faktureringsdata slettes om kunden aksepterer fakturagrunnlaget, der hvor det er aktuellt.

Det hviler etterhvert et stor ansvar på systemutviklere og informasjon/systemforvaltere med hensyn på håndtering av personopplysninger. Dette er noe IT-bransjen må ta tak i. Det er essentiellt at alle opplever internett som relativt trygt, og at ens opplysninger ikke misbrukes eller kommer på avveie. Det vil kreve en bevisstgjøring rundt personvern, lovverk og menneskerettigheter. På internett eksisterer ikke landegrenser. Det er derfor viktig at det utarbeides internasjonale normer for håndtering av sensitive opplysninger av ulik karakter, og fora hvor nasjonale myndigheter kan fremme krav til hva som lagres og ikke skal lagres slik at utviklingen blir hensiktsmessig og åpen for innsyn.

Grunnen til at det er viktig å være kritisk til lagring av personopplysinger er at de vil bli brukt til flere formål en det opprinnelige. Når slike opplysninger fra flere kilder kilder sammestilles kan man danne seg et ganske komplett bilde av individet, som egentlig er overvåking av personer. Jeg har funnet flere fremstillinger av hva skjer som når individet vet at det blir overvåket. På 1800-tallet begynte man å lage fengsler som panopticons, hvor fangene alltid måtte regne med å bli observert. Med kameraer, trafikkdata og banktransaksjoner kan en danne seg et komplett virtuellt bilde av et individ. Jeg har også funnet en britisk rapport som sier noe om hvordan overvåkning påvirker samfunnsutvikling.

I dag ble de kjent at implementering av Datalagringsdirektivet i de ulike medlemslandene i EU er kjent ulovlig av WP29. Det pekes på at det lagres mere data en det som er tillatt, utvidet bruk av data og andre brudd på reglene. Massive mengder personopplysinger må unngås i den grad der mulig, og mulighet for sammenstilling begrenses til de tilfeller hvor en domstol godkjenner dette for etterforskning.