- Hva lagres?
- Hvorfor?
- Hvem bør få tilgang?
- Hvem kan stille krav til ovenstående punkter?
Før ISDN måtte Politiet selv fremskaffe, bearbeide og lagre elektroniske bevis, men nå fikk de en mulighet til å be om detaljert informasjon uten å spørre vitner og fysiske åstedsundersøkelser. Selv om man sikkert kan vise til noen avgrensede områder før ISDN, ble data nå tilgjengelig i stor skala.
Det ovenforstående er ment som bakteppe for denne blogposten som omhandler hvordan lagringsbehov oppstår, bruk av disse dataene og når det oppstår sekundærbruk av dem.
Leveranse av tjenester basert på informasjonsteknologi medfører forbruk av ressurser som tilbyderen må dekke inn. Private gjør det oftest ved fakturering eller reklame, og offentlige tjenester dekkes over skatteseddelen. Når forbrukeren skal faktureres må det finnes et fakturagrunnlag, også ved fastpris. Selv om det er avtalt fastpris vil det alltid finnes noe data. Skal det være mulig å drifte en IT-tjeneste må man kan overvåke ressursbruk, ellers så vil man ikke ha kontroll, tjenesten oppleves som ustabil eller uforutsigbar og da flykter kundene. I tillegg så må sikkerhet ivaretas, uønsket trafikk mot tjenesten og uønsket brukeratferd må kunne avdekkes. Slike sikkerhets- og driftsbehov dekkes ved å logge aktiviteten i systemene. Loggene er viktig underlag for vedlikeholdsbehov, men de danner også avtrykk av brukernes atferd.
Lagring av personlig informasjon er avtalebetinget og regulert, i et forhold mellom forbruker og tjenestetilbyder. Sekundær tilgang må skje unntaksvis, og ved spesifikk tillatelse. Når avtaleforholdet opphører er det heller ikke noe grunnlag for at dataene fortsatt skal ligge lagret.
Som Jon Bing beskriver fattet Politiet (naturligvis, de skal jo finne relevant informasjon ifbm etterforskning) tidlig interesse for den elektroniske informasjonen som blir lagret om oss. De ble en sekundærbruker av telekom-data. Etterhvert har denne informasjonen blitt brukt i oppklaring av endel kriminalsaker, og det har dannet seg forventning om at man kan benytte elektronisk informasjon i etterforskning. Men det er vesentlig forskjell på å gi Politiet tilgang, og sikre at det skal finnes elektroniske spor etter alle borgere. Vi må huske på at det ikke er lengre enn drøytt 20 år siden noe slikt overhodet ikke var mulig. Teknologien ble ikke lagd for å sikre Politiet bevis. Behovet som det angivelig har, kan kun ha oppstått som en følge av at de tilfeldigvis har fått tilgang. Det både forundrer og skremmer meg at noen nå tydeligvis mener at Politiet nå skal ha en generell og omfattende informasjonsrett til private data. At ikke folk skvetter stolen av slike tanker er ikke noe mindre enn oppsiktsvekkende. Selv om Norge ikke blir omgjort til en politistat over natten om Datalagringsdirektivet innføres, er det en underliggende logikk her som kan medføre en slik utvikling. Det argumenteres fra Politiets side at de mister tilgang. I mitt i hode mister de ikke noe som helst, men må tilpasse seg utviklingen slik de gjorde da det ble mulig å få tilgang til elektroniske data.
Tilvenning, som jeg ikke finner noe bedre ord på, til at Politiet kan få tilgang har pågått i drøytt 20 år. Sakte nok til at det ikke har fått den store oppmerksomheten inntil EU kom med Datalagringsdirektivet. Gjennom erfaring som programmerer vet jeg hvordan informasjonsflyt setter seg i organisasjoner og påvirker dem. Det har tydeligvis sneket seg inn uheldige forventninger om hva IT-bransjen skal stille opp med til etterforskningsformål, mens politikerne og tilsyn(?) har sovet i timen.
Med Datalagringsdirektivet stilles det krav fra sekundærbruker om hva som skal lagres og hvor lenge. Datalagringsdirektivet stiller krav uten å sjele til hva som trengs for å drifte systemene. Det er Politiets behov som skal dekkes og som danner grunnlag for helt nye krav til systemene og tjenesteleverandørene. De vil bli ansvarlige for å kunne fremskaffe bevis, mot sine egne kunder, i fremtidige kriminalsaker. Det er 3 hovedtyper informasjon som skal lagres, og ikke bare "trafikkdata" som oftest blir nevnt av politikere/media (de 2 andre blir vel lett assosiert/forvekslet med trafikkdata)
- Trafikkdata (når og hvem vi har kommunikasjon med)
- Lokasjonsdata (behøves i svært liten grad for oppfølging av kunden, men noe på nettverksdrift)
- Abbonementsinformasjon (Kundepersonalia) + IP-adresse, telefonnr osv
Når en sekundærbruker, som attpåtil ikke skal betale for dette, ei heller har en generell informasjonsrett, begynner å stille slike krav er det noe fundamentalt galt på gang. Jeg vil si det er å være rimelig freidig overfor borgerne som myndighetene skal tjene, men som de nå skal avkreve detaljert privat informasjon i stor skala fra. Noe av formålet med en demokratisk rettsstat må ha blitt borte på veien...
Videre: Hva vil skje med innovasjon hos tjenesteleverandøren? Vil kundene ha den samme tilliten til leverandøren når de er ansvarlige for å lagre bevis mot dem? Endel av kontroll og strategi for utviklingen av tjenestene blir nå overdratt sekundærbrukeren.
Vi er midt inne i en rivende utvikling av kommunikasjonstjenester, men dersom Politiets behov skal dekkes vil det legge føringer og begrensninger på utviklingen. Hva vil skje dersom bruksmønsteret endres? Skal ikke kommunikasjonstjenesteleverandører som er underlagt DLD få liv til å videreutvikle tjenestene sine med mindre de kan tilfredstille Politiets behov? Med den massive mengden data som lagres om oss, vil jeg regne med at det vil bli økende etterspørsel etter tjenester som ivaretar personvernet på en bedre måte enn idag, men dette vil da være i "konflikt" med Politets behov! Det er mildt sagt en uheldig sammenblanding av Statens rolle som regulerende myndighet og interessent av den avledede informasjonen.
Jeg tror Jon Bing stilte riktig diagnose i 2003:
Elektroniske spor er altså forholdsvis nye i forhold til praktisk bruk. Når det gjelder personopplysninger, har vi ofte sterke sosiale og etiske normer som støtter de rettslige reglene for utnyttelse av dem: Vi titter ikke inn gjennom vinduer, vi forteller ikke uten videre til andre hva en venn har sagt i fortrolighet. Men holdningene til elektroniske spor har ennå ikke fått tid til å danne seg. Sammen med en sterk teknologisk utvikling som gjør bruken av slike spor nyttige på så mange områder, krever dette og garanterer for en rettspolitisk diskusjon de nærmeste årene.
Problemet er at dette ikke har blitt fulgt opp i tilstrekkelig grad, og lagringen av informasjon akselerer mens regulerende instanser (med unntak av Datatilsynet, som det ikke blir lyttet til) sover videre. Den digitale rettspolitiske "gjelden" er enorm og vokser hurtig. Så får vi se hva Høyre har tenkt å bestemme seg for: dra på seg enda mer gjeld, eller begynne nedbetaling.
No comments:
Post a Comment