Ingenting å skjule

I debatten er dette noe jeg ofte ser: "Jeg har ingenting å skjule, så datalagringsdirektivet kan gjerne implementeres for meg." Dette er veldig navlebeskuende, siden direktivet vil gjelde alle, og veldig mange andre vil ikke like å overvåket. Jeg kan ikke tenke meg noe annet tiltak som vil være så systematisk og altomfattene, men som så mange er så ukritiske til. Hva kommer dette av?

Forklaringen er nok psykologisk: De fleste er, og tenker om seg selv, som lovlydige. Kanskje bortsett fra at de av og til deler musikkfiler. Hva om du fikk et innfall og vil finne ut hvordan en bombe lages? Nysjerrigheten kjenner ingen grenser, men folkevettet gjør det. Man lager ikke bomber fordi om man skjønner hvordan de lages. Dersom man begrenser utforskningsrommet til individet, vil man begrense innovasjon. Datalagringsdirektivet, spesiellt med utvidelsen for lagring av søk, vil ikke skjønne forskjellen på nysjerrighet og skumle planer.

Spørsmålet om Datalagringsdirektivet skal implementeres i Norge er et prinsipielt spørsmål. Det er et verdispørsmål. Svaret vil være retningsgivende for fremtidig tilnærming personvernet i den digitale tidsalder. Det er derfor svært viktig at alle momenter blir nøye vurdert. Er inngrepet i individets privatliv verdt det i kriminalitetsbekjempelsens navn? Selv når det stilles store spørsmål ved den faktiske effekten direktivet vil ha på oppklaring av kriminalsaker? Direktivet vil ha liten preventiv effekt på kriminalitetsbekjempelse. Det vil stort sett kunne brukes for å spore opp kriminelle etter at ugjerningen er utført, dersom den kriminelle har vært naiv nok til å ta med seg mobilen sin og ikke slått den av.

Det er viktig at et velfungerende samfunn har sikkerhetsventiler. Kritisk journalistikk og varslere er slike ventiler. Kritisk journalistikk er ofte avhengig av anonyme kilder. Dersom man overvåker alle, vil kilder og varslere som ønsker anonymitet ha få muligheter til å forbli anonyme dersom de utfordrer etablert makt. Det vil svekke muligheten til å sette søkelys på kritikkverdige forhold, og debatter en må ha i et demokrati.

Historisk sett vil en se at nasjoner med lang tradisjon for å overvåke sine innbyggere ikke er demokratiske, og de har ofte høy grad av korrupsjon. Kjetil Haukaas brukte åpenlyst Kina og Russland som eksempler på stater som har slike verktøy. Fordi total overvåkning vil forskyve makt fordelt gjennom maktfordelingsprinsippet, vil det kunne før til uheldig maktkonsentrasjoner. Jeg vil imidlertidig ikke, og kan ikke, påstå at alle EU-land som har implementert direktivet har blitt mere korrupt eller mindre demokratiske. Jeg mener at dette er forandringer som skjer over lang tid, så innbyggerne ikke merker det før det er for sent:

Først tok de kommunistene

men jeg brydde meg ikke

for jeg var ikke kommunist.

Deretter tok de fagforeningsfolkene

men jeg brydde meg ikke

for jeg var ikke fagforeningsmann.

Så tok de jødene

men jeg brydde meg ikke

for jeg var ikke jøde.

Til slutt tok de meg.

Men da var det ingen igjen

til å bry seg.

Diktet er kopiert fra Wikipedia

Det er lurt å tenke på hvor vi kom ifra, og hvordan og hvorfor samfunnet har utviklet slik det har. Min påstand er at demokratiske, liberale rettstater med respekt for individet og privatlivet er veien å gå. Datalagringsdirektivet er i konflikt med en slik utvikling

Barneporno: Polere vekk eller gjøre noe med problemet

I går kom jeg over en av de vondeste artiklene jeg har lest på internett. En som tydeligvis har inngående kjennskap til barneporno-ondet og distribusjonsmekanismer har dokumentert dette og sendt til Wikileaks. For de som har mage til å lese den, så er den her: An insight into child porn

For de som ikke orker å lese den (jeg slet, og har vært ganske opprørt etterpå) så kan en lese Bruce Schneiers (sikkerhetsekspert) utdrag av de tekniske aspektene.

Siden jeg er sterk kritiker av Datalagringsdirektivet, men faktisk ønsker å løse problemer med kriminalitet på internett, vil jeg her peke på hvorfor direktivet ikke vil virke og hvor en må starte for å redusere slike problemer. Som programmerer føler jeg et ansvar for å forbedre sikkerheten på internett, ettersom det blir en statdig viktigere del av vår infrastruktur. Internett skal ikke bli en trussel mot individer eller samfunn, og jeg ønsker bidra i denne kampen.

Barneporno, som egentlig er dokumentasjon som det riktignok er straffbart å besitte og distribuere, er bare indikasjon på overgrep og mishandling av barn. Det faktiske problemet er overgrepene. Å jakte på de som laster opp og ned dette avskyelige materialet vil kanskje kunne ta en og annen overgriper. Men det blir som å polere en gammel og rusten bil: det eliminerer ikke problemet.

I argumentasjonen for Datalagringsdirektivet har vi fått høre at det er et viktig verktøy i kampen mot barneporno. Hvis man leser artiklene vil man se at det er et ganske hjelpeløst verktøy som muligens kan finne enkeltpersoner og nettverk som er dumme nok til å la seg avsløre på den måten. Men det vil ikke redusere problemet, og distribusjonen av dokumentasjonen vil fortsette likefullt. Derfor reagerer jeg meget sterkt på at Politimyndighetene skyver foran seg barn som mishandles i argumentasjonen for overvåkning, men som i praksis ikke vil hjelpe disse barna. Det blir bare polering av problemet. Det påståes til og med at befolkningen blir lurt av politikere, som er ute av stand til å gjøre noe med problemet, men bruker det som argument for å kunne innføre overvåkning.

Barneporno er tabu i dagligtale, forståelig nok. Overgripere som ikke selv skjønner hvor alvorlig slike overgrep er, blir dermed ikke ofte påmint dette. De blir sjelden påtvingt påminnelser og kunnskap om de negative konsekvense virksomheten deres medfører. På nett kan de derimot via sofistikerte tekniske mekanismer finne likesinnede, som normaliserer atferden. I artikellen beskrives det også hvordan fedre nærmest konkurerrer om å begå de værste overgrepene og vise det frem. Skal man komme ondet til livs, må det skapes åpenhet rundt overgrep mot barn. Da kan man redusere problemet ved roten, men borte blir det nok ikke. Åpenhet om hvordan overgrepsdokumentasjonen blir dsitribuert vil også kunne hjelpe på å avsløre slik aktivitet. Overgrep mot barn er tross alt noe som foregår mellom personer: overgripere og offer. Å avdekke en anomym teknisk distribusjon er ikke en løsning. En må endre overgripernes atferd, skal man gjøre noe reellt og verdifullt for barna.

Personer som omgås barn i både privat og jobbsammenheng er de som er nærmest til oppdage overgrep. Forhåpentligvis tør disse personer å varsle om slike forhold åpenlyst, men en kan ikke se bort fra at i enkelte sammenhenger vil de ønske beskyttelse. Nettopp Datalagringsdirektivet er en trussel mot kilde- og varslervern, som da faktisk i disse tilfellene svekke barns rettigheter og beskyttelse.

Jeg vil allikevel ikke si at det er nytteløst å prøve å stoppe barneporno på internett. Det vil redusere selve overgrepsproblemet (eskalering av grovhet, men tvilsomt i omfang), og kunne redusere generell datakriminalitet. Særlig de som har økonomisk interesse av å holde liv i distribusjon av barneporno er ofte involvert i annen datakriminalitet. De besitter tydeligvis også god teknisk kompetanse. Artikkelen viser til en del mekanismer som benyttes:

• Anonyme Mastercard og Visakort brukes til anonym serverleie
• Proxy servere
• ID tyveri
• Botnets

Disse tingene er nok generelle elementer som benyttes i internettkriminalitet. Skal man virkelig gjøre noe med slik kriminalitet må man se om man kan eliminire mulighet for økonomisk gevinst. Politiet må bygge opp kompetanse på hvordan man avslører kriminell virksomhet på internett. Det bør være mulig å infisere de tekniske løsningene slik at de avsløres (f.eks. bruke samme teknikker som de kriminelle bruker for å bygge botnettene sine). Dette er nok mere krigøring enn etterforskning, og i Norge burde man benytte forsvarerts nye enhet for kyberkrigføring m.fl. bidra. Det er også viktig å forbedre ID systemer slik at det blir vanskeligere å konstruere falske ID er eller stjele andres. Operativsystemleverandørene har også et ansvar. En kan ikke feie under teppet at utbredelsen av botnets skyldes de altfor mange sikkerhetssvakhetene spesiellt Microsoft Windows har hatt opp igjennom årene. Hvis OS-leverendørene er seg sitt ansvar bevisst finner de ut hvordan kan bidra til å redusere datakriminalitet. Myndighetene burde også stille krav til operativsystemprodukter som selges i de respektive land. Til sammenligning er bilprodusenter underlagt lover, og regler og må oppfylle mange krav for å få lov til å selge produktene sine. Det burde vært sånn med operativsystem også.

Universelle rettsprinsipper

Jeg leste artikkelen om Jonas Gahr Støre som benytter universelle rettsprinsipper i sin argumentasjon mot shariaråd i Norge. Det er en god begrunnelse. Jeg finner det imidlertidig interessant at han er villig til å lempe på de samme prinsippene for å innføre overvåkning av hele befolkningen.

Disse 2 sakene har forøvrig ingen annen relasjon, og jeg ønsker ikke å sette det ene opp mot det andre. Det er selve begrunnelsen i universelle rettsprinsipper som er interessant, sitat:
"Skal vi lykkes med integrering, som jeg mener er vårt samfunns største sosiale utfordring, må vi ha et felles fundament, et verdisett som er forankret i universelle rettsprinsipper. Bunnplanken må være at vi er en rettsstat basert på demokrati, ytringsfrihet, religionsfrihet, likestilling og likeverd."


Shariaråd vil vel ha stor betydning for en liten gruppe, mens f.eks. Datalagringsdirektivet vil ha en beskjeden innvirkning i hverdagen for hele befolkningen. Fordi om de dagligdagse konsekvensene ved innføring av direktivet er små, er betydningen for rettsprinsippene desto større.

Her mener jeg Jonas Gahr Støre må gjøre rede for sine vurderinger. Han har forsvart Datalagringsdirektivet tidligere.

Jeg håper Aftenposten følger opp Arbeiderpartiet, og forsåvidt de andre
partiene, på hvordan de forholder seg til rettsprinsipper.

Personvern er en forutsetning for frihandel på internett

I diskusjonen om Datalagringsdirektivet står personvernsprinsipper sentralt. Endel påstander som har fremkommet fra tilhengerne er at direktivet må innføres for likestille medlemslandene og nærmest er en forutsetning for frihandel. Motstanderne, meg selv inkludert, tviler på at direktivet kan være en forutsetning for frihandel i praksis. Det må være en oppkonstruert sammenheng.

Jeg kan se, i den grad direktivet vil klare lagre data om kriminelle, at utveksling av trafikkdata over landegrensene kan ha potensiale for å identifisere kriminelle og føre bevis for kriminell virksomhet. Jeg tror den effekten er overdrevet av tilhengerne, og det er stort sett impulsive kriminelle handlinger, og kriminalitet med strafferamme på under 3 år som man hovedsakelig vil kunne finne igjen trafikkdata for. Det vil ikke være anledning, uten nasjonale utvidelser, å hente ut trafikkdata for mistenkte i saker med strafferamme på under 3 år.

Når man snakker om frihandel skulle man tro det var viktigere å ha omforent syn på personvern og informasjonssikkerhet. Siden mye av frihandelen også omfatter internetthandel, må definisoner for personvernsprinsipper være mest mulig universelle og gjelde i land som handler mye med hverandre. Handel på nettet kjenner ingen grenser, heller ikke innad i EU. Det kan også være et verktøy som forenkler situasjonen for utviklingsland om alle har felles syn på personvern. Teknologirådet har skrevet en bra artikkel om Personvern - Hva er det? som tar for seg de ulike innfallsvinkler og prinsipper som omfatter begrepet.

Det forundrer meg at tilhengerne kobler behovet for Datalagringsdirektivet, som i beste fall tøyer begrepene i Den Europeeiske Menneskerettskonvensjonen, mot fri flyt av varer og tjenester (Tjenestedirektivet) når det er justissektoren som ivrer for det. Tilhengerne har snudd opp ned på argumentasjonen, og påstår at direktivet styrker personvernet (fordi man påser at data blir slettet, noe man godt kan gjøre uten direktivet), og er en forutsetning for frihandel (at direktivet er EØS relevant). Jeg tror tilhengerne misforstår personvern, fordi man blander det sammen med samfunnsikkerhet, det kommer bl.a. tydelig frem på Høyre politiker Arve Kambes blogg. Tiltak for samfunnsikkerhet står ofte i motsetning til personvern, og det er kanskje det som ern en del av essensen i debatten. Uansett så tror jeg ikke Datalagringsdirektivet stor i proporsjonalitet ift problemet man vil bekjempe og har så mange huller og svakheter at verdien for samfunnsikkerheten er ganske lav.

Det viser seg at direktivet er vedtatt med hjemmel i Art 95 (Restriction of Hazardous Substances Directive) som omhandler restriksjoner for farlige stoffer. Irland mener direktivet ikke er vedtatt med riktig hjemmel (side 4) Tyskland har kjent Datalagringsdirektivet grunnlovsstridig. I flg Wikipedia artikkelen om direktivet skal det legges frem en implementeringsevaluering av direktivet den 15.10.2010. Jeg har så langt ikke kommet over noen reelle næringsrelaterte argumenter for direktivet. Ettersom jeg kan skjønne vil en svekkelse av personvernet, svekke frihandel. Man finner det også igjen i EU:

• Artikkel 10
• Working group 29

Nylig var også IT-minister Rigmor Aasrud i Computerworld.no med kronikk om Ny digital agenda i EU, som skal være en del av løsningen på de problemer unionen sliter med. Det må være en fordel om man legger til rette for handel og tillit istedet for å påtvinge noen et direktiv som ihvertfall ikke bidrar til forbedring og i værste fall motarbeider.

Direktivet er omstridt, det er stilt spørsmål om relevans ift EØS avtalen, og min påstand er at faktisk kan undergrave tillit mellom privatpersoner og handelstjenester på netttet. Jeg ønsker Magnhild Meltveit Kleppas initiativ for å stoppe og tenke over hva personvern er, hva som behoves for etterforskning, og hva som absolutt ikke bør lagres for overvåkningsformål velkommen. Hvorvidt staten overhodet skal pålegge lagring, men heller kun pålegge sletteplikt er viktig. Ulike typer data og lagringstid er viktige elementer å vurdere om man innfører lagringsplikt. Jeg håper det kan være mulig å komme frem til mer målrettede og realistiske tiltak for å bekjempe terror og barneporno.

Fri flyt av varer og tjenester betyr også at personopplysinger kan flyttes mellom medlemsland. I praksis flyttes personopplysninger dit hvor tjenestetilbydere finner det hensiktsmessig å lokalisere sine IT-driftstjenester rent fysisk. På internett forholder man seg ofte ikke til nasjonale grenser eller EU for den del. Dette viser hvor viktig det er å styrke personvernet i en større sammenheng.

Om man søker på internett vil man kunne finne en rekke definisjoner på Privacy og Personvern. I forbindelse med innføring av Datalagringsdirektivet må man  lempe på disse definisjonene, og når man til og med prøver å argumentere med at direktivet er til fordel for personvernet har man snudd det hele på hodet.

Individet skal ha kontroll over sine egne personopplysninger, det er endel av ens egen integritet.

Kontroll av en virkelighet som ikke finnes

Det offentlige Norge har de siste årene lagt på seg i form av et stort byråkrati som skal kontrollere kostnader. Det å kontrollere kostnader koster penger, og binder opp ressurser til arbeid som ikke leverer tjenester til eierne (innbyggerne). Stoltenberg I-II regjeringen har stått for  denne utviklingen.

Den samme regjeringen har ingen motforestillinger mot å påføre private regler og rutiner som hindrer nyetablering, innovasjon og samfunnsutvikling. Bortsett fra Oljeindustrien, som stort sett får gjøre som de vil, sliter næringer i motbakke. Motbakken er laget av regjeringen, som ikke tenker fremtidsrettet.

Jeg er enig i at man skal forsøke å holde seg til handlingsregelen, og edruelighet i Norsk politikk har gitt oss ett av verdens beste land å bo i. På en annen siden er norsk økonomi oljedopet så det holder, så jeg er litt usikker på hvor flinke vi egentlig er. Kanskje lurer vi oss selv her på berget, i all oljetåka?

Ihvertfall: Regjeringen har få motforestillinger mot å innføre byråkrati som ihvertfall ikke resulterer i utvikling av fremtidsrettet næringsutvikling. Dette byråkratiet vil bare gjøre det tyngre å snu skuta Norge etter været. Istedet for å gjøre norsk forvaltning og næringer mer smidige, blir det mere statisk og vanskeligere å omstille seg.

Dette kontrollbyråkratiet binder opp ressurser, som er kunne vært brukt på effektiviseringstiltak og kunnskapsdeling. Dette er spesiellt sant innen IT-næringen. Norske programmerere jobber med å lage løsninger som støtter dette byråkratiet. Systemutviklere kan bidra med forbedringer og effektivisering av de virkelige tjenestene som Norge trenger på kort og lang sikt, og som vil gjøre oss mer konkurransedyktige. Vi er et høykost-land, som må produsere mer per innbygger enn andre om vi skal opprettholde vår levestandard. Vi har for svak utvikling i forhold til utviklingsland som ikke kan støtte seg på fet oljenæring.

Nok om problemene med kontrollbyråkratiet i seg selv. Det verste er at dette byråkratiet aldri vil være i takt med omverdenen. Forutsetningene endrer seg hele tiden, slik at regler og rutiner aldri vil være helt ajour. I noen tilfeller er dette helt absurd ute av takt med virkeligheten. Et minimalistisk sett med regler og rutiner, fulgt opp av et lite byråkrati vil kunne tilpasse seg virkeligheten i større grad.

Kontrollbehovet gjenspeiler seg på en rekke områder:

• Sykehus: Adminstrasjonen er vokst over lengre tid. Andelen direktører og andre byråkrater vokser i helseforetakene og andre etater.
• Datalagringsdirektivet, som jeg, og ganske mange i IT-bransjen, jurister og en rekke høringsinstanser, tror blir både komplekst, dyrt og true personvernet.
• Vei- og jernbanebygging stykkes opp i små prosjekter, som blir lite effektive men lett å følge opp økonomisk fører til lav utbyggingstakt.

Jeg tror ikke disse punktene er enestående, da kontroll virker å være helt styrende for det meste Regjeringen foretar seg. Kontrollbyråkratiet vil bli hengende på som en klamp om beinet, og nærsynthet hindrer det i se hvor skoen virkelig trykker. Byråkratiet er mest opptatt av å kontrollere det bestående, og er lite fokusert på hva som gir verdiskapning i samfunnet samt reell fornyelse. De endringsvedtakene som faktisk kommer fra dette byråkratiet bygger på forutsetninger og logikk både innbyggere og fagfolk har vondt for å forstå. Jeg tror dette kommer av at byråkratene og politikerne er fastlåst i en måte å tolke verden på som er i utakt med oss utenfor.

Det har ingen verdi å måle og basere kontrollen på det som skjedde i går om det ikke kan tilføre verdi i morgen. En må forstå hva en skal måle og hvorfor, før man begynner. Ikke minst må en være endringsorientert slik at man slutter å kontrollere der hvor det viser seg å være verdiløst.

Ilustrasjonshistorie
For en tid tilbake var ordføreren fra Elverum Arbeiderparti på banen med trussel om å innføre politivedtekter om folk ikke klarte å holde seg til gressklipping innen visse tidsrammer. Det hele var litt tragikomisk, men det passer inn i mønsteret og beskriver det politiske handlingsmønsteret til det førende partiet i Regjeringen. Når man så leser denne nyheten om at lovnader om mere ressurser til Politiet ikke er fulgt opp, er det bare tragisk.

Jeg tror Politiet nok å holde på med om de ikke skal passe på når folk kan klippe gresset også.

Næringsutvikling og offentlig forvaltning på digital plattform i et Personvernsperspektiv

For at næring og offentlig forvaltning skal kunne utnytte det fulle potensial i informasjonsteknologi, er endel personvernsprinsipper essentielle. Skal kunder og innbygere tiltro nettjenester sine opplysninger, må man kunne stole på de som forvalter selve informasjonen og transportteknologien.

IT-Minister Rigmor Aaserud har skrevet en kronikk i Computerworld Norge om Ny Digital agenda for EU. Jeg synes artikkelen er generellt god, og den nevner spesiellt at personvern er essentiellt for utvikling. Den nye digitale agendaen skal være en del av løsningen på EUs økonomiske problemer. Siden personvern er omstridt, også innad i EU og her i Norge vil jeg prøve å forklare hvorfor jeg mener dette er viktige sammenhenger å ha klart for seg.

Teknologirådet har en artikkel, som omhandler hvordan data som lagres i fobindelse med Datalagringsdirektivet, skal forvaltes. Artikkelen ga meg ideen til denne posten, sammen med Aasruds kronikk.

Oppdatering 12.06.2010
Forøvrig så omhandler EUs Artikkel 10 Personvern, og Working Group 29 jobber med personvernsspørsmål.

Oppdatering 1506.2010
Jeg fant en bra artikkel hos Teknologirådet om ulike egenskaper/innfallsvinkler til personvern: Hva er ersonvernrsonvern.

Tillit
Forretningsforhold bygger på tillit, både ved fysisk tilstedeværelse, men ikke noe mindre på nett. Når du skal oppgi både personalia og kredittkortopplysninger, må en kunne stole på det nettstedet man tiltror disse opplysningene. Man forventer også at dette er opplysninger som forblir mellom deg som kunde og nettstedet. Langt de fleste er i stand til å gjøre en grei vurdering av nettsteder. Man skal allikevel huske på at det kan forekomme både fysiske innbrudd og datainnbrudd hos nettstedet, og dine opplysninger kan komme på avveie.

De færreste tenker over at selve kommunikasjonen kan avlyttes, og opplysninger misbrukes. Datakriminelle har holdt på med dette over lengre tid. Leverandører av nettlesere og tjenestetilbydere forsøker å tette sikkerhetshull, men det er ikke mulig å tette alle hull. Datakriminelle benytter seg bl.a. av noe som kalles Man-In-the-Middle attack. Kort fortalt utnyttes sikkerhetshull og svakheter i teknologi og bruksmønster til å avlytte kommunikasjon. Det svekker tilliten, selv om tjenestetilbyder formelt sett ikke har gjort noe galt.

Fordi data kan komme på avveie og misbrukes, er det viktig at man hele tiden har innsyn i egne data. Dette gjelder alle forhold hvor en legger igjen personopplysninger. Dersom noen bestiller varer i ditt navn bør du kunne oppdage det. Du bør kunne sjekke ordrehistorikk osv. på nettsteder hvor du er registrert.

Transparens
Når man bruker internett enten mobilt eller hjemmefra, går man via en nettilbyder (ISP). Disse logger informasjon om din nettbruk av faktureringshensyn. Pussig nok gir få, eller ingen, ISPer innsyn i disse dataene. Stort sett har få hatt bruk for denne informasjonen, og om den har inneholdt feil, har man ryddet opp når regningen kommer. Feil som ikke gir utslag på regningen blir aldri oppdaget. Siden disse dataene faktisk kan bli utlevert til Politiet/overvåkningstjenester burde det strengt tatt vært mulig å få innsyn. De er en 3dje part i forholdet mellom deg og din ISP, og kan trekke slutninger om deg basert på denne informasjonen. Kravet om innsyn styrkes dersom Datalagringsdirektivet innføres. Da blir det lagret mere data, detaljeringsgraden og lagringstiden økes.

Åpenhet
Data som ikke er av persondatakarakter, bør i størst mulig grad være åpen. Nettbutikker kan med fordel ha brukervurderinger, sanntids salgstrender o.l. lett tilgjengelig. Offentlige instanser besitter mye data, som innbyggere faktisk har et forhold til. På grunn av disse dataene befinner seg i gamle datasystemer, begrensede ressurser osv forblir mange data låst inne. Disse dataene kan gi større samfunnsforståelse og innovasjon om de gjøres tilgjengelig. Når man kobler sammen data fra ulike kilder kan man skape helt nye tjenester. Tilgang til disse dataene bør i hovedsak foregå anonynymt. Det kan tenkes at nytenkning kan true etablert makt, men allikevel representere positiv samfunnsutvkling. Det er kanskje ikke noe man tenker over til daglig, men dette har vært avgjørende opp gjennom historien og det samfunnet vi nå lever i.


Privatliv
Enhver har rett til privatliv og privat tid. Selv også når man kommuniserer elektronisk. Elektronisk kommunikasjon mellom privatpersoner skiller seg ikke fra annen privat kommunikasjon. Jeg mener det skal mye til for at myndigheter skal iverksette tiltak som bryter denne privatfreden. Dette gjelder også bruk av nettjenester i privat øyemed. Datalagringsdirektivet formaliserer og går et godt stykke videre utover dagens praksis på dette området. Direktivet legger opp til at en domstol må gi tilgang, basert på skjellig grunn til mistanke, før data kan hentes ut. Justisdepartementet har foreslått at man ikke skal behøve skjellig grunn til mistanke. Domstolen skal altså gi tilgang til data uten grunn. Det finner jeg svært urovekkende.

Datalagringsdirektivet, med eller uten forværrende utvidelser,  er på et vis analogt med Man-In-the-Middle angrep. Det vil gi innsyn i kommunikasjon, uten at noen av partene involvert er klar over det.

Samfunns- og næringsutvikling basert på personvernsprinsipper
Dersom man bryter tillit, privatlivets fred eller holder data skjult bygges det misstillit og mistenksomhet inn i forholdet mellom de ulike partene. Dette skader utviklingen av både samfunnet og næring. Positiv og demokratisk utvikling er uløselig knyttet til myndighetenes respekt for individet og vise versa. Individer som ikke opplever å bli respektert, vil sjelden reagere med respekt andre veien.

Nettet er uten grenser, ihvertfall for de som lever frie demokratiske land. Digitale tjenester kjenner ingen grenser og distribusjonskostnader er omtrent lik 0 uansett hvor kunden/brukeren befinner seg. Det gir muligheter for å lage smale tjenester, dvs tjenester som i en liten populasjon ikke ville hatt mange potensielle brukere. I et større nedslagsfelt er det en helt annen økonomi. Disse prinsippene er godt beskrevet at Chris Andersons bok, The Long Tail: Why the future of business is selling less of more.

Men så til hovedpoenget. Skal man overleve i Long tail tjenestemarkedet, må det bygge på tillit, transparens, åpenhet og respekt for individet. Personvern er ikke løsningen, men er etiske verdier som må bygges inn i løsningene og demokratisk tenkning.

John Batelle har skrevet en veldig bra bloggpost som heter The Signal. Den bør leses, samt artikkelen den referer til The Eternal Value of Privacy (Bruce Schneier).

Oppdatering 14.08.2010:
60000 pass- og fødselsnr på avveie. Utro tjener har solgt personlige opplysninger.
Dette viser at utro tjenere kan selge opplysninger, og de kriminelle kan bruke disse til å innhente flere opplysninger. Jo større lekkasjer, jo større skade.

Digital forvaltning, organisering og sosialisering

Etterhvert som Norge digitaliseres, vil man møte utfordringer og problemstillinger. Digitalteknologi byr på nye muligheter og effektivisering, og har stort potensiale om det blir brukt fornuftig.

Som med alt annet, så har digitalteknologi en bakside, og anvendelse som gir reelle og verdifulle gevinster er ikke alltid åpenbare. Digitalteknologi kan også brukes destruktivt mot enkeltpersoner, i organisasjoner og samfunnet. I skolen er problemet med digital mobbing et voksende problem, og myndighetene har satt iverk endel tiltak. Jeg tror kunnskap om digitalteknologi må heves generellt, og det må bli endel av oppdragelsen foreldre gir barna sine. Nettopp barnas bruk av teknologi illustrerer godt hvordan den har blitt endel av sosialiseringsprosessene i dagliglivet. Derfor er kunnskap om teknologien viktig, men også at man skal føle seg trygg når man bruker den. På en annen side må det være mulig å trekke seg tilbake. Mennesker flest har et behov for private stunder, noen trenger mye, andre lite. Også når man bruker teknologi i en privat setting, forventes det at man gjør forblir privat.

I et land med spredt demografi, og veldig varierende geografi, har vi et spesiellt stort potensiale som nasjon ved å satse på samarbeids-, kunnskaps- og sosialiseringsteknologi. Det kan øke effektiviteten, styrke demokratiet og nasjonalt samhold dersom mulighetene forvaltes fornuftig. For at dette skal bli mulig må det tilrettelegges og innbyggerne må være uredde (ikke naive) i sin utprøving av teknologien. Tilliten til teknologien bygges opp ved transparens: det man "produserer" av informasjon i ulike sammenhenger er tilgjengelig for relevante personer, organisasjoner og samfunn. Informasjon bør i så liten grad som overhodet mulig holdes skjult. Personverkommisjonen har gjort et ypperlig arbeid med å dokumentere personvernprinsipper og forvaltning av disse. Jeg prøver her å sette det i sammenheng med generell samfunnsutvikling.

Sånn sett henger en eventuell innføring av Datalagringsdirektivet sammen med utvikling av samfunnet og demokratiet i Norge. Digital teknologi kan støtte opp under utviklingen, eller ha motsatt effekt. Akkurat nå er vi prisgitt Høyre, som vil kunne avgjøre om Stortinget vil vedta en implementasjon av direktivet.

Jeg har i det siste interessert meg endel for fagfeltet organisering for tjenesteorganisasjoner og hvordan IT kan støtte slike organisasjoner. En slik organisasjon er Politiet. Jørgen Kosmo kritiserte nettopp Politiet for dårlig organisering og samarbeid som kan bidra til oppklaring av saker som strekker seg over flere politidistrikter. I dag var det en gledesnyhet som viser at riktig organisering kan bidra til oppklaring av saker med mobile kriminelle. Slike utenlandske mobile bander har neppe norske mobilabonnementer, og Datalagringsdirektivet ville være til liten hjelp i sånne saker.

For å kunne forbedre tjenesteytende organisasjoner, og gi dem de riktige verktøyene. En må man forstå problemene de sliter med, hvordan de er organisert og hvilke endringer som må gjøres. Jeg vil her vise til noen innsiktsfulle, men noe generelle artikler om temaet:

• Why Lean is a wicked disease
• Belts and tools is not needed to improve service

Les mer om teknologiske problemstillinger og muligheter hos Teknologirådet.no

Personvern og etterforskning i et historisk perspektiv

Arbeiderpartiet vedtok i går å innføre Datalagringsdirektivet.

Direktivet står i kraftig kontrast til Personvernkommisjonens rapport overlevert til Fornyings- og administrasjonsdepartementet 13. 01.2009. Kommisjonen går gjennom personvernprinsipper som er en viktig del av fundamentet for vårt moderne demokrati.

I kommisjonens rapport kommer det frem at moderne kommunikasjonsteknologi medfører at vi legger fra oss flere spor enn noen gang tidligere. Politiet har DNA-registere (som riktignok ikke engang utnyttes til sitt fulle potensiale). Kommisjonen nevner bl.a. at de som står i DNA registeret faktisk kontinuerlig står i en virtuell identifiseringskonfrontasjon. Nå vil altså Arbeiderpartiet at alle landets innbyggere skal stå i en slik virtuell identifiseringskonfrontasjon.

Som teknolog (programmerer) kjenner jeg godt til hvordan en god del av teknologiene som medfører at vi legger igjen elektroniske spor. Den informasjonsmengden som lagres om oss er uten sidestykke mer omfattende enn noensinne. Med de argumenter som fremføres av Politimyndighetene om viktigheten av ytterligere, og lengre, lagring kan man saktens spørre seg hvordan det overhodet var mulig å etterforske før den digitale tidsalder.

Som svar på disse utfordringene av personvernet har privatpersoner begynt å kryptere sin kommunikasjon. Dette gjelder også  de litt avanserte kriminelle. Men i et historisk perspektiv er det vitktig å tenke på at kryptering egentlig er et tiltak for å gjenopprettet balansen mellom personvern og myndighetenes samt andres tilgang til individets privatliv. Personvernet er svekket, ikke etterforskning, i den digitale tidsalder. Personvernet er essensiellt i et fungerende demokrati. Det gir individet privatliv, journalistene kan gi sine kilder vern, og varslere beskyttelse. Dette må vi ikke gi slipp på, da det vil true videre utvikling av vårt samfunn. Vedtas direktivet, tror jeg 17. Mai, med feiring av frihetsidealer, blir en feiring med sterk bismak.

Effekten av direktivet er ytterligere forværring av denne balansen mellom personvern og overvåkning, uten at det vil gi noen særlig gevinst i etterforskningsøyemed. Planlagt kriminalitet vil ikke etterlate seg noe særlige eletroniske spor, og da står man igjen med impulshandlinger. Kriminalitet begått i affekt etterlater massive mengde med biologiske spor og vitner. Terrorhandlinger er spesielle i dette tilfellet: Terrorister vil stort sett klare å skjule sine elektroniske spor, men i det de slår til er det nettopp å bli stilt til ansvar for handlingen som er målet, og her er jo Datalagringsdirektivet et nyttig verktøy for terroristene...

Når er egentlig ingenting av dette noe nytt. Det er godt dokumentert gjennom rapporten til Personvernkommisjonen, høringsuttalelser ifbm behandling av Datalagringsdirektivet. Jeg er sterkt forundret, og skremt, over at alt dette blir hensyntatt i den politiske behandlingen.

Jeg ønsker at Stortinget tenker over Henrik Wergelands arbeid for frihet, og maktfordelingsprinsippet. Det er et paradoks at det nettopp er Arbeiderpartiet som er den største forkjemperen for Datalagringsdirektivet. Hvis man leser arbeiderbevegelsens og partiets historie, kan en lure på hvordan det hadde gått om staten hadde hatt slike kontrollmidler den gangen.

Politikk og ligninger

Ligninger brukes for uttrykke forhold mellom ukjente variable. Problemløsning med komplekse problemstillinger, kan forenklet sagt, uttrykkes som ligninger med flere ukjente eller simultane ligningsett.

Det jeg vil illustere med å bruke matematiske ligninger opp mot politikk er: dersom man vil løse et problem, må alle relevante ukjente for problemstillingen med. Dersom man mangler en variabel, vil man finne et svar. Problemet er at svaret er formelt sett riktig, men det er ikke svar på problemet. Og ligninger er balanserte, noe politikk også bør være. Det er lett å la seg forelske i et svar, særlig om det kan gi fjær i hatten. Problemene oppstår når man skal prøve ut svaret i praksis, da det vil komme for en dag at man manglet variable i problemdefinisjonen.

I systemutvikling er det et kjent fenomen at jo tidligere en feil innføres i utviklingsløpet, jo høyere kostnad innebærer det å rette feilen. Dette løses delvis ved at man utvikler iterativt (her finnes det analog i ligningsløsning, se Wikipediaartikkel). Da deler man opp utviklingen, og leverer løsningen i delleveranser. I tillegg har smidige utviklingsmetoder fått rotfeste, spesiellt der hvor kravene, forutsetningene og mulighetene (og derav løsningsrommet) endrer seg hyppig. I smidige utviklingsmetoder er det kritisk for suksess at man etablerer en læringssøyfe, slik at man kan justere kursen. Når dette fungerer, gir det tidlig returverdi på investeringer, og man reduserer risiko for at man leverer feil løsning.

I politikken burde man også innse at man ikke kan sitte inne med fasitsvar på komplekse problemstillinger. En må lære underveis, og ikke ta større steg enn at man kan justere kursen underveis.

Som jeg var inne var inne på, er det vesentlig at man inkluderer alle variable i en ligning/ligningssett. Når man skal spesifisere en løsning på et politisk problem, innebærer det å samle inn fakta og meninger om problemet og definisjonen av det. Altså hvordan man ser problemet, og hvordan ulike forhold påvirker hverandre. Dette foregår gjerne som høringsrunder, men i endel saker vil man også få innspill gjennom media. Nytt er at menigmann og fagfolk også kan uttrykke seg gjennom sosiale media, uavhengig av offisielle kanaler. Sosiale media gir en mye mer levende diskusjon, og det er større sjanse for at man finner de siste variablene som må med i ligningen dersom beslutningstagere lytter.

I saker som innføring av Datalagringsdirektivet mangler det ikke på hverken faglig tunge høringsuttalelser eller innspill via sosiale media. Da er det besynderlig at beslutningstagere velger å utelate alle slike innspill fra sin problemdefinisjon. Det kan virke som om svaret er gitt på forhånd, og man er ikke interessert i noe som forstyrrer dette synet. Jeg mistenker at motivasjonen er politiske gevinster opp mot EU/USA eller at man har forelsket seg i et svar som virker så enkelt og vakkert at det må være den ultimate løsning.

Oppdatering: Jeg mener at ligninger her er ypperlig bilde på hvordan balansere tiltak mot kriminaliet med hensyn på proporsjonalitetsprinsippet.

Jeg har også fulgt utvikling av debatten rundt lokalsykehusene i det siste. Måten Helsenorge styres sentralt har noen fellesstrekk med behandlingen av Datalagringsdirketivet. Man skriver ut løsninger som om Norge var homogent geografisk og demografisk, sett fra Østlandet. Igjen så tror jeg dette er et sett av ligninger hvor ukjente utelates. Jeg synes Helsedirektøren er modig som setter dagsorden når det gjelder økonomi. Jeg synes også dette innlegget om hvordan logikken sentralt bygges opp, og backes av riksavisene er veldig bra.

Skal man løse en ligning, må alle relevante ukjent med. Ellers så blir det bare tøv. Jeg synes politikere og byråkrater skal lytte til de som faktisk kjenner problemstillingene på kroppen. De sitter på ganske mye informasjon om hvor skoen trykker. Det er IT-folk og jurister som har sterke meninger om Datalagringsdirektivet. Folk i distriktene kjenner best til lokale forhold, og skjønner de praktiske konsekvensene av foreslåtte endringer i sykehusstruktur. Deres innspill må være en del av ligningen som beskriver problemstillingen.

Man kan si mye om Japansk arbeidsliv, men de har løst en rekke problemer og kommet frem til løsninger og arbeidsmetoder resten av verden har hatt glede av. Jeg er ingen ekspert på Japan, men jeg har ihvertfall fått med meg at sjefen snakker sist, og minst av alle. De ansatte er høyt motiverte for å levere resultater. Jeg tror Europeiske byråkrater og politikere har noe å lære av japanere.

Oppdatering 17.06.2010:
Jeg har konkludert med at det jeg forsøker å beskrive her er Yin & Yang. Problemstillinger må bestå av komplementære begreper, ellers så blir diskusjonen rotete og målløs. Resultatet blir gjerne noe de som ikke var involvert i beslutningene ikke skjønner noe av, og det beslutningene bygger på feil forutsetninger. Relasjonen til Japansk filosofi er ikke tilfeldig, og jeg referte til Japansk lederstil i førsteutgaven av posten.

Les mer om problemstillinger knyttet til overvåkning og personvern hos Teknologirådet.no

Konformitet og fri vilje

Du kan ikke tvinge noen til å vise holdninger og handlingsmønster av sin egen frie vilje. Man kan alltids oppnå en viss konformitet ved å bruke kontrollmidler, trusler osv, men samtidig vil man også oppnå å styrke kreftene som ikke vil innordne seg ved tvang.

Dette tror jeg vil gjelde Datalagringsdirektivet også. Direktivet er et kontrollmiddel, som nok kan tvinge endel fra uønsket atferd. For all del, det vil sikkert hindre noe kriminell atferd. Det som er værre er endret atferd i privatlivet, foreningsarbeid, journalistikk og politisk virksomhet. Det er langtfra alle som trives i "rampelyset" men gjerne bidrar i bakgrunnen. Direktivet kan for noen medføre en følelse av å være i rampelyset.

Jeg har lyst til å stille spørsmålet: Hvordan hadde det gått med den Franske revolusjon eller Arbeiderbevegelsen med Datalagringsdirektivet hengende over seg. Dette var undergrunnsbevegelser som i ettertid har ført mye bra med seg. Det ville vært svært synd om slikt hadde blitt kvalt i sin spede begynnelse.
Oppdatering 09.06.2010: Wergeland er en av våre tenkere, som hadde idealer som har formet Norge. Jeg kan ikke tenke meg han hadde hatt mye til overs for kontrollmekanismer som dette direktivet.

Det finnes alltid undergrunnsvirksomhet som kan virke skremmende på enkelte. Særlig de som kan miste noe om det slår rot. Det er ikke dermed sagt at slikt ikke vil ha positive krefter i seg. Skal de som driver den type virksomhet eller om omgås andre som gjør det måtte ta hensyn til det i sitt dagligliv? Måtte huske på å legge igjen mobilen hjemme eller skru den av. Måtte lære seg om kryptering av data. Jeg er sikker på at det finnes veldig mange lovlydige mennesker som kjemper for saker som kan true etablert elite og makt, men som ikke nødvendigvis driver med kriminell virksomhet. De er bare uenig i hvordan ting fungerer (eller ikke fungerer).

Jeg tror oppriktig at det finnes positive krefter som faktisk er uenige, kanskje til og med motarbeider, etablert makt og elite. Det gjør det fordi de ønsker endringer til det, etter egen oppfatning,  bedre.

Dersom staten lytter til sitt folk og tjener dem etter beste evne, vil det ikke være mye grobunn for negative undergrunnsbevegelser. Folk vil respektere og adlyde staten av sin egen frie vilje, men ikke nødvendigvis konformitet. Konformitet gir ikke de nødvendige spenninger som medfører en, totalt sett, positiv samfunnsutvikling.

En stat som bruker midler som fører til ufrihet nører opp under opprør og kampvilje. Det er heldigvis, for Nordmenn, langt til Gaza. Men jeg ønsker meg en norsk stat som beveger seg i retning av å bygge på folkets frie vilje. Det må være grunnstammen i Norsk politikk. Datalagringsdirektivet er et skritt i feil retning.

Rollebyttet

Nils og Ola er begge kriminelle, men Ola har tatt ett oppgjør med seg selv. Han vil ut av det lovløse livet. Nils derimot liker raske penger. Innbrudd og ran er hans spesialitet. Ingenting for stort eller for lite. Penger er penger, samme hvor de kommer fra.

En dag mens Ola er på vei til et jobbsøkerkurs passerer han et ferskt åsted etter Nils. Nils er en luring, han har ikke med seg mobiltelefon. Han kan noen programmeringstriks, så han har installert en applikasjon på iPhonen som sender SMSer til noen utvalgte "kollegaer" med jevne mellomrom. Mobilen ligger hjemme. En av kompisene hans har avtalt å gi ham alibi om det skulle bli noen spørsmål, dersom noen mener å ha observert ham på åstedet.

Politiet starter etterforskning. De har ingen spor, men ber om trafikkdata fra basestasjonene i nærheten av åstedet. De finner at Olas mobil var like i nærheten av åstedet da Nils begikk en kriminell handling. Politiet oppsøker Ola, bringer ham inn til avhør. Ola har ikke alibi. Ingen som kan si at han ikke begikk den kriminelle handlingen.

Hva blir neste steg i etterforskningen? ikke godt å si, men Ola ligger tynt an. Det foreligger elektroniske bevis for at han var på åstedet. Han er kriminell.

@Vampus forklarer dette i bloggposten sin Dropper skjellig grunn til mistanke

En brysom politiker

Det er året 2013. Når ungene kommer i skolealder er det vanlig å utstyre ungene med GPS-mobil som forteller foreldre hvor ungene befinner seg. Mobilen er utstyrt med kroppsvarmedetektor og kjenner igjen eieren sin på programmerte impulser. Den varsler foreldrene om ungene legger fra seg mobilen. Foreldrene kan definere grenser for bevegelsesområdet ungene kan bevege seg i, og blir varslet om grensen overtredes. Foreldrene synes dette er et fortreffelig teknologisk fremskritt. De fleste ungene er mer eller mindre konforme og bryter ikke grensene. Grenser som er absolutte. Mobilen gir ikke slingringsmonn akkurat i dag, selv om det hadde vært kult med en sykkeltur til kiosken for å kjøpe en sjokolade.

Pappa Fritjof er stortingspolitiker for et regjeringsparti som er delt i synet på Israel - Gaza konflikten. I midtøsten er dette en konflikt som har vært på bristepunktet i årevis, balansert ved å gi Israel akkurat nok slakk til å holde Palestinerne på Gaza-stripen i sjakk. USA forsyner Israel med endel våpen, og holder sin klamme hånd over det lille landet med arabere på alle kanter. Det palestinske folket er helt utarmet etter mange års innestengt tilværelse på Gaza-stripen. Det er lite å leve av, og ingenting å ta seg til. Hatet til Israel ligger latent, men det er få som orker å gjøre noe særlig utfall. Det nytter ikke.

Fritjof har ønsket å gjøre noe med dette lenge, og en dag tar han kontakt med en palestinsk organisasjon som har en liten avdeling i Norge. Siden partiet hans også har gode kontakter på den Israelske siden av konflikten, klarer Fritjof å opprette samtaler mellom Israel og Palestinerne. Han klarer til og med å organisere hjelpesendinger til Palestina. Siden han er Stortingspolitiker er han unntatt lagring av trafikkdata hos teleoperatøren sin.  Partiet taper stortingsvalget denne høsten. Folket er oppgitt over liten fremgang i utvikling av tog-kapasiteten på Østlandet. På Vestlandet, i Trøndelag og Nord-Norge er folket lei seg for å ha mistet føde- og akuttavdelinger selv om de har protestert mot dette. Flertallet vil ha regjeringsskifte.

Fritjof er ikke lengre unntatt lagring av trafikkdata. Arbeidet hans med å organisere hjelpesendinger og samtaler mellom palestinere og Israel har god fremgang. Så smeller det. Israel blir angrepet med norske våpen. Det er kaos. Ingen skjønner hvordan dette kunne skje, aller minst Fritjof. CIA kontakter Norske myndigheter og ønsker trafikkdata for personer i sentrale posisjoner som har hatt konktakt med visse palestinere.

I årene som kommer er det ingen som tør ta i palestina med ildtang. Det er for risikabelt. Best å holde seg inne med USA, og være til bry.

Dett er ren fiksjon, for å illustrere hvordan Datalagringsdirektivet kan komme til å forme Norsk politikk. Jeg har med vilje grepet fatt i aktuelle problemstillinger, så det skal være lett å relatere seg til historien. Jeg har ikke sjekket om data kan utleveres til CIA, med det foreliggende forslag for implementering av Datalagringsdirektivet.

Datalagringsdirektivet: Prinsippiell tilnærming og vurdering av praktiske konsekvenser

Debatten om Datalagringsdirektivet går høyt på Twitter, blogger og i media. Prinsipp-debatten avspores stadig av irrelevante innspill og sammenligninger. Jeg har merket meg at spesiellt mange slike innspill kommer fra Arbeiderpartiets representanter som er aktive på Twitter. Heldigvis finnes det mange som bidrar til dra debatten inn på riktig spor igjen (se ChrElinds innlegg)

Det er for meg uklart om enkelte kommer med innspill for bevisst avspore debatten, eller om de faktisk er uvitende om prinsipper om en liberal rettstat og praktiske konsekvenser. Uansett så har de kunne lese et stort antall høringsuttalelser og blogger med meget god argumentasjon mot direktivet. Det virker som om det bare preller av som vann på gåsa, og at Justisdepartementet, PST samt Kripos har fasitsvar på alt. Politimyndighetene ser sikkert en verdi i trafikkdata, men de er en subjektiv part i denne saken. Samferdelsdepartementet virker imidlertidig som et objektiv, balansert og har tolmodighet til å la være å trekke forhastede konklusjoner og inviterer til en konferanse med innlegg med ulike syn.

Prinsipiell diskusjon om flytting av grenser for overvåkning
Jeg har ikke noe særlig å tilføye på prinsipp-debatten. Den består av ganske tunge juridiske vurderinger, men selve vurderingen av hvor langt man er villig til å flytte grensene for å oppnå oppklaringsmål er veldig viktig. For å kunne tenke nøye over akkurat dette, må man legge alle andre hensyn til side. Det er stor usikkerhet knyttet til effekten av en eventuell implementering, men en må altså isolere dette til om man er villlig til å flytte grensene for overvåkning for å oppnå større oppklaringsandel i kriminalsaker. Hvis man ikke er villig til det, er resten av diskusjonen verdiløs. Derfor må det være et skarpt skille fra andre deler av problemstillingene rundt direktivet og den prinsippielle diskusjonen må avgjøres før man går løs på de praktiske delene.

En Tysk domstol har kommet frem til at implementering Datalagringsdirektivet er grunnlovsstridig. For å forstå den prinsipielle diskusjonen, bør man lese denne bloggposten.

Praktiske konsekvenser: sikkerhet og datakvalitet
Gitt at man aksepterer flytting av grenser for overvåkning, må man begynne å se på de praktiske konsekvensene en implementering vil ha. En må sikre at selve dataene blir

• Lagret forsvarlig
• Bare blir aksessert av autorisert personell
• Bare overlates til politimyndighet etter gjeldene regelverk (dette i seg selv kommer til å bli komplekst)
• Slettes etter gjeldende regler
• Ikke blir manipulert
• Administrert innenfor et regelverk som fanger opp menneskelige feil.

Dette er forhold man kan håndtere ved hjelp av et system, bestående av byråkrater. Dette er rene kostnader innført for å forvalte dataene. Penger som kunne vært brukt på mer konstruktive ting, f.eks. reell etterforskning.

Som programmerer og pådriver for innovasjon ser jeg at dette byråkratiet ikke vil gjøre det enkelt å starte opp nye telekombedrifter i Norge. Av rene økonomiske hensyn vil nok infrastukturen i størst muilig grad bli etablert i utlandet, for å slippe unna kostnader forbundet med direktivet. Det er fullt mulig etablerte operatører også vil se på disse mulighetene.

Når man lagrer data for etterforskningsformål, vil det stille store krav til nøyaktighet. Denne nøyaktigheten kan lett degeneres ved

• ID tyveri
• falske IDer
• stjålne mobiltelefoner
• bruk av naboens trådløse nettverk. 
• Manipulering av mobilenes programvare

Slike forhold er ikke spesiellt uvanlig blant notorisk kriminelle, og vil generere ganske mange falske og villedende indisier. Siden kriminielle driver kriminalitet vil dermed lovlydige mennesker kunne bli uskyldig mistenkt (ID tyveri) og i værste fall dømt for noe de ikke har gjort. Det er ikke alltid man er klar over at ens egen ID er misbrukt før det er en gått noe tid, og eldre personer/barn vil neppe oppdage det overhodet. Falske IDer burde blitt slettet fra Folkeregisterer umiddelbart, men dette er desverre ikke tilfelle per idag og det vil vil forringe kvaliteten på trafikkdatene mye mhp etterforskning, siden det er nettopp de kriminelle som skjuler seg bak falske IDer.

En manipulert mobil (f.eks. infisert med rootkit) kan fjernstyres slik at uvitende mobileiere kan få indisier mot seg. Et botnett av mobiler vil være en datakriminells våte drøm, og Datalagringsdirektivet vil da bli ganske verdiløst. En kriminell kan også legge inn programvare som generer trafikk på egen telefon mens denne lar telefonen ligge igjen mens man bedriver kriminalitet.

Som i all annen software vil det også være mange feilkilder i teleoperatørenes systemer. Det er ikke noe ukjent fenomen at det er feil på fakturaen. Det er greitt nok, fordi det er et forhold mellom forbruker og operatør. Men det er ikke greitt når de samme feilaktige dataene brukes i etterforskningsøyemed.

Praktiske konsekvenser: Etterforskning og analyse
Når en har fått hentet ut informasjon etter gjeldende reglement, vil det i mange av tilfelle være omfattende sett av data, kanske fra flere operatører og i ulike kanaler disse tilbyr. Loggene fra disse er ikke samordnet på noe vis i utgangspunktet, med mindre det er en del av implementeringen. Dette vil i så fall være kostnadskrevende, komplisert og vanskelig å garantere kvaliteten på.
I etterforskningsarbeid vil man ha behov for folk med teknisk kompetanse som kan analysere store datamengder og korrelere disse. Det som er spesiellt krevende er at resultatet av en slik analyse må være 100% presist, og det kan ikke være unøyaktigheter i det som skal brukes som bevismateriale. Trafikkdata er sentral i bevisrekkefølgen, kan den knekke som et korthus om det ikke er vanntett. Solid etterforskning basert på vitneuttalelser vil sjelden knekke på samme måten. Jeg har en følelse av at teknisk analyse av trafikkdata kan få ufortjent stor oppmerksomhet, og i noen tilfeller upresis og mangelfull, istedet for etterforskning i den mistenktes omgangskrets. Vitneuttalelser er mye mer nyansert, gi tilleggsopplysninger, gi spor i andre saker og initiere nye saker. Det vil i så fall ikke være første gang tekniske nyvinninger obstraherer det arbeidet som skal utføres, fordi man innbiller seg at IT gjør det mye mer effektivt.
Ettersom jeg har skjønt hvordan direktivet skal implementeres, kan ikke uthentede data benyttes på tvers av saker selv man kan se indisier på annen kriminell atferd.

Fra før vet vi at Politiet sliter med intern kommunikasjon på tvers av distriktene. Effektivisering av kommunikasjonen ville kunne bidra til å følge opp veldig mobile kriminelle. Spesiellt for narkotrafikk vil jeg regne med høyere antall saker og domfellelser dersom distriktene kommuniserte og samarbeidet bedre.

Forskjellen på datalagringsdirektivet og sosiale medier

Jeg følger med på debatten om Datalagringsdirektivet på Twitter. Endel debattanter argumenterer med at dersom man aksepterer vilkårene i sosiale media, kan man ikke samtidig si nei til direktivet.

En slik argumentasjon viser ikke man forstår forskjellen på frivillig registrering, i en kanal valgt av en selv, og lagring av trafikkdata. De fleste sosiale medier lar deg også slette kontoen dersom du ønsker det.

Når man bruker sosiale media, er det en frivillig sak. Jeg er en ganske ivrig bruker, men kjenner mange som synes jeg er litt gal. Poenget er at det må, og skal, være helt frivillig å bruke sosiale media, samt at man kan bruke det etter eget behov og ønske så lenge man ikke skader andre. I motsetning til lagring av trafikkdata som, teknisk sett, er nøytrale data kan sosial media brukes til å fremheve utvalgte sider og egenskaper ved deg selv. Det kan ha en verdi for den som velger å eksponere seg. Trafikkdata har ingen verdi for det enkelte individ.

I sosiale media har man et sterkt eierskap (diskutabelt ift Facebook, men da legger man kun ut det man ønsker på den tjenesten) til de data man eksponerer. Datalagringsdirektivet vil ikke engang gi individet innsyn i hva som er lagret, inntil det blir brukt mot deg. Det er horribelt spør du meg.

Aftenposten har i dag en artikkel om mangelfull sletting av falske ID er i Folkeregisteret. Det er  en god stund siden denne saken første gang verserte i media og det foreligger rettskraftige dommer for sletting. Allikevel er det ikke utført, og Folkeregisteret er ukjent med problemet! I tillegg så er ID-tyveri et kjent problem (dukker helt sikkert opp i media i sommerferien). Falske og stjålne IDer er gull verdt for kriminelle som vil skjule seg, særlig med direktivet implementert. I tilfellet stjålne IDer vil de kunne mistenkliggjøre uskyldige, og det med ganske harde bevis. Uskyldige som tilfeldigvis ikke har noe alibi på gitte tidspunkter vil til og med kunne bli uskyldig dømt. Jeg er redd trafikkdata, som tilsynelatende gir ganske presise opplysninger, vil veie rimelig tungt i slike saker.

Når man eliminerer eierskap til personopplysninger, snus bevisbyrden fra politiet over på individet. Politiet og rettsvesenet er overmakt overfor den enkelte. Derfor bør de ikke automatisk ha tilgang til alle opplysninger om oss. Jeg tror oppriktig at etterforskning av kriminalsaker vil gi riktigere utfall dersom etterforskerne forholder seg til den mistenkte og dennes omgangskrets som mennesker. Det er mange flere forhold rundt en persons gjerninger enn trafikkdataene som blir lagret.

PS! Marc Zuckerberg, CEO i Facebook er mer lydhør enn Storberget som ikke hadde ambisjoner om et seminar om alle problemstillingene rundt DLD .