Stortinget har med knappest margin vedtatt lov om systematisk lagring av digitale data utvekslet mellom individer i Norge. Bekymringsfullt og lite gjennomtenkt sier informatiker, som følger nøye med interessegruppen ”Digitalt personvern”, som tar saken for domstolene.

ITpro har i anledning den forstående prøvingen av Datalagringsdirektivet for retten, intervjuet Håvard Hatlevik, som er adjunkt i informatikk og aktivist i saken. Han arbeider for tiden som lærer innen IT- og IKT-fagene i videregående skole.

Håvard Hatlevik er adjunkt i informatikk og er motstander av Datalagringsdirektivet. Han mener blant annet at direktivet er svært upresist i sin nåværende form, og at direktivet er innført på falske premisser.

– Hvordan vil du forklare DLD for allmennheten?

Formålet til datalagringsdirektivet slik det fremligger fra EU er delt:

Harmonisering av nasjonale systemer internt i unionen for enklere frihandel på tvers av landegrensene i EU. Felles tidsgrense for når politietatene kan hente ut data fra andre medlemsland, samt sikre elektroniske bevis for ettertiden for en fellende dom i tilfelle et individ eller gruppe har begått en kriminell handling.

I Norge ser man en innførsel utelukkende rettet mot det siste av de tre formålene.

– Hvilke etiske utfordringer ser du i DLD?

Slik DLD foreligger i dag er det en trussel mot enkeltpersoner og den generelle utviklingen av demokratiet gjennom formålet av lovteksten. Blant annet hvordan DLD skal brukes og ikke minst hvordan det kan misbrukes, men dette kommer vi tilbake til.

– Fremkommer det hvilke data som skal lagres?

Etter EUs begreper er dette svært upresist og ikke endelig. EU har definert lovverket innen datalagring til å omfatte ”elektronisk post” og ”telefoni”. Dette inkluderer da også deler av internettelefoni og hele kategoriene av SMS og MMS. Dette kan derimot hvert enkelt medlemsland utvide til å omfatte den mengde de selv mener er nødvendig og hensiktsmessig.

Jeg stiller meg sterkt kritisk til myndighetene som har vedtatt et komplisert lovverk uten at det egentlig ikke er noen form for klarhet i hva dette vil bety i praksis

Implementeringen av DLD i Danmark har gått vesentlig lengre enn det standarddefinisjonen til EU tilsier. Her lagres samtlige internettsesjoner – noe som er vesentlig mer enn bare e-post og telefoni.

Skal du følge EUs standarder vil dette utelukke kommunikasjon gjennom chat-programmer, deler av programmer som Skype og generell http-trafikk.

– Hvorfor er du kritisk til myndighetenes innførsel av DLD?

Jeg stiller meg sterkt kritisk til myndighetene som har vedtatt et komplisert lovverk uten at det egentlig ikke er noen form for klarhet i hva dette vil bety i praksis. Myndighetene har verken avklart hva som skal lagres, hvor det skal lagres, eller hvem som skal ha tilgang til dataene.

Justisministeren forutsetter full sikkerhet rundt datalagringsdirektivet. Hver minste detalj. Enhver i IT-bransjen vet at ordene “dynamisk datalagring” og “full sikkerhet” ikke kan kombineres. Det vil til enhver tid være overhengende fare for innbrudd og/eller lekkasje, og du kan jo selv se for deg hvilke konsekvenser dette kan få i gale hender.

Det et stort behov i denne sammenheng at det utarbeides en offentlig tilgjengelig risikoanalyse for hva som er akseptabel risiko, og hvilke eventuelle brudd på sikkerheten vi må leve med. Dette gjelder ikke bare gjennom cracking, men også utilsiktet og uønsket innsikt i databasene. Dette vil vi komme tilbake til.

Les også: Datalagringsdirektivet vedtatt

– Hvem må betale for DLD?

Datalagringsdirektivet slik den foreligger fra EU, er det helt åpent hvem som skal stå for lagringen av data. Er det staten, tjenestetilbyderen eller eier av infrastrukturen? Det er i andre europeiske land store forskjeller på finansieringsmodeller og kvalitetene på data som lagres. Etter de forskjellige modellene viser det seg at mindre bedrifter ofte skofter på kvaliteten og loggingen av data, ettersom at dette koster for mye penger for bedriften. Det ironiske er at formålet til datalagringsdirektivet skal gjøre det lettere med handel – men i realiteten gir den små bedrifter en merkostnad som gjør det tilnærmet umulig å være konkurransedyktig. Store og monopolistiske selskaper drar store fordeler der de mindre bedriftene lider.

Det er også nødvendig å stille spørsmålstegn ved kost-/nytte-verdien av en slik masselagring av privat kommunikasjon, om bedriftsnorge og sluttbrukeren tar regningen for noe staten drar nytte av. Til syvende og sist blir enten selskapene eller staten nødt for å fakturere sluttbrukeren enten gjennom dyrere tjenester eller skatt. Hva kunne disse pengene ha blitt brukt til i andre sammenhenger til det samme formålet?

– Er det klart hvem som skal ha tilgang til disse dataene?

Dette er en av de mest prekære og uavklarte delene ved DLD, og det må avklares og være offentlig tilgjengelig hvem som skal ha tilgang til dataene, hvilken del av dataene og for hvilket formål. Justisministeren i Norge har ikke klart å redegjøre for dette, heller sådd tvil om hvem som skal ha tilgang. Han har variert svarene mellom atkun de offentlige myndigheter skal ha tilgang, til at private aktører kan få innsyn etter gitte kriterier. Hvilke kriterier? Er det tilfredsstillende nok at en aktør føler at sine eierinteresser rundt opphavsrett er brutt, privatetterforskere som leter opp løse tråder i en utroskapssak med store økonomiske interesser? Alt dette må på plass og være tydelig i sin fremståelse.

Mest bekymringsfullt føler jeg det hvis tredjeparter (private etterforskere, kommersielle selskaper eller PR-selskaper for å nevne noen), vil kunne få innsyn i slike mengder private og sensitive data systematisk. Tredjepartene har gjerne et vikarierende motiv for å bruke dette mot enkeltmennesker i deres liv og ytring. Gjerne for å undertrykke ufordelsaktige meninger og ytringer mot enten et selskap eller en organisasjon.

På lik linje er det ikke bare viktig å få kartlagt hvem som skal ha krav og rett på innsyn til dataene, men også hvem som skal skrive til den – og hva? Hvordan skal feilaktig innhold håndteres og hvilke kjøreregler gjelder ved inkonsistens av to eller flere databaser? Du kan jo se for deg en potensiell situasjon hvor kriminelle kan bryte seg inn for å plante innhold, eller på en enkel måte kloner ditt SIM-kort og sender en SMS fra en helt annen lokasjon enn hvor du faktisk er – for å ha et digitalt bevis på hvor du var i det gitte tidsrom og kommuniserte med enten en spesifikk eller tilfeldig person.

Dette er detaljer som ikke er kommentert i direktivet slik det foreligger i dag – verken fra EU eller den norske tilpassningen av loven.

– Vil DLD kunne påvirke bruk og utvikling av såkalt ”cloud computering”?

Cloud computering, eller arbeid i skyen, er trolig det største offeret i denne lovgivningen.

Eksempelvis vil et selskap som har kunder i Europa og kontorer i USA måtte kunne utlevere brukerdata eller tekniske data til eksempelvis amerikanske myndigheter, og/eller selskaper i andre nasjoner – selv om dette strider mot europeisk lov. Dette vil også stille selskapene som blir dømt til å utlevere slik informasjon i håpløse, juridiske og etiske problemstillinger.

Å logge brukersesjoner og aktive datatyper og lignende kan resultere i uønsket lekkasje fra selskaper og dets ansatte, så vel som privatpersonene involvert som enten kunder eller frittstående individer. Dette selv om lovverket og avtalen mellom to parter (tjenestetilbyder og kunde) er vanntett innad i landet avtalen er inngått.

Intervjuet fortsetter på neste side.