I sitt høringsinnspill tar Teknologirådet ikke stilling til hvorvidt datalagringsdirektivet bør innføres, men vurderer viktige forhold rundt den eventuelle implementeringen av direktivet og tar opp hvordan direktivet vil kunne påvirke det totale overvåkingsnivået i det norske samfunnet.
Bakgrunnen for direktivet er terrorangrepene i Madrid og London. Disse angrepene har ført til lokale initiativ om datalagring i de ulike medlemslandene, og direktivet tar sikte på å harmonisere denne praksisen.
I tillegg er forretningsmodellene for kommunikasjonstjenester i endring: For internett har vi gått fra modem og oppringte linjer, til faste månedspriser for å være ”alltid på”. Dette er også en utvikling vi ser for mobiltelefoni. Fordi lovverket bare tillater lagring av data som er nødvendige for å kunne levere tjenesten, har dette medført at færre data lagres, noe blant annet politiet opplever som et problem.
I høringsuttalelsen peker Teknologirådet på personverntrusselen knyttet til lagring i sentrale databaser – som sikkerhet mot datainnbrudd og -lekkasjer, dobbeltlagring, formålsutglidning og sammenstilling av data fra ulike kilder.
Krav til sikkerhet og sletterutiner
– Selv om man velger en desentralisert løsning, hvor dataene lagres hos den enkelte tilbyder, må det fra sentralt hold utvikles klare krav til hvordan sikkerheten for de lagrede dataene skal ivaretas, og til rutiner for sletting eller anonymisering av data etter endt lagringsperiode. Datatilsynet bør få tilstrekkelig ressurser til å føre tilsyn med operatørene, og brudd på sikkerhets- og sletterutiner må medføre sanksjoner, foreslår Teknologirådet.
Krav til innsyn
Teletrafikkdata er i dag svært omfattende, og kan potensielt gi svært mye informasjon utover det man tradisjonelt har forbundet med slike data. Da er det viktig at kravene til innsyn står i forhold til dette. Det er derfor positivt at departementet i sitt høringsnotat foreslår at det skal foreligge skjellig grunn til mistanke om alvorlig kriminalitet (strafferamme på 3 år eller mer) for at det skal kunne gis innsyn i dataene.
Krav til transparens
Det er et viktig personvernprinsipp at innsamling og bruk av persondata skjer åpent, slik at man har kjennskap til hvilke data som er samlet inn om en selv, og hvem som har tilgang til dem. Dersom politiet etter en rettskjennelse har fått tilgang til en persons teletrafikkdata, skal personen underrettes. Dersom det vil være av skade til etterforskningen å underrette i forkant, skal retten i sin kjennelse ta stilling til om politiets innsyn kan unndras den som er under mistanke i et fastsatt tidsrom.
– Dersom Stortinget velger å ikke innføre datalagringsdirektivet bør det uansett gjennomføres en slik opprydding i praksis for tilgang til teletrafikkdata, påpeker Teknologirådet.
Lagringstid
I dag lagres trafikkdata i mellom 3 og 5 måneder, avhengig av hvor ofte kunden faktureres. En lagringstid på 6 måneder, som er minstekravet innenfor rammen av direktivet, vil med andre ord medføre en dobling av lagringstiden for en stor del av kundene. For internettrafikk, som det i dag bare er anledning til å lagre i 3 uker, vil 6 måneder være en betydelig utvidelse av lagringstiden.
Ordningen må evalueres
Det vil være rimelig at effekten av en slik økning evalueres før man eventuelt vurderer mer drastiske tiltak. Vi vet av erfaring at det er enklere å innføre nye eller skjerpede tiltak enn å fjerne tiltak som allerede er innført. Teknologiutviklingen de siste årene har medført en økning i elektroniske spor, og dermed en økt mulighet til å overvåke og spore individer. Det er slik sett et paradoks at når forretningsmodellene knyttet til internett og telefoni innebærer en reduksjon i denne typen spor, så finner myndighetene det nødvendig å kompensere for dette med et eget regelverk.
Dersom man ikke ønsker et samfunn med stadig mer overvåking, må det også være en vilje til å stramme inn på eksisterende ordninger. Det er derfor viktig at en evaluering av datalagringsdirektivet ses i sammenheng med andre former for datalagring, så vel som sikkerhets- og overvåkingstiltak som er innført de senere årene. Dette er viktig for å forhindre at proporsjonaliteten mellom kriminalitetsbekjempelse og personvern forskyves ytterligere, og for å sikre at vi ikke får en uholdbarøkning i det generelle overvåkingsnivået.