Statsministeren har åpnet opp igjen debatten om lagringstid på datatrafikk og ip-adresser. «Vi kan ikke ha det sånn at politiet ikke rekker å etterforske saker som involverer grove overgrep mot barna fordi at dataene har forsvunnet fordi lagringstiden er for kort» sier hun til Høyres sentralstyre.

Dette er en viktig debatt, en debatt som berører helt sentrale verdier i en demokratisk rettsstat, men den handler også om politiets grunnlag for og mulighet til å etterforske. Derfor er det også kort vei til en polarisert debatt hvor ytterpunktene roper ut synspunkter uten skikkelig å adressere hverken forslaget eller motstanden.

En debatt om hvordan samfunnet skal være

Torgeir Andrew Waterhouse. Foto: Tuva Strøm Johannessen

Selv om mange kjenner til hvordan IP-adresser kan elimineres eller reduseres i verdi som spor er det likevel mange politiet etterforsker som ikke gjør det. IP-adresser har verdi som spor for politiet. Mye som etterforskes skjer i affekt, og er ikke planlagt fra starten av. Dermed øker også sannsynligheten for spor.

Det ingen grunn til å tvile på at lagring av IP-adresser kan ha en nedkjølende effekt på bruk av teknologi. Det er også opplagt at det er et prinsipielt skifte om vi går fra sletteplikt til å lagre for mulig fremtidige etterforskningsformål.

Folk som stiller kritiske spørsmål til forslag lagring av data er ikke mot at politiet skal etterforske, de ønsker en debatt om hvordan samfunnet skal være og hvilken makt og kontroll staten skal ha med befolkningen.

Hva bør vi egentlig diskutere?

Hva om vi forutsetter at regjeringen legger frem forslag og stortinget vedtar noe her, hva må vi da diskutere?

Hvem er det som skal lagre identifiserende data om alle nettbruk? De som gir oss tilgang til nett hjemme, på kontoret og på mobilen? Hva med hotell, kafeer, skoler, tog og fly? Hva med VPN-tjenester eller programvare man installerer selv og vil debatten om bakdører i krypterte tjenester også komme hit?

Hvordan skal disse dataene oppbevares og sikres? Etter personopplysningsloven (nei det heter ikke GDPR, det EU regelverket som så har blitt implementert i Norge) skal uansett ikke dataene være tilgjengelig for operatørene. Er det godt nok, og hvorfor skal de i det hele tatt sitte på disse dataene? Uansett må de sikres skikkelig, kan det være aktuelt med et system ala Elhub hvor dataene samles fra alle?

Hvordan sikres en høy nok terskel for tilgang til dataene? Skal det baseres på strafferamme, vil det være domstolsbehandling i hvert tilfelle og hvordan unngår vi eventuell formålsglidning?

Hvilket regime må vi etablere for å overvåke og føre tilsyn med bruken og konsekvenser av både bruken og at regelverket finnes? Vil et organ ala EOS-utvalget eller tilsyn som Datatilsynet ha nødvendige ressurser og kompetanse eller vil vi overlate dette til politiet selv?

Hvilken kompetanse trenger aktørene i justissektoren og de andre involverte? I dette landskapet har jeg mye erfaring med at det ikke er nok av den nødvendige kompetansen i dag.

Hvilket ansvar skal aktørene faktisk ha og vil både aktørenes og brukerne teknologivalg i praksis blir regulert?

Hvilke konsekvenser vil et slikt regime ha på den offentlige debatten og friheten til å ytre seg? Det er interessant å merke seg at dette temaet er tilbake omtrent samtidig som det diskuteres om regjeringens nye ytringsfrihetskommisjonen har nødvendig kompetanse om og forståelse for teknologi.

Kort vei til beskyldninger om intensjoner

Det er selvsagt mye mer som må utredes, diskuteres, testes, osv. Uansett må vi ha en debatt som er kunnskapsbasert og redelig. Dessverre er det kort vei til beskyldninger om å støtte eller forsvare overgrep og trafficking når man argumenterer mot mer sporing og lagring. Tilsvarende ser vi at politiet og andre lett kan bli tillagt intensjoner om overvåkning og kontroll med befolkningen de ikke har.

Jeg har hatt mye kontakt med politifolk i Kripos og er helt trygg på at deres ønske er å sikre seg nødvendige virkemidler til å etterforske og stanse overgrep. Vi erfarte slik polarisering igjen og igjen i debatten om datalagringsdirektivet. Direktivet som ble vedtatt av Stortinget med knappest mulig margin med nåværende regjeringsmedlemmer og stortingsrepresentanter som tydelige stemmer mot innføringen.

Det ble som kjent ikke innført fordi EU-domstolen fant regelverket i strid med grunnleggende menneskerettigheter, og la blant annet spesiell vekt på at data om alle skulle samles inn.

Har vi egentlig kunnskapen og innsikten som skal til?

Risikobildet er i stadig endring og det er mange risikoer vi må beskytte vår helt lovlige nettrafikk og data mot. Om det er et paradoks eller ikke får andre vurdere, men det er såpass enkelt som at om du ønsker å beskytte deg mot kriminelle eller ulovlig overvåkning, eller om det er politiets og andre myndigheters overvåkning med lovlig grunnlag, er det i praksis de samme metodene du bruker. Det må også bli en tydeligere del av debatten.

Debatten må heller ikke forutsette at VPN as a service og tilsvarende ikke vil bli pålagt tilsvarende krav til lagring og utlevering, som Statsministeren foreslår for bredbånds- og mobilaktørene.

Kanskje vi må begynne med å spørre oss om vi har nødvendig kompetanse, innsikt og perspektiver om kriminalitetsbekjempelse, teknologi, personvern, ytringsfrihet og mer før vi hopper rett inn i en følelsesdrevet og polarisert debatt.