EOS-utvalget har over lengre tid undersøkt Politiets sikkerhetstjenestes bruk av passasjerlister over hvem som reiser hvor.

– Vi har konkludert med å gi PST skarp kritikk for innhentingen av en stor mengde opplysninger om nordmenns reiser. Det er sjelden vi gir så skarp kritikk til en tjeneste, sier EOS-utvalgets leder Svein Grønnern.

EOS-utvalgets leder Svein Grønnern er kritisk til PST. Foto: Terje Pedersen / NTB scanpix

PST skal ha hentet inn informasjon om flypassasjerene gjennom Norwegians system for billettbestillinger, og gjennom å få oversendt informasjon fra andre flyselskaper.

Totalt skal det dreie seg om opplysninger om i alle fall rundt 1 million reisende årlig, ifølge EOS-utvalget.

– Vi mener innhentingen har vært – og er – ulovlig. Utvalget kritiserer også PST for tjenestens håndtering av saken, skriver utvalget i ei pressemelding.

Uanmeldt inspeksjon

På en pressekonferanse opplyser utvalgslederen at det var Norwegian som stengte ute PST da de ble kjent med praksisen tidligere i år.

– Det førte til at vi dro på en tilnærmet uanmeldt inspeksjon ved PSTs lokaler på Gardermoen, sier Grønnern om den nye informasjonen som kom fra Norwegian.

Samtidig sier Grønnern at PST skal ha fått info fra seks andre flyselskaper helt fram til i dag.

Dette sier kontrollutvalget oppnevnt av Stortinget at den ulovlige innhentingen skal ha inkludert:

Innlogging direkte i Norwegians billettsystem for både ruter innenlands og utenlands. Dette mener EOS-utvalget var ulovlig.

Informasjon fra åtte andre flyselskaper innhentet jevnlig, og som ble oppbevart i flere måneder. Dette skal handle om anslagsvis 1 million reiser årlig. Bruken av data derfra anses av utvalget som ulovlig.

Opplysningene inkluderte:

navn, tidspunkt for bestillingen, tidspunkt for reisen

opplysning om reise til/fra

betaling, betalingsform, beløp og kredittkortnummer med de 6 første og 4 siste sifrene

e-postadresse, telefonnummer, bookingnummer og opplysninger om eventuelle andre personer på samme booking/felles billettbestilling

– PST har videreført praksisen med å hente inn opplysninger om norske flypassasjerers utenlandsreiser, også etter at utvalget i 2014 kritiserte tjenesten i én konkret sak for ikke å ha lovhjemmel for slik innhenting, skriver utvalget.

Hvor mye informasjon PST hentet ut av Norwegians billettsystem er uklart. I EOS-utvalgets særskilte melding kommer det fram at det ble søkt i datasystemet daglig eller ukentlig, men at søkene ikke ble loggført.

EOS-utvalget har nå sendt en særskilt melding til Stortinget om det de mener er et lovbrudd fra PST.

PST: Vi har sluttet å hente inn passasjerlister på denne måten

PST skriver på sine nettsider at de som følge av kritikken umiddelbart har avsluttet den kritiserte praksisen.

PST-sjefen Hans Sverre Sjøvold tar kritikken alvorlig. Foto: Arne Huse / NRK

– PST tar kritikken i meldingen meget alvorlig. Tjenesten skal forvalte det ansvar tjenesten er gitt innenfor gjeldende legale rammer. PST erkjenner også at det er grunnlag for kritikk av vår manglende interne kontroll og oppfølging i saken, sier PST-sjef Hans Sverre Sjøvold.

NRK har også bedt om svar fra justisministeren på hvordan regjeringen ser på kritikken fra Stortingets kontrollutvalg.

– Vi tar EOS-utvalgets kritikk av PSTs håndtering alvorlig. Vi må være sikre på at tjenestene våre har hjemler til å gjennomføre sitt arbeid, svarer justisminister Jøran Kallmyr (Frp) til NRK.

PST har over lengre tid ønsket seg mer utvidede tillatelser til å hente inn informasjon fra flyselskapene. Nå sier PST-sjefen at de uansett må holde seg innenfor loven.

– PST har et behov for denne type opplysninger for å forhindre terror og annen alvorlig kriminalitet, men tilgang, lagring og bruk skal selvsagt skje innenfor de legale rammer tjenesten er gitt, sier Sjøvold.

Justisministeren opplyser til NRK at de nå vil gå nøye inn i kritikken fra EOS-utvalget. Deretter må de vurdere om lovene må endres.

Justisminister Jøran Kallmyr sier at han mener PST må ha den informasjonen de trenger for å beskytte Norge. Foto: Ksenia Novikova / NRK

– Jeg er også opptatt av er at PST skal få den informasjonen de trenger for å sikre Norge, og at det skjer innenfor rammene av de lover og regler som regulerer dette, sier Jøran Kallmyr til NRK.

PST manglet lovhjemmel

PST har lenge hatt et behov for å kunne bruke passasjerlister for å oppdage eventuelle terrorister eller andre trusler som reiser til og fra Norge. Med bakgrunn i dette har det pågått et arbeid for å endre reglene.

Justisdepartementet sendte i 2018 ut på høring forslag til endringer i utlendingsforskriften for å gi PST mer tilgang til passasjerinformasjon. Fram til da var det bare grensepolitiet og Tollvesenet som hadde tilgang til informasjonen for grensekontroll.

Da hadde PST allerede fått kritikk fra EOS-utvalget i en enkeltsak i 2014.

Foto: Simon Skjelvik Brandseth / NRK

– Det har vært uenighet mellom utvalget og PST vedrørende om dette har vært tilstrekkelig rettslig grunnlag, uttaler PST-sjef Hans Sverre Sjøvold i ei pressemelding i dag.

I november i år kom det en endring i utlendingsforskriften, men den gir ikke tilgang til andre opplysninger enn hvem som er innsjekket på flyet.

– Når det gjelder utfordringene knyttet til utlendingsforskriften, har departementet endret den. I etterkant ser vi at dette med fordel burde vært presisert tidligere. Fra 18. november i år går det helt klart frem at PST etter anmodning skal få passasjerlister direkte fra flyselskapene, sier justisminister Kallmyr til NRK.

PST har i denne saken innhentet mye mer informasjon om de reisende enn det den nye forskriften tillater.

– Departementet jobber med å utvikle det nødvendige regelverket, svarer Jøran Kallmyr om hjemler for slik utvidet informasjonstilgang.

Norwegian varslet Datatilsynet

Praksisen fra PST ble offentlig kjent da flyselskapet Norwegian oppdaget innlogginger i sine systemer.

En av flyselskapets ansatte med sikkerhetsansvar oppdaget at en ansatt fra PST logget seg på datasystemet for passasjerlister og billetter med brukernavn og passord.

PST skal ha sett på hvem som skulle reise med Norwegians fly ved hjelp av datamaskinene til flyselskapet på Oslo lufthavn Gardermoen.

Norwegian oppfattet at innloggingen ble gjort med tilgangskoder som Tolletaten hadde fått for å gjøre jobben sin.

Norwegian meldte da fra til Datatilsynet.

– Det var Norwegian som sendte avviksmeldingen til Datatilsynet og da var det opp til dem å vurdere hvordan den skulle følges opp. Vi ble også anmodet om utfyllende informasjon som vi sendte over til tilsynet, har talsperson Astrid Mannion-Gibson i Norwegian tidligere uttalt til NRK.