Grovt misbruk av datalagringsdirektivet

EU-kommisjonen evaluerer for tiden hvor effektivt datalagringsdirektivet har vært. En endelig konklusjon er ventet i mars, omtrent samtidig med at Stortinget skal beslutte om direktivet skal innføres i Norge. EU-kommisjonen konfronteres nå med andre fakta enn da direktivet ble vedtatt 15. mars 2006. Lekkede dokumenter viser at det verken har ført til redusert kriminalitet eller økt oppklaring.

I en felles erklæring 14. juli påpekte representanter fra datatilsynene i alle EU-landene at iverksettelsen av direktivet er lovstridig. De mener leverandører av nettjenester har lagret og overlevert data på måter som direktivet ikke gir adgang til. I tillegg understreker de at mangelen på statistiske data utgjør en hindring for å vurdere om direktivet har ført til reduksjon i kriminalitet i medlemslandene.2 EUs datalagringsdirektiv har blitt sterkt kritisert av over 100 europeiske organisasjoner som jobber for ytringsfrihet og personvern på nett.3 Blant annet har en tysk paraplyorganisasjon, kalt Der Arbeitskreis Vorratsdatenspeicherung (AK Vorrat), overlevert en rapport til EU-kommisjonen der det påpekes at både nasjonale myndigheter og private selskaper har misbrukt datalagringsdirektivet gjentatte ganger.4


ET LAND SOM OVERGÅR DE FLESTE andre, ifølge Vorrat-rapporten, er Polen. I 2009 alene ba polsk politi og etterretningstjeneste om innsyn i trafikkdata én million ganger, det vil si 27 anmodninger per 1000 innbyggere!5 Til sammenligning var det i snitt 148 000 anmodninger om innsyn i lagrede data hvert år i de 20 medlemslandene som har innført direktivet.6 Overvåkningen skal ha gått spesielt hardt utover et titalls journalister i avisen Gazeta Wyborcza som i 2005–2007 ble overvåket av Det polske antikorrupsjonsbyrået (ABW), Byrået for intern sikkerhet (CBA) og statlig politi. Ifølge Helsingforskomiteen og den polske personvernorganisasjonen Panoptykon Foundation kunne politi og etterretningsvesen uten rettslig kjennelse enkelt avdekke identitetene til journalistenes anonyme kilder. Teleselskaper ga overvåkerne fri adgang til telefonregninger og oversikt over telefonsamtaler uten at det forelå mistanke om kriminelle hensikter.7

Etter at overvåkningsskandalen var et faktum, lovet Polens justisminister å endre lovene for hemmelig overvåkning. Helsingforskomiteen kan imidlertid ikke se at det er kommet noen nevneverdige endringer.

Advokaten og styreleder i Panoptykon Foundation, Katarzyna Szymielewicz, er oppgitt over utviklingen. Hun mener det i realiteten ikke lenger finnes noen lover som begrenser lagringstid og påpeker at det har gått så langt at selv i skilsmissesaker kan partene be om utlevering av kontoutskrifter og telefonregninger for å bevise utroskap. «Vi mener det polske samfunnet overvåkes mer i dag enn for tjue år siden. Kun midlene og målet er annerledes. I kommunisttiden visste folk at de ble overvåket. Det var et fast innslag i dagliglivet, men samtidig også mer synlig og håndterlig. Overvåkerne var agenter i sivil og ’naboer’. Folk gjenkjente dem og unngikk dermed å avsløre for mye,» sier Szymielewicz til Le Monde diplomatique.


EN AV DE OVERVÅKEDE JOURNALISTENE, Wojciech Czuchnowski, har utførlig beskrevet prosessen han opplevde i Gazeta Wyborcza.8 Han sier selv han har blitt overvåket i 17 dager som ledd i en operasjon med kodenavnet «CELE». Begrunnelsen for overvåkningen skal angivelig ha vært at politiet ville avdekke en mulig «medieprovokasjon» mot to medlemmer av høyrepartiet Lov og rettferdighet, og mistanker om et attentatforsøk mot av ministrene i regjeringen.

I fjor ba Czuchnowski en polsk domstol å få se sin overvåkningsmappe, men til nå har han bare fått tilgang til et fåtall av dokumentene. De fleste er beskyttet av hemmeligholdslover, eller er ikke-eksisterende siden politi og etterretningstjenestene ikke alltid registrerer innhenting av data. To ganger har påtalemyndigheten forsøkt å henlegge Czuchnowskis sak med begrunnelsen i at ingen lover var blitt brutt. Byretten i Warsawa besluttet 3. januar at rettighetene til Czuchnowski var blitt krenket og at han hadde rett til å anke.9 Saken ble gjenåpnet og den nye granskningen gikk lenger, men både politiet og etterretningstjenestene insisterte på at overvåkningen var lovlig.

Allerede før datalagringsdirektivet ble innført i Polen hadde politiet og etterretningstjenestene vide fullmakter.10 Men «Direktivet for personvern og elektronisk kommunikasjon» fra 2002 og Datalagringsdirektivet endret måten overvåkning i Polen foregår på, mener Szymielewicz: «Bruk av datalagring ble fullt ut legitimert og gjort langt raskere og enklere. Regjeringen fikk endelig et påskudd til å åpne for innsyn i trafikkdata uten å måtte gå om domstolene. Ifølge polsk lov kan politiet nå sette opp egen programvare hos teleselskapene for å få raskere og enklere tilgang til data.»

Etter overvåkningsskandalen har myndighetene kommet med nye ambisiøse planer. I mars 2009 erklærte statsminister Donald Tusk at det skulle opprettes en superdatabase med informasjon om alle polske borgere. Dette skal skje under den planlagte folketellingen i år. Databasen skal omfatte informasjon fra trygdevesenet, departementene for finans, justis og innenrikssaker, samt data fra telekomselskaper.11

EU-kommisjonens pressetalsperson, Tove Ernst, mener at situasjonen i Polen ikke nødvendigvis er alarmerende. Kommisjonen sier antallet anmodninger indikerer at de polske myndighetene står overfor særskilte utfordringer. «Antallet anmodninger er ikke i seg selv en indikasjon på misbruk. En million anmodninger er ikke det samme som én million saker eller én million borgere. Det er svært sannsynlig at politiet i slike etterforskninger, særlig hvis de involverer organisert kriminalitet, har vært nødt til å be om tilgang mange ganger for samme gruppe eller personer.»


NEDERLAND ER ÅSTEDET for et annet tilfelle av grovt misbruk av datalagringsdirektivet som framheves i AK Vorrats rapport. Journalisten Nick Kivits fra magasinet Nieuwe Revu ble overvåket etter han fant en svakhet ved e-postserveren til daværende statssekretær i det nederlandske forsvarsdepartementet, Jack De Vries.12 Kivits valgte ikke å bruke informasjonen han hadde fått tilgang til og varslet myndighetene. Senere skrev han en artikkel om svakheten i e-postsystemet.13 I stedet for å takke ham for å ha advart dem, valgte myndighetene å sikte ham.

Under rettssaken ble Kivits telekommunikasjon brukt som bevis. Informasjonen omfattet også venner av ham som hadde samme fornavn som eksperten som hadde hjulpet ham med å oppdage sikkerhetshullet. I sin artikkel hadde Kivits kun brukt fornavnet til eksperten. Myndighetene brukte dette til å finne ekspertens identitet, og dermed avsløre en anonym kilde.

Nederlandsk politi ligger i toppsjiktet for innhenting av telekommunikasjonsdata om enkeltpersoner, ifølge organisasjonen Bits of Freedom. Bare i 2009 skal myndighetene ha anmodet om informasjon om trafikk- og lokalitetsdata 78 000 ganger. Ifølge organisasjonen skal pinkoder for adgang til sensitiv personinformasjon ha sirkulert fritt blant nederlandske politifolk. Det finnes ingen uavhengige instanser som kontrollerer hvem som har fått adgang til databasen CIOT, som inneholder opplysninger om alle telefonabonnenter i Nederland. Databasen mottar årlig tre millioner anmodninger om informasjonsadgang.

Leder for Bits of Freedom, Axel Arnbak, peker på at det forekom 180 anmodninger om datalagrede opplysninger per 1000 innbyggere i Nederland i 2008. Det er ifølge deres oversikt langt høyere enn i Frankrike og Storbritannia som samme år mottok under 20 anmodninger per 1000 innbyggere. «Den nederlandske regjeringen er ganske sulten på kommunikasjonsdata. De siste årene har anmodning om innsyn i kommunikasjonsdata økt med rundt 25 prosent i året. Overvåkningen har nådd et nivå uten sidestykke,» sier Arnbak.

Bits of Freedom forteller også at det nederlandske justisdepartementet ville hemmeligholde statistikken. Myndighetene skal i tillegg ha hatt planer om å utvide CIOT-databasen til å omfatte bankopplysninger, men dette ble skrinlagt da planene ble offentlig kjent.14


DEUTSCHE TELEKOM, et av Tysklands største teleselskaper, skal ha utlevert data om 17 millioner kunder i 2006–2008, ifølge AK Vorrats rapport.15 Selskapet leide inn privatetterforskere for å avdekke hva pressen mente om dem. Kritiske og undersøkende journalister ble satt på en overvåkningsliste, og de fem øverst rangerte ble overvåket i flere måneder. For å finne relevante opplysninger skaffet selskapet informasjon om hemmelige telefonnumre til ministre, politikere, tidligere tyske statsoverhoder og presidenter, næringslivsledere, milliardærer og kirkeledere som hadde nær tilknytting til pressen. I mai 2008 ble overvåkningen avslørt av en varsler. Like etter ble fem ledere og flere andre ansatte permittert.
Tyskland implementerte EUs datalagringsdirektiv i 2008, men begrenset lagringstiden til seks måneder. I mars 2010 vendte imidlertid det tyske rettsvesenet ryggen til direktivet, da den tyske forfatningsdomstolen erklærte datalagringsdirektivet grunnlovsstridig i forbindelse med en lov som ga myndighetene rett til å lagre data om borgere for anti-terrorismeformål. Domstolen kalt loven «en alvorlig innblanding» i enkeltborgeres personvern.16

Etter at direktivet ble innført gikk antall alvorlige forbrytelser i Tyskland opp fra 1,36 millioner saker i 2007 til 1,42 millioner i 2009,17 mens oppklaringsprosenten sank fra 77, 6 prosent til 76, 3 prosent i samme periode.


SZYMIELEWICZ fra Panoptykon Foundation mener EU med datalagringsdirektivet har gitt seg selv et mektig overvåkningsredskap, samtidig som det mangler gode mekanismer for å beskytte personvernet. «Hvis EU ikke ønsker at direktivet i praksis forblir et undertrykkende og kontroversielt instrument som begrenser våre grunnleggende rettigheter, må det innføres effektive beskyttelsestiltak. Mangelen på slike tiltak åpner for misbruk,» sier Szymielewicz.

Foreløpig ser hun ikke annen utvei enn å kjempe lokalt og nasjonalt for å kunne begrense direktivets konsekvenser i Polen. «Staten vil alltid være sterkere enn det sivile samfunnet når det gjelder å utforme lovene. Direktivet burde heller omformes til et verktøy for å begrense statens makt til å overvåke. Hvis EU velger å beholde datalagringsdirektivet, burde de påkreve rettslig kontroll over anmodninger om tilgang til trafikkdata, begrense antallet instanser som kan søke om slik adgang og under hvilke omstendigheter slike data kan blir brukt til å oppklare forbrytelser,» mener Szymielewicz.

Arnbak fra Bits of Freedom håper EU i større grad vil legge begrensninger på bruken av datalagringsdirektivet i framtiden. Han mener det allerede er endringer på vei etter Lisboa-traktaten. «Det store problemet med datalagringsdirektivet i 2005 var at det var det mest enorme stykket EU-lovgiving som har blitt iverksatt. Ingen direktiv har blitt framforhandlet raskere. Det demokratiske underskuddet har blitt fjernet fordi Europaparlamentet har fått en mer likverdig status i forhold til medlemsstatene, og vil ha medvirkning i hva som skjer videre. Jeg tror debatten vil bli mer balansert og mer basert på fakta heller enn politiske argumenter,» konkluderer Arnbak.

© norske LMD


Fotnoter:
1 Det dreier seg om dokumentet «Room document. Evaluation of directive 2006/24/EC and of national measures to combat criminal misuse and anonymous use of electronic communications».

2 Pressemelding 14. juli 2010

3 Åpent brev til EU-kommisjonær Cecilia Malmström 22. juni 2010

4 AK Vorrat, «There is no such thing as secure data. Refuting the myths of secure IT systems», www. vorratsdatenspeicherung.de.

5 Panoptykon og Den polske helsingforskomité, «Joint statement regarding the evaluation of directive 2006/24/EC», 5. november 2010

6 PCWorld, 27. januar 2011

7 Panoptykon, «Åpent brev til statsminister Donald Tusk», 13. oktober 2010.

8 Gazeta Wyborcza 8. oktober 2010

9 Human Rights House Foundation, «Surveilance of Polish journalists case ? new developments», 14. januar 2011.

10 Privacy International, «PHR2006: Republic of Poland», 18. desember 2007

11 Polsk radio 3. oktober 2009

12 Bits of Freedom, «What the European Commission owes 500 million Europeans».

13 Nieuwe Revu nr. 51, 2008

14 «Bits of Freedom strikes again: Dutch government cancels national database on bank data», 18. november 2010, www.bof.nl.

15 Alternet, 25. november 2008.

16 European Digital Rights, «German Federal Constitutional Court rejects data retention law», 10. mars 2010.

17 AK Vorrat, «Registered Serious Crime in Germany».