søndag, juli 26, 2009

Datalagringsdirektivet og kriminalitet

Det har oppstått en debatt i etterkant av kampanjen mot datalagringsdirektivet. Det er Hablog (Halvor Sevatdal) som forklarer hvorfor han ikke er med på kampanjen. Siden jeg er omtalt eksplisitt i bloggposten hans, vil jeg gjerne gi mitt syn på påstandene til Halvor. Liberaleren omtaler også dette.

Halvor er i sin fulle rett til å skrive og mene det han vil om datalagringsdirektivet og oppropet som er etablert. Jeg har ikke noe mindre respekt for hans meninger selv om de ikke sammenfaller med mine. Men når hans hovedpoeng er at han ikke ser noen avveininger mellom personvern og kriminalitetsbekjempelse, så mener jeg at han tar feil.

"Folk som Knut Johannessen og Heidi Nordby Lunde, som jeg vanligvis er ganske enig med, er blant dem som har protestert mot at politiet skal kunne få tilgang på eposter og sms fra de siste to år når de etterforsker kriminalitet."


Dette er å snu saken på hodet. Det er ikke det jeg protesterer mot. Jeg protesterer mot at alle nordmenns trafikkdata i verste fall skal lagres i 24 måneder. Uten at det er skjellig grunn til mistanke om at vi har gjort noe galt. At dette kan vanskeliggjøre etterforskning i noen tilfeller er altså avveiningen som jeg og mange andre har gjort. Det kalles et proporsjonalitetssyn på direktivet. Og jeg har ikke hoppet på et utspill sånn uten videre. Jeg har jobbet aktivt mot direktivet i over 1,5 år. Dess mer jeg har jobbet med det, dess sikrere er jeg på at jeg er motstander.

Og når Halvor forsøker å fremstille det som om politiet får stadig større problem med å etterforske kriminelle fordi de ikke får tilgang til viktige etterforskningsmetoder, så lurer jeg på hvor han har vært de siste årene. I 2005 fikk vi Lov om endringer i straffeprosessloven og politiloven (romavlytting og bruk av tvangsmidler for å forhindre alvorlig kriminalitet)

Du kan jo også lese Odd Einar Dørums vurdering i denne pressemeldingen.


Halvor skriver også:

Det er heller ikke lenge siden politiet mistet muligheten til å telefonovervåke potensielle terrorister i Norge.
Det er slike utsagn som får meg til å tvile på hvor godt Halvor har satt seg inn i saken. Det PST mistet, var muligheten til romavlytting uten at det forelå skjellig grunn til mistanke. Det betyr selvsagt ikke at de har mistet muligheten dersom det er skjellig grunn til terrorisme planlegges. Fordi planlegging av terrorisme er straffbart.

Når to av landets mest skarpskodde juridiske eksperter konkluderer at denne lovanvendelsen strider mot Grunnlovens §102, må jeg nesten spørre Halvor om han virkelig mener at man skal overse Grunnloven? Finnes det andre tilfeller han kan tenke seg å overse den? Når det gjelder ytringsfrihet? Jeg anbefaler Halvor å lese Metodeutvalgets konklusjoner.

Jeg synes også at de som tror at datalagringsdirektivet skal være et så godt verktøy for politiet, har en noe naiv tilnærming til hvordan terrorister og tunge kriminelle opererer.

Siden jeg ikke er noen teknologiekspert, har jeg vært nødt til å lese meg opp på temaet. Det kan absolutt anbefales alle som har meninger om datalagringsdirektivet.

Når det gjelder e-post er det lett å omgå direktivet. Det er bare å opprette en hotmail (live.com) eller gmail-konto. Siden disse serverene står utenfor Europa vil man ikke kunne spore mail. Selv opprettet jeg kjeltring2009@live.com i dag. Det tok ca. 1 minutt.

Bruk av PET-nettverk (Privacy Enchanging Technology)

Bruker man IP-telefoni via Skype, vil man ikke kunne spores.

Internettoppkobling via biblioteket vil heller ikke kunne spores.

Andre muligheter for å unngå registrering av trafikkdata kan man lese om her. , her. eller her.

Disse mulighetene (+ en rekke andre som ikke er omtalt her) er selvsagt godt kjent blant kriminielle og terrorister på det nivået som datalagringsdirektivet er ment å gjelde for. EuroCop er da heller ikke overbevist om at å innføre direktivet vil gi noen særlig stor effekt.

I en pressemelding i 2005 uttalte presidenten i den europeiske politiorganisasjonen (EuroCop) at datalagringsdirektivet neppe vil hjelpe politiet i kampen mot organisert kriminalitet. Han viste til at kriminelle lett kan omgå overvåkingen, for eksempel ved å kjøpe SIM kort til mobiltelefonen fra andre land og bytte disse ofte. "The result would be that a vast effort is made with little more effect on criminals and terrorists than to slightly irritate them", sier han.
Via Svein Abrahamsens blogg.

Iver Frigaard, ikke ukjent tidligere NK hos PET og senere i Politidirektoratet sa til forfatterne av "Overvåket" i 2008:

Til slutt, hva er din oppfatning av den nye holdningen i politiarbeidet om at en nå skal vite "alt", gjennomføre store screeninger for om mulig å finne fram til suspekte personer?

Jeg har allerede markert en sterk skepsis til at politi, spesialtjenester og myndigheter skal samle, lagre og koble registre - og hvor det finnes bare en grense for hvor mye som kan samles av informasjon om oss alle, nemlig den tekniske. Jeg tror det mest effektive og meningsfulle er å arbeide ut fra konkret mistanke. Men samtidig er det klart at en må vite mye, ofte svært mye, og kunne arbeide i stort tempo for å løse vanskelige saker. Ikke minst alvorlige forbrytelser som er i emning, for eksempel terroranslag. For meg gjelder altså ikke en bastant enten eller-holdning.

Poenget er å ikke bli fanget av ideen om at bare du vet mest mulig om alle og sjekker alle, så vil du lettest løse slike saker. Så enkelt er ikke politiarbeid. Dessuten dukker spørsmålet på nytt opp:Effektive tiltak, ja - men til hvilken pris?

Jeg vokste opp på landet, hvor overvåkning var at nabokona tittet fram bak kjøkkengardinet og gardbikkja flekket tenner, bjeffet og slet i båndet.

Jeg vet ikke hvor vi går hen nå. Jeg er ikke sikker på at jeg liker det jeg ser.


Dette sier altså en av landets mest erfarne politimenn når det gjelder etteretning. Noe til ettertanke for de som ukritisk kjøper argumentet om at overvåkning av alle er det som skal til.

Man kan jo også gjøre seg noen tanker om hvilken effektivitet det vil gi politiet når noen hundretalls aktører skal lagre trafikkdata. Det vil ta relativt lang tid å finne frem den relevante informasjonen.

Det er også en sannhet med modifikasjoner når det hevdes at man ikke skal lagre hvilke nettsteder du har besøkt, bare ip-adresser. Gisle Hannemyr sier følgende:

Dette ser en best når en ser på hvordan direktivet er implementert i dansk lov, der operatørene er pålagt å lagre såkalte IP-adresser for både avsender og mottaker. En IP-adresse kan på trivielt vis gjøres om til en såkalt URL (nettstedadresse). Dermed vil man fra de lagrede data se om noen har besøkt f.eks. en tjeneste for fildeling (som The Pirate Bay), en tjeneste for ulovlig pornografi, ett islamittisk nettsted, eller andre nettsteder som representerer bestemte livssyn eller politiske oppfatninger.

Med mindre det skal investeres store beløp i ny teknologi og ny infrastruktur, så er det vanskelig å se for seg en praktisk implementasjon av direktivet som ikke er basert på lagring av IP-adresser - noe som heter min mening i visse tilfelle langt på vei hvisker ut skillet mellom «trafikkdata» og «innholdsdata».

Til alt overmål vet også at Kripos har en noe lemfeldig omgang med sletting av data, noe som ikke akkurat styrker tilliten til at data ikke misbrukes.

Politiet vil naturlig nok jobbe for på enklest mulig måte få tilgang til teknologi som gjør jobben lettere. Dette var også noe av argumentene for å få økt kameraovervåkning i Oslo sentrum på slutten av 90-tallet. Krimialiteten ville synke var ett av argumentene. En doktoravhandling som ettergikk dette, viste at det ikke stemte.

Vi også at når man først sitter på registre med informasjon så er det enkelt å utvide bruksområdet. Det er alltid gode argumenter. Det har vi sett når det gjelder bomstasjoner. Først kunne man passere anonymt med å betale kontant. Så forsvant den muligheten og myndighetene fant etterhvert ut at dette kunne jo brukes til annet enn å sjekke bompasseringer. Fjell-linjen leverte ut passeringsdata til en sjalu ektemann. Og det siste er at skattemyndighetene har fått tilgang til passeringsdata for å sjekke ut om håndtverkere bruker firmabilen med grønne skilter, til privat bruk. Det var nok ingen som tenkte på når bomstasjonene ble etablert.

Jeg har skrevet en egen bloggpost om det jeg kaller "de små skritts tyranni."

Dette ble et langt svar, men jeg følte at det var nødvendig for å vise at det for min del er har vært en prosess der jeg har veid for og mot datalagringsdirektivet. Ikke minst når det gjelder muligheten til å avsløre organisert kriminalitet og terrorisme. Men konklusjonen min er at EUs datalagringsdirektiv ikke i stor nok grad vil bidra til dette. Ikke nok til å være tilhenger av direktivet. Så når Halvor antyder at jeg ikke har tatt hensyn til dette i min vurdering, så håper jeg å ha dokumentert at han tar feil.

Avslutningsvis vil jeg sitere kardinal Richeliu: “If you give me six lines written by the hand of the most honest of men, I will find something in them which will hang him”.

Oppdatert tirsdag 28. juli: Andreas Wiese har en god artikkel om direktivet i Dagbladet i dag


12 kommentarer:

Konrad sa...

10 poeng for denne, bra jobba Vox.

Pleym sa...

Meget bra. Grundig og utførlig. i kjemper en god kamp.

Anonym sa...

Jeg leser bloggen din jevnlig, og er langifra enig i alt du skriver, men i dette tilfellet er du spot on. Meget bra. Keep up the good work

George sa...

"Jeg synes også at de som tror at datalagringsdirektivet skal være et så godt verktøy for politiet, har en noe naiv tilnærming til hvordan terrorister og tunge kriminelle opererer."

Om Mohamed Atta var fremdeles i live, hadde han sannsynligvis vært en smule uenig med deg. Men hva vet han? Han var bare et medlem av gjengen som utførte det største terrorangrepet noensinne. Terrorister som planlegger å dø pleier ikke bry seg så mye om hva slags spor de legger etter seg, ser du. Og du har visst utradert dumme kriminelle ved noen tastetrykk, glimrende!

"Man kan jo også gjøre seg noen tanker om hvilken effektivitet det vil gi politiet når noen hundretalls aktører skal lagre trafikkdata. Det vil ta relativt lang tid å finne frem den relevante informasjonen."

Skjønner ikke helt hva du mener her, siden dette er allerede sånn ting fungerer idag, og hvordan det fortsatt vil fungere med direktivet i kraft. Kan virke som du har misforstått noe.

"Det er også en sannhet med modifikasjoner når det hevdes at man ikke skal lagre hvilke nettsteder du har besøkt, bare ip-adresser. Gisle Hannemyr sier følgende..."

Nei, det Hannemyr sier er en sannhet med modifikasjoner. Det Danmark har gjort er ikke det som står i EUs datalagringsdirektiv, og er i og for seg ganske drøyt. Det eneste datalagringsdirektivet krever lagret er IP-adressen du bruker ved hver økt på internett - ingen IP-adresser du har kontakt med.

Og her ligger nøkkelen til hvorfor så mange ellers glupe og intelligente mennesker er helt febrilsk imot dette direktivet - de har blitt lurt til å tro at det gjør noe det ikke gjør, at det er noe det ikke er.

Aftenposten har, i flere artikler, skrevet at direktivet skal lagre "tastetrykk" og lignende fordummende stikkord som de konstaterte til meg per e-post var for å gjøre stoffet mer spiselig for folk uten IT-kunnskaper.

Det var vel bare en bonus at de dermed også skapte et hysteri av folk som trodde at hvert eneste tastetrykk de skulle knote inn på PCen sin skulle lagres et eller annet sted.

Yep, sikkert bare en uskyldig bieffekt, det. This is not the propaganda you're looking for.

Knut Johannessen sa...

George:

Mohamed Atta begikk terrorisme i USA, ikke Europa og direktivet ville da ikke hatt særlig relevans. Men Atta var tydeligvis opptatt av å skjule sine spor, noe hans bruk av alias viser:

"Mohamed Atta varied his name on documents, also using "Mehan Atta", "Mohammad El Amir", "Muhammad Atta", "Mohamed El Sayed", "Mohamed Elsayed", "Muhammad al-Amir", "Awag Al Sayyid Atta", "Muhammad al-Amir", and "Awad Al Sayad".[4] In Germany, he registered his name as "Mohamed el-Amir Awad el-Sayed Atta", and went by the name, "Mohamed el-Amir" at the Technical University of Hamburg. In his will written in 1996, Atta gives his name as "Mohamed the son of Mohamed Elamir awad Elsayed."[5] When he came to the United States, he used the name "Mohamed Atta." Atta also claimed different nationalities, sometimes Egyptian and other times told people that he was from the United Arab Emirates.[6]"

Men det var vel mer udugelighet hos etterforskerne enn tilgjengelig informasjon som bidro til at han ikke ble avslørt?

"Man kan jo også gjøre seg noen tanker om hvilken effektivitet det vil gi politiet når noen hundretalls aktører skal lagre trafikkdata. Det vil ta relativt lang tid å finne frem den relevante informasjonen."

Skjønner ikke helt hva du mener her, siden dette er allerede sånn ting fungerer idag, og hvordan det fortsatt vil fungere med direktivet i kraft. Kan virke som du har misforstått noe."

Nei, det er ikke slik det fungerer i dag. Og det tyder vel på at du mangler elementær kunnskap om hva emnet. I dag er følgende trafikkdata ULOVLIG å lagre:

-Hvor du geografisk beveget deg når du benyttet mobiltelefonen til å snakke, sende eller motta SMS, høre beskjeder i talepostkassen mv.
-Tidspunktnene du logget deg på og av internett og hvilke ip-adresser du benyttet
-Logg over når og til hvem du sendte og mottok e-post, herunder ip-adressen du benyttet.

Kilde:Datatilsynet

Jeg vil anta at når også disse elementene skal lagres så vil det øke datamengden, ikke sant, George?

Det som Hannemyr beskriver er altså gjennomført i Danmark, ikke minst siden direktivet gir mulighet for det enkelte land i å tolke direktivet.

Og det skyldes ikke minst det Hannemyr påpeker at det vil være relativt kostbart å skille dette. Og for at dette ikke skal bli for dyrt å gjennomføre har man skrevet dette inn i lovverket. Hvis du har forsikringer om at dette ikke vil skje i Norge, så er jeg lutter øre.

Hva gjelder Aftenposten, får de nesten snakke for seg selv, de har ikke endret min oppfatning.

Jeg registrerer at du velger å ikke kommentere det f. eks. EuroCop og ikke minst Iver Frigård sier, men det kan det jo være gode grunner til?

SMG sa...

Godt innlegg, Vox. Bra noen fortsatt strå på mot direktivet. Synd opposisjonen ikke uopfordret tar tak i dette.

Hva er egentlig status på direktivet? Det siste jeg hørte var at Irland tapte saken mot EU. Betyr det at vi er i ferd med å innføre det i Norge, siden vi skulle vente å se på hva som skjedde i Irland?

George sa...

Hva har det å si at Atta begikk terrorisme i USA og ikke Europa? Du hevdet at terrorister unngår bruk av mobil, noe jeg gav deg klinkende klart bevis på er feil. Du forsøker vel ikke avlede oppmerksomhet fra det faktum at jeg bevist det du sa var feil?

At Atta brukte forskjellige navn er vel ikke så veldig uvanlig for muslimer sånn som han, men er også noe han muligens gjorde for å kunne komme seg inn i USA, og forvirre dem som måtte være på sporet. Det tilbakeviser ikke det faktum at han brukte f.eks. en mobil.

"Nei, det er ikke slik det fungerer i dag. Og det tyder vel på at du mangler elementær kunnskap om hva emnet. I dag er følgende trafikkdata ULOVLIG å lagre"

Du påpeker såkalte endringer i hva som skal lagres, men vi snakket om hvordan politiet skulle få tilgang til dataene, der du mente at det ville ta lang tid å finne frem til informasjonen hos hundretalls operatører.

Men antallet operatører endres ikke av direktivet, så det vil ikke ta noe mer tid å finne frem til dataene på så måte. Som utdannet og praktiserende dataingeniør, syns jeg det er morsomt at du skal hevde jeg ikke vet hva jeg snakker om.

Dine påstander om hva som er "ulovlig" å lagre per idag stemmer ikke. Eller, hvis det faktisk er ulovlig, så bryter samtlige operatører loven.

Hvor du geografisk befinner deg når du benyttet mobilen lagres per idag av operatørene, og dette kan jeg ikke tenke meg at Datatilsynet ikke er klar over. Når jeg fikk utlevert samtaledata fra Netcom pga. en drapstrussel, sto det slike geografiske data i loggen.

Tidspunktene du logger deg av/på internett og IP-adressene du benyttet regner jeg med er logget et eller annet sted av operatørene, ellers hadde ikke operatører jeg er kjent med blitt pålagt av politiet å hente frem IP-adresser for folk som forsøkte seg på svindel på nettsidene deres. Igjen, dette må Datatilsynet være kjent med.

Logg over hvem du sendte og mottok e-post fra er jo lagret på mailserveren hvis du ikke har slettet alt selv, noe de aller fleste ikke gjør. IP-adressen du bruker når du sender mail står jo i headerene på epostene.

"Jeg vil anta at når også disse elementene skal lagres så vil det øke datamengden, ikke sant, George?"

I og med at samtlige ting allerede lagres, nei. Datamengden har heller ikke noe særlig å si når det ligger i en database. En databasespørring blir ikke vesentlige tregere hvis man legger til en kolonne eller to i den, iallfall ikke nok til at det skal forhindre politiet i å effektivt finne frem til det de trenger.

"Det som Hannemyr beskriver er altså gjennomført i Danmark, ikke minst siden direktivet gir mulighet for det enkelte land i å tolke direktivet."

Ja, det er gjennomført i Danmark, men det har ingen rot i direktivet. Et hvert land har da alltid muligheten til å innføre hvilken som helst lov de vil, uavhengig av dette direktivet. Direktivet i seg selv pålegger ikke å gjøre det Danmark gjorde, og åpner heller ikke for å gjøre det.

Det Danmark har gjort er ingen tolkning av direktivet, siden det står ganske så eksplisitt i direktivet hva som skal lagres, og Danmark har gått langt utover denne beskrivelsen.

George sa...

"Og det skyldes ikke minst det Hannemyr påpeker at det vil være relativt kostbart å skille dette. Og for at dette ikke skal bli for dyrt å gjennomføre har man skrevet dette inn i lovverket. Hvis du har forsikringer om at dette ikke vil skje i Norge, så er jeg lutter øre."

Kostbart å skille hva? Det Danmark pålegger er at operatørene skal lagre hver eneste IP-adresse som deres kunder er innom på hver økt, noe som er helt sinnsykt fra et teknisk perspektiv, og vil ikke være nødvendig for å gjennomføre det som kreves av direktivet i seg selv.

At det skal bli dyrt å gjennomføre uten å gjøre det Danmark har gjort må jeg egentlig bare betegne som løgn, siden det ikke har rot i virkeligheten, både praktisk og teknisk.

"Hva gjelder Aftenposten, får de nesten snakke for seg selv, de har ikke endret min oppfatning."

Det du tror på, f.eks. det Hannemyr påsto, er en annen nyanse av den samme ullen.

"Jeg registrerer at du velger å ikke kommentere det f. eks. EuroCop og ikke minst Iver Frigård sier, men det kan det jo være gode grunner til?"

Jeg oppfatter ikke at Frigård hadde noe vesentlig å diskutere. EuroCops påstand om at dette ikke vil hjelpe, fordi kriminelle vil kunne omgå det, er til dels riktig, men også basert på et feilaktig premiss om at alle kriminelle er lure. Det er de ikke. Finnes utallige eksempler på at terrorister og kriminelle er slappe med å skjule spor, gjør dumme ting, og til syvende og sist blir tatt fordi de glemmer seg.

Og det er det som er litt av poenget. Før eller senere vil de legge igjen et spor som vil enten føre til at de blir tatt, eller at det blir enklere å dømme dem i retten for en kriminell handling de har begått.

Knut Johannessen sa...

George: Jeg har en følelse av at du og jeg har debattert dette før uten å komme noe nærmere.

Jeg har vel ikke sagt at terrorister ikke bruker mobil. For å unngå EU-direktivet kan man benytte mobilabb. som er registrert i land som ikke dekkes av direktivet. Du er sikkert klar over at det finnes flere land i Europa som ikke må implemtere direktivet? Sveits f. eks.

Når det gjelder det som lagres i dag, så er det interessant at du påstår at Datatilsynet tar feil og at du har rett. Datatilsynet fastslår at dette til overmål er ulovlig. Sorry, George i valget mellom din evt. kompetanse somo dataingeniør og Datatilsynet, så velger jeg faktisk Datatilsynet.

For å avslutte en lang debatt så er vi ikke uenig om at direktivet kan bidra til at noen kriminielle blir dømt. Det er proposjonaliteten i at man derfor skal registrere alle innbyggeres trafikkdata for å dømme noen få, jeg har reagert på. Og dette kommer vi nok aldri til å bli enige om.

skyggen sa...

Veldig god artikkel. Fortjener applaus! :-)

George sa...

"For å unngå EU-direktivet kan man benytte mobilabb. som er registrert i land som ikke dekkes av direktivet. Du er sikkert klar over at det finnes flere land i Europa som ikke må implemtere direktivet? Sveits f. eks."

Man kan jo det, men det var ikke det Mohammed Atta gjorde. Det gjorde heller ikke Arfan Bhatti her i Norge, mens han holdt på med greiene sine.

"Når det gjelder det som lagres i dag, så er det interessant at du påstår at Datatilsynet tar feil og at du har rett."

Vel, Datatilsynet mener det ikke er lov å lagre lokasjonsdata, mens jeg vet som et faktum at Netcom gjør dette. Enten betyr det at Netcom bryter loven, eller så har de funnet en tolkning av loven som Datatilsynet ikke vet om, eller strider med det Datatilsynet mener.

Jeg gjentar det jeg sa, siden du ikke ser ut til å ha lest det ordentlig: Dine påstander om hva som er "ulovlig" å lagre per idag stemmer ikke. Eller, hvis det faktisk er ulovlig, så bryter samtlige operatører loven.

"Sorry, George i valget mellom din evt. kompetanse somo dataingeniør og Datatilsynet, så velger jeg faktisk Datatilsynet."

Jeg kan ikke se noe sted i det jeg har skrevet at jeg stiller min kompetanse som dataingeniør opp mot Datatilsynet, og heller ikke at jeg sier at det Datatilsynet er ubetinget feil.

Leser du det jeg skriver, eller bryr du deg egentlig mer om å tro jeg har skrevet noe som passer bedre å svare på?

"Det er proposjonaliteten i at man derfor skal registrere alle innbyggeres trafikkdata for å dømme noen få, jeg har reagert på. Og dette kommer vi nok aldri til å bli enige om."

Men kjære deg, dette gjøres allerede. Det eneste som vil forandre seg er at lengden på lagringstiden blir forlenget med maks et par måneder (hvis vi går for 6 md lagringstid). Utover det, så vil endringene være uvesentlige ift. min anbefaling av hvordan Norge burde tolke direktivet.

Jeg anbefaler at Norge ikke tar med det som står i direktivet om e-post, fordi det er fullstendig meningsløst. Når man fjerner det, så står man igjen med et lagringsregime som er nærmest helt likt det vi allerede har idag.

Det ser ikke ut som du er i stand til å ta innover deg dette enkle faktumet, ved å henvise til det Datatilsynet mener er ulovlig, fremfor å se på hva som faktisk allerede skjer idag.

Netcom lagrer lokasjonsdata - det har jeg bevismateriale på. Hvis Netcom gjør det, regner jeg med at de fleste andre også gjør det. Hvis det er ulovlig, synes jeg det er merkelig at Datatilsynet aldri har funnet ut om det, eller krevd at de stanser.

Anonym sa...

Hei Knut

Jge har omsider svart på innlegget ditt:

http://hablog.us.splinder.com/post/788731/Hvorfor+jeg+fortsatt+ikke+er+med

halsev