tirsdag, april 05, 2011

Kunnskapsmangel eller hukommelssvikt?

Det ble en lang dags ferd mot den fatale voteringen over datalagringsdirektivet i går. Jeg fulgte debatten og tidvis fremsto finsk tv-teater som en slapstick-komedie sammenlignet med det som foregikk i stortingssalen.

Men jeg og flere med meg (som f. eks. Jon Wessel-Aas) fikk med oss at noen av våre statsråder ser ut til å lide av en formidabel kunnskapsmangel når det gjelder dagens regelverk. Derfor skryter de hemningsløst av å innføre nye tiltak som allerede finnes.  Verst var statsråd Rigmor Aasrud. Hun er til alt overmål ansvarlig statsråd for Datatilsynet. Dette sa statsråden bl. a.:

Statsråd Rigmor Aasrud [20:41:45]: Jeg synes også at det har vært en interessant debatt. Det er brukt mange sterke ord her i dag, og det har vært stort fokus på personvernspørsmål.
Når en sitter og hører på denne debatten, kan en få inntrykk av at det ikke lagres en eneste data i dag. Men det er faktisk det som er tilfellet. Telekomtilbydere lagrer data i dag. Når vi vurderer om forslaget som behandles her i dag, er en styrking eller svekking av personvernet, må en ta utgangspunkt i situasjonen slik den er. Jeg mener altså at når vi nå innfører domstolskontroll, er det en betydelig styrking av personvernet.
Det at vi innfører strafferammer for når en skal kunne hente ut opplysninger, er en styrking av personvernet.
Det at det nå innføres en konsesjonsplikt for lagring og behandling av dataene, er en styrking av personvernet. 
Det at Datatilsynet skal kunne sette vilkår for hvordan en skal kunne gi konsesjon, er en styrking av personvernet.
Det at Datatilsynet får myndighet til å pålegge kryptering dersom det vurderes nødvendig, er en styrking av personvernet.
Det at dataene skal logges, er en styrking av personvernet. Til slutt er det noe som jeg tror er ganske viktig, og det er at vi innfører en sletteplikt. Det er også en styrking av personvernet.
Jeg skjønner ikke dem som mener at vi nå reduserer på personvernet. De forslagene som skal vedtas her i dag, vil styrke personvernet ut fra det som er dagens situasjon.

Hvordan er det mulig å lede et departement og ha så lite kunnskap om et av forvaltningsorganenes virke? Kanskje ligger forklaringen i at Aasrud i lang tid har vært dobbelarbeidende. Da Hanne Bjurstrøm var sykemeldt.  Det er sikkert en plausibel årsak til at statsråden sier "skal nå innføres" når det meste er innført allerede?

Litt voksenopplæring for statsråden:
  • Konsesjonsplikt er allerede innført
  • Datatilsynet har allerede i dag myndighet til å pålegge kryptering
  • Det er allerede innført sletteplikt.
  • Det er også plikt om loggføring i flere tilfeller. Bl. a. NAV 

Siden det er veldig alvorlig å lyve for Stortinget, kan jeg ikke tenke meg at ministeren har løyet. Derfor må vi anta at hun ikke vet bedre. Eller så kan det jo selvsagt være et utslag av en temporær hukommelssvikt. Mulighetene er legio.

Aasland var ikke alene. Justisminister Knut Storberget sa det samme om konsesjonsplikt og kryptering:

Lovforslaget la stor vekt på sikkerhet knyttet til data. Dette er ytterligere styrket og tydeliggjort i avtalen mellom Arbeiderpartiet og Høyre. Og det innføres en rekke krav for å styrke sikkerheten ved lagring av data, bl.a. konsesjonsplikten, og også det som framgår av forliket hva angår kryptering.

Nå har Knut Storberget nettopp kommet tilbake fra farspermisjon, så ammetåke kan være en fornuftig forklaring. Selv om han har hatt et lemfeldig forhold til fakta i DLD-debatten tidligere. 

Håkon Hauglie, Ap også en sentral debbatant ifbm DLD:

Det innføres konsesjonsplikt for tilbydere, det stilles krav til autorisering av personell, det kommer forskrifter om kryptering, og leverandørenes plikt til å slette data som ikke lenger er lagringspliktige, innskjerpes.

Listen kunne vært gjort lenger. Det er bare å skumme seg gjennom stortingsdebatten. Men jeg advarer mot sterke scener.

Nå kan det være at man har pugget pressemeldingene til personvernalliansen Høyre og Arbeiderpartiet. For også i det kunnskapsbaserte Høyre har man skrytt hemningsløst over hvor bra personvernet skal bli fordi man innfører tiltak som allerede er innført. Det er like imponerende som når en bilselger klarer å få ekstra betalt for standardutstyr på bilen. Men begge blir som regel avslørt.

Rett skal være rett. Det innføres noen nye tiltak. Domstolskontroll og loggingsregime. Som kunne vært innført uten direktiv.

Hva med oppfølgingen av lovforslaget? Det stilles store krav til at Datatilsynet i de nye lovforslagene. Kontroll og oppfølging ble nesten nevnt av alle talerne i går Klare føringer om prioritering av å følge opp aktørene i DLD-sammenheng. Men prioritering betyr at man må gjøre mindre av noe annet. Hva tenker politikerene på da? Personvern i helsevesenet/NAV? DNA-registeret? Private bedrifters personvern  ? Mitt lodd er kun at spørge.

Det skal legges mye ekstrakroner på bordet i budsjettbehandlingen for at Datatilsynet skal kunne oppfylle kravene. Hvis ikke, er besvergelsene om styrking av personvernet uten innhold.

Hvordan har politikerene tenkt at Datatilsynet skal operere utenlands. Hvordan skal vi få gjennomført samme regler når data lagres i land uten direktiv? Hvilke sanksjonsmuligheter har Datatilsynet da? Svært få. Da blir skrytet av innstramminger i personvernet illusorisk. For hva skjer med sikkerheten? NTNU stiller kritiske spørsmål.

Disse sentrale spørsmålene var nærmest fraværende i debatten i går. Kanskje like godt. Personvernkameratene i Høyre og Ap snakket om helt andre ting hver gang de fikk kritiske spørsmål. Kanskje bedre enn å innrømme at man ikke vet.

9 kommentarer:

Mike A. sa...

Liker at du plukker argumentene deres fra hverandre, men savner en liten detalj som jeg har hengt meg opp i. Det er når du sier at "Konsesjonsplikt er allerede innført". Her bør du føre på at det kun gjelder for teleaktørene, ikke ISPene. :)

Mats sa...

@Mike A. Du trenger konsesjonsplikt for å behandle personopplysninger også ref §33 i personopplysningsloven. Og vis det ikke er sensetive data så har de enda meldeplikt til datatilsynet.

Anonym sa...

Det jeg synes er mest skremmende og som kommer så tydelig frem i samme utgave av avisen: Justistdep og politiets fraskrivning av ansvar/nekter å svare på misbruket av "tillatelsen" for lagring av DNA og samme ministeres forsikring om at alt er "sikkert" når det kommer til DLD. Oppskrift på å skape politikerforakt.

Mike A. sa...

@Mats: Iht §33 trenger man konsesjonsplikt for behandling av sensitive personopplysninger. Hva som ansees som sensitive personopplysninger er detaljert beskrevet i $2 (rase, religion, o.l.)

Men man kan heller ikke se på loven uten samtidig å se på forskriften. $7-11 gir bl.a. unntak fra meldeplikt for aktivitetslogger i edb-systemer og datanett.

Så, hva da med loggene til mailserveren, som inneholder en oversikt over hvem som har sendt og mottatt epost fra hvem? Hva med DHCP-loggene, som inneholder hvem som ble tildelt hvilken IP, og når... Slik kunne jeg ramset opp flere typer logger som allerede lagrer det DLD krever lagret...

Tro meg, dette er ikke så lett å forholde seg til som man først skulle tro. Jo mer jeg har lært om personopplysningsloven, jo mer usikker har jeg blitt... Og derfor mener jeg det er utrolig viktig at man er pinlig nøyaktig når man argumenterer her.

Knut Johannessen sa...

@ Mike A og Mats
Poenget er ganske enkelt at statsrådene sier at det skal innføres konsesjonsplikt som om det er noe nytt. Da burde jo statsrådene gjort den samme distinksjon. Det er begrepet "konsesjonsplikt" som er poenget.

Det er ikke konsesjonplikt for ISP fordi det ikke er noe krav til lagring for faktureringsformål. Kun en sletteplikt etter 21 dager. Og det er flere som ikke lagrer i det hele tatt. Da blir det tullete å nevne det eksplisitt.

Derfor blir det en helt unødvendig detaljeringsgrad å nevne at dagens konsesjonsplikt kun gjelder teleoperatører. Datatilsynet gjør det i innlegget jeg lenker til, forøvrig.

I tillegg har du jo nå klarlagt det i kommentaren din, så da er jo alt på plass.

Mike A. sa...

The Devil is in the details!

Det er nettopp i detaljene at man oppdager vesentlig og viktig informasjon om synspunktene.

Du nevner at det er en unødvendig detaljeringsgrad å nevne at det kun gjelder teleoperatørene. Den lille detaljen er derimot vesentlig for å forstå forskjellen på ditt og statsrådens argumentasjon:

Statsråden sier: "...innføres konsesjonsplikt for lagring og behandling av dataene...", her med sterk hentydning til at dette gjelder dataene relevant til DLD.

Du sier i din voksenopplæring: "Konsesjonsplikt er allerede innført", men unnlater å nevne at dette slett ikke gjelder alle dataene som er relevant til DLD (kun et sub-sett av de).

Så er det påstanden om sletteplikt etter 21 dager, som om dette gjelder alle DLD-relevante data ISPene lagrer. Finner ingen referanse om dette hos datatilsynet. Eneste jeg ser her er sletteplikten som står i §28. Vært flott om du kunne linke til relevant informasjon som bekrefter denne påstanden.

Det oppleves kanskje som pirk, men når politikere bevisst benytter unøyaktigheter for å vinne frem med sine synspunkter, bør de som korrigerer dem selv være pinlig nøyaktig.

Knut Johannessen sa...

@Mike A: Nei, den lille detaljen er ikke vesentlig for å forstå forskjellen. Fordi statsråden(e) er ganske bevisste i sin språkbruk. De snakker også om å innføre "sletteplikt". Sletteplikt er innført. De snakker også om å gi Datatilsynet myndighet til kryptering. Den muligheten har Datatilsynet i dag. Så i din vennlige tolkning av statsråden(e) så misser du disse detaljene som setter statsrådens bruk av "konsesjonsplikt" i et litt annet lys. Det er når du graver deg ned i detaljene at du mister oversikten.

Jeg gjentar: Man kan altså ikke innføre konsesjonsplikt på de data som det ikke er lagringsplikt på. Det trodde jeg var rimelig opplagt , men jeg kan godt gjenta det her. At dette vil bli innført når DLD evt. implementeres burde da være like opplagt.

Når det gjelder sletteplikten hos ISP, så gjelder det de DLD-relevante data de har fått lov til å lagre og her er lenke til Datatilsynets brev til IKT-Norge: http://datatilsynet.no/upload/tilsynsrapporter/2008/Microsoft%20Word%20-%2009-00699-1%20Lagring%20av%20IP-adresse%20og%20abonnement.pdf

Se forøvrig også Datatilsynets tolkning av §28 som forklarer hvorfor det ikke er nødvendig med sletteplikt utover det som er nevnt i brevet. Det er fordi de ikke er lov å lagre andre data. Dersom du kan påvise at de gjør det, begås det mao lovbrudd.

Som nevnt så opplever jeg ikke at politikerne benytter unøyaktigheter, men er langt verre enn som så. Derfor tror jeg svært få av mine lesere trenger det detaljeringsbehovet som du legger opp til. Så vi får heller konstaterer at vi på dette punktet er uenig.

Mike A. sa...

Hm. Den er vesentlig når man viser frem bananer og presenterer de som epler. Og det gjøres på flere og flere punkter her. Skal man være redelig ovenfor sine lesere, må man også være nøyaktig.

Jeg vil også påstå at det er detaljene som gir deg den faktiske oversikten her. Fordi du argumenterer uten å bry deg om vesentlige detaljer, fremstår du som unøyaktig og kunnskapsløs i henhold til de faktiske forhold. Det tjener hverken deg eller motstanden mot direktivet. Vær spesifikk. Vær nøyaktig. Vær korrekt.

Påstanden du kommer med i tredje avsnitt i svaret over: Brevet du linker til omhandler lagring av koblingen IP-adresse og abonnent. Du glemmer at flere av dataene DLD krever lagret, i dag er unntatt meldeplikt (og konsesjonsplikt?) iht personopplysningsforskriften §7-11. F.eks. logger over når man kobler seg opp mot epost-serveren og hvem som sender mail til hvem.

Din påstand hvor du henviser til Datatilsynets tolkning av §28 og at det er ulovlig å lagre andre data:

Årsaken til at det ikke er nødvendig med sletteplikt utover det som er nevnt i brevet, er at det allerede dekkes opp av §28 (les første avsnitt).

Påstanden om at det er ulovlig å lagre andre data enn det de tar opp i brevet, er feil. Veldig feil. Brevet omfatter ikke logger fra epost-servere. Brevet omfatter ikke logger fra web-servere. Slik kunne jeg har ramset opp system etter system, som logger aktivitetsdata (som er opplysninger som kan knyttes til en enkeltperson, ref definisjonen i §2, unntatt meldeplikt iht forskriftens $7-11, men fremdeles underlagt sletteplikten i §28).

Jeg tror faktisk også leserene har behov for dette detaljeringsnivået. Har sett alt for mange feilaktige påstander om DLD som skyldes kunnskapsløshet. Skal man argumentere for og imot DLD på annet enn et rent overordnet prinsipielt nivå, må man ha en forståelse for hva som faktisk lagres i dag, hvor det lagres og årsaken til at det lagres.

Og uavhengig av DLD så er det her mye som bør taes tak i… Som uansett krever et styrket Datatilsyn…

Thomas R sa...

Synes også det er kritikkverdig at der ikke har vært gitt skikkelige svar på faren for misbruk når data handler på feile hender.

Gang på gang har politi og politikere unngått spørsmålet, og noen svarer med det som snillest kan kalles en hvit løgn: "Det lagres jo (så mye) allerede..."

Norge er et rikt land, og det er på tide å innse at norske borgere er et mål for kriminelle. DLD vil innebære større fare for den enkelte borger, ikke mindre. Og det vil ramme uskyldige og lovlydige.

Jeg blir så uendelig trist når jeg ser kunnskapsløsheten blant mange av våre folkevalgte; det er nesten verre enn de som serverer halvsannheter og/eller unngår viktige spørsmål...