Den siste tiden har det vært en rekke medieoppslag om hackerangrep og behovet for et digitalt grenseforsvar. Lysne II-utvalgets forslag om Digitalt grenseforsvar viser spenningen som kan oppstå mellom ivaretakelse av nasjonal sikkerhet og de demokratiske grunnverdiene vi derigjennom vil beskytte. Det er ikke enten eller, men snarere et spørsmål om å treffe det riktige balansepunktet.

Lysne II-utvalget leverte sin utredning i august i fjor. Utvalget foreslår at E-tjenesten skal få lagre og søke i elektronisk kommunikasjon som krysser den norske landegrensen i fiberoptiske kabler. Formålet er å øke E-tjenestens kapasitet til å innhente utenlandsetterretning, for å motvirke cyberangrep og andre ytre trusler mot nasjonal sikkerhet. Det er et legitimt formål, og det er viktig at E-tjenesten har virkemidler som er tilpasset teknologiutviklingen og den aktuelle trusselsituasjonen. Staten har i utgangspunktet også en menneskerettslig plikt til å beskytte sine borgere.

Det spesielle med DGF er at det innebærer lagring av store mengder data som ikke har sammenheng med formålet, blant annet om deg og meg. Det gjelder spesielt datatrafikk fra IP-baserte kommunikasjonsplattformer med server i utlandet, som passerer frem og tilbake over landegrensen, f.eks. Facebook, Snapchat, Skype, samt de fleste e-post- og skylagringstjenester. For at DGF effektivt skal kunne finne etterretningsrelevant informasjon, er det teknologisk nødvendig at store deler av den passerende datastrømmen lagres - «You need the haystack to find the needle». DGF vil ikke lagre all irrelevant datatrafikk, men mye, og nok til at de fleste vil bli berørt av det.

E-sjef Morten Haga Lunde påpeker i Aftenposten 17. januar at E-tjenestens søk i lagrede data skal være underlagt streng regulering og kontroll. Den «lovlydige nordmann» har derfor ingenting å frykte. I praksis er nok det riktig, og det er neppe grunn til å betvile E-tjenestens motiver. Men det er ikke det som er problemstillingen. Grunnproblemet med DGF er den omfattende lagringen som i praksis kan ramme enhver, ikke hvilke søk E-tjenesten foretar i de lagrede dataene eller hvordan de bruker informasjonen.

I to saker fra 2016 har Den europeiske menneskerettighetsdomstol (EMD) og EU-domstolen klarlagt grensene for lovlig dataovervåking (hhv. Szabó og Vissy mot Ungarn og Tele2 Sverige mot Post- och telestyrelsen). De innebærer blant annet at lagring av datatrafikk må være målrettet ut fra hva som er strengt nødvendig for å innhente vital informasjon i en avgrenset sak eller operasjon. Videre slås det fast at generisk («indiscriminate») lagring av datatrafikk er forbudt. Særlig EU-domstolen presiserer at datalagringen må begrenses til type data, kommunikasjonsformat, geografisk område, tidsperiode, relevant personkrets, mv., som er strengt nødvendig i et avgrenset saksforhold. Dette er felleseuropeiske normer som er bindende for Norge, E-tjenesten inkludert.

Nasjonal institusjons hovedpoeng er at sentrale deler av DGF – kortidslageret og metadatalageret –neppe er forenelig med disse kravene. Kortidslageret innebærer lagring av all data basert på et tilfeldighetsprinsipp, mens metadatalageret i for liten grad begrenser lagringen ut fra hva som er strengt nødvendig i konkrete tilfeller. Det er bakgrunnen for at vi i vår høringsuttalelse 20. januar i år har konkludert med at implementering av DGF, slik det er foreslått av Lysne II-utvalget, trolig vil være ulovlig.

Det er likevel ikke en umulig oppgave å tilpasse DGF de krav EMD og EU-domstolen oppstiller. Resultatet kan bli et DGF light, hvor datalagringen er vesentlig mer målrettet. Kapasiteten vil bli mindre, men den vil fortsatt være betydelig, og klart overgå andre dataovervåkingssystemer myndighetene har i dag. Det er altså ikke slik at EMD og EU-domstolen har satt en stopper for at myndighetene kan implementere effektive overvåkingssystemer. Men når teknologien gir et nærmest ubegrenset overvåkingspotensial, krever grunnverdiene som konstituerer vårt demokratiske samfunn at det settes noen grenser.

I et konstitusjonelt demokrati er statlig overvåking en politisk og rettslig balansekunst. For DGF er det nok ikke først og fremst et spørsmål om enten eller, men heller et spørsmål om hvilke justeringer som er nødvendige. Lysne II-utvalgets rapport er et godt utgangspunkt for en videre debatt om hvordan E-tjenestens etterretningsbehov kan ivaretas på en måte som også ivaretar menneskerettslige krav.

Kronikken ble publisert i VG idag.