Svar på høring om ekomloven – lagring av IP-adresser
Tekna – Teknisk naturvitenskapelig forening er Akademikernes største medlemsforening med 86 000 medlemmer. Våre medlemmer har utdanning i teknologi- og realfag på masternivå eller over.
Tekna vil gjerne gi innspill til høring fra Kommunal- og moderniseringsdepartementet og Justis- og beredskapsdepartementet der det foreslås en plikt for tilbydere av ekomtjenester til å lagre IP-adresser, slik at politiet kan få tilgang til IP-adressene med sikte på å bekjempe alvorlig kriminalitet. Departementene ber særlig om høringsinstansenes syn på hvilket strafferammekrav som bør oppstilles, og på hvor lang lagringstiden bør være. Forslaget medfører endringer i lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven). Frist for høringen er 11. Januar 2021.
Saken har sin bakgrunn i arbeidet med datalagringsdirektivet tilbake i 2011. Regler om omfattende lagring av bruker- og trafikkdata ble vedtatt innført, men en EU-dom fra 2014 satte en stopper for iverksettelse av lover og forskrifter med bakgrunn i hensyn til personvernet. I 2017 vedtok Stortinget at politi- og påtalemyndighet bør få utvidet tilgang til brukerdata/abonnentopplysninger med bakgrunn i IP-adresser. Tidligere forslag fra 2011 om lagring av trafikkdata er nå holdt utenfor.
Tekna er skeptisk til departementenes vurdering av at IP-adresser og person-id skal kunne lagres lenger enn dagens rammer på tre uker hos tilbydere av ekomtjenester. Forslaget gir vide rammer til politiet for innhenting av personopplysninger om alle nordmenn som er på nett. Forslaget innebærer også muligheter til å samle inn tidsserier med IP-adresser fra alle nettbaserte enheter til en gitt person. Det betyr at de foreslåtte IP-adresseregistrene kan gi omfattende oversikt over hvor vi er og hva vi gjør. Forslaget mangler dessuten krav til domstolsbehandling for uthenting av informasjon fra slike registre. Teknas vurdering er at et strafferammekrav for uthenting av informasjon ikke er tilstrekkelig.
I kjølvannet av datalagringsdirektivet har ny etterretningstjenestelov med regler for “tilrettelagt innhenting”, også kalt digitalt grenseforsvar, preget debatten om avveiningen mellom myndighetenes behov for datalagring på den ene siden og personvern på den andre siden. Tekna leverte et omfattende høringssvar til etterretningsloven, hvor vi ikke anbefalte “tilrettelagt innhenting” slik det var foreslått. Vi argumenterte mot forslaget fordi personvernet ikke var tilstrekkelig ivaretatt og teknologiske løsninger var mangelfullt drøftet. Se uttalelsen vår for nærmere argumentasjon. https://www.tekna.no/globalassets/filer/politikkdokumenter/horingsdokumenter/2020/200525-teknas-horingsinnspill-til-lov-om-e-tjenesten.pdf
Saken som nå er på høring skiller seg vesentlig fra både det opprinnelige forslaget til datalagringsdirektiv og fra forslaget om tilrettelagt innhenting i etterretningsloven. Trafikkdata er ikke en del av forslaget. Det betyr at forslaget til lagring av IP-adresser i seg selv ikke vil utgjøre et datalager over besøkte nettsteder eller innholdet i elektronisk kommunikasjon.
Høringsnotatet inneholder en omfattende drøfting av hvordan rettsregler og dommer på personvernområdet i EU, EØS og Norge setter strenge rammer for lagring av personopplysninger. Når IP-adresser og person-id knyttes sammen slik departementet foreslår utgjør det personopplysninger med krav på vern. Disse personopplysningene er i mange tilfeller avgjørende når politiet arbeider med å identifisere hvilke personer som skjuler seg bak IP-adresser som er fanget opp under etterforskning av ulike typer kriminalitet. Politiet selv har trukket fram at avsløring av seksuelt misbruk av barn er problematisk uten en mer omfattende lagring av IP-adresser og person- id enn i dag.
Tekna er skeptiske til at departementene ikke legger opp til domstolsbehandling og krav til høye strafferammekrav for at politiet skal kunne få ut opplysninger om IP-adresser og person-id fra tilbydere av ekomtjenester i konkrete saker. Drøftingen i høringsnotatet av EUs regler og dommer på personvernområdet gir etter vår vurdering et godt utgangspunkt for å rette opp dette. Tekna har ikke bestemte meninger om hva slags type kriminalitet som skal ligge til grunn for å hente ut IP-adresser fra de foreslåtte registrene.
Hvis forslaget gjennomføres vil Tekna ønske en kort lagringstid for IP-adresser og brukeropplysninger hos tilbydere av ekomtjenester, maksimum 6 måneder. Slik lagring innebærer alltid en fare for misbruk av personopplysninger. For å begrense risikoen ønsker Tekna en konservativ tilnærming til hvor lenge slike opplysninger kan lagres.
Tekna merker seg at departementene argumenterer for at politiet må få bedre verktøy til å bekjempe kriminalitet på nett fordi spor og etterforskning forskyver seg fra telefon og sms til nettbaserte kommunikasjonsplattformer. Digitaliseringen av stadig nye tjenester i samfunnet fører imidlertid også til at vi alle nå legger igjen spor på nett knyttet til de fleste av våre aktiviteter. Personvernutfordringene ved å kunne identifisere personer bak IP-adresser blir dermed større. I høringen sammenligner departementet IP-adresser med et telefonnummer. Vår vurdering er at en slik sammenligning halter. En slik “analog” tenkemåte leder inn i en blindsone hvor reelle personvernutfordringer og faren for formålsutglidning underkommuniseres.
Tekna – Teknisk naturvitenskapelig forening er Akademikernes største medlemsforening med 86 000 medlemmer. Våre medlemmer har utdanning i teknologi- og realfag på masternivå eller over.
Tekna vil gjerne gi innspill til høring fra Kommunal- og moderniseringsdepartementet og Justis- og beredskapsdepartementet der det foreslås en plikt for tilbydere av ekomtjenester til å lagre IP-adresser, slik at politiet kan få tilgang til IP-adressene med sikte på å bekjempe alvorlig kriminalitet. Departementene ber særlig om høringsinstansenes syn på hvilket strafferammekrav som bør oppstilles, og på hvor lang lagringstiden bør være. Forslaget medfører endringer i lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven). Frist for høringen er 11. Januar 2021.
Saken har sin bakgrunn i arbeidet med datalagringsdirektivet tilbake i 2011. Regler om omfattende lagring av bruker- og trafikkdata ble vedtatt innført, men en EU-dom fra 2014 satte en stopper for iverksettelse av lover og forskrifter med bakgrunn i hensyn til personvernet. I 2017 vedtok Stortinget at politi- og påtalemyndighet bør få utvidet tilgang til brukerdata/abonnentopplysninger med bakgrunn i IP-adresser. Tidligere forslag fra 2011 om lagring av trafikkdata er nå holdt utenfor.
Tekna er skeptisk til departementenes vurdering av at IP-adresser og person-id skal kunne lagres lenger enn dagens rammer på tre uker hos tilbydere av ekomtjenester. Forslaget gir vide rammer til politiet for innhenting av personopplysninger om alle nordmenn som er på nett. Forslaget innebærer også muligheter til å samle inn tidsserier med IP-adresser fra alle nettbaserte enheter til en gitt person. Det betyr at de foreslåtte IP-adresseregistrene kan gi omfattende oversikt over hvor vi er og hva vi gjør. Forslaget mangler dessuten krav til domstolsbehandling for uthenting av informasjon fra slike registre. Teknas vurdering er at et strafferammekrav for uthenting av informasjon ikke er tilstrekkelig.
I kjølvannet av datalagringsdirektivet har ny etterretningstjenestelov med regler for “tilrettelagt innhenting”, også kalt digitalt grenseforsvar, preget debatten om avveiningen mellom myndighetenes behov for datalagring på den ene siden og personvern på den andre siden. Tekna leverte et omfattende høringssvar til etterretningsloven, hvor vi ikke anbefalte “tilrettelagt innhenting” slik det var foreslått. Vi argumenterte mot forslaget fordi personvernet ikke var tilstrekkelig ivaretatt og teknologiske løsninger var mangelfullt drøftet. Se uttalelsen vår for nærmere argumentasjon. https://www.tekna.no/globalassets/filer/politikkdokumenter/horingsdokumenter/2020/200525-teknas-horingsinnspill-til-lov-om-e-tjenesten.pdf
Saken som nå er på høring skiller seg vesentlig fra både det opprinnelige forslaget til datalagringsdirektiv og fra forslaget om tilrettelagt innhenting i etterretningsloven. Trafikkdata er ikke en del av forslaget. Det betyr at forslaget til lagring av IP-adresser i seg selv ikke vil utgjøre et datalager over besøkte nettsteder eller innholdet i elektronisk kommunikasjon.
Høringsnotatet inneholder en omfattende drøfting av hvordan rettsregler og dommer på personvernområdet i EU, EØS og Norge setter strenge rammer for lagring av personopplysninger. Når IP-adresser og person-id knyttes sammen slik departementet foreslår utgjør det personopplysninger med krav på vern. Disse personopplysningene er i mange tilfeller avgjørende når politiet arbeider med å identifisere hvilke personer som skjuler seg bak IP-adresser som er fanget opp under etterforskning av ulike typer kriminalitet. Politiet selv har trukket fram at avsløring av seksuelt misbruk av barn er problematisk uten en mer omfattende lagring av IP-adresser og person- id enn i dag.
Tekna er skeptiske til at departementene ikke legger opp til domstolsbehandling og krav til høye strafferammekrav for at politiet skal kunne få ut opplysninger om IP-adresser og person-id fra tilbydere av ekomtjenester i konkrete saker. Drøftingen i høringsnotatet av EUs regler og dommer på personvernområdet gir etter vår vurdering et godt utgangspunkt for å rette opp dette. Tekna har ikke bestemte meninger om hva slags type kriminalitet som skal ligge til grunn for å hente ut IP-adresser fra de foreslåtte registrene.
Hvis forslaget gjennomføres vil Tekna ønske en kort lagringstid for IP-adresser og brukeropplysninger hos tilbydere av ekomtjenester, maksimum 6 måneder. Slik lagring innebærer alltid en fare for misbruk av personopplysninger. For å begrense risikoen ønsker Tekna en konservativ tilnærming til hvor lenge slike opplysninger kan lagres.
Tekna merker seg at departementene argumenterer for at politiet må få bedre verktøy til å bekjempe kriminalitet på nett fordi spor og etterforskning forskyver seg fra telefon og sms til nettbaserte kommunikasjonsplattformer. Digitaliseringen av stadig nye tjenester i samfunnet fører imidlertid også til at vi alle nå legger igjen spor på nett knyttet til de fleste av våre aktiviteter. Personvernutfordringene ved å kunne identifisere personer bak IP-adresser blir dermed større. I høringen sammenligner departementet IP-adresser med et telefonnummer. Vår vurdering er at en slik sammenligning halter. En slik “analog” tenkemåte leder inn i en blindsone hvor reelle personvernutfordringer og faren for formålsutglidning underkommuniseres.
Med vennlig hilsen
Tekna – Teknisk-naturvitenskapelig forening
Tekna – Teknisk-naturvitenskapelig forening