JOKER: Datatilsynets direktør Bjørn Erik Thon tapte kampen om EUs datalagringsdirektiv, men har samtidig makt til å påføre staten et langsiktig pengesluk. (Bilde: Leif Hamnes)

Han bestemmer prislappen på datalagringsdirektivet

  • IT

Dette er saken

  • EUs datalagringsdirektiv (DLD) ble i april i fjor, etter en årelang og sterkt polarisert debatt, vedtatt implementert i norsk lov av et stortingsflertall bestående av Ap- og Høyre-representanter.
  • Direktivet pålegger seks måneders lagring av trafikkdata fra teletjenester, og er vedtatt innført (etter utsettelser) i Norge senest 1. juli.
  • I det endelige stortingsvedtaket om DLD ble det lagt overraskende spesifikke – og temmelig særnorske – føringer for sikkerhetskrav:
    – Teleselskapene skal ikke selv ha tilgang til dataene i sin kommersielle virksomhet.
    – Kryptering av data
    – Autorisering av personell som skal behandle dataene
    – Sporbarhet av uthentede data
    – Identitets- og adgangskontroll til lagringslokaler
    – Fysisk sikring av disse lokalene
    – Elektronisk sikring/brannmur
  • I forrige uke anbefalte et enstemmig regjeringsutnevnt utvalg at staten burde ta brorparten av regningen, trolig hentet fra Justisdepartementets budsjett. Dette gjelder også framtidige driftskostnader.
  • Hvor store kostnadene blir, er foreløpig bare gjetning, men utvalget gikk langt i å fastslå at de særnorske reglene utgjør en betydelig andel av den endelige prislappen.
  • Noen stusser kanskje på at regningen for DLD-lagringen varierer innad i EØS-området fra ytterpunktene null til full statlig støtte – i hvert fall dem som husker at DLD i sin tid gjennom Irland-dommen ble juridisk forankret i EØS nettopp av hensynet til like konkurranseforhold i europeisk telebransje.
  • Til dette bemerker utvalget at de sentrale signalene fra EU på dette punktet peker i retning av statlig fullfinansiering på sikt.

Tidspresset er til å ta å føle på for alle som er involvert:

I en mildt sagt krevende parallellprosess med mange løse tråder utformes akkurat nå regelverket som teleoperatørene skal følge når det omstridte EUs datalagringsdirektiv DLD utsettes til juli – om fristen faktisk blir overholdt.

For en drøy uke siden anbefalte et enstemmig regjeringsutnevnt utvalg at staten burde ta brorparten av regningen. Utvalgets hovedkonklusjon går trolig medhårs og i ekspressfart gjennom forvaltningen – igjen på grunn av tidspresset.

Og midt i smørøyet: «Erke-DLD-motstanderne» i Datatilsynet, nå med myndighetsmakt over konsesjonsvilkårene for dem som skal lagre – og dermed i ytterste konsekvens: Størrelsen på statens regning.

– Usikkerhetsfaktoren er at vi ikke vet hva som kommer til å stå i forskriften. En mer korrekt rekkefølge ville vært å vente på lagringsforskriften fra Samferdselsdepartementet (ført i pennen av PT, journ. anm.) som spesifiserer hva som skal lagres og av hvem, eksempelvis når det gjelder lokasjonsdata, sier Datatilsynet-direktør Bjørn Erik Thon.

Les også: Datalagringsdirektivet: Aner ikke hva det vil koste

«Ekstreme» krav

Men DLD har aldri vært noen vanlig sak, heller ikke nå i innspurten. Og med verken forskrifter eller konsesjon på plass, tør ingen engang å tippe omtrentlig størrelsesorden på hva lagringen vil koste.

Derimot har Datatilsynet vært pådrivere i prosessen, og har allerede ute konsesjonsforslag til høring – tross at forskriften mangler. Og tilsynet har tatt de politiske signalene fra DLD-vedtaket (se fakta) – at Norge skal være et foregangsland på sikring av DLD-dataene – på dypeste alvor. Kanskje til og med litt i overkant, skal vi tolke noen av høringssvarene.

Les også: DLD vedtatt etter maratondebatt

– Samferdselsministeren antyder at dere har «tatt litt i», Telenor mener forslagene til sikkerhetskrav «kan virke ekstreme». Har Datatilsynet blitt beruset av den utøvende forvaltningsmakten dere nå har fått i DLD-saken?

– Det er absolutt ikke noen motivasjon. Jeg har vært tydelig også internt: Nå er kampen slutt – vi fikk ikke gjennomslag for det vi mente var best. Oppgaven nå er å implementere Stortingets bestemmelser rundt personvernsensitive opplysninger. Vi har ikke noe hevnmotiv eller noen egeninteresse av å få det så dyrt og vanskelig som mulig, slår Thon fast.

Men at det blir dyrt, er han ikke i tvil om.

– Det er ikke mulig å gjøre det billig, men da er det en ekstra viktig forutsetning at politiet får god bruk for dataene. Ellers blir det helt meningsløst. Men når ja/nei-diskusjonen er slutt, begynner folk å glemme hva dette dreier seg om: Hensyn må balanseres, og det er enorme databaser som må sikres når vi skal lagre trafikkdata fra alle som har pc og mobiltelefon, sier Thon.

Les også: DLD: Trafikkdata skal lagres i seks måneder

– Tydelige signaler

Thon registrerer at enkelte har presisert at Stortingsvedtaket kun sier at «Datatilsynet kan pålegge kryptering», ikke at det nødvendigvis SKAL være det.

– Vi hadde ikke behøvd noe vedtak om kryptering, det har aldri vært en hemmelighet at Datatilsynet mener dette er data som bør krypteres. Stortinget må ha vært klar over konsekvensene, når man så tydelig signaliserer krypteringsplikt og lagringsplikt til så mange nye aktører. Tanken på at Stortinget ikke skulle ha skjønt at dette ville koste penger, har ikke slått oss.

Datatilsynet har heller ikke spesifisert løsningen, men en standard, understreker han.

– Det vi foreslår, er praktikable krav og basert på ETSI, bransjens egen standard for lagring av data. Vårt system er ikke hyllevare, og her ligger noe av diskusjonen: Telenor lanserer eksempelvis en litt annen løsning, der dataene kvalitetssikres før krypteringen og teleoperatørene får noe større tilgang. Prosessen er ikke ferdig, men bør være klar før påske, sier Thon.

– Dere er opptatte av stø framdrift og å overholde alle tidsfristene i en sak der flere parallelle prosesser skjer med høyt tidspress, og der det ikke er utenkelig at fristene skyves ytterligere. Er ikke det også en måte å utnytte seg av et vakuum på?

– Vi er veldig opptatt at vi ikke skal forsinke prosessen. Vi ble til dels kritisert for å være for aktive i debatten, selv om jeg mener vi har god samvittighet også der. Men nå er det viktig å være overtydelige på at vi har to roller: – En trist dag for personvernet , en annen etterpå. Jeg sa det internt: «Ingen skal kunne si at Datatilsynet trenerer direktivet fordi vi egentlig er imot det.»

– Vi må kunne si ja iblant

Les også:

TUs datalagringsdirektiv

Advarer mot nettovervåking

Kjemper for DLD-rettssak

– En trist dag for personvernet

Slik slettes dine persondata