Nordiske mediedager arrangeres digitalt

Konferansen Nordiske Mediedager er en mange arrangementer som ble avlyst på grunn av koronakrisen. Nå melder festivalsjefen at konferansen skal gjennomføres digitalt. Fordelt over to dager får publikum mulighet til å strømme et utvalg sesjoner, og konferansen krever ingen registrering. Kulturminister Abid Raja står for åpningen av programmet den 6. mai. 

LES MER HOS MEDIER24 (24/04/2020)

Reaksjoner på regjeringens nye forslag til e‑tjenester

Denne uken presenterte regjeringen sitt nye forslag til e‑tjenesteloven. Forrige forslag, fra desember 2018, vekket store reaksjoner hos mediene, da loven i praksis la opp til masseovervåking av nordmenns nettbruk. Det som er nytt i dette forslaget er at det vil oppnevnes en advokat for hver sak der E‑tjenesten ber om innsyn i elektrisk kommunikasjon, samt at EOS-utvalget får mulighet til å stanse E‑tjenestens innhenting av metadata. Presse-Norge, med Norsk Journalistlag og Norsk Redaktørlag i spissen, er ikke fornøyde denne gangen heller. De er fremdeles redde for at loven vil svekke kildevernet, og mener forslaget mangler tilstrekkelige tiltak som sikrer trygg kommunikasjon mellom journalister og kilder.

LES MER HOS JOURNALISTEN (23/04/2020)

Schibsted-topp kritisk til Facebook og Zoom i skolen

Ole Jacob Sunde mener Norge bør bygge opp egne digitale verktøy til bruk i skolen, i stedet for å forsyne Facebook og andre amerikanske selskaper med barn, foreldre og læreres personlige data. Sunde peker på at korona-epidemien har vist hvor avhengig vi er av giganter som Facebook og Google, og mener staten bør ta ansvar for at det blir utviklet løsninger Norge selv bestemmer over. Samtidig må norske selskaper må bli langt flinkere til å samarbeide om utvikling av nye digitale verktøy.

LES MER HOS KLASSEKAMPEN (22/04/2020)

Fritt Ord klar med første utdeling av koronamidler

Fritt Ord deler ut 40 millioner kroner i ekstrabevilgning til prosjekter knyttet til digital formidling og/eller som relaterer seg til koronakrisen og den spesielle situasjonen vi befinner oss i nå. Første utdelingrunde er nå gjennomført, og blant mottakerne finner vi blant andre Morgenbladet, Natt & Dag og VårtOslo. Den første runden gjelder prosjekter som har søkt om mer enn 100 000 kroner. Fritt Ord mottok 1220 søknader i denne kategorien.

LES MER HOS MEDIER24 (20/04/2020)

Besøk Medienorge for å lese enda flere medienyheter.

Norges befolkning er spesielt velegnet som objekt for uttesting av mobilsporing. Vi har en klart avgrenset populasjon, stor mobiltetthet og høy tillit til myndighetene. I tillegg er vi dugnadsinnstilt og vant til å ytre oss fritt i sosiale medier.

Samle stordata

Selv om det er frivillig å laste ned appen, har myndighetene gjort det klart at minst 60 prosent av befolkningen bør delta i prosjektet for å sikre effekt, implisitt nok data. Et annet mål med appen er nemlig å samle store data til medisinsk forskning.

Det er rimelig å tenke at appen vil fremskynde registrering også av store mengder ikke-medisinske data om en hel befolkning. Det vil bli interessant å utforske hvilke rørelser Smittestopp bringer med seg, både teknologisk og politisk. Hvem ytrer seg? Hva er argumentene? Hvor er motstanden sterkest når en app med bredt overvåkningspotensiale testes ut på en hel befolkning?

Med kunstig intelligens er slike data enkle å fremskaffe. I en tid der stordata er den nye gullstandarden, vil dataoverskudd fra forskning kunne ha stor kommersiell verdi på det internasjonale marked, slik Shoshana Zuboff  påpeker i sin bok om overvåknings-kapitalismen.

Den nasjonale forskningslaben Simula har allerede gitt lisensen gratis til Island, og de samarbeider nå med kolleger i Storbritannia om koden. Samtidig har de poengtert at aktuelle kommersielle aktører må være beredt til å betale, og bekrefter at de allerede har fått flere slike henvendelser.

Grenseoverskridende

Appen som nå testes ut, er i samfunnskritisk perspektiv et grenseoverskridende eksperiment med potensielt store demokratiske ringvirkninger, nasjonalt og internasjonalt. I kampen mot korona-viruset er norske myndigheter involvert i et verdensomspennende forsknings- og teknologikappløp. Fremskaffer sporingsappen presise nok stordata hos oss, kan Norge bli et signaturland – på godt og vondt.

Mens våre hjemlige kritikere har påpekt manglende åpenhet fra Simula, muligheter for falske meldinger i appen og problemer med kildevern, har 300 IT-forskere fra mange land signert et opprop mot inngripende mobilsystemer for smittesporing i ulike deler av verden. Av «forebyggende sikkerhetshensyn» har mer enn 2500 ansatte i Forsvaret fått beskjed om at de ikke skal bruke appen. Norske jurister har tidligere pekt på usikkerhet rundt personvern og risiko for formålsutglidning.

Økende monitorering

Internasjonalt skjer det en raskt økende, statlig monitorering av mobilbrukere blant annet i Iran, India, Russland, Polen, Israel og Kina, land vi ellers nødig sammenligner oss med. Nettstedet Vice har identifisert 30 land der koronaviruset har åpnet for mer digital overvåkning. 

Ifølge The Guardian har den globale mobilindustrien lenge jobbet for å utvikle et felles, globalt datadelingssystem for å spore mobilbrukere over hele verden. Planene ble inntil nylig benektet av GSMA, den globale organisasjonen for nettoperatører. Fra sitt hovedsete i London samordner de nettoperatører i over 200 land som i sin tur administrerer nærmere tre milliarder mobilkunder. Her er det store penger – og store data – i omløp. I påsken meldte også teknologi-gigantene Apple og Google seg på; også de åpner sine systemer for deling av data — alt i koronaens tjeneste.

Samarbeid med Storbritannia

I Norge begynte snøballen å rulle da Forskningsrådets direktør John-Arne Røttingen fikk en telefon fra forskerkolleger i Oxford. Oppfordringen var klar: om Norge kunne tenke seg å utvikle en egen sporingsapp i kampen mot korona? Derfra var veien kort til Folkehelseinstituttet og den nasjonale forskningslaben Simula.

I en kronikk i VG  ble det presisert at det ville være «ulovlig å bruke dataene til andre formål enn å kontrollere epidemien». Dessuten ville alle individuelle (forfatterens utheving) data bli slettet etter 30 dager. Kronikken var signert tungvekterne i norsk helseforskning: lederne av Folkehelseinstituttet, Forskningsrådet og Direktoratet for e‑helse, samt direktøren for Simula. De presiserte at prosjektet var igangsatt i samarbeid med tilsvarende fagmiljøer og myndigheter i Storbritannia.

Få dager tidligere hadde den største mobiloperatøren i Storbritannia, ifølge The Guardian, startet samtaler med engelske helsemyndigheter og forskere om mulig mobilsporing av korona-smittede.

Senere har engelske myndigheter sagt omtrent det samme som de norske: Appen ville snart være klar og skulle oppfylle de strengeste krav til personvern. Data ville bli anonymisert og skulle kun brukes i arbeidet med pandemien.

Krysskoble data

Ifølge The Guardian er imidlertid engelske data begynt å lekke allerede før den engelske appen er lansert. Avisen har fått innsyn i dokumenter som skisserer hvordan store mengder konfidensiell informasjon om pasienter skulle kunne krysskobles med lokasjonsdata fra sporings-apper og andre sensitive helsedata.

Mens overvåkningskapitalismen brer seg ut, er vi alle deltakere i et stor-skala spill om vår egen demokratiske fremtid.

Astrid Gynnild.

Her i Europa er den nye personvernlovgivningen GDPR knapt implementert, før globale teknologiaktører tilbyr myndighetene tjenester som det nå i en krisetid er vanskelig å avslå. De har grepet momentum, som det heter.

I dette perspektivet er det lett å forstå at politikere, forskere og borgere i demokratiske land er under press fra flere hold: Hva teller langsiktige personvern-hensyn når liv står på spill?

Mens overvåkningskapitalismen brer seg ut, er vi alle deltakere i et stor-skala spill om vår egen demokratiske fremtid. På hvilken måte vi ønsker å delta i det nasjonale spillet om  Smittestopp, er foreløpig opp til den enkelte.

Omtale i The Guardian:  Shoshana Zuboff: ‘Surveillance capitalism is an assault on human autonomy’

Intervju med Shoshana Zuboff: Shoshana Zuboff on the Undetectable, Indecipherable World of Surveillance Capitalism | Centre for International Governance 

Dag Elgesem er filosof, ansatt professor i IKT og samfunn ved Institutt for informasjons- og medievitenskap, UiB.

Anja Salzmann er stipendiat ved samme institutt, engasjert i et prosjekt om nyhetsjournalistikk og mobilteknologi.

Møteleder: Anders Johansen

Gitt den tidvis meget opphetede politiske diskusjonen knyttet til datalagringsdirektivet, ikke minst i kjølvannet av avsløringene av amerikanske myndigheters omfattende overvåkning av nær sagt enhver form for elektronisk kommunikasjon, kunne EU-domstolen kunne knapt valgt en bedre sak for å demonstrere at den tar EU-borgernes grunnleggende rettigheter på alvor.

Forbausende klar dom

Vel så oppsiktsvekkende som utfallet er dommens premisser. EU-domstolen er nemlig forbausende klar: Direktivets regler om datalagring representerer et meget omfattende og særlig alvorlig inngrep i retten til respekt for privatlivet og til beskyttelse av personopplysninger.

EU-domstolens bygninger i Luxembourg (foto: EU-domstolen).

Dommerne anerkjenner riktignok at direktivet forfølger et legitimt formål (kriminalitetsbekjempelse) og de slår også fast at EU-retten ikke prinsipielt er til hinder for enhver form for lagring av teledata, men de er samtidig meget klare på at det må foretas en streng kontroll av om EUs lovgivende organer har sørget for å begrense inngrepet i borgernes grunnleggende rettigheter til det strengt nødvendige. Utfallet av denne kontrollen er oppløftende for personvernet og tilsvarende nedslående for EU-kommisjonen, Europaparlamentet og medlemsstatene som stemte for direktivet i Rådet: Direktivet favner for vidt ved at det på generelt vis krever lagring av alle trafikkdata, uten at der foretas noen sondring, begrensning eller unntak tilpasset det angitte formålet om bekjempelse av grov kriminalitet. Direktivet inneholder heller ingen definisjon av begrepet grov kriminalitet – dette er overlatt til medlemsstatene. Og myndighetenes tilgang til lagrede teledata er heller ikke betinget av samtykke fra en uavhengig instans (en domstol eller et uavhengig forvaltningsorgan).

Ugyldig — med “tilbakevirkende” kraft

Også varigheten av lagringen slår EU-domstolen ned på: Direktivet knesetter en minste lagringstid på seks måneder uten å sondre mellom ulike typer data eller deres nytteverdi i forhold til formålet om kriminalitetsbekjempelse. Og direktivet åpner for lagring helt opp til to år, uten å angi noen kriterier for å sikre at data ikke lagres lenger enn strengt nødvendig. Direktivet sikrer heller ikke ugjenkallelig sletting av data etter lagringsperiodens utløp.

Endelig – og vel med en dårlig skjult henvisning til amerikanske myndigheter – kritiserer EU-domstolen den omstendighet at direktivet ikke krever at dataene skal lagres i EU. Muligheten for lagring utenfor EU medfører at direktivet ikke sikrer at lagringen vil være under EU-rettslig kontroll, noe som ifølge domstolen er helt avgjørende for å sikre at lagringen skjer i overensstemmelse med EU-borgernes grunnleggende rettigheter.

Konklusjonen er knusende: Datalagringsdirektivet er ugyldig. EU-domstolen finner derfor ikke engang grunn til å gå inn på spørsmålet om direktivet også er i strid med ytringsfriheten. Og enda viktigere – i motsetning til domstolens egen generaladvokat er ikke dommerne villige til å holde direktivet kunstig i live inntil EU eventuelt kommer opp med nye, mer begrensede og mer presise regler om lagring av trafikkdata. Dommen rammer følgelig med «tilbakevirkende» kraft: Direktivet har aldri vært gyldig. En konsekvens av dette er blant annet at medlemsstater som tidligere er blitt bøtelagt for ikke å ha overholdt direktivets gjennomføringsfrist, nå kan kreve bøtene tilbakebetalt fra Kommisjonen. Med renter.

Begrenser politikernes handlingsrom

Selv om det er riktig at EU-domstolen ikke stenger døren for enhver form for lagring av teledata, så inneholder dommen meget klare føringer for EUs og medlemsstatenes politiske handlingsrom.

For det første er det grunn til å merke seg domstolens påpekning av at lagring og hemmelig bruk av alle slike data er et skritt i retning av et overvåkingssamfunn:

[T]he fact that data are retained and subsequently used without the subscriber or registered user being informed is likely to generate in the minds of the persons concerned the feeling that their private lives are the subject of constant surveillance (avsnitt 37).

Dommen lest under ett etterlater liten tvil om at EU-domstolen ikke anser dette som noen ønskelig utvikling, for å uttrykke det forsiktig.

Dommerne ved EU-domstolen (foto: EU-domstolen).

For det annet er dommernes anerkjennelse av at EU-retten ikke prinsipielt er til hinder for enhver form for lagring av teledata interessant fordi den er knyttet til den omstendighet at datalagringsdirektivet ikke krever lagring av innholdet i kommunikasjonen. EU-domstolen formulerer seg her på et vis som mer enn antyder at generell lagring av innhold aldri kan rettferdiggjøres (avsnitt 39). I kjølvannet av Snowden-avsløringene kan dette være en rettslig avklaring av større praktisk betydning enn man skulle ønske.

For det tredje er EU-domstolens generelle tilnærming til EU-lovgivers handlingsrom meget interessant: Dommerne slår fast at personvernet er så viktig, og inngrepet som lagringen innebærer så alvorlig, at lovgivernes handlingsrom er begrenset og domstolskontrollen tilsvarende streng:

[I]n view of the important role played by the protection of personal data in the light of the fundamental right to respect for private life and the extent and seriousness of the interference with that right caused by Directive 2006/24, the EU legislature’s discretion is reduced, with the result that review of that discretion should be strict (avsnitt 48).

Dette vil gjelde tilsvarende både for et eventuelt nytt datalagringsdirektiv og for eventuelle nasjonale særlover om datalagring. Og både nasjonale domstoler og menneskerettsdomstolen i Strasbourg må forventes å følge samme tilnærming. Dommen gir med dette også et viktig bidrag i den generelle diskusjonen om maktfordelingen mellom lovgivere og domstoler i konstitusjonelle demokratier. Her vil nok oppfatningene være delte, både blant politikere, jurister, statsvitere og andre. Det er ikke til å komme forbi at de 15 dommerne i EU-domstolens storkammer gjennom denne dommen har satt sin vurdering av avveiningen mellom personvern og kriminalitetsbekjempelse over vurderingen til Europaparlamentet og medlemsstatenes representanter i Rådet, men i motsatt fall ville det ikke være noen realitet i EU-rettens beskyttelse av grunnleggende menneskerettigheter.

EU-dommen, EØS og Norge

Hvilken betydning har dommen så for Norge? Politisk er den direkte pinlig for datalagringsdirektivets forkjempere, men rettslig er betydningen mer indirekte. I motsetning til det mange synes å tro, er datalagringsdirektivet ikke innlemmet i EØS-avtalen. Takket være det islandske Alltingets prinsippfaste motstand mot direktivet er det derfor ikke noe behov for å ta direktivet ut av EØS-avtalen. Den norske lovgivningen som skulle gjennomføre direktivet ble som kjent vedtatt med knapp margin i Stortinget allerede i 2011, men den er ikke trådt i kraft og regjeringen har nå klokelig varslet at den heller ikke kommer til å gjøre det.

EØS-avtalen er ikke til hinder for at norske myndigheter på eget initiativ vedtar nye regler om lagring av teledata, men indirekte vil EU-domstolens dom legge føringer for myndighetenes handlingsrom: Bestemmelsene i EUs pakt om grunnleggende rettigheter som EU-domstolen anvendte i dommen, gjenfinnes i Den europeiske menneskerettighetskonvensjonen som Norge er tilknyttet og som gjennom menneskerettsloven fra 1999 har lovs kraft i Norge.

EU-domstolens dom inneholder flere henvisninger til praksis fra Menneskerettighetsdomstolen, og det er liten grunn til å tro at domstolen i Strasbourg vil innrømme myndighetene noe større handlingsrom enn det EU-domstolen har lagt til grunn. Eventuelle nye norske regler om datalagring må derfor tåle inngående rettslig overprøving av om de er strengt nødvendige for å bekjempe grov kriminalitet og om de dertil tilbyr tilstrekkelige garantier mot misbruk osv. Det er derfor en tung argumentasjonsbyrde som EU-domstolen har lagt på myndighetene.

Også dersom EU skulle forsøke seg med et nytt, forutsetningsvis mindre omfattende og mer presist, direktiv om datalagring, kan EU-domstolens dom vise seg meget viktig for Norge: Et av kravene fra EU-domstolen er mer presise regler om hva de lagrede dataene kan brukes til. Dette forutsetter at et eventuelt nytt direktiv beveger seg lenger inn på strafferettens område. EUs kompetanse til å gjøre dette er kontroversiell internt i EU, men enda mer så i EØS-rettslig sammenheng: Strafferettslige regler faller i utgangspunktet utenfor EØS-avtalen. EØS-relevansen av et eventuelt nytt datalagringsdirektiv vil derfor være enda mer tvilsom enn EØS-relevansen av det direktivet som EU-domstolen nå har underkjent.

Prinsipiell etterpåklokskap

Avslutningsvis er det grunn til å reflektere over hvor langsomt fru Justitias kvern maler: Datalagringsdirektivet ble vedtatt i EU våren 2006. Det tok altså mer enn åtte år før EU-domstolen erklærte det ugyldig. Underveis har det vært flere saker for domstolen hvor den kunne tatt stilling til spørsmålet om den hadde villet, men hvor den dekket seg bak prosessuelle regler og lot gyldighetsspørsmålet henge i luften. Dette kan selvsagt kritiseres. Men kanskje gjorde EU-domstolen likevel klokt i å utsette spørsmålet til det virkelig kom på spissen?

Det kan neppe utelukkes at avstanden i tid fra terrorangrepene i New York i 2001, i Madrid i 2004 og i London i 2005 gjorde det lettere for EU-domstolen å slå ned på EU-lovgivers manglende respekt for personvernet. Fordelen med tregheten i den rettslige etterprøvingen er at det gir rom for prinsipiell etterpåklokskap. I tilfeller hvor betingelsene på vedtakstidspunktet kanskje ikke har vært de beste for prinsipielle diskusjoner, er det slett ikke så dumt.

Nylig viste Vox Publica i artikkelen “Nettet snører seg rundt kildene” hvordan det digitale samfunnet gjør det stadig vanskeligere å holde pressens kilder hemmelige.

Hvilke verktøy kan man egentlig stole på nå?

Brasils svar på dette er å skyte opp en egen satellitt for 560 millioner dollar. Oppskytingen kommer i kjølvannet av president Dilma Rousseffs skarpe USA-kritikk.

Dette er neppe løsningen for mediene eller folk flest. Og mer seriøst: Uavhengig om man snakker om satellitter, mobiltelefoni eller internett, er det ingenting som kan garantere beskyttelse av kildene.

— 100 prosent sikkert er det ikke mulig å få det. Så lenge hensikten er å kommunisere mellom mennesker, ligger det alltid et potensial for at noen greier å høre eller se det som skjer, sier Roar Thon, seniorrådgiver i Nasjonal sikkerhetsmyndighet (NSM).

I de mest kritiske situasjonene anbefaler både han og selvstendig sikkerhetsrådgiver Per Thorsheim å kutte all bruk av elektronikk.

— Hvis jeg skulle varsle om noe fryktelig alvorlig, ville jeg oppsøkt journalisten fysisk hjemme på kveldstid. Jeg hadde ikke tatt bussen, men syklet gangstier uten kameraer og uten noen form for elektronikk på kroppen, sier Thorsheim, som tidligere har jobbet med sikkerhet i PwC, Telenor og Evry.

Ikke bygg egne løsninger

All sikker kommunikasjon på nettet bygger per i dag på kryptering. Kort fortalt handler det om avansert matematikk, som sikrer at ingen andre enn avsender og mottaker får tilgang til kommunikasjonen.

Helt siden 1990-tallet har det pågått en kamp om hvorvidt det skal være mulig å være anonym på internett. Nettstedet The Verge trekker i en artikkel linjene tilbake til et “Cypherpunk”-miljø der Wikileaks-grunnlegger Julian Assange var aktiv helt tilbake i 1995.

Tross amerikanske myndigheter og NSAs iherdige forsøk på å begrense utbredelsen av kryptering og knekke krypteringsalgoritmene, er konsensus at matematikken bak krypteringsalgoritmene fortsatt virker.

Stadig sterkere datamaskiner krever imidlertid stadig lengre krypteringsnøkler. Nylig publiserte EU-organet Enisa en ny anbefaling for hva som kreves for sikker kommunikasjon i nær fremtid.

Tvil såes likevel rundt de aller fleste sikkerhetssystemene som finnes der ute. For selv når krypteringen ikke er knekt, finnes det som regel muligheter til å komme seg rundt den for de som er dyktige nok. En kan heller aldri være sikker på hvilket utstyr som har innebygde bakdører. 30. desember publiserte det tyske magasinet Der Spiegel en artikkel som viste at NSA har skaffet seg bakdører hos de største nettverksutstyrsleverandørene, deriblant Cisco, Juniper og Huawei.

Disse leverandørene er dominerende aktører både i norske telenett og hos norske bedrifter. Oversikten saken baserer seg på stammer imidlertid fra 2008, og flere av systemene er derfor ikke lenger i salg. Samtidig skisserer dokumentet at NSA er på vei til å knekke også andre systemer.

Slike bakdører kan være en effektiv måte å samle inn krypteringsnøkler, for så å kunne dekryptere trafikken, slik Eweek beskriver i denne artikkelen. Mens Ars Technica har sett nærmere på hvordan NSA kan tappe og overvåke systemer, blant annet ved hjelp av USB-kabler eller radar-signaler.

Per Thorsheim har ett budskap til norske medier og andre som vil beskytte seg: unngå for enhver pris å gjøre dette selv.

— En gyllen regel innen sikkerhet og kryptografi er: For Guds skyld, ikke forsøk å lage noe selv. Det sies at det finnes 10–20 mennesker som er i stand til å implementere kryptografi på en god måte. Dette er eksperter i kryptografi som er levende opptatt av å forstå personvern i en digital verden, sier Thorsheim.

Tor og andre verktøy

En av disse er Jacob Applebaum, som står bak et av de mest kjente verktøyene for unngå overvåkning; Tor-nettverket. Han var også bidragsyter til den tekniske løsningen til Wikileaks, og medforfatter av Spiegel-artikkelen (omtalt ovenfor) som avslører hvilke selskaper NSA har greid å skaffe seg bakdører til.

Tor-nettverkets oppgave er å sørge for at brukerne kan være på internett uten å avsløre hvem de er. Det skjer gjennom at nettsiden du besøker kun ser at du stammer fra Tor-nettverket, din nettleverandør vil også kun se Tor-nettverket, mens Tor-nettverket ikke vil vite hvor du kommer fra. Det oppnås ved å videresende informasjon gjennom flere noder, der hver node kun ser avsender og mottaker.

Tor-nettverket har det siste året vokst fra en halv million til fire millioner daglige brukere, og blitt beskyldt for å skjule alt fra narkotikahandel og våpenhandel til botnet og pedofile. I høst stengte amerikanske FBI ned den ulovlige markedsplassen “Silk Road” som baserte seg på Tor-nettverket.

På den positive siden har Tor sørget for at innbyggere og aktivister i land med sensur både kan lese, skrive og kommunisere med andre uten å bli overvåket av myndighetene. Nettverket har på den måten vært en bidragsyter blant annet til den arabiske våren, men brukes også av journalister, varslere og forretningsfolk.

Tor er et av verktøyene stiftelsen Freedom of the Press Foundation støtter i en kampanje til støtte for krypteringsverktøy for journalister. Stiftelsen legger vekt på at verktøyene må være basert på åpen kildekode, slik at flere kan granske koden og lete etter sikkerhetsproblemer.

Stiftelsen har valgt ut følgende løsninger ved siden av Tor-prosjektet:

• Leap encryption access project (utvikling): Et verktøy som skal gjøre det enkelt å sende sikker epost. Begrensninger i epost-protokollen gjør at beskyttelse av metadata og videresending kun kan gjøres av tjenestetilbyderen. Løsningen vil bli lansert i offentlig beta tidlig i 2014.
• RedPhone/Textsecure (videreutvikling): To prosjekter som gjør det enkelt å kryptere telefonsamtaler og sende krypterte meldinger via en vanlig telefon.
• Tails (videreutvikling): Et operativsystem som kan startes på nesten enhver PC via DVD, USB-pinne eller et SD-kort. Målet er at alle brukere automatisk skal opptre sikkert på nettet uavhengig av forkunnskaper. All trafikk rutes for eksempel gjennom Tor-prosjektet. Operativsystemet fungerer og ble koblet til internett 6.100 ganger i oktober 2013.
• Securedrop: En programvare som lar medier sette opp en tjeneste for sikker varsling. Freedom of the Press Foundation tok over ansvaret for programvaren tidligere i høst, etter at initiativtaker Aaron Swartz døde.

Men det finnes også flere andre prosjekter, hvorav noen er:

• Cryptophone: En serie med fullverdige mobiltelefoner med innebygd kryptering, hvorav en av modellene er basert på en sikrere versjon av Android-operativsystemet. Kildekoden er også her åpen for inspeksjon.
• Orbot: App som lar deg bruke andre apper sikkert og anonymt ved hjelp av Tor-nettverket.
• Wickr: App som lar deg sende krypterte meldinger som senere forsvinner. Kan begrense hvem, hvor og hvor lenge en melding kan sees.
• Lantern: P2P-nettverk som lar brukere i usensurerte land donere båndbredde som brukes til å anonymisere brukere i land med sensur.
• “Merkel phone”: Den tyske operatøren Deutsche Telekom selger en versjon av den krypterte telefonen som forbundskansler Angela Merkel bruker. Telefonen er basert på Samsung Galaxy-serien.

En annen stiftelse som jobber for et åpent, beskyttet internett er Open Internet Tools Project (OpenITP), som også deler ut støtte til personer som ønsker å bygge flere slike verktøy.

Digital tillit — en merkevare

Disse verktøyene gir imidlertid ikke mer sikkerhet enn kunnskapen og forståelsen hos de som bruker dem. For eksempel kan metadata i bilder man publiserer via tjenesten eller “cookies” fra nettleseren brukes til å spore Tor-brukere.

NSMs Roar Thon mener det vil være lurt av mediene å benytte egne telefoner og PC-er for sine viktigste kilder.

— Risikoen for å bli sporet i dag er ganske stor. Når vi bruker datamaskin til alt fra jobb til private ting, så er sjansene store for at du allerede har noe på maskinen som kan spore den til deg. Selv om en gjør mye for å sikre kommunikasjonen, er det fare for at dette ikke er nok, sier Thon.

Dette er noe redaksjonene bør rådgi og eventuelt hjelpe kildene med.

— Den første kontakten vil normalt skje på kildenes initiativ. Dermed er det vanskelig å unngå å legge igjen spor i denne fasen, sier Thon.

Advokat Jon Wessel-Aas forteller at han kjenner til at redaksjoner har latt saker ligge til informasjonen om den første kontakten med kilden er slettet hos teleleverandørene. Med innføringen av datalagringsdirektivet i 2015 vil tiden redaksjonene må vente i slike tilfeller bli doblet fra tre til seks måneder.

Han tror enkelte medier i tiden fremover vil skille seg ut som redaksjoner med ressurser og interesse for å ta kildevernet på alvor, og at Wikileaks i en periode var et symptom på at en del kilder ikke lenger stolte på de vanlige mediekanalene.

— Jeg tror noen redaksjoner vil bli oppfattet som mer profesjonelle når det gjelder dette. Hvis de etablerte mediene skal ha tilgang til denne typen informasjon, må de overbevise kildene om at det er trygt å kommunisere med dem, sier Wessel-Aas.

Thon mener også det vil være nødvendig for mediene å få på plass rutiner som gjør journalistene i stand til å vurdere hvordan kilde og kildemateriale skal behandles.

— I min verden bruker vi klassifiseringsnivåer på informasjon, hvor vi går fra ugradert og begrenset til hemmelig og strengt hemmelig. Journalister og media kan heller ikke behandle alle likt, sier Thon.

Dette illustreres gjennom at statsråder, selv med kryptert mobiltelefon, ikke kan snakke om informasjon som er betegnet som “hemmelig” eller “strengt hemmelig”.

Kan nettskyen være en fordel?

Mediene må også vurdere sine kilder ut fra en lignende tankegang. Samtidig ligger selve verdien i mediene av å være i dialog med leserne. Ingen redaksjoner vil trolig ha råd til å jobbe som myndighetene.

Og kun noen få jobber normalt med saker som myndighetene har interesse av å overvåke på denne måten.

Kildevernet trues derfor sannsynligvis oftere av at ledere i privat eller offentlig sektor, i interesseorganisasjoner eller den lokale idrettsforeningen gjerne skulle visst hvem som gikk ut med noe som for dem er kontroversiell informasjon.

I disse tilfellene vil lokale sporings- eller overvåkningsystemer eller lokale IT-løsninger utgjøre en større trussel mot kildevernet.

Derfor peker flere av de Vox Publica har snakket med på at amerikanske nettskytjenester i disse tilfellene kan være bedre enn lokal drift.

— Google er mye dyktigere på drift enn en lokal IT-helt. Dersom Google feiler, blir det en verdensnyhet som slås opp i alle land. Hvis den lokale IT-helten gjør feil, så er det ofte ikke noen som vil få vite om det, sier Anders Brenna, som har skrevet bok om digitalt kildevern.

Brennas poeng illustereres også godt av Dagbladets Null-Ctrl-serie som har avslørt en rekke sikkerhetshull rundt omkring i Norge.

Mediekonsernet Amedia besluttet på forsommeren nettopp å bruke Googles system, noe som har vekket kritiske røster fra Amedias konserntillitsvalgt Eva Stenbro og NJ-tillitsvalgt Lars Johnsen.

Amedia har på sin side vektlagt at deres innhold vil bli lagret i Europa, og at de har oppfylt kravene som stilles av Datatilsynet. Konsernet har i kjølvannet av denne saken uttalt at de mener en overgang til Gmail ikke vil påvirke kildevernet negativt.

Ill: EFF cb

Sikkerhetssjekk for nett-tjenester. Klikk for å se hele grafikken.

Sikkerheten i skyløsninger øker også nærmest dag for dag. I desember annonserte Microsoft at de vil sikre sine tjenester og nettverk med kryptering innen utgangen av 2014. Samtidig åpnet de for å la myndigheter få titte på selskapets kode, for å sjekke at programvaren og tjenestene ikke innholder bakdører.

For vanlige journalister kan en god start være å sjekke hva slags sikkerhet deres tjenesteleverandører tilbyr. Electronic Frontiers Foundation publiserte i slutten av november en oversikt over dagens situasjon.

Det mest slående når jeg ser tilbake på mine samtaler denne høsten er hvor lite overrasket alle er. Holdningen jeg møtte var stort sett at dette var noe man hadde tatt for gitt. De siste tjue årenes teknologirevolusjoner — Internett, den personlige mobiltelefonen, sosiale medier, datalagring i nettskyen — har alle sammen gjort masseovervåkning enklere.

Fra den norske vinmonopoldebatten kjenner vi argumentet om at tilgjengelighet øker muligheten for misbruk, og det samme gjelder tydeligvis også her. I mange tilfelle virker det som om National Security Agency (NSA) har overvåket rett og slett fordi de kan.

Mine samtaler med IT-folket viser heller ingen overraskelse over at det er amerikanerne som ble tatt in flagranti. Dronekrigen og hackerangrepene på Irans atomprogram er bare to av mange eksempler at USA ikke nøler med å bruke sin teknologiske overmakt om landet føler det nødvendig.

Og kanskje mest interessant: Jeg har til gode å møte noen som tror at masseovervåkningen stopper med dette, tross økende motstand i USA. En distriktsdommer konkluderte nylig med at NSAs innsamling av telefondata om amerikanere var ukonstitusjonell, noe som har skapt optimisme blant NSA-kritiske politikere i kongressen. President Obama har også varslet endringer i overvåkningspolitikken.

I et brev til Brasils folk skriver Edward Snowden at den globale overvåkningskulturen er i ferd med å kollapse. Det er kanskje en anelse overoptimistisk, med tanke på at NSA samtidig er i ferd med å bygge datalagre med kapasitet til å oppbevare klodens samlede årlige nettrafikk. Slik handler ikke en aktør som er på vikende front.

Datalagring, spaning, kommersiell overvåkning…

Både i og utenfor EU ser vi dessuten at nasjonale e‑tjenesters samarbeidsavtaler med NSA legger en effektiv demper på kritikken. Norges moralske autoritet på dette området er ikke mye verdt, når vi selv er med på å spionere på sivile afghanere og russere på vegne av amerikanerne.

Snowden-avsløringene er dessuten bare en del av det totale overvåkningsbildet. I skrivende stund ligger EUs datalagringsdirektiv fremdeles an til å bli iverksatt i Norge. Data om nordmenns nettvaner kan nå samles inn i stor skala av private aktører, etter revisjonen av åndsverkloven i 2013.

Edward Snowden presenterte britiske Channel 4s alternative julebudskap (klikk på bildet for å se video).

Vi må leve med at datatrafikk ut av landet kan granskes av svensk etterretning, takket være FRA-loven (hva som skjer med “norske” data utenfor Norden vet vi ikke, men det er rimelig å anta at flere enn svenskene er interessert). Og selvsagt er de fleste av oss utsatt for kontinuerlig kommersiell overvåkning fra aktører som Facebook og Google.

Mot dette bakteppet er det lett å forstå hvorfor brukervanene på nett knapt har endret seg etter Snowden-avsløringene. Følelsen av at det ikke nytter uansett, paret med opplevelsen av at overvåkning ikke merkes i det daglige og sjelden ser ut til å ramme uskyldige, er en hovedårsak til dagens utbredte, stilltiende aksept av tingenes tilstand.

Kryptering hindrer også kriminelle

Når jeg likevel argumenterer for at vanlige brukere i større grad skal ta kontroll over sitt eget personvern, er det ikke bare av prinsipielle årsaker. Vel så viktig for min beslutning om å ta ansvar for eget personvern har vært realisasjonen av at det ikke bare er e‑tjenester som har interesse av mine data. For kriminelle er private data også en potensiell gullgruve.

Som brukere flest lagrer jeg stadig mer data på bærbare enheter, som gjerne er koblet til nettskytjenester med enda større datamengder. Samtidig bor jeg i en by der tyveri av mobiltelefoner er like vanlig som snø i januar, og der jeg selv har opplevd to innbrudd (uoppklarte, selvsagt) på seks år. At 6 prosent i en undersøkelse nylig oppga at de hadde opplevd å få identiteten misbrukt til straffbare handlinger, er et sterkt tilleggsincentiv.

Passordbeskyttelse på PC og telefon har jeg hatt så lenge jeg kan huske, og de senere årene har jeg også kryptert innholdet. Å kryptere en bærbar datamaskin er en relativt grei prosess — det følger med brukervennlige krypteringsverktøy både til Windows, OS X og Linux.

Gratisprogrammet TrueCrypt gjør det lett å kryptere filer eller mapper som lagres på minnepinner og bærbare datamaskiner, som er særlig utsatt for å bli mistet på reiser, for eksempel. TrueCrypt er et av programmene NSA har forsøkt skaffe seg en hemmelig “bakdør” til, noe IT-miljøet svarte på ved å samle inn penger til en profesjonell gjennomgang av programvaren. Status finnes på IsTrueCryptAuditedYet.com.

Prosedyren for nettbrett og mobiler varierer avhengig av produsent, men markedslederne Android og iOS har innebygd kryptering som kan skrus på av brukeren. I mitt tilfelle handlet det om å huke av for et valg i en meny og la telefonen gjøre resten — ingen stor investering for å bedre sikkerheten betraktelig.

Bli mindre synlig på nettet

Det er vanskeligere å beskytte seg på nettet, ikke minst fordi tjenestene vi er avhengige av ofte har overvåkning som en del av forretningsmodellen. I praksis vet Google ofte like mye om hva en typisk bruker er opptatt av som vedkommendes ektefelle, og Facebook benytter stadig mer avanserte metoder for å filtrere innhold og skreddersy reklame basert på persondata.

Det enkleste mottiltaket mot den kommersielle overvåkningen (som i sin tur har vært kildemateriale for NSA), er å logge seg av Google, Facebook og de andre når man ikke bruker dem. Enda tryggere er man om man installerer to ulike nettlesere: én som brukes til nettjenester, og én som aldri brukes til å logge seg på noe.

Det vil imidlertid ikke hindre at IP-adressen, nettadressen som kan spores tilbake til din fysiske adresse, kan loggføres av andre. Dette kan du stoppe ved å installere Tor, et program som anonymiserer effektivt nok til at NSA titulerte sin hemmelige presentasjon om forsøkene på å knekke systemet med “Tor Stinks.”

En annen mulighet er å bruke en leverandør av et såkalt Virtual Private Network (VPN), en kryptert “tunnel” på nettet som beskytter data og maskerer IP-adresser. I høst ble det kjent at NSA kan ha klart å knekke deler av VPN-krypteringen, men ifølge leverandørene er teknologien fremdeles sikker nok for vanlige brukere.

Epost-kryptering kan være plundrete, og man må stole på at mottakeren har gjort alt riktig på sin side. Da Edward Snowden først tok kontakt med journalist Glenn Greenwald, var prosessen med å få Greenwald til å installere epost-kryptering så omstendelig at Snowden var nær ved å gi opp. Her får man håpe at The Dark Mail Alliance lykkes med å skape de de kaller “neste generasjon av privat og sikker epost”.

Sikkerhetstenkning

Den ofte siterte sikkerhetseksperten Bruce Schneier har uttalt at sikkerhet først og fremst er en tenkemåte, en sinnstilstand om man vil. Det beste rådet til IT-brukere i NSA-alderen er å alltid ta muligheten for overvåkning med i beregningen når man tar i bruk et produkt.

Et par eksempler: Bruk sunt nettvett — ikke gi sosiale medier og andre nettsteder mer personsensitiv informasjon enn absolutt nødvendig. Og når du velger å bytte ut en bærbar PC med et nettbrett, så husk hva tidligere NSA-sjef Michael Hayden sa da en selger fortalte ham at det fantes 400.000 apper i App Store: “400.000 apper betyr 400.000 potensielle angrepsmuligheter.”

Men sikkerhetstenkning innebærer også å erkjenne metodens begrensninger. Vi vet at det knapt lar seg gjøre å leve og arbeide normalt i dagens Norge uten å bruke noen overvåkingsvennlige tjenester eller maskiner. Selv bruker jeg både Gmail og DropBox i det daglige, og intet er mer uunnværlig for driften av enkeltmannsforetaket enn smarttelefonen.

Enhver privat strategi for å unngå overvåkning vil med andre ord ha store hull, og takket være det teknologiske våpenkappløpet som nå pågår på nettet vil stadig nye hull åpne seg. I lengden må private brukere sette sin lit til at teknologiselskapene gjør sitt beste for å tette dem. Den gode nyheten er at selskapene ser ut til å erkjenne dette.

Har IT-selskapene og brukerne samme interesser?

Helt siden Snowden-lekkasjene fant veien til offentligheten har det vært uro i de amerikanske teknologiselskapenes rekker. Facebook-sjef Mark Zuckerbergs reaksjon var typisk: “Å herlig. Det er virkelig hjelpsomt for amerikanske selskaper som tilbyr tjenester til folk verden over, og det kommer virkelig til å gi brukerne tillit til amerikanske nettselskaper.”

Og tillit er virkelig nøkkelordet her. Dersom IT-bransjen skal lykkes med å få brukerne til å legge store deler av livet sitt på nett, må brukerne kunne stole på at persondata er sikret mot innsyn. I motsetning til folkevalgte, som kun behøver å forholde seg til velgernes dom en gang iblant, “stemmer” IT-selskapenes kunder hver eneste dag.

Det er også et personlig element her man ikke skal undervurdere. Da to Google-ansatte ble vist en søt liten Post-IT som viser hvordan NSA har brutt seg inn i kommunikasjonsnettverket som binder Google og Yahoos serverparker, “eksploderte de i skjellsord.” For IT-bransjen fremstår NSAs overvåkning som et systematisk forsøk på å undergrave en struktur det har kostet tiår med arbeid og et ukjent antall milliarder dollar å bygge opp.

Diagram tegnet av NSA-ansatte for å vise overvåkning av Googles data (kilde: Washington Post).

Det er mot denne bakgrunnen vi må se IT-selskapens erklæringer om at de fra nå av vil sikre sine systemer i enda større grad enn tidligere. Google-sjef Eric Schmidt sa det slik i en tale i Washington nylig: “Vi kan gjøre slutt på sensur fra myndighetene på et tiår. Løsningen på problemet med overvåkning fra myndighetenes side er å kryptere absolutt alt.”

Obama er under økende press

Parallellt med den tekniske oppgraderingen har man også startet en politisk kampanje. I begynnelsen av desember sto blant annet Apple, Facebook, Google, Microsoft og Twitter bak et åpent brev til president Obama og kongressen, der de ber om dyptgripende reformer av dagens overvåkningspraksis.

På reformgovernmentsurveillance.com presenterer selskapene fem veiledende prinsipper for overvåkning i fremtiden, deriblant at et det etableres et rammeverk for å løse konflikter mellom ulike lands lovverk på området. Med et slikt rammeverk på plass ville det f.eks. være lettere for Afghanistans regjering å handle på vegne av de millioner av afghanere som vår e‑tjeneste etter egen innrømmelse har overvåket.

Da ledere for de samme teknologiselskapene møtte Obama i midten av desember, gjorde de det klart at de hadde en ganske annen dagsorden enn presidenten. Han ville diskutere problemene med nettstedet Healthcare.gov, de ville snakke om hvordan man tøyler NSA.

Det er som sagt uvisst om presidenten kommer til å foreslå endringer som virkelig monner, men presset fra en IT-bransje som Obama er avhengig av å stå på god fot med har uansett løftet spørsmålet opp til toppen av den politiske dagsorden. For en gangs skyld skal vi forbrukere være glade for lobbyistenes innflytelse i Washington D.C.

Overvåkning vil alltid være en del av livet i et moderne samfunn. Men det vi kan håpe på er at Snowden-affæren (som forøvrig langt fra er avsluttet — det vil komme mye nytt materiale i tiden fremover) vil fungere som en så kraftig vekker at det settes en stopper for e‑tjenestenes ukontrollerte tråling etter data fra nett og telefoni.

Vi kan også håpe og forvente at IT-bransjen i større grad enn før kjemper for sine brukeres personvern, både på den juridiske, politiske og teknologiske arena. Kanskje, og forhåpentligvis, vil det nedslående bildet jeg tegner i begynnelsen av artikkelen vise seg å være feil.

I så fall kan vi om noen år være der at brukere ikke behøver å forholde seg til den ovenstående smørbrødlisten av tiltak. At sikkerhet ikke fordrer bevisste valg og til dels store investeringer av tid og krefter, men isteden er standardinnstillingen i viktige systemer, eller noe man enkelt skrur på med ett klikk.

Det vil utvilsomt gjøre hverdagen vanskeligere for dem som overvåker, uansett hvor legitime motivene måtte være. På den annen side: Det er noe overvåkerne burde ha tenkt på før de ga seg i kast med å rokke ved nettets grunnleggende infrastruktur. NSA med samarbeidspartnere har ene og alene seg selv å takke for dagens situasjon.

Vanlige punkter i dagens brukeravtaler (Fra filmen “Terms and conditions may apply”)

Ingenting er gratis

I filmen «Terms and conditions may apply», som ble vist på Bergen Internasjonale Filmfestival i år, er et av hovedargumentene at vi som for forbrukere og borgere er for naive i møtet med Facebook og Google. Selv om noe er gratis, betyr det ikke at disse firmaene er spesielt snille, eller alltid vil vårt beste. De bærer ikke det samme moralske ansvaret staten ofte gjør når den tilbyr gratistjenester. Dette er forretninger. Ingenting er gratis – og dersom du får noe fra firmaene — vil de garantert ha noe tilbake for det. LinkedIn, for eksempel ønsker seg:

… a nonexclusive, irrevocable, worldwide, perpetual, unlimited, assignable, sublicenseable, fully paid up and royalty-free right to us to copy, prepare derivative works of, improve, distribute, publish, remove, retain, add, process, analyze, use and commercialize, in any way now known or in the future discovered, any information you provide, directly or indirectly to LinkedIn, (…) without any further consent, notice and/or compensation to you or to any third parties. Any information you submit to us is at your own risk of loss. (Min egen utheving)

Kort sagt: LinkedIn kan gjøre hva de vil, når de vil med informasjonen din.  Slike eller lignende avtaler har også firmaer som Facebook, Snapchat, Tinder og Instagram. Dersom du bruker noen av disse tjenestene, har du allerede sagt ja til en hel rekke villkår, og sagt fra deg en hel del rettigheter via lange kontrakter. Sannsynligheten er stor for at du ikke har lest disse kontraktene. Brukeravtaler som den vist over virker ikke spesielt sympatiske. Plutselig ble det ikke så fristende å bruke LinkedIn til noe som helst. Disse selskapene tar ikke sjelen din. Men du ender opp med å gi fra deg en hel del andre ting i det øyeblikket du laster ned appen, lager deg en konto, eller begynner å bruke programmet.

Delt ansvar

Det er vår egen feil at vi ikke leser kontrakter vi sier ja til. Men firmaene det er snakk om gjør ikke saken bedre. De har gjort det lettest mulig for oss å si ja uten å forstå. Dersom man ønsker å sette seg inn i konsekvensene av sine egne handlinger, må man både ha veldig god tid, og høyere utdannelse. I «Terms and conditions may apply» får vi vite at en må sette av 180 timer per år, eller en hel måned med arbeid, dersom en skulle lese alle dokumentene vi sier ja til.  Nylig slo en studie fast at Googles brukerbetingelser (EULA) er like vanskelige å lese som det episke diktet «Beowulf», når det kommer til bruk av vanskelige ord og generell setningsoppbygging. Videre hevder forskerne i studien at kun en liten del av de som leser betingelsene, faktisk vil klare å forstå dem – på grunn av svært komplisert juridisk og teknisk språk. Med tanke på Googles posisjon og funksjon i samfunnet, begynner dette å ligne på et problem som angår om ikke alle, så i hvert fall svært mange.

(Foto: Colourbox)

Er det egentlig så farlig?

I “Terms and conditions may apply” argumenterer filmskaperene overbevisende for at innsamlingen og systematiseringen av detaljerte persondata er uheldig. Ikke minst på grunn av konsekvensene av at firmaene selger denne informasjonen videre til andre.  I 2008 fikk en rekke amerikanske bankkunder kredittgrensen sin redusert betraktelig. En av disse var en forretningsmann, som fikk trøbbel med å betale for hotelloppholdet sitt. Kredittkortfirmaet oppga hans handlehistorikk som grunn for reduksjonen. Han hadde nemlig handlet på en butikk (Wal-Mart) hvor mange av de andre kundene hadde dårlig betalingsevne.  I Nederland solgte et GPS-firma informasjon om sine brukere til myndighetene, som deretter satte opp fartsmålinger langs strekningene hvor bilistene kjørte raskest.

Verdt å protestere mot

Noen av disse eksemplene virker kanskje virkelighetsfjerne i en norsk kontekst. Men mye av den samme informasjonen samles inn fra norske brukere. Her er det utvilsomt et poeng i å være på vakt. Og det er garantert verdt å undersøke hva man faktisk har gitt ulike applikasjoner tilgang til — og vurdere om man virkelig trenger programmet. Det burde også være et poeng i å si fra. Dersom firmaene taper inntektskilden sin – altså  brukere – kan det jo godt tenkes at de endrer praksis. Kravet om klarspråk i statlig kommunikasjon og formidling bør også gjelde for private aktører. Det er ikke så mye forlangt å ønske seg disse dokumentene i en språkdrakt folk faktisk kan forstå.  Sist men ikke minst burde vi være årvåkne ovenfor nye regler og lover som tillater utvidet sanking, lagring og bruk av personlige data.

Advokatselskapet skriver i sin klage til Personvernnemda:

Advokatfirma Simonsen har et bredt mandat fra rettighetsorganisasjonene, men iverksetter utredning etter konkrete oppdrag – de overvåker ikke internett generelt. Det finnes prioriterte lister over låter, filmer etc som skal overvåkes, dette er lister som rullerer. Utreder søker etter konkrete verker og deretter ser de på IP-adressene som kan knyttes til det krenkede verket. Utreder oppsøker også nettsteder hvor krenkelser erfaringsmessig finner sted.

Ikke nok med det. Kampanjen Dele — ikke stjele organiserer 37 norske rettighetsorganisasjoner som mener at ordningen med privat overvåking bør utvides og at konsesjonsfri rett til overvåking av norske innbyggere bør tillates — for kulturlivet! Enhver rettighetshaver eller organisasjon bør altså kunne iverksette overvåking av enkeltpersoner og nettsteder og samle inn sensitive personopplysninger om hvem som helst, såfremt de mistenkes for brudd på opphavsretten. Når også Norsk Journalistlag fronter en slik holdning, blir spørsmålet om varsling og kildevern i vår digitale verden ekstra aktuelt og satt på spissen. Hvis ikke journalistene ser verdien av kildevern, hvem skal vi forvente gjør det da?

Visst er det forbudt å stjele, og det er forståelig at rettighetshavere ønsker å beskytte sin eiendom. Men hvorfor er det rimelig at de som mistenkes for å rappe og dele Bjørn Eidsvågs album digitalt fritt bør kunne overvåkes og registreres i regi av hvem som helst, mens overvåking av potensielle konemishandlere, pedofile, innsidehandlere, landeveisrøvere og industrispioner i norsk næringsliv må være gjenstand for politiets tilfeldige priotering av ressurser. Mange vitale interesser kunne vært sikret med mer overvåking, mer datainnsamling og mer datalagring. Kanskje. Men vi er også et fritt og demokratisk samfunn, og av den grunn er vi pålagt å veie rettststatsprinsippene mot feks plateselskapenes og artistenes økonomiske interesser.

Overvåking som terapi for teknologiangst

Rettighetsorganisasjonenes maniske jakt på fildelerne kan like godt hevdes å være et forsøk på å presse befolkningen inn i rettslige og teknologisk foreldede forretningsmodeller. Fildeling er en effektiv måte å distribuere innhold på, som kulturindustrien angstbitersk har bekjempet siden Napster. Framfor å gjøre det lettere å kjøpe og dele opphavsrettlig beskyttet innhold lovlig, har kulturlivet innbitt bekjempet enhver løsning som forbrukerne har vist at de ønsker.

I det siste har vi fått streaming, via Wimp og Spotify, som for min del innebærer at jeg nå månedlig betaler for å leie musikk. Og jeg er ikke den eneste som ikke lenger forholder meg til CDer. Til tross for dette insisterer norsk kulturliv på døende forretningsmodeller, og hevder innbyggernes foretrukne måter å forbruke og dele kulturelt innhold er kriminalitet. Til tross for at det statistisk altså viser seg å være lønnsomt.

Med dette bakteppet framstår jakten på fildelerne som panisk og livsfarlig. Dersom det etablerer seg en norm og en kultur for privat overvåking, vil også det omstridte Datalagringsdirektivet framstå som rasjonelt; hvorfor ikke liksågodt lagre alle digitale spor for alle innbyggere, i tilfelle det senere skulle vise seg å finnes dokumentasjon på lovbrudd. Hvor lang tid tar det før kulturindustrien (og andre) krever innsyn i de offentlige dataregistrene? Paradoksalt nok er altså Norsk Journalistlag for fri rett til privat overvåkning av mistenkte brudd på opphavsretten, men mot offentlig lagring av data (Datalagringsdirektivet) til bruk i etterforskning av strafferettslige lovbrudd i politiets regi.

Personvern, kildevern og varslervern

For kildevernet er denne prinsippløse holdningen fra journalistlaget — både til sitt eget fag journalistikken og til rettsstatsprinsippene, fullstendig ødeleggende. For varslerne og øvrige kilder vil en generell fullmakt til privat etterforskning medføre at kanalene til offentligheten stenges. Hvem vil ønske å kritisere, varsle eller uttale seg, dersom man vet at enhver organisasjon kan gjennomføre systematisk etterforskning — både i forkant og etterkant.

I en slik verden forstår man kanskje bedre hvordan en organiasjon som Wikileaks dekker et helt nødvendig behov. Behovet for beskyttelse av anonyme varslere og kilder blir helt avgjørende i en verden hvor rettsstatsprinsippene i økende grad reduseres til hinder i beskyttelsen av enhver bransjes mer eller mindre legitime økonomiske interesser. For fildeling er ikke bare brukt til opphavsrettslige ulovligheter. I like stor grad representerer fildeling en effektiv distribusjonsform av lovlig og demokratisk nødvendig informasjon og innhold. Det har Wikileaks vist oss.

Jeg har atskillig større forståelse for det amerikanske behovet for økt sikkerhet rundt sine ambassader, enn visesangerens suverene og ukontrollerte rett til å etterforske innbyggernes påståtte ulovligheter på nett. Men begge disse sakene viser at debatten for eller mot Datalagringsdirektivet (DLD) ikke helt dekker de utfordringene vi står overfor når det gjelder personvern, kildevern og vern av varslere.

For helt på siden av DLD-debatten og den påståtte overvåkingsskandalen ved USAs ambassade, fortsetter altså advokatfirmaet Simonsen ufortrødent sin private etterretningsvirksomhet helt uten offentlig kontroll. Betryggende?