Christer har 10 spørsmål om den nye overvåknings-loven: - Hvordan sikrer man tilsyn av kildekoden?

- Svikt i rutiner eller datalekkasjer vil få uopprettelige konsekvenser, skriver Christer Solheim Gundersen om e-tjenesteloven.

Det virker svært merkelig at ministeren fremstiller det som om at vi ender opp med et “analogt forsvar” som eneste alternativ til full skala overvåking av det norske folk, skriver Christer Solheim Gundersen. 📸: Espen Røst/Norad
Det virker svært merkelig at ministeren fremstiller det som om at vi ender opp med et “analogt forsvar” som eneste alternativ til full skala overvåking av det norske folk, skriver Christer Solheim Gundersen. 📸: Espen Røst/Norad Vis mer

I en kronikk, publisert på NRK.no i forrige uke, rykker forsvarsminister Bjørn Arild Gram ut for å forsvare nye lovendringer, som i praksis gjør det mulig for e-tjenesten å masseovervåke store deler av den norske befolkningen.

Som begrunnelse for denne typen massive inngrep i folks privatliv skriver ministeren at Norge må kunne forsvare seg mot trusler som spionasje, sabotasje, terrorplanlegging og cyberoperasjoner.

Det virker svært merkelig at ministeren fremstiller å ende opp med et “analogt forsvar” som eneste alternativ til fullskala overvåking av det norske folk.

Det finnes veldig veldig mange alternativer i mellom de to ytterpunktene, og det burde en forsvarsminister vite.

Det er grunn til bekymring

At disse truslene brukes som begrunnelse for at man må overvåke store deler av befolkningen representerer et tektonisk skifte rent politisk, samtidig lurer jeg på om man har vurdert de samfunnsmessige konsekvensene. Hvordan disse inngrepene påvirker folk flest, og deres digitale atferd over tid, har man liten eller ingen kunnskap om.

Når forsvarsministeriet prøver å innføre begrepet “masselagring” i sin kronikk, er det grunn til bekymring. Politisk ledelse burde ikke falle for fristelsen til å starte en semantisk lek med ord.

Overvåkning er overvåkning fra det tidspunktet data er samlet inn. Politikere burde ikke prøver å selge denne saken som noe den ikke er, og heller svarer opp med begrunnelse for sine valg.

«Det må etableres et rammeverk som tar utgangspunkt i null tillit og full etterprøvbarhet.»

Kan få uprettelige konsekvenser

På et tidspunkt ble disse lovendring solgt inn som “digitalt grenseforsvar” som jo var, og er, svært misvisende — helt på grensen til desinformasjon. Når Datatilsynet går ut å kaller dette overvåkning, er det på et faglig grunnlag.

Den mest alvorlige utfordringen knyttet til denne saken er kompleksiteten og det faktum at det er svært mange forskjellige senario hvor dette kan skjære seg monumentalt. Svikt i rutiner eller datalekkasjer vil få uopprettelige konsekvenser for en stor gruppe uskyldige mennesker.

Det er også derfor helt avgjørende at ingen deler av teknisk utvikling, innsamling eller prosessering av disse dataene baserer seg på naiv tillitt til e-tjenesten eller andre institusjoner. Det må etableres et rammeverk som tar utgangspunkt i null tillit og full etterprøvbarhet.

10 spørsmål

Jeg sitter med en rekke spørsmål som jeg lurer på, og dette er spørsmål jeg mener alle politikere som støtter dette forslaget ha kontroll på.

Det jeg lurer på er:

  1. Hvem sitter med den digitale nøkkelen til dette havet med personlige data? Da snakker jeg ikke om den domstolen som gir teoretisk tilgang, men de som faktisk sitter med tilgang til data og infrastruktur.
  2. Hvordan fører man tilsyn med de som overvåker og samler inn data? Hvis det er Stortingets EOS-utvalg, hvordan sikrer man at de har den kompetanse som kreves?
  3. Jeg observerer at forsvarsministeriet i sin kronikk avfeier faglige råd fra Datatilsynet uten å blunke. Et fremtidig tilsyn knyttet til disse dataene som ikke har reell myndighet, sanksjonsmulighet og autonomi vil være svært uheldig?
  4. Hvilke prosedyrer er lagt til grunn når noen aksesserer data? Hvordan vet vi med sikkerhet om døren har “vært åpnet” og data har vært aksessert? En rettskjennelse eller lignende er vel og bra, men det fordrer at noen kan kontrollere og etterprøve at data ikke aksesseres uten rettens godkjenning.
  5. Hvordan sikrer man seg mot at systemene rundt denne platformen utvikles med en eller flere bakdører?
  6. Hvordan sikrer man tilsyn av kildekoden hver gang det rulles ut en ny versjon, for å sikre integritet i alle nye versjoner?
  7. Hvordan lagres data, og hvordan samles de inn og hvordan sikrer man systemet mot lekkasjer og angrep?
  8. Hvis noen har aksessert mine data i forbindelse med en sak, og sjekket meg ut av saken som uskyldig, får jeg da innsyn i hvilke data som har blitt aksessert om meg? Kan jeg be om innsyn alle hendelser hvor mine data har blitt aksessert?
  9. Skal man bruke maskinlæring eller kunstig intelligens (KI) for å analysere data? I så fall, hvordan sikrer man at beslutninger som tas er etterprøvbare? Det er mange situasjoner hvor dette kan være vanskelig, KI er bare et eksempel.
  10. Hvordan sikrer man denne infrastrukturen i ekstreme tilfeller som invasjon eller krig? Har man klare prosedyrer for å destruere data ved slike tilfeller og hvordan ser disse prosedyrene ut?

Hvis man som politiker stiller seg bak endringene i lovverket, uten å ha kontroll på disse spørsmålene som et absolutt minimum, tar man en beslutning på sviktende grunnlag. Flere av mine spørsmål er detaljert, jeg ser den, men denne saken er for viktig til at man som politikere bare kan outsource detaljene til de som skal implementere.