IKT-NORGES HØRINGSSVAR - ENDRINGER I POLITILOVEN, POLITIREGISTERLOVEN OG POLITIREGISTERFORSKRIFTEN - PSTS ETTERRETNINGSOPPDRAG OG BRUK AV ÅPENT TILGJENGELIG INFORMASJON

1. INNLEDNING

IKT-Norge viser til departementets høringsbrev av 7. oktober 2021, hvor det bes om innspill til forslag til endringer i politiloven og politiregisterloven mv. – PSTs etterretningsoppdrag og behandling av åpent tilgjengelig informasjon.

IKT-Norge er en uavhengig interesseorganisasjon som jobber for å styrke rammebetingelsene for det digitale næringslivet og være en pådriver for digitalisering og omstilling. Våre medlemmer er store og små bedrifter fra ulike næringer med et felles ståsted i teknologi og digitale løsninger. Ytterligere informasjon om oss er tilgjengelig på www.ikt-norge.no.

Den teknologiske utviklingen er en av de sterkeste drivkreftene i samfunnsutviklingen, og utviklingen av teknologi og samfunn genererer stadig nye dilemmaer vi må ta stilling til. Hastigheten i endringene, og den gjensidige dynamikken i utviklingen, krever vi må ta grundige og gjentagende diskusjoner om ønsket samfunnsutvikling. Dette må drøftes opp mot effekten enkelttiltak har på den ønskede utviklingen. Ytringsfrihet og personvern er et av disse områdene. IKT-Norge mener det er flere sider som ikke er godt nok drøftet i forslaget.

Vi vil i denne høringen ta opp fire områder vi mener må behandles grundigere:

1. Mulig nedkjølingseffekt som brems for digitalisering av samfunnet
2. Inngripende tiltak krever sterkere begrunnelse
3. Automatiserte analyseverktøy og beslutninger
4. Potensielle positive ringvirkninger - “sivilisering” av debattklimaet

2. NEDKJØLINGSEFFEKT SOM BREMS FOR DIGITALISERINGEN AV SAMFUNNET

IKT-Norge er ikke prinsipielt imot overvåking i enhver sammenheng og er innforstått med at overvåking kan være nødvendig for å hindre og for å oppklare ulovlige hendelser. Enhver form for overvåking fra det offentlige må imidlertid i et demokratisk samfunn være gjenstand for kritiske vurderinger og være meget godt begrunnet.

IKT-Norge er som bransjeorganisasjon for IKT bransjen spesielt opptatt av nødvendigheten av kritiske vurderinger og gode begrunnelser på grunn av faren for nedbygging av tillit og nedkjølingseffekt overvåking kan ha på bruken av digitale tjenester. Unødvendig, for dårlig diskutert og begrunnet, eller manglende forståelse fra samfunnet om behovet for overvåking fra myndighetene, kan vise seg å være til hinder for den digitalisering som bransje og myndigheter er enige om at må gjennomføres.

Enhver form for overvåkning av internett fra myndigheter vil kunne gi en nedkjølingseffekt for tilliten til og bruken av digitale tjenester. Dette vil ikke bare begrense ulovlige eller tvilsomme ytringer, eller ytringer av personer som har til hensikt å utføre ulovlige handlinger, men også kunne begrense bruken av en rekke personer som av forskjellige grunner ser det som ubehagelig at alt det man gjør på internett overvåkes av myndighetene. Slik nedkjølingseffekt vil kunne være negativt for digitaliseringen av Norge og bruk av digitale plattformer.

Departementet er åpenbart også opptatt av nedkjølingseffekten. Begrepet «nedkjølende effekt» benyttes tre ganger i departementets høringsnotat, i relasjon til forslagets virkning på ytringsfriheten. Første gang begrepet benyttes, er det for å konstatere at forslaget kan tenkes å ha slik effekt, se s. 14:

«Selv om det ikke legges begrensninger på retten til å ytre seg, vil forslaget her kunne tenkes å ha en nedkjølende effekt på ytringsfriheten. Enkelte kan tenkes å ville modifisere eller sensurere ytringene sine, eller helt unnlate å ytre seg på internett, av frykt for eller kunnskap om at ytringene vil kunne lagres hos PST. Departementet legger derfor til grunn at forslaget etter omstendighetene vil kunne utgjøre et inngrep i ytringsfriheten.»

En variant av det samme gjentas to ganger i departementets oppsummering av konsekvenser av forslagene, på s. 21. Det foretas imidlertid ingen vurdering av nedkjølingseffekten som overvåkingen kan få på bruken av digitale tjenester.

Etter vårt syn er departementets vurdering av nedkjølingseffekten for overfladisk. Det departementet gjør, er en ren konstatering av at forslaget vil kunne ha en nedkjølende effekt. Det gjøres ikke noe forsøk på å kvantifisere effekten, og vurderingen begrenses til at «enkelte» vil kunne tenkes å modifisere eller sensurere seg. Betydningen forslaget har for tilliten til digitaliserte tjenester, samt betydningen av at frimodige ytringer kan bli sensurert, er ikke drøftet i det hele tatt.

IKT-Norge finner grunn til å påpeke at faren for nedkjølingseffekt er reell, og slik effekt vil kunne være skadelig for både norsk offentlig debatt og norsk næringsliv. Dersom det vedtas en lov basert på et lovforslag som ikke grundig anerkjenner dets problematiske sider, vil dette kunne gi usikkerhet for borgerne. Usikkerheten vil igjen kunne gi seg utslag i en redusert offentlig debatt, og i tillegg brems i digitaliseringen av samfunnet. En åpen debatt og digitaliseringen er avhengig av at borgerne har tillit til digitale tjenester og myndighetenes beskyttelse av både disse og ytringsfriheten.

Et av forholdene som kan være negativt for norsk næringsliv, er mangelen på kontrollmekanismer for tiltakene som lovforslaget legger opp til. Det foreslås en altomfattende innsamling av alt ikke-passordbeskyttet materiale på åpne internettsider. Kontrollmekanismene som skal gjelde, er for det første regelen om tilgangslogging i politiregisterloven § 21-8. Dette er imidlertid ikke et tiltak som går lenger enn det nærmest alle bedrifter har i dag som del av sin informasjonssikkerhet. For øvrig forutsettes kontroll med de nye hjemlene å utøves av EOS-utvalget, men innenfor gjeldende økonomiske rammer.

Mangelen på formålsbegrensning, nødvendighetsvurdering og domstolskontroll, har paralleller til Schrems II-avgjørelsen fattet av EU-domstolen sommeren 2020. Bakgrunnen for avgjørelsen er amerikanske myndigheters overvåkingsprogrammer, som gjør at europeiske borgeres personvern anses truet når deres personopplysninger blir behandlet av amerikanske selskaper. Selv om det aktuelle lovforslaget gjelder «åpen» informasjon, er det grunn til å reflektere over hvilket signal dette sender utover landets grenser – og hva konsekvensene for norsk digitalt næringsliv kan bli. Uavhengig av om det som samles inn er «åpen» informasjon, har tiltaket likevel karakter av masseovervåkning og kan bli bedømt deretter. Det er her også grunn til å reflektere over at det virker som norske myndigheter nå ønske gå lenger enn våre nordiske naboland i muligheten for masseovervåkning av innbyggerne.

3. INNGRIPENDE TILTAK KREVER STERK(ERE) BEGRUNNELSE

Det er et grunnleggende prinsipp i en rettsstat at Statens inngrep i borgernes frihet må være sterkt begrunnet. I EMK konkretiseres dette til at inngrep må være strengt nødvendig i et demokratisk samfunn, og være proporsjonalt i forhold til det legitime formålet som forfølges.
Lovforslaget åpner for innsamling av store mengder åpent tilgjengelig informasjon, uten at det foretas noen nærmere vurdering av om opplysningene er nødvendige, og uten å angi noen spesifikke formål. Departementet skriver likevel på s. 20 i høringsnotatet:

«Dette vurderes imidlertid som nødvendig for å sette tjenesten i stand til å ivareta oppgaven som innenlands etterretningstjeneste på en forsvarlig måte.»

Dagens politiregisterlov er basert på at opplysninger bare kan behandles dersom dette er nødvendig og relevant for nærmere angitte formål. Dette er gode prinsipper som det er vanskelig å se hvorfor skal fravikes. Spørsmålet blir da om det lar seg forsvare, når inngrepet vurderes i forhold til oppgaven som etterretningstjenesten skal ivareta.

Oppgaven som skal ivaretas og tilrettelegges for gjennom lovforslaget, fremstår imidlertid som svært tynt begrunnet. Det fastslås innledningvis, på notatets side 5, at man må lagre, systematisere og analysere større mengder åpent tilgjengelig informasjon, for å kunne kartlegge eller følge med på utviklingen i digitale trusler over tid. Dette fremstår imidlertid mest som et postulat, og underbygges ikke verken med konkrete eksempler på situasjoner som kan avverges ved tiltaket, erfaringer fra andre land, eller tilsvarende. Det nærmeste man kommer en tilsvarende hjemmel i andre land, er den danske politiloven § 2 a. Denne gir hjemmel for «..at politiet kan samle inn og behandle opplysninger fra offentlig tilgjengelige kilder når det er nødvendig av hensyn til utførelsen av politiets oppgaver.», se høringsnotatet s. 14. Også her er det imidlertid krav om at aktiviteten må være «nødvendig». Vi hadde forventet å se en begrunnelse for at tiltaket kan ha en faktisk effekt, som et minimumskrav for å akseptere inngrepet i borgernes rettssfære.

Inngrep i borgernes rettssfære som er tynt begrunnet, kan tenkes å være akseptable likevel – dersom de underlegges strenge rettssikkerhetsmekanismer. Som nevnt over, forstår vi imidlertid lovforslaget slik at det ikke legges opp til noen særskilt kontroll med innsamlingen eller PSTs bruk av det innsamlede materiale, utover EOS-utvalgets kontroll. Særlig i lys at det også foreslås unntak fra kravene til kvalitet og kravene tilknyttet behandling av særlige kategorier av personopplysninger, fremstår dette som noe underlig. Det kan etter vårt syn med fordel utredes om den enkelte sak hvor PST ønsker tilgang til materialet, bør underlegges domstolskontroll.

Lovforslaget gjelder bare åpent tilgjengelig informasjon. Dette vil lett føre til at den aktivitet man ønsker å overvåke bare vil bli flyttet over til områder hvor det vil kreves forsering av passord eller lignende beskyttelsesmekanismer. Ethvert ytterliggående miljø vil kunne unndra seg overvåkning av sine diskusjoner, ved å implementere helt enkel passordbeskyttelse, eller siling av medlemmer (slik at tilgang vil kreve aktiv fordekt opptreden, jf. etterretningstjenesteloven § 6-2). Slike forhold synes ikke å være vurdert av departementet. Det kan spørres om en slik effekt er ønskelig og virkningen av dette.

4. AUTOMATISERTE ANALYSEVERKTØY OG BESLUTNINGER

I høringsnotatet foreslås det en uttrykkelig adgang for PST til å benytte automatiserte analyseverktøy.

Det at forslaget åpner for at PST kan bruke algoritmer på store mengder data om samtlige borgere for å finne sannsynligheter for mulige kriminelle handlinger i fremtiden, aktualiserer andre problemstillinger enn om man bruker teknologien til å målrettet søke tilbake i tid for etterforskning av spesielle miljøer eller konkrete personer.

Dette har sammenheng med problemstillingen om at automatisk profilering og beslutninger gir risiko for uberettiget mistanke og diskriminering. IKT-Norge vil fremheve risikoen for nedkjølingseffekt, og redusert tillit i samfunnet, dersom det ikke oppstilles sterke rettssikkerhetsgarantier for å forhindre uberettiget mistanke og diskriminering som følge av bruk av slike verktøy.

Lovforslaget er etter vårt syn tvetydig når det gjelder hva automatiske analyseverktøy skal og ikke skal kunne brukes til. Utgangspunktet som foreslås som ny regel i politiregisterforskriften, er simpelthen at behandling av opplysninger for etterretningsformål skal kunne skje ved bruk av automatiserte analyseverktøy. Selve forskriftsteksten oppstiller altså ingen begrensning i bruken av slike verktøy, utover at formålet må være etterretningsformål. Begrepet etterretningsformål er ikke definert i regelverket som danner rammene for PSTs virksomhet. Dette innebærer i utgangspunktet at den nye regelen kan gi en svært vid hjemmel for PST til å bruke automatiserte analyseverktøy. På den annen side opererer høringsnotatet tilsynelatende med en egen definisjon av etterretningsformål:

«Eventuelle automatiserte analyseverktøy må innrettes slik at disse brukes til etterretningsformål, det vil si for å kartlegge trender og utviklingstrekk innenfor PSTs ansvarsområde, og i denne forbindelse utarbeide analyser og etterretningsvurderinger. Bruk av automatiserte analyseverktøy kan dermed ikke skje med det formål å kartlegge enkeltindividers aktivitet på nett.»

Dersom denne definisjonen legges til grunn, innebærer etterretningsformål kun å «kartlegge trender og utviklingstrekk», og PST avskjæres således fra å bruke automatiserte analyseverktøy opp imot enkeltpersoner. Det er i tilfelle i tråd med hensynet til diskrimineringsvern, som blant annet ligger til grunn for regelen i GDPR artikkel 22 (retten til å ikke bli utsatt for automatiserte individuelle avgjørelser, herunder profilering).
Vernet som her tilsynelatende oppstilles, uthules imidlertid senere i høringsnotatet. Det fastslås nemlig at PST likevel kan bruke opplysninger de «kommer over» for etterretningsformål, til å registrere enkeltpersoner i PSTS øvrige registrerte:

«Dette innebærer eksempelvis at dersom PST, når de bruker opplysninger for etterretningsformål, kommer over opplysninger om en person som det er grunn til å undersøke om forbereder et straffbart forhold som PST skal forebygge, vil de kunne registrere denne personen i sine alminnelige registre. Det samme vil gjelde dersom PST får tips om en person det er knyttet en bekymring til, og de avdekker opplysninger som kan danne grunnlag for en forebyggende sak ved et søk i det sperrede materialet.».

Basert på lovforslaget slik det står, er det etter dette uklart i hvilken utstrekning man har ment å tillate bruken av automatiserte analyseverktøy til å etterforske og forfølge enkeltpersoner, og hvilke rettssikkerhetsgarantier som i så fall skal gjelde. Bruken av slike verktøy reiser etiske problemstillinger som i liten grad er berørt i høringsnotatet. Herunder inneholder notatet ingen refleksjoner om i hvilken grad allmennheten skal ha innsyn i eksempelvis maskinlæringsalgoritmer som avgjør om PST har grunn til å undersøke om en enkeltperson forbereder straffbare forhold.
Etter IKT-Norges mening må det gjøres mye tydeligere hva PST skal ha adgang til å bruke automatiserte analyseverktøy til, særlig bruk rettet mot enkeltpersoner. En slik tydeliggjøring forutsetter også en bredere debatt om dette enn det som foreløpig har vært tilfelle. Dersom bruk av automatiserte analyseverktøy mot enkeltpersoner skal tillates, forutsetter det i alle tilfelle en klar hjemmel i lov, og ikke en åpen forskriftstekst slik høringsnotatet legger opp til.

5. POTENSIELLE POSITIVE RINGVIRKNINGER – «SIVILISERING» AV DEBATTKLIMAET?

En mulig positiv side av denne masseovervåkningen, er at den potensielt kan dempe hets og andre usaklige meningsytringer på internett. Dette ved at borgerne blir klare over at deres utsagn på internett vil kunne bli registrert, og fulgt opp av myndighetene. Dersom forslaget kan bidra til å dempe nett-troll, hets av minoriteter og så videre, vil det være positivt for ytringsfriheten totalt sett i den forstand at minoriteter vil kunne få lavere terskel for å ytre seg.

Vi har i mange år sett tendens til at ytringsfriheten beskytter de sterke mer enn de svake. Homofile utsettes for mer hets enn heterofile, innvandrere mer enn ikke-innvandrere, etc. Med andre ord kan det som ellers er det ideelle – sterk ytringsfrihet – ha så negative effekter at dets ulemper veier tyngre enn fordelene. En potensielt positiv bivirkning med lovforslaget er etter IKT-Norges syn at man «kjøler ned» den «skadelige» delen av debatten – ved at folk besinner seg som følge av vissheten om at deres ytringer vil bli fanget opp og potensielt brukes mot de ved en senere anledning.

Hvorvidt en slik nedkjølende effekt er en ønskelig og tiltenkt effekt av lovforslaget, er imidlertid en annen sak. Det kan stilles spørsmål ved om PSTs overvåkning er nødvendig i en slik sammenheng i tillegg til den kontrollen som ellers foregår på nettet. Uansett mener IKT-Norge at slike vurderinger også må gjøres når vi diskuterer de juridiske rammene for ytringer på internett og andre sider ved digitaliseringen av samfunnet. Det enkelte tiltak kan ikke sees helt isolert hver gang lovgivning vurderes, men må settes i sin sammenheng – og de totale virkningene på borgernes rettigheter og friheter, samt samfunnets rammebetingelser, må vurderes.

6. OPPSUMMERING

Oppsummeringsvis er IKT-Norge av den oppfatning at lovforslaget kan ha en nedkjølingseffekt og det fremstår som dels tynt begrunnet – samtidig kan det ha visse positive ringvirkninger som ikke er synliggjort i høringsnotatet.

IKT-Norge vil påpeke at faren for nedkjølingseffekt er reell. Vedtagelse av en lov uten grundig anerkjennelse og håndtering av lovens problematiske sider, vil skape usikkerhet hos borgerne. Usikkerheten vil igjen kunne gi utslag i redusert offentlig debatt, og bremse digitaliseringen av samfunnet. IKT-Norge vil advare mot å vedta en slik lov uten at betydningen for åpen debatt og tilliten til digitale tjenester er grundigere vurdert. Vi vil understreke behovet for sterkere kontrollmekanismer enn det lovforslaget legger opp til, herunder klarere formålsbegrensning.

Det må videre understrekes at et slikt inngrep i borgernes frihet, må være sterkere begrunnet enn det lovforslaget er på nåværende tidspunkt. Det er uklart hvilket behov inngrepet skal oppfylle, og det redegjøres ikke for hvilken nytte masseinnsamlingen av åpen informasjon vil kunne ha. Det reflekteres heller ikke særlig over faren for at aktiviteten man ønsker å overvåke flyttes til “lukkede områder” områder, når lovforslaget begrenses til «åpent tilgjengelig informasjon». Særlig sett i lys av de relativt svake kontrollmekanismene som er foreslått, fremstår behovet for inngrepet i borgernes frihet som for tynt begrunnet. Et eksempel på forhold som må tydeliggjøres og diskuteres grundigere, er bruken av automatiserte analyseverktøy overfor enkeltpersoner.

IKT-Norge ønsker å fremheve den mulig positive effekten ved lovforslaget, nemlig at det potensielt kan dempe hets og usaklige meningsytringer på internett. Vissheten om at alt man uttrykker blir overvåket, kan potensielt føre til at man demper seg og avstår fra de mest ytterliggående utspillene. En slik utvikling vil i tilfelle kunne være positiv for svakere grupper i samfunnet, som i dag har en mindre reell ytringsfrihet nettopp grunnet frykten for hets og usaklige tilbakemeldinger. Denne potensielle positive effekten synes imidlertid ikke å være vurdert, og det kan stilles spørsmålstegn ved om overvåkning ved PST er det riktige tiltaket mot dette samfunnsproblemet.

IKT-Norge takker for anledningen til å gi bransjens innspill på dette viktige området, og kan stille opp på kort varsel hvis departementet ønsker ytterligere presiseringer eller diskutere andre sider ved denne høringen.

Med vennlig hilsen

Øyvind Husby
Administrerende direktør
IKT-Norge