Har du sendt e-post? E-tjenesten kan ha lagret emnefeltet.

Etterretningstjenesten får kritikk for ulovlig lagring av emnefelt i e-post. Sjefen for E-tjenesten innrømmer at de har lagret en datatype de ikke skulle ha lagret.

Tidligere justisminister Grete Faremo er leder av EOS-utvalget. Foto: Ole Berg-Rusten / NTB

Utvalget kritiserer E-tjenesten for den «ulovlige lagringen av emnefelt i e-post» som blir fanget opp ved kontroll av grenseoverskridende elektronisk kommunikasjonkontroll av grenseoverskridende elektronisk kommunikasjoninnhenting av elektronisk kommunikasjon som transporteres over den norske grensen.

– Kontrollutvalget har som mandat å sikre at det ikke finner sted brudd på enkeltindividers rettigheter og at den virksomheten E-tjenesten utfører føres innenfor de rettslige rammer som er satt av Stortinget, sier Faremo.

– Derfor har vi lagt frem en særskilt melding om at E-tjenesten har lagret ulovlig innholdsdata i tilknytning til denne metoden og også kritisert den tiden det tok å utbedre, sier hun videre.

– Hvor alvorlig vil du si dette er?

– Vi uttrykker kritikk, men jeg vil avstå fra å kvalifisere det ytterligere.

Leder av EOS-utvalget, Grete Faremo, overleverte særskilt melding til stortingspresident Masud Gharahkhani onsdag morgen. Foto: Peter Mydske, Stortinget

Stort antall nordmenn kan være rammet

Spesialrådgiver i Datatilsynet, Jan Henrik Mjønes Nielsen, er imidlertid klar. Til Aftenposten sier han at det som er avdekket er «svært alvorlig».

– Dette er en ulovlig overvåking som potensielt rammer et stort antall personer. Vi mener E-tjenesten snarest må opplyse om hvor mange norske borgere er rammet, slik at Stortinget og offentligheten får det fulle bildet av den ulovlige overvåkingen.

Antallet nordmenn som er rammet av den ulovlige innhentingen kan være stort, og ikke bare begrenset til de som har sendt e-poster til og fra utlandet.

– Nå vet vi ikke hva slags begrensninger E-tjenesten har satt på denne innhentingen. I utgangspunktet kan all grensekryssende internettrafikk gå gjennom dette systemet, for selv om du sender en e-post i Norge vil den gå via en server i utlandet. Så potensielt kan alle e-poster ha blitt fanget opp i systemet, sier spesialrådgiveren.

Utvalget: E-tjenesten brøt loven og brukte for lang tid

Dataene fra grenseoverskridende e-poster ble lagret med en metode som kalles tilrettelagt innhenting (TI).

Etter at E-tjenesten begynte å bruke TI-metoden, ble det oppdaget at det i deler av systemet ble lagret data fra emnefelt i e-post.

Dette er ulovlig uten to kjennelser fra retten.

E-tjenesten skrudde av funksjonaliteten. Senere oppdaget tjenesten at data fra emnefelt i e-post fortsatt ble lagret, til tross for at funksjonaliteten var skrudd av.

Etter hvert stanset E-tjenesten deler av lagringen i TI-systemet for å unngå ytterligere lagring av slik data. Tjenesten slettet også allerede lagrede data.

Utvalget uttrykker i sin kritikk at E-tjenesten kunne forventes å ha satt i verk tilstrekkelige tiltak mot den ulovlige lagringen raskere enn hva tjenesten gjorde i denne saken.

Rammer ytringsfrihet, demokrati og kildevern

Innhentingen, som er ulovlig overvåking av potensielt alle lovlydige norske borgeres private kommunikasjon, mener Datatilsynet ikke er greit i et åpent, liberalt demokrati som Norge.

– Nei, vi mener denne typen overvåking har uheldige konsekvenser for demokrati og ytringsfrihet, for kildevernet til journalister og all aktivitet på internett. Når vi også nå har fått vite at internkontrollen og kontrollmekanismene ikke fungerer internt i E-tjenesten og at oppfølgingen fra dem er så sen, så vil det potensielt forsterke de negative konsekvensen av denne typen overvåking, sier han.

– Det er en intim, lokal følelse. Det er når du begynner å tenke, «blir dette emnefeltet overvåket?», at de skadelige konsekvensene kommer inn. Skal jeg sende det varselet, skal jeg kontakte pressen om det spørsmålet?

Datatilsynet har lenge vært kritiske til skillet mellom innholdsdata og metadata i E-tjenesteloven og mener det nå må en lovendring til. Tilsynet vil ha like sterk domstolskontroll med metadata som for innholdsdata.

– Når E-tjenesten selv sier at loven ikke passer i det teknologiske landskapet understreker det behovet for lovendring, sier spesialrådgiveren.

Hva kan masselagringen brukes til?

– Den kan brukes til å tegne et detaljert bilde av enkeltpersoners aktivitet på nett og i dette tilfellet hvilke opplysninger de utveksler, sier Mjønes Nielsen.

E-sjefen: Lagret data vi ikke skulle lagret

Sjefen for E-tjenesten, viseadmiral Nils Andreas Stensønes, tar selvkritikk på vegne at tjenesten.

– Jeg tar kritikken fra EOS-utvalget på alvor og er enig i at E-tjenesten objektivt sett har lagret en datatype som vi ikke skulle ha lagret, skriver sjefen for E-tjenesten, viseadmiral Nils Andreas Stensønes, i sitt svar til EOS-utvalget.

E-sjefen legger vekt på at «utvalgets kritikk er basert på E-tjenestens funn» og at «EOS-utvalget er blitt løpende orientert om saken».

– Jeg ser denne saken som en bekreftelse på at det systemet lovgiver har etablert i e-loven fungerer etter hensikten, skriver Stensønes.

Sjef for Etterretningstjenesten, viseadmiral Nils Andreas Stensønes. Foto: Ole Berg-Rusten / NTB

E-sjefen understreker at «etterlevelse av loven har vært styrende for alle beslutninger og tiltak vi har truffet i saken».

Stensønes opplyser også at «e-post emnefelt har aldri vært gjenstand for noen analyse eller produksjon for etterretningsformål. Problemstillingen knytter seg kun til selve lagringen».

Politikerne reagerer kraftig

Lederen av Stortingets kontrollkomité, Per-Willy Amundsen (Frp), sier saken er svært alvorlig.

– Det er brudd på personvernet og i strid med sikkerhetsloven. Det skal skilles mellom metadata og innholdsdata. Det er ikke akseptabelt at Stortingets vilje overtres av våre hemmelige tjenester. Men jeg er veldig fornøyd med at EOS-utvalget har klart å avdekke dette og i samarbeid med E-tjenesten fått på plass tiltak om at dette ikke skal skje i fremtiden og at disse dataene ikke blir misbrukt, sier Amundsen.

Stortingsrepresentant Lars Haltbrekken (SV) krever at det ryddes opp.

– Vi må kunne ha tillit til at de hemmelige tjenestene opererer i tråd med de rammene som både Stortinget, lovverket og personvernet setter. Skillet mellom innholds- og metadata er gjort nettopp for å sikre personvernet. Derfor er dette et alvorlig brudd på loven. Her må man sørge for at slik ulovlig lagring ikke kan skje igjen, sier Haltbrekken.