EU tok Norge på sengen - Datalagringsdirektiv skulle opprinnelig ikke omfatte EØS-land

EUs datalagringsdirektiv var opprinnelig tenkt som et direktiv for politi- og justissektoren i EU, noe som ikke omfattes av EØS-avtalen. Underveis i prosessen har imidlertid EU endret tilnærming, og det vedtatte direktivet er blitt en del av reguleringene for det indre markedet. Det angår dermed også Norge og EØS. Resultatet er at regjeringen i Norge kan komme til å implementere et EU-direktiv i norsk lovgivning det er utbredt skepsis til på Stortinget – også innen de tre rødgrønne partiene.

EUs datalagringsdirektiv er ikke bare kontroversielt i Norge. Et halvt år etter at fristen gikk ut for EU-medlemmene, har bare 9 av 27 medlemsland innført direktivet. Danmark har begynt overvåkningen, mens Sverige og Finland har søkt om utsettelse.

Her hjemme vil Samferdselsdepartementet vurdere om direktivet er såkalt EØS-relevant. Dermed åpner regjeringen for at Norge likevel ikke er forpliktet til å implementere det kontroversielle direktivet.

Dersom målet er å så tvil om direktivets EØS-relevans, kan Norge få drahjelp av Irland, som er en sterk motstander av direktivet. Regjeringen der har nå gått til EF-domstolen for å hindre at det blir påtvunget alle EU-landene. Førsteamanuensis ved Institutt for privatrett ved Universitet i Oslo, Lee Bygrave, mener Irland har en god sak når de nå har saksøkt EU for å vedta direktivet på feil grunnlag (se tekstboks).

«Hovedmotivet bak direktivet er bekjempelse av kriminalitet, og det har lite med det indre marked å gjøre, selv om det kan få kommersielle implikasjoner for blant annet teleoperatørene. Derfor tror jeg at Irland har engod sak når de brakte datalagringsdirektivet inn for EF-domstolen fordi de hevder det er vedtatt på feil juridisk grunnlag,» sier Bygrave til Mandag Morgen.

I mai 2006 behandlet domstolen en lignende problemstilling, og stoppet en avtale inngått mellom EU og USA om utlevering av opplysninger om passasjerer som flyr mellom Europa og USA til amerikanske myndigheter. Avtalen ble vedtatt som et indre marked-anliggende, men EF-domstolen fastslo at den i realiteten omhandlet virksomhet som tilhører EUs justis- og politisektor. «Man kan ikke forkle sikkerhetsanliggende som markedsanliggende,» sier Lee Bygrave, som har spesialisert seg på personvern og informasjonssikkerhet.»

Debatten om datalagringsdirektivet har pågått i EU-medlemslandene i flere år allerede, og var på det mest intense i 2005. I Irland og Tyskland er motstanderne mot direktivet fremdeles er aktive. I mange andre land har protestene stilnet av.

To år etter at EUs lovforslag om datalagringsdirektiv ble vedtatt, kommer debatten i Norge. Det er et mønster som er i ferd med å etablere seg i mange saker mellom EU og Norge.

«Vanligvis blir Norge tatt på senga i mange saker som har med EU å gjøre, men i denne saken blir vi tatt under senga. Ingen norske departement vil begynne å lage regelverk før EU har fullført sitt arbeid. EØS-avtalen gjør at vi er i konstant ventemodus,» sier Paal Frisvold, EU-ekspert og styreleder for konsulentselskapet Brusselkontoret.

* EU-kverna maler: Innen 15. mars 2009 må alle EU-land ha hele det kontroversielle datalagringsdirektivet på plass i sine nasjonale lovverk. EU legger press på Norge for å få fortgang i implementeringen også her hjemme. Et eventuelt norsk veto mot direktivet vil i være vårt første.

* Nordmenn tause under høring: Norske myndigheter var svært lite aktive da direktivet ble behandlet i EU, og norske røster var særdeles lavmælte. Årsaken kan være at Norge ikke var forberedt på at direktivet skulle gjelde EØS-området.

* Vedtatt mot norsk vilje? Norge kan forholde seg til direktivet på en av tre måter: implementere det i norsk lov, nedlegge veto, eller vurdere det som ikke-EØS-relevant. Alle tre alternativene vil skape politisk trøbbel for regjeringen.

Storbror i Brussel ser deg

Datalagringsdirektivet ble vedtatt av EU i mars 2006. I september 2007 gikk fristen ut for å implementere direktivet i medlemslandene.

Direktivet krever at teleselskap og internettleverandører lagrer alle data som viser hvem kundene har ringt til, sendt sms eller e-post til, når og hvorfra det skjedde, samt informasjon om når de surfer på nettet. Dataene skal lagres i minst 6 måneder – maksimum 24. Det er opp til hvert enkelt land å avgjøre hvor lenge. Innholdet av samtaler og e-post-korrespondanse skal imidlertid ikke lagres (se tekstboks).

Nesten alle EU-landene har søkt om 18 måneders utsettelse på innføring av den delen av direktivet som gjelder internettilgang, internettelefoni og e-post. Medmindre Irland vinner frem med sitt søksmål, må likevel alle landene ha innarbeidet hele direktivet i sine nasjonale lovverk innen 15. mars 2009.

Norge kan velge mellom å innarbeide direktivet i norsk lov, nedlegge veto mot det eller vurdere det som ikke-EØS-relevant.

Norge har aldri nedlagt veto mot et EU-direktiv tidligere, og vet ikke hva konsekvensen blir dersom vi nekter å innføre datalagringsdirektivet. Men Europakommisjonens president José Manuel Barroso ga et hint om alvoret da han nylig var på norgesbesøk:

«Det er kritisk viktig, særlig for et Schengen-land, å akseptere det direktivet. Hvis ikke, kan vi få et virkelig problem, både når det gjelder sikkerhet og det indre marked,» sa Barroso.

Mens Norge er i tenkeboksen, har datalagringsdirektivet allerede trådt i kraft i ni europeiske land, ifølge opplysninger Mandag Morgen har fått fra Europakommisjonen: Frankrike, Storbritannia, Spania, Belgia, Latvia, Danmark, Tsjekkia og Estland. Tyskland har delvis implementert direktivet. Våre nordiske naboer, Finland og Sverige, har søkt om utsettelse.

Ifølge en kilde i det finske justisdepartement, regner Finland med å ha innarbeidet direktivet i nasjonal lovgivning innen slutten av sommeren 2008. Sverige regner med å ha på plass direktivet i første kvartal av 2009, får Mandag Morgen opplyst fra det svenske justisdepartementet. De tre nordiske EU-medlemmene har valgt tre ulike måter å fordele regningen for overvåkningen på. Trolig går alle de tre landene inn for 12 måneders lagring av dataene (se figur).

De siste månedene har den norske debatten om datalagringsdirektivet vokst i omfang og volum, først på blogger og i facebook-grupper, senere i avisspaltene og på kronikkplass. Men hva hjelper det at Datatilsynet kaller direktivet «totalitært svermeri» eller at IKT Norge «oppfordrer til folkeopprør mot direktivet», når lovteksten allerede er vedtatt i EU? «Datalagringsdirektivet er nok et eksempel på at Norge har sovet i EU-lovhøringstimen,» mener Paal Frisvold.

Nordmenn tause under høring

Det omstridte direktivet ble vedtatt i EU mars 2006. Under høringsrundene i forkant av vedtaket, var det ganske stille fra norsk hold, så langt Mandag Morgen har kunnet bringe på det rene. Datatilsynet, i samarbeid med andre europeiske datatilsyn, har advart EU mot direktivet siden 2004. Telenor og IKT Norge har også involvert seg overfor EU for å uttrykke sin motstand. Ellers har det vært ganske taust fra Norge i høringsprosessen. Også fra regjeringshold erkjennes det at Norge ikke har stått først i køen for å bli hørt:

«Jeg vet ikke om det var møter med representanter for EU i den tiden direktivet ble behandlet i EU. Det skjedde før regjeringsskiftet, som kjent. Samferdselsministeren tok i sitt aller første møte med EU-kommisjonen, med kommissær Vivian Reding, tidlig på vinteren i 2006 opp direktivet, sier statssekretær Steinulf Tungesvik i Samferdsels-departementet.

Men da var altså direktivet så godt som vedtatt allerede.

Passiviteten fra norsk side kan skyldes at Norge ikke har en egen teknologiråd ved den norske EU-delegasjonen i Brussel som kan overvåke det stadig voksende lovområdet for informasjonsteknologi i EU, noe det norske IT-miljøet har etterlyst. I dag sorterer dette området under samferdselsråden.

En mer sannsynlig forklaring er at norske myndigheter rett og slett var uforberedt på at dette direktivet skulle angå Norge. Da forslaget opprinnelig ble lagt frem i 2004 av Sverige, Storbritannia, Frankrike og Irland, ble det sett på som svært kontroversielt, ifølge en norsk kilde i EU-systemet. Men etter terrorbombene i Madrid (2004) og London (2005) fikk forslaget ny relevans. I 2005 kalte Europakommisjonen direktivet «et av de viktigste instrumentene for å forhindre og bekjempe organisert kriminalitet og terrorisme». Det spesielle med forslaget var at det opprinnelig var forslått innenfor EUs politi- og justissamarbeidet – et område EØS-avtalen ikke omfatter. Dermed var det i utgangspunktet ikke relevant for Norge. Men under arbeidet med direktivet ble det endret, og lagt inn under området som regulerer det indre marked – som Norge er en del av gjennom EØS-avtalen.

En av grunnene til denne omplasseringen kan være at Irland og Slovakia stemte mot direktivet i den endelige avstemningen. For å få direktivet gjennom, ble det vedtatt som et indre marked-direktiv, kan vår norske EU-kilde fortelle. Lovvedtak i politi- og justissaker krever nemlig enstemmighet blant medlemslandene, i motsetning til vedtak som omhandler det indre markedet, der det bare kreves simpelt flertall.

Når vi snakker med vår kilde i det finske justisdepartement, så blir han direkte overrasket når han hører at datalagringsdirektivet også angår Norge, for verken Norge eller EØS har vært nevnt i de finske diskusjonene om direktivet. Han mener likevel Norge har en fordel. «Dersom Norge implementerer direktivet i 2009, kan dere ta lærdom av hvordan de andre EU-medlemmene har løst dette», sier han.

Krever lovendring

Datalagringsdirektivet blir for tiden behandlet av Samferdselsdepartementet og Justisdepartementet. Aller først skal det foretas en vurdering av EØS-relevansen av direktivet. Ottar Ostnes, ekspedi-sjonssjef i Luft-, post- og teleavdelingen i Sam-

ferdselsdepartementet, kan ennå ikke si når det vil foreligge en avklaring. Men en implementering i Norge vil kreve lovendringer.

«Dersom direktivet skal innføres i Norge, må det gjøres endringer i ekom-loven,» sier Ostnes. Ekom-loven regulerer elektronisk kommunikasjon i Norge.

Flere fremtredende norske politikere har allerede sagt tvert nei til datalagringsdirektivet. Både Venstre, KrF og til dels også Høyre og FrP har uttalt seg kritisk til det nye EU-direktivet.

Også blant de rødgrønne regjeringspartiene er motstanden sterk, og voksende.

«Frykt og terror kan ikke ødelegge livet vårt og alltid dyttes foran inngrep i personvernet. Ett års lagringstid er altfor lenge. Minimumstiden på seks måneder er mer spiselig, uttalte samferdselspolitisk talsmann for Aps stortingsgruppe, Torstein Rudihagen til NTB nylig.

Rudihagens partikollega, Irene Johansen i Transport- og kommunikasjonskomiteen mener også at direktivet går for langt.

«Jeg føler ubehag over at det er noen som til enhver tid skal vite hvem jeg kommuniserer med. Fokuset på terrortrusselen har gått for langt,» sier hun til VG.

I SVs stortingsgruppe har Hallgeir Langeland allerede sagt at Norge bør si nei til direktivet. Også nestleder Audun Lysbakken har uttalt seg svært skeptisk. Fra Senterpartiet har justispolitisk talsmann

Trond Lode, samferdselspolitisk talskvinne Ragnhild Aarflot Kalland og sosialpolitisk talsmann Dagfinn Sundsbø felles uttrykt sin skepsis i en kronikk i Nationen:

«Norge er bedt om å implementere direktivet i norsk lov som en følge av EØS-avtalen. Vi er glad for at samferdselsdepartementet nå arbeider med å finne ut om dette direktivet i det hele tatt er EØS-relevant,» skriver de tre i kronikken.

I tillegg til økende politisk motstand, har både Datatilsynet og IKT-bransjen lenge uttrykt sin motstand mot EU-direktivet. Tele- og internettoperatørene i Norge er sterkt kritisk til direktivet, både av hensyn til personvernet, men ikke minst på grunn av ekstrakostnadene det vil medføre. IKT Norge har regnet ut at det vil koste omlag 250 millioner kroner å innføre direktivet. I tillegg kommer 60 til 70 millioner kroner i årlige driftskostnader. Hvem som skal ta regningen, er ennå uklart. Men dersom tele- og internettoperatørene blir sittende igjen med regningen, ønsker IKT Norge å konstruere et nytt ord: «Overvåkningsavgift», for å synliggjøre avgiften på regningen til norske nettbrukere. Ifølge en meningsmåling Sentio har gjort på oppdrag for IKT Norge, er 91 prosent av alle nordmenn imot å betale ekstra for at myndighetene skal overvåke og lagre tele- og datatrafikk. Sju prosent er positive til å betale for det.

«Vi er svært skeptiske til direktivet. Det vil ikke løse noen problemer. Terrorister vet å finne andre måter å kommunisere på enn dem som blir overvåket, som for eksempel satellittelefon, IP-telefon, Skype, IRC eller koble seg opp på åpne, trådløse nett og dermed unngå å legge igjen digitale spor, sier Per Morten Hoff, generaldirektør i IKT Norge.

I dette landskapet av nærmest unison motstand, bortsett fra hos politi- og påtalemyndighet, skal regjeringen nå finne frem til en løsning på datalagrings-floken. Å hevde at direktivet ikke er EØS-relevant, vil bli svært vanskelig rent juridisk, mener flere av ekspertene Mandag Morgen har vært i kontakt med. Å selge det som et politisk godt vedtak, virker uoverkommelig, slik vinden blåser i dag, og å nedlegge veto vil i så fall være første gang siden Norge gikk med i EØS.

Tekstboks

Irland til sak mot direktivet

Irland er det eneste landet som har gått rettens vei for å prøve å stoppe datalagringsdirektivet. Høsten 2006 brakte Irland direktivet til EF-domstolen fordi de mente at det var fullstendig galt at direktivet skulle være et indre marked-direktiv. Irland hevder at direktivet sorterer under politi- og justissamarbeidet (ikke EØS-relevant), og der må det enstemmighet til for å fatte vedtak, ikke flertall, som i lovforslag knyttet til det indre markedet (EØS-relevant).

«Irland tar saken til retten på prinsipielt grunnlag, ikke på grunn av innholdet i direktivet,» sier Ciara D. Kellegher i det irske justisdepartementet til Mandag Morgen.

Det legale grunnlaget for datalagringsdirektivet er fullstendig upassende og uholdbart, skriver irske myndigheter i redegjørelsen til EF-domstolen. Hensikten med direktivet er å bekjempe alvorlig kriminalitet, ikke bekjempe svakheter i det indre markedet, mener irene.

«Irland ønsker å oppheve EU-vedtaket,» sier Kellegher, men parallelt med at saken går i retten, forbereder Irland seg på å innføre direktivet. Saken blir trolig ikke avklart i EF-domstolen før mot slutten av 2008.

Tekstboks

Datalagringsdirektivet

* Datalagringsdirketivet krever at sentrale data knyttet til telekommunikasjon skal lagres i mellom

6 og 24 måneder.

* Hvor du ringer fra: Telefonnummer til fasttelefon eller mobiltelefon.

* Hvem du ringer til: Telefonnummer til fasttelefon eller mobiltelefon samt navn og adresse på abonnenten.

* Når du ringer: Dato og klokkeslett for samtalen fra start til slutt.

* Hvor du ringer fra: Posisjonen du befinner deg i ut fra hvilke basestasjoner mobiltelefonen din kobler seg opp mot.

Tilsvarende opplysninger skal også lagres for IP-telefoner.

* Hvem du har sendt sms eller e-post til: Når og hvor du sendte fra, samt telefonnummer og e-postadresse, og navn og adresse på abonnent.

I tillegg skal informasjon om når og hvor du surfer på nettet lagres. Det siste vil sannsynligvis innebære lagring av ip-adresser, og flere eksperter advarer mot at man dermed i prinsippet også har tilgang til innholdet på sidene

* Innholdet i dine telefonsamtaler, sms’er og e-poster skal ikke lagres.

Redaksjonen Mandag Morgen

Ansvarlig journalist: Bente Kalsnes

redaksjon@mandagmorgen.no