11.10.1 Forslaget i høringsnotatet
I høringsnotatet punkt 11.12 drøftes behovet for løpende kontroll av tilrettelagt innhenting (i høringsnotatet benevnt styrket kontroll).
Det tas i høringsnotatet utgangspunkt i Lysne II-utvalgets anbefaling om å opprette et eget tilsyn under Samferdselsdepartementet til å foreta en uavhengig og løpende kontroll i nær sanntid. Det kunne ifølge utvalgets forslag vurderes å delegere forvaltningsansvaret for tilsynets virksomhet til Nasjonal kommunikasjonsmyndighet (Nkom). I høringsnotatet vises det til at EOS-utvalget og Nasjonal sikkerhetsmyndighet i sine høringsut-talelser til Lysne II-utvalgets rapport stilte seg kri-tiske til forslaget om å opprette et eget tilsyn, mens Nkom mente at de kunne ta på seg en slik oppgave.
Det redegjøres i høringsnotatet for menneske-rettslige krav, kontrolloppgaven og sentrale hen-syn i vurderingen. Deretter vurderes de ulike alternativene. Det første alternativet er et eget til-syn i tråd med Lysne II-utvalgets forslag. Det andre alternativet er et særskilt kontrollorgan etter modell av Kontrollutvalget for kommunika-sjonskontroll. Det tredje alternativet er å legge kontrollen til EOS-utvalget.
I høringsnotatet konkluderes det med at kon-trolloppgaven bør legges til EOS-utvalget. Det leg-ges særlig vekt på at EOS-utvalget har de beste forutsetningene for en god kontroll med Etterret-ningstjenestens virksomhet. Det legges dessuten vekt på sikkerhetshensyn, uavhengighetshensyn og hensynet til å opprettholde den norske kon-trollmodellen.
På denne bakgrunn foreslås det i høringsnota-tet å gi EOS-utvalget i oppgave å føre løpende kon-troll med Etterretningstjenestens etterlevelse av bestemmelsene i lovforslaget kapittel 7 og 8. Kon-trollen skal komme i tillegg til utvalgets alminne-lige kontroll. Den bør foretas relativt hyppig og på EOS-utvalgets eget initiativ. Det vises til at mye av den utøvende rutinekontrollen i praksis vil utføres av EOS-utvalgets sekretariat, som bør forsterkes
ytterligere i tillegg til den styrkingen som allerede er gjennomført.
Det fremholdes i høringsnotatet at EOS-utval-get bør ha full innsikt i begjæringene til domsto-len og rettens kjennelser. Et sentralt formål med kontrollen er å kontrollere at tjenestens søk ikke strider med eller går lenger enn de betingelser som uttrykkelig fremgår av rettens kjennelse.
Ellers bør utvalget følge normale kontrollrutiner.
I samsvar med gjeldende regler bør EOS-utval-get ha uhindret adgang til nødvendig informasjon, og på forespørsel få innsyn i interne retningslinjer og prosedyrer, lokaler, utstyr, programvare, filter-oppdateringer, aktivitetslogger og annet som benyttes for tilrettelagt innhenting.
I høringsnotatet er regler om løpende kontroll av tilrettelagt innhenting inntatt i lovutkastet § 7-11.
11.10.2 Høringsinstansenes syn
Stortingets kontrollutvalg for etterretnings-, overvå-kings- og sikkerhetstjeneste (EOS-utvalget) forstår forslaget slik at det skal føres en mer intensiv kon-troll enn den som utvalget regelmessig fører med Etterretningstjenestens øvrige etterretningsvirk-somhet, men at det for øvrig vil være opp til utval-get å vurdere kontrollintensiteten. Utvalutval-get uttaler videre:
«EOS-utvalgets kontroll med EOS-tjenestene, inkludert E-tjenesten, er ikke innrettet slik at den innebærer en full kontroll av alle sider av tjenestenes EOS-virksomhet. En fullstendig kontroll ville være for omfattende for utvalget, og det er et spørsmål om en slik kontroll over-hodet er mulig eller ønskelig. Utvalget velger hvilke av tjenestens aktiviteter som skal under-søkes nærmere, blant annet basert på kriterier i EOS-kontrolloven og utvalgets vurderinger av hvor risikoen for rettighetskrenkelser og regel-brudd med alvorlige konsekvenser er størst.
Selv om utvalget har full innsynsrett i E-tje-nesten, med unntak for særlig sensitiv informa-sjon, vil ikke alle tjenestens aktiviteter bli kon-trollert.
Evalueringen av EOS-utvalget i 2016 viste at utvalgets kapasitet allerede da var presset.
Utvalgsmodellen begrenser utvalgets kapasitet og dermed omfanget av kontrollvirksomheten.
En utvidelse av kontrolloppgaven til å omfatte en styrket kontroll med tilrettelagt innhenting vil føre til flere oppgaver for utvalget. Det vil redusere utvalgets kapasitet til å kontrollere de andre EOS-tjenestene og andre sider ved E-tje-nestens virksomhet.»
Utvalget mener at det vil være essensielt å bygge inn kontrollmekanismer i systemene for innhen-ting allerede under utviklingen av disse. I tillegg er det en nødvendig forutsetning for kontrollen at det settes av tilstrekkelig datakraft og andre res-surser til kontrollfunksjonalitet i systemene som tjenesten utvikler. Tilrettelegging bidrar til å underlette kontrollen, og sikrer at kontrollen kan foretas på en så hensiktsmessig måte som mulig.
De fleste høringsinstanser har ingen innven-dinger mot at den løpende kontrollen føres av EOS-utvalget. Noen mener imidlertid at kontrol-len bør føres av et eget tilsyn, i tråd med Lysne II-utvalgets anbefaling. Blant disse er Nasjonal kom-munikasjonsmyndighet (Nkom), som uttaler at departementets forslag innebærer en redusering av kontrollmekanismene som utvalget satt som forutsetning for å anbefale tilrettelagt innhenting.
Nkom mener at de som tilsynsmyndighet har nød-vendig kompetanse til å påta seg en tilsynsopp-gave for tilrettelagt innhenting. Nkoms samarbeid med Etterretningstjenesten og mulighet til å gi innspill til tjenestens oppdrag er etter Nkoms syn ikke problematisk. Sikkerhetsmessige forhold må veies opp mot en tilsynsfunksjon som styrker tilli-ten til tjenestilli-ten. Etter Nkoms mening er risikoen ved å legge funksjonen til et kompetent tilsyn som allerede har rutiner og erfaring med å behandle høygradert informasjon, svært liten.
Den internasjonale juristkommisjon – norsk avdeling (ICJ-Norge) og Norsk Journalistlag støtter også opprettelsen av et eget tilsyn. Kripos og Nasjonal sikkerhetsmyndighet støtter derimot å legge den løpende kontrollen til EOS-utvalget.
Norges institusjon for menneskerettigheter (NIM) fremholder at den løpende kontrollen ska-per noen utfordringer i lys av EOS-utvalgets arbeidsform:
«Som konsekvens av en intensivert løpende kontroll er det f.eks. nærliggende at det kan oppstå saker eller problemstillinger som er tidssensitive. Det kan være vanskelig å forene med at utvalget ikke er permanent samlet og at utvalget bare er beslutningsdyktig med fem medlemmer til stede. Dette skaper en treghet i arbeidsformen som klart innvirker på effektivi-teten av den løpende kontrollen. NIM mener derfor at det bør vurderes om sekretariatet, eventuelt ved sekretariatsleder bør ha haste-kompetanse til å treffe beslutninger, som senere behandles av utvalget. Mer generelt kan man tenke seg at de funksjonene som knyt-ter seg til den styrkede kontrollen operasjonali-seres på en mer selvstendig måte, uavhengig
av den mer tradisjonelle kontrollen som EOS-utvalget forøvrig foretar, og som er tilpasset at dette er en kontroll som skal utføres i sanntid og som ikke nødvendigvis så lett lar seg forene med en utvalgsmodell.»
NIM mener at det bør vurderes om EOS-utvalget kan gis myndighet til å treffe bindende avgjørel-ser. En slik kompetanse kan fremstå som utradi-sjonell, men NIM kan vanskelig se at det skulle foreligge noen absolutte konstitusjonelle hindre for en slik ordning. Hvis konklusjonen skulle være at en slik ordning ikke er konstitusjonelt mulig, mener NIM at kontrollsystemet for tilrettelagt inn-henting bør revurderes mer helhetlig, eventuelt slik at departementet følger opp noe i retning av Lysne II-utvalgets forslag om et eget tilsyn, som EOS-utvalget igjen vil føre kontroll med.
NIM fremholder videre at en form for merking av dataene vil bedre forutsetningene for utvalgets mulighet til å kontrollere at de behandles på riktig måte, og for eksempel ikke deles i større utstrek-ning enn hva loven tillater.
Datatilsynet mener at det er avgjørende for å opprettholde tillit at det føres et kontinuerlig tilsyn og en tilstrekkelig kontroll, og at forslaget ikke gir den nødvendige kompetansen til dette. Tilsynet fremholder at forslaget i realiteten kun innebærer etterkontroll, og at forslaget fra Lysne II-utvalget om at informasjonen skal mottas «i nær sanntid»
ikke er fulgt opp. Tilsynet uttaler videre:
«Etter vårt syn ivaretar ikke loven kravet til løpende kontroll og selv med en betydelig per-sonellmessig styrking av EOS-utvalget, vil ikke dette være tilstrekkelig. Kontrollen bør innret-tes ved at Etterretningstjenesten pålegges en plikt til å opprette systemer og rutiner for kon-tinuerlig rapportering. Dette vil kunne bidra til å forhindre misbruk, og rapporteringsplikten vil fremme kravet til åpenhet og kontroll konti-nuerlig i arbeidet. Dette er spesielt viktig når kontrollrutinene og resultat ikke er tilgjengelig for offentligheten.
Vi anbefaler videre at det gjøres en grundi-gere vurdering av muligheten for tekniske løs-ninger som tilrettelegger for mer effektiv løpende kontroll, gjennom en kombinasjon av manuell og automatisert maskinell kontroll.»
Tilsynet mener at det i denne sammenhengen bør tas hensyn til personvernprinsippet om innebygd personvern, og foreslår en lovfestet plikt til å til-rettelegge for kontrollen gjennom tekniske løsnin-ger.
Det er bred enighet blant høringsinstansene om at EOS-utvalget må sikres tilstrekkelige res-surser. Flere reiser spørsmål om fire nye stillinger vil være tilstrekkelig for å ivareta den nye funksjo-nen knyttet til tilrettelagt innhenting. EOS-utvalget skriver:
«Departementet anslår at 4 årsverk vil være til-strekkelig for å ivareta kontrollfunksjonen. Det er vanskelig å gi et konkret overslag over hvilke økonomiske og administrative konse-kvenser innføring av metoden vil få for utval-get. Høringsnotatet gir ikke en konkret beskri-velse av omfanget av bruken av den nye inn-hentingskapasiteten. Omfanget av den virk-somheten som skal kontrolleres er dermed ukjent.
Beskrivelsen av ressursbehovet i forhånds-kontrollen gir en pekepinn. Departementet anslår at retten vil behandle 1–2 saker i uken.
Anslaget er basert på at tjenestens begjæringer til retten kan omfatte et sakskompleks fremfor å individualiseres, samt at søk etter personse-lektorer reguleres på en måte som vil «bidra til at antall rettsavgjørelser kan holdes på et hånd-terlig nivå». Utvalget legger derfor til grunn at antallet søk mv. som kan kontrolleres, kan bli omfangsrikt. I tillegg kommer at utvalgets kon-troll også vil omfatte andre sider av systemet for tilrettelagt innhenting, for eksempel bru-ken av korttidslageret, aktivitetslogger og hvordan filtrene settes opp.
Utvalget mener på denne bakgrunn at departementets anslag på 4 årsverk er for beskjedent. Utvalget anser at en kontroll av til-rettelagt innhenting kan ivaretas ved at utval-gets sekretariat så raskt som mulig tilføres minst 6 årsverk dersom tilrettelagt innhenting vedtas. Deretter må behovet for ressurser i sekretariatet vurderes løpende. Utvalget kan ikke se bort fra at det er nødvendig med en betydelig styrking også utover de nevnte 6 årsverkene, for å styrke kompetansen og kapa-siteten til denne kontrollen. Utvalget ser for seg at hovedtyngden ligger i personer med tek-nologisk kompetanse. Men det vil også være behov for å styrke sekretariatets juridiske kom-petanse og noe på administrativ side. De ekstra ressursene må på plass så tidlig som mulig etter en eventuell vedtakelse av ny e-lov med hjemmel til tilrettelagt innhenting.»
EOS-utvalget peker også på at den teknologiske kompetansen til medlemmene i utvalget bør styr-kes. Utvalget legger til grunn at
utviklingskostna-dene knyttet til å bygge inn kontrollmekanismer i systemer for datainnhenting vil ligge hos tje-nesten. Utvalget foreslår også at det legges til rette for at den løpende kontrollen i størst mulig grad kan utføres fra utvalgets egne lokaler, og fremholder at kostnaden ved å tilrettelegge for systemtilgang fra utvalgets lokaler må ligge hos tjenesten.
11.10.3 Anbefaling fra Norges institusjon for menneskerettigheter
I etterkant av høringen har departementet avholdt flere møter med Norges institusjon for menneske-rettigheter (NIM) hvor kontrollen med tilrettelagt innhenting har vært tema. I brev 30. april 2019 til departementet har NIM blant annet gitt følgende anbefaling:
«Departementet bør utrede muligheten for at EOS-utvalget kan fremme begjæringer til ret-ten om hel eller delvis stansing av pågående overvåkingstiltak eller sletting av innhentet informasjon, i tilfeller der E-tjenesten ikke tar EOS-utvalgets syn til følge. Rettens avgjørelse blir bindende for E-tjenesten.»
NIM uttaler at en slik adgang vil kunne bidra til å effektivisere utvalgets kontrollfunksjon, gjennom å initiere at det treffes bindende avgjørelser.
Adgangen vil kunne fungere som en sikkerhets-ventil, som igjen vil kunne ha en disiplinerende effekt. Den vil også kunne bidra til rettsavklaring.
NIM mener at løsningen vil styrke den menneske-rettslige innrammingen av forslaget.
Departementet har drøftet anbefalingen med medlemmer av EOS-utvalgets sekretariat.
11.10.4 Departementets vurdering
Departementet konstaterer at det er bred enighet blant høringsinstansene om at det må etableres en mekanisme for løpende kontroll av tilrettelagt inn-henting, og viderefører i hovedsak forslaget i høringsnotatet. På bakgrunn av høringen foreslår departementet noen endringer som har til hensikt å styrke kontrollfunksjonen ytterligere. Reglene om løpende kontroll inntas i lovforslaget §§ 7-11 og 7-12.
Den løpende kontrollen med tilrettelagt inn-henting bør etter departementets syn føres av EOS-utvalget, ikke et eget tilsyn. For å kunne føre en effektiv kontroll må kontrollorganet se tilrette-lagt innhenting i sammenheng med Etterretnings-tjenestens andre metoder og kapasiteter.
Tjenes-tens virksomhet må dessuten ses i sammenheng med virksomheten til de andre EOS-tjenestene. Et tilsyn som bare skal kontrollere tilrettelagt inn-henting, vil i motsetning til EOS-utvalget ikke ha denne muligheten.
Et sterkt fagmiljø er også en forutsetning for effektiv kontroll. Etter departementets syn vil det være lite formålstjenlig å bygge opp et separat fag-miljø i et eget tilsyn, som på grunn av den begren-sede kontrolloppgaven vil være lite. Fra et kon-trollperspektiv vil det være bedre å samle kompe-tansen i EOS-utvalget. Utvalgets sekretariat har i de senere årene blitt styrket, blant annet med en egen teknologisk enhet, og departementet ser det som naturlig å bygge videre på dette.
På denne bakgrunn finner departementet det klart at hensynet til effektiv kontroll taler for å legge den løpende kontrollen til EOS-utvalget.
Departementet har dessuten lagt vekt på to andre hensyn. For det første taler hensyn til informa-sjonssikkerhet imot å opprette et nytt organ med tilgang til skjermingsverdig informasjon hos Etterretningstjenesten. For det andre tilsier legiti-mitets- og tillitshensyn at kontrollfunksjonen leg-ges til et organ som ikke er en del av forvaltnin-gen.Noen høringsinstanser mener at departemen-tets forslag innebærer en svekkelse i forhold til Lysne II-utvalgets forslag. Av de nevnte grunner er ikke departementet enig i dette. Det må like fullt tas på alvor at sentrale aktører ser behov for å styrke den løpende kontrollen av tilrettelagt inn-henting. Etter høringen har departementet derfor vurdert om det kan gjøres endringer som kan styrke kontrollfunksjonen. Departementet har i den forbindelse ført en dialog med Norges institu-sjon for menneskerettigheter (NIM), jf. punkt 11.10.3. På bakgrunn av denne dialogen foreslår departementet – i tråd med en anbefaling fra NIM – at Oslo tingrett, på begjæring fra EOS-utvalget, skal ha myndighet til å stanse pågående innhen-ting og pålegge sletinnhen-ting av lagrede data. Departe-mentet er enig med NIM i at en slik ordning vil kunne fungere som en sikkerhetsventil som vil ha en disiplinerende effekt, og som vil styrke det menneskerettslige grunnlaget for tiltaket.
Å fremme begjæring om stansing vil være aktuelt i tilfeller hvor Etterretningstjenesten ikke retter seg etter utvalgets syn om lovligheten av pågående innhenting. Ordningen skal fungere som en sikkerhetsventil, og ikke erstatte vanlige prosedyrer for å løse uenigheter mellom utvalget og tjenesten. Tjenesten skal derfor få anledning til å vurdere og ta stilling til utvalgets syn, og
eventu-elt løfte saken til departementet for avgjørelse, før utvalget kan fremme begjæring om stansing.
Det vil etter departementets syn være uheldig om Etterretningstjenesten og EOS-utvalget kom-mer i formelle motpartsroller til hverandre i en domstolsprosess. Utvalget skal derfor ikke ha noen annen rolle enn å fremme begjæringen.
Utvalget skal ikke møte i retten, og vil heller ikke ha rett til å anke. Retten skal imidlertid normalt oppnevne en særskilt advokat som skal målbære allmenne interesser i saken. Advokaten vil ha rett til å anke.
NIM har i sin anbefaling tatt til orde for at det bør etableres en form for hastekompetanse til å fremme begjæring, for eksempel for lederen av utvalgets sekretariat. Det kan være grunner som taler for en slik ordning. EOS-utvalget er etter EOS-kontrolloven § 13 første ledd beslutningsdyk-tig når fem medlemmer er til stede. Med utvalgets arbeidsform vil saksbehandlingen normalt ta noe tid, og det kan etter omstendighetene være behov for rettslig prøving av lovligheten av en innhen-tingsaktivitet raskere enn det utvalgets normale arbeidsform tillater. På den andre siden er utval-gets brede sammensetning viktig for kontrollens legitimitet, og ved bruk av en hastekompetanse vil ikke beslutningen få den brede forankringen som en behandling av det samlede utvalget gir. Depar-tementet går derfor i denne omgangen ikke inn for en hastekompetanse. Departementet legger til grunn at utvalget, innenfor rammen av gjeldende regelverk, kan etablere prosedyrer som legger til rette for en raskere behandling av hastesaker enn det utvalgets normale arbeidsform åpner for.
Både Datatilsynet og EOS-utvalget påpeker at det bør bygges inn kontrollmekanismer i systemene allerede under utviklingen av disse.
D e p a r t e m e n t e t er enig i dette, og legger til grunn at Etterretningstjenesten retter opp-merksomhet mot kontrollfunksjonalitet under utviklingen og implementeringen av de tekniske løsningene. Som påpekt av Datatilsynet, bør den løpende kontrollen bestå av en kombinasjon av manuell og automatisert maskinell kontroll.
I tråd med Datatilsynets anbefaling foreslår departementet å lovfeste en plikt for Etterret-ningstjenesten til å tilrettelegge for den løpende kontrollen gjennom tekniske løsninger. Hvilke til-tak som skal treffes, må avgjøres konkret og i dia-log mellom tjenesten og EOS-utvalget. Det kan for eksempel være tale om merking av data, slik NIM trekker fram i sin høringsuttalelse. Departemen-tet forutsetter at tjenesten vil strekke seg langt for å imøtekomme utvalgets behov innenfor de
øko-nomiske, tekniske og praktiske rammer som gjel-der til enhver tid.
Høringen har vist bred enighet om at EOS-utvalget må ha tilstrekkelige ressurser. Utvalget gir i sin høringsuttalelse uttrykk for at kontrollen kan ivaretas ved at sekretariatet så raskt som mulig tilføres seks nye årsverk, og at det ikke kan ses bort fra at det vil være behov for en betydelig styrking også utover dette. Departementet legger dette til grunn.
EOS-utvalget mener at den løpende kontrollen i størst mulig grad bør utføres fra utvalgets egne lokaler. D e p a r t e m e n t e t er enig i at hensy-net til utvalgets uavhengighet kan tilsi at kontrol-len i størst mulig utstrekning utføres fra egne lokaler, på samme måte som domstolens for-håndskontroll vil foretas fra domstolens egne lokaler. På den andre siden har den løpende kon-trollen en annen karakter enn forhåndskonkon-trollen, og informasjonssikkerhetshensyn taler med tyngde for at den løpende kontrollen utføres fra Etterretningstjenestens lokaler. I tillegg vil sen-trale kontrollpunkter i praksis ikke la seg utføre fra utvalgets lokaler. Departementet legger derfor til grunn at løpende kontroll i all hovedsak vil måtte føres fra tjenestens lokaler. Departementet forutsetter at tjenesten og utvalget vil være seg bevisste betydningen av å ivareta hensynet til utvalgets uavhengighet ved den praktiske gjen-nomføringen av den løpende kontrollen.
Departementet vil i lys av høringsuttalelsen til Nasjonal kommunikasjonsmyndighet (Nkom) understreke at Nkom har relevant kompetanse innen elektronisk kommunikasjon og erfaring med å beskytte skjermingsverdig informasjon.
Selv om løpende kontroll bør føres av EOS-utval-get, vil utvalget kunne nyttiggjøre seg Nkoms ekomfaglige kompetanse i samsvar med EOS-kon-trolloven § 19. Nkom vil dessuten føre tilsyn med tilbydernes utøvelse av tilretteleggingsplikten, jf.
punkt 11.8.7.3.