Hvordan har egentlig vårt forhold til amerikanske teknologigiganter og til personvern endret seg etter Snowdens avsløringer for 10 år siden?
«My name is Ed Snowden, I’m 29 years old. I work for Booz Allen Hamilton as an infrastructure analyst for NSA in Hawaii».
(Foto via Wikimedia Commons)
Med disse ordene, sendt fra Hongkong, presenterte Edward Snowden seg for verden for første gang i 2013. Noen dager tidligere hadde varsleren avslørt en av de største lekkasjene i USAs historie. Lekkasjene ga et enestående innblikk i hvordan det amerikanske sikkerhetsbyrået National Security Agency (NSA) arbeider. Det gigantiske overvåkingsapparatet dekket langt mer enn konkrete mistenkte terrorister og fiender av USA. Dokumentene vitnet blant annet om omfattende avlytting av globale sjøkabler, infiltrasjon av internettknutepunkter og systematisk avlytting av vestlige borgere og myndigheter. Blant målene for angrepene var toppolitikere fra Norge, Sverige og Frankrike. Ifølge den tyske tidsskriften «Der Spiegel» ble til og med den tyske kansleren Angela Merkels mobiltelefon overvåket fra 2002 til 2013, åpenbart med hjelp fra den danske «Forsvarets Efterretningstjeneste», som det viste seg senere.
Snowden-lekkasjene beskrev ikke bare et overvåkingssystem av enestående omfang, de kastet også lys over et hittil ganske nytt fenomen: det tette samarbeidet mellom private teknologiselskaper og amerikanske sikkerhetsmyndigheter. Under prosjektet med kodenavnet «PRISM» fikk NSA, ifølge interne presentasjoner, direkte tilgang til telefonsamtaler, meldinger, bilder og annen informasjon fra en rekke viktige teknologigiganter. Blant dem var Yahoo, Google, Facebook og Microsoft. Dette er hjemlet i Foreign Intelligence Surveillance Act § 702. Den åpner for avlytting av ikke-amerikanske borgere uten dommer-godkjennelse. En intern presentasjon fra april 2013 beskrives funnene fra PRISM-programmet som det viktigste bidraget til presidentens daglige briefinger. I et intervju forklarer Snowden at «The NSA specifically targets the communications of everyone, it collects them by default […]» Med andre ord: Dataene, og dermed privatlivet til europeiske borgere, er ikke tilstrekkelig beskyttet mot tilgang fra amerikanske etterretningstjenester.
Lekkasjene kastet lys over et hittil ganske nytt fenomen: det tette samarbeidet mellom private teknologiselskaper og amerikanske sikkerhetsmyndigheter.
Ti år har gått siden de massive bruddene på våre grunnleggende rettigheter ble avdekket. Regjeringer har vært opprørte, domstoler har fattet avgjørelser, sivilsamfunnet har vært urolig, men har også tatt i bruk digitalt selvforsvar. Hvordan har egentlig vårt forhold til amerikanske teknologigiganter og til personvern endret seg?
EU mot USA
En person som har skapt endringer, er Max Schrems. Den østerrikske personvernadvokaten er kjent for sine søksmål mot blant annet Facebook, som tidligere i år endte med en banebrytende bot på 1,2 milliarder euro og strenge pålegg om endringer. Tidligere, inntil 2015, brukte Facebook den såkalte «Safe Harbor»-avtalen, et vedtak fra EU-kommisjonen som gjorde det lovlig å overføre personopplysninger til USA. Det var nettopp denne konstruksjonen Schrems satte spørsmålstegn ved: Hvordan kan Facebook opptre i samsvar med europeisk personvernlovgivning hvis NSA har uhindret tilgang til systemene deres i USA?
Det irske datatilsynet DPC, som i årene som fulgte gang på gang skulle vise seg å være enten overbelastet eller ganske uvillig, avslo klagen i første omgang. EU-domstolen var imidlertid enig med Schrems og opphevet «Safe Harbor»-beslutningen.
Historien gjentok seg med etterfølgeren «Privacy Shield». Den europeiske personvernforordningen, GDPR, trådte i kraft i 2018 og Schrems klaget umiddelbart inn de amerikanske teknologigigantene for brudd på denne. EU-domstolen slo derfor, i 2020, fast at masseovervåkingen til amerikanske etterretningstjenester var uforholdsmessig, og at europeiske borgere ikke hadde tilstrekkelige juridiske midler til å forsvare sine grunnleggende rettigheter i USA gjennom Privacy Shield.
Denne såkalte «Schrems II»-dommen var opptakten til en forvandling av IT-bransjen i store deler av Europa: Særlig den tyske og franske IT-bransjen markedsfører nå sine produkter med europeisk personvern og servere i EU. Open source-prosjektet Nextcloud er grunnlaget for den tyske «Bundescloud», deres statssky, mens den franske staten har erstattet Teams, Whatsapp og andre meldingstjenester med den krypterte meldingsprotokollen Matrix. Det tyske helsevesenet og forsvaret, en rekke universiteter og skoler bruker nå også Matrix
Generelt har kryptering blitt mer utbredt. For 10 år siden var det fortsatt en sjeldenhet, men i dag viser nesten alle nettsteder et lite låsesymbol og forkortelsen https:// i adressefeltet, noe som signaliserer en sikker, kryptert forbindelse. Med apper som Signal og Whatsapp har kryptert kommunikasjon blitt en allment tilgjengelig standard, selv om for eksempel Facebook Messenger fortsatt sender alle meldinger til selskapet i klartekst.
Sinken Norge
Norge er litt tregere, selv sammenlignet med våre svenske naboer. Sikkerhet er viktig, også i Norge, og vi husker lange diskusjoner om bruken av kinesisk Huawei-teknologi i det norske 5G-nettet. Selv jeg som tysker, som tross alt er statsborger i et NATO-land, opplever av og til å få avslag når jeg søker jobber innen IT-sikkerhet. Av sikkerhetsgrunner er det bare norske statsborgere som slipper inn. Det står i skarp kontrast til at mange norske institusjoner serverer sine data på et sølvfat til store internasjonale selskaper. Teknologirådet rapporterte i fjor at mer enn åtte av ti offentlige institusjoner bygger inn sporingsverktøy fra Google eller lignende teknologi fra Facebook på sine nettsider. Slik bidrar de til kommersiell overvåking av befolkningen – sannsynligvis ulovlig. Tilsvarende er Skatteetaten avhengig av Microsoft og SSB skal over på Googles skytjeneste. Selv Forsvaret har valgt å bruke Microsofts skyløsning. Kontraktene er ofte inngått med irske datterselskaper av de amerikanske teknologigigantene, og i noen tilfeller brukes europeiske datasentre, men USA skjerpet lovgivningen i 2018. «CLOUD Act» forplikter amerikanske teknologiselskaper til å utlevere data, selv om de er lagret i utlandet. Det finnes ofte ikke noe strengt teknisk og organisatorisk skille mellom de amerikanske selskapene og deres europeiske datterselskaper som kan forhindre slik tilgang.
Den norske IT-bransjen har altfor lenge ignorert de alvorlige konsekvensene av Snowden-avsløringene.
Mens Telenors forskningsdirektør, Ieva Martinkenaite, sier: «Telenor er store, men på generell IT er de langt fra store nok til å utvikle [sky-]standardsystemer» (Computerworld 1/2023), har den tyske lavpriskjeden Lidl raskt satt opp sin egen kommersielle skytjeneste. Det mangler kanskje noen funksjonalitet sammenlignet med de store aktørene som Amazon, Google og Microsoft, men det viser at et er mulig. Norge både kan og bør derfor gå foran med et godt eksempel og i det minste sørge for grunnleggende IT-infrastruktur selv. Selv Nasjonal sikkerhetsmyndighet (NSM) uttalte seg nylig om viktigheten av digital suverenitet: «Konsekvensen over tid av at stadig flere offentlige virksomheter legger sine løsninger over i skyen, er at mange tjenester leveres fra utlandet. Dermed blir staten stående i et avhengighetsforhold til utenlandske aktører». NSM påpeker at det er viktig i hvilken jurisdiksjon IT-infrastrukturen for statsforvaltningen plasseres. Det samme gjelder eierskapsstrukturen, samt hvor systemene faktisk driftes fra.
Også den norske IT-bransjen har altfor lenge ignorert de alvorlige konsekvensene av Snowden-avsløringene og håper nok fortsatt på et «Privacy Shield 2.0». EU-kommisjonen jobber for en ny slik avtale mellom EU og USA. Men det krever at amerikanerne reviderer sine overvåkingslover og gir utlendinger grunnleggende rettigheter. President Biden har riktignok tatt initiativ til opprettelsen av en ny «Data Protection Review Court». Denne såkalte domstolen skal imidlertid være underlagt den amerikanske regjeringen, og dens forhandlinger og avgjørelser skal holdes hemmelige. En eventuell Privacy Shield 2.0-avtale vil derfor sannsynligvis bli møtt med en «Schrems III»-dom.
Det finnes en exit-strategi
De siste 10 årene har vår avhengighet av digital infrastruktur økt raskt. En utvikling mot teknologisuverenitet, slik den har begynt i store deler av Europa, vil koste. Men alternativet er at vi blir avhengige av monopollignende selskaper fra USA og Kina, som vil bli mye dyrere i det lange løp. Derfor har stikkord som «Cloud Exit Strategy» nå blitt en del av IT-konsulentenes vokabular. Det betyr å tenke litt utenfor de produktene som vi alltid har kjøpt. Spesielt løsninger som ble kjøpt inn og satt opp i all hast under koronapandemien, må vurderes på nytt.
En titt på andre europeiske land kan hjelpe. Det er teknisk sett enklere enn noensinne å drive vår egen IT-infrastruktur, og vi kan bygge på en enorm skattkiste av fri programvare. Vi kan enkelt tilpasse, implementere og forbedre løsninger med åpen kildekode som har bevist sin verdi i andre land, uten å måtte betale lisensavgifter. Slik kan vi endelig ta personvern og grunnleggende digitale rettigheter på alvor.
Det er likevel avhengig av at vi får et styrket Datatilsyn som kan gi råd, men også aktivt følge opp der loven brytes.
En som ser ut til å ha blitt litt glemt er Edward Snowden. Han måtte forlate hjemlandet sitt fordi han advarte oss om et globalt overvåkingssystem, og har sittet fast i Russland i 10 år. Vi skylder ham mye og bør tilby ham et trygt sted i et faktisk demokratisk land, for eksempel her i Norge.
En forkortet utgave av denne teksten ble publisert i Klassekampen 21. juni 2023