Lagringsdirektivet kan koste milliarder

Motstandere av Datalagringsdirektivet (DLD) oppfattet en tysk dom i mars som den første store seieren over EU i personvernstriden om DLD. I mars satte den tyske forfatningsdomstolen i Karlsruhe deler av tysk gjennomføring av direktivet ut av kraft. Grunnen var for svak sikkerhet og for vide fullmakter for innsamlede data. Men de lot resten av direktivet passere, siden årsak og virkemidler ble ansett som å stå i forhold til hverandre og til den tyske grunnloven.

- Datalagringsdirektivet er i seg selv ikke i strid med tysk rett. Men implementeringen holdt ikke. Dette forklarte stipendiat Mahler ved institutt for privatrett, senter for rettsinformatikk, UiO under et åpent lunsjforedrag i april.

DLD griper inn i grunnleggende rettigheter for innbyggerne i Tyskland, og hører inn under forfatningsretten.

Grunnleggende rettigheter

Tyskland har valgt seks måneder som lagringstid, og domstolen påpeker at inngrepene er mange: Dataene lagres uten at det er en klar straffbar eller farlig handling som ligger til grunn, den åpner for å lage profiler av innbyggerne i både hva de gjør og hvor de er, det åpner for å bli etterforsket uten egen skyld, uten at man får beskjed og uten avgrensinger der man forventer konfidensialitet.

Inngrepene begrunnes med sikkerhet og behov for etterretning, og tysk rett hadde derfor ikke grunnlag for å nekte innføring av DLD. Men kravene til sikkerhet for dataene og vern av absolutte retter betyr avgrensinger for myndighetene.

Les også: Kan tvinges til gps-sporing i alle biler

- Domstolen har gitt en oppskrift til hvordan DLD kan implementeres uten å krenke rettighetene garantert etter den tyske grunnloven. Det er strenge krav, men de kan oppnås. Men det blir dyrt. For it-bransjen er dette et stort marked, svarte Mahler på spørsmål fra salen etter foredraget.

Ifølge Teleplan som har analysert kostnadene på vegne av samferdselsdepartementet, er kostnadene over fem år anslått til mellom 207 og 261 milliarder kroner. It-bransjen selv mener imidlertid at en tidobling av dette beløpet er mer realistisk. Det betyr at en norsk innføring av DLD etter tysk modell, vil koste over to millarder kroner.

Kravene som Forfatningsdomstolen lister opp til lagring av DLD-dataene er regnet som svært strenge. De innebærer separat lagring av data i lager som ikke er tilknyttet offentlig nettverk. Dataene skal krypteres asymmetrisk med separat sikret og lagret krypteringsnøkkel. Tilgang skal bare kunne gjøres av to personer samtidig ("de fire øyers prinsipp"), og krav til systemrevisjon må være oppfylt. Dette er ikke bare ved innsamling og lagring, men også ved sletting av data etter utgått lagringstid.

- Dette kommer til å mangedoble kostnadene til datalagring som følger DLD, sier Torgeir Waterhouse i IKT-Norge, og styremedlem i "Stopp datalagringsdirektivet2. Han var til stede under foredraget.

- Dette er kostnader som myndighetene selv må ta. Om de overlates til tjenestetilbyderne, vil dette bety økte priser og konkurransevriding, siden nye aktører vil få svært høye oppstartkostnader, poengterer Waterhouse.

Ikke bare å kjøpe mer lagring

Hos HP i Norge understreker de at dette endrer en del av forutsetningene slik de har sett det til nå etter å ha fått opplest hovedpunktene.

- HP har allerede levert rundt halvparten av lagringsløsningene til DLD i Europa. Om vi legger på disse tilleggsnivåene av sikkerhet blir løsningene veldig mye dyrere. Da snakker man ikke om å kjøpe inn noe lagring og sette det i et hjørne. Det er snakk om folk, prosesser og programvare i tillegg til maskinvare. Vi snakker fort om en tidobling av kostnadene i forhold til hva vi har sett skissert tidligere, sier Tord Christensen, som er lagringsløsningsansvarlig i HP Norge.

Les også: Mer overvåkning på grensen

Han understreker at selskapet ser forskjeller i tilnærmingen til hvordan lagringen gjennomføres i Europa. Én sentral leverandør som selger lagringstjenester ser ut til å bli foretrukket modell. Dette er for å beholde nødvendig oversikt og sikkerhet over dataene, og for å redusere konkurransevridning. Små aktører som må oppfylle strenge krav til datasikkerhet og personvern får uforholdsmessig høye kostnader.

- Slik felles løsning av infrastruktur er omtrent slik vi allerede har BBS for å håndtere korttransaksjoner i Norge i dag, illustrerer Christensen.

- Et uvanlig utsagn i dommen er at Forfatningsdomstolen anbefaler at den tyske regjeringen jobber mot å utvide DLD, sier Mahler, les mer på neste side!