My name is Ed Snowden, I’m 29 years old. I work for Booz Allen Hamilton as an infrastructure analyst for NSA in Hawaii». Med disse ordene presenterte Edward Snowden seg for verden for første gang i 2013. Noen dager tidligere hadde varsleren avslørt en av de største lekkasjene i USAs historie.
Lekkasjene ga et enestående innblikk i hvordan det amerikanske sikkerhetsbyrået National Security Agency (NSA) arbeider. Det gigantiske overvåkingsapparatet dekket langt mer enn konkrete mistenkte terrorister og fiender av USA. Dokumentene vitnet blant annet om omfattende avlytting av globale sjøkabler, infiltrasjon av internettknutepunkter og systematisk avlytting av vestlige borgere og myndigheter. Blant målene var europeiske toppolitikere. Til og med forbundskansler Angela Merkels mobiltelefon ble overvåket fra 2002 til 2013.
Snowden-lekkasjene beskrev ikke bare et overvåkingssystem av enestående omfang, de kastet også lys over et hittil ganske nytt fenomen: det tette samarbeidet mellom private teknologiselskaper og amerikanske sikkerhetsmyndigheter. NSA fikk direkte tilgang til telefonsamtaler, meldinger, bilder og annen informasjon fra blant annet Google, Facebook og Microsoft. Dette er hjemlet i Foreign Intelligence Surveillance Act § 702. Den åpner for avlytting av ikke-amerikanske borgere uten dommer-godkjennelse. En intern presentasjon beskrev funnene fra masseovervåkingen som det viktigste bidraget til presidentens daglige brifinger. I et intervju forklarer Snowden at «The NSA specifically targets the communications of everyone, it collects them by default [ …]».
Ti år har gått siden de massive bruddene på våre grunnleggende rettigheter ble avdekket. Hvordan har egentlig vårt forhold til amerikanske teknologigiganter og til personvern endret seg?
En person som har skapt endringer, er Max Schrems. Den østerrikske personvernadvokaten er kjent for sine søksmål mot blant annet Facebook, som tidligere i år endte med en banebrytende bot på 1,2 milliarder euro og strenge pålegg om endringer. Tidligere, inntil 2015, brukte Facebook den såkalte «Safe Harbor»-avtalen, et vedtak fra EU-kommisjonen som gjorde det lovlig å overføre personopplysninger til USA. Denne konstruksjonen satte Schrems spørsmålstegn ved: Hvordan kan Facebook opptre i samsvar med europeisk personvernlovgivning hvis NSA har uhindret tilgang til systemene deres? EU-domstolen opphevet Safe Harbor-beslutningen, gjennom det som nå kalles «Schrems I»-dommen.
Historien gjentok seg med etterfølgeren «Privacy Shield». Den europeiske personvernforordningen, GDPR, trådte i kraft i 2018 og Schrems klaget umiddelbart inn de amerikanske teknologigigantene for brudd på denne. EU-domstolen slo derfor, i 2020, fast at masseovervåkingen til amerikanske etterretningstjenester var uforholdsmessig, og at europeiske borgere ikke hadde tilstrekkelige juridiske midler til å forsvare sine grunnleggende rettigheter i USA gjennom Privacy Shield.
«Selv Forsvaret har valgt å bruke Microsofts skyløsning»
Denne «Schrems II»- dommen var opptakten til en forvandling av IT-bransjen i store deler av Europa: Særlig den tyske og franske IT-bransjen markedsfører nå sine produkter med europeisk personvern og servere i EU. I Tyskland lager de sin egen «statssky», Bundescloud , bygd på åpen kildekode-prosjektet Nextcloud , mens den franske staten erstatter Teams med den frie, krypterte meldingsprotokollen Matrix .
Norge er litt tregere, selv sammenliknet med våre svenske naboer. Sikkerhet er viktig, også i Norge, og vi husker lange diskusjoner om bruken av kinesisk Huawei-teknologi i det norske 5G-nettet. Selv jeg som tysker, som tross alt er statsborger i et Nato-land, opplever av og til å få avslag når jeg søker jobber innen IT-sikkerhet. Av sikkerhetsgrunner er det bare norske statsborgere som slipper inn. Det står i skarp kontrast til at mange norske institusjoner serverer sine data på et sølvfat til store internasjonale selskaper.
Teknologirådet rapporterte i fjor at mer enn åtte av ti offentlige institusjoner bygger inn sporingsverktøy fra Google eller Facebook på sine nettsider. Slik bidrar de til kommersiell overvåking av befolkningen – sannsynligvis ulovlig. Tilsvarende er Skatteetaten avhengig av Microsoft, og SSB skal over på Googles skytjeneste. Selv Forsvaret har valgt å bruke Microsofts skyløsning. Kontraktene er ofte inngått med irske datterselskaper av de amerikanske teknologigigantene, og i noen tilfeller brukes europeiske datasentre, men USA skjerpet lovgivningen i 2018. «CLOUD Act» forplikter amerikanske teknologiselskaper til å utlevere data, selv om de er lagret i utlandet. Det finnes ofte ikke noe strengt teknisk og organisatorisk skille mellom de amerikanske selskapene og deres europeiske datterselskaper som kan forhindre slik tilgang.
Den norske IT-bransjen har altfor lenge ignorert de alvorlige konsekvensene av Snowden-avsløringene og håper nok fortsatt på et «Privacy Shield 2.0». EU-kommisjonen jobber for en ny slik avtale mellom EU og USA. Men det krever at amerikanerne reviderer sine overvåkingslover og gir utlendinger grunnleggende rettigheter. En eventuell Privacy Shield 2.0-avtale vil derfor sannsynligvis bli møtt med en «Schrems III»-dom.
Det finnes en exitstrategi. De siste ti årene har vår avhengighet av digital infrastruktur økt raskt. En utvikling mot teknologisuverenitet, slik den har begynt i store deler av Europa, vil koste. Men alternativet er at vi blir avhengige av monopolselskaper fra USA og Kina, som vil bli mye dyrere i det lange løp. Derfor har stikkord som «Cloud Exit Strategy» nå blitt en del av IT-konsulentenes vokabular. Det betyr å tenke litt utenfor de produktene som vi alltid har kjøpt.
En titt på andre europeiske land kan hjelpe. Det er teknisk sett enklere enn noensinne å drive vår egen infrastruktur, og vi kan bygge på en enorm skattkiste av fri programvare. Vi kan enkelt tilpasse, implementere og forbedre løsninger med åpen kildekode som har bevist sin verdi i andre land, uten å måtte betale lisensavgifter. Slik kan vi endelig ta personvern og grunnleggende digitale rettigheter på alvor.
En som ser ut til å ha blitt litt glemt, er Edward Snowden. Han måtte forlate hjemlandet sitt fordi han advarte oss om et globalt overvåkingssystem, og har sittet fast i Russland i ti år. Vi skylder ham mye og bør tilby ham et trygt sted i et faktisk demokratisk land, for eksempel her i Norge.