Jotta støtter seg til kanarifuglmetoden, fungerer den i praksis?

[*F*]

Viser til følgende: https://www.jottacloud.com/nb/500-000-brukere-og-en-kanarifugl/

 

Og siterer:

 

 

dag introduserer vi Jottaclouds egen kanarifugl.

Vi i Jottacloud mener det er meget viktig med åpenhet og gjennomsiktighet i prosessen rundt en eventuell utlevering av kunders private data. Som en følge av dette har vi nå innført nye rutiner for hvordan vi håndterer pålegg om utlevering av data fra myndighetene.

Vi introduserer en såkalt Warrant Canary. Vi kjenner ikke til noen gode norske ord for dette, så vi kaller det en “utleveringskanari”.

Hva er en «Kanarifugl», og hvordan fungerer dette i praksis?

Idéen bak «Kanarifuglen» er: Om myndighetene gir oss en utleveringsordre som er unntatt offentlighet, så kan vi ikke varsle våre brukere og kunder om dette. Det vi dog kan gjøre, er å slutte å si at alt er i sin skjønneste orden.

Derav navnet «Kanarifugl» (kanarifugler ble brukt som nødvarslere i gruver i tidligere tider. Et bur med en fugl hang i gruvegangen, og da den sluttet å kvitre var det fare for karbonmonoksidforgiftning, og gruvearbeiderene måtte komme seg ut.)

Les mer om bruken av “utleveringskanarier” på Wikipedia

Dette betyr at vi hver uke vil publisere et dokument dersom vi ikke har mottatt noen utleveringsordrer fra myndighetene. Dersom vi slutter å oppdatere dette dokumentet, så må våre brukere gå ut i fra at vi har mottatt en «hemmelig» utleveringsordre. Dokumentet tidsstemplets og signeres med vår private nøkkel slik at avsenderen kan verifiseres.

Per 15. september 2015 har vi ikke mottatt noen utleveringsordrer fra myndighetene.

Du finner Jottaclouds kanarifugl her

Høres vell og bra ut, men fungerer dette i praksis?

[Mr D]

Høres vell og bra ut, men fungerer dette i praksis?

Ingen kan vel foreløpig svare på om dette fungerer i praksis når de startet i går og skal oppdatere ukentlig. Får heller følge med framover for å se om det fungerer.

[aklla]

En varsling er vel en varsling, samme hvordan man gjør det?

[krikkert]

Det beror på ordlyden i utleveringspålegget. Problemet er at hvis du får beskjed om ikke å "trigge" eller å ved unnlatelse besørge at en slik kanarifugl blir "trigget", så vil eksistensen av kanarifuglen i seg selv kunne føre til en falsk sikkerhetsfølelse. 

[Ståle Nordlie]

... du får beskjed om ikke å "trigge" eller å ved unnlatelse besørge at en slik kanarifugl blir "trigget",...

 

Hva vil hjemmelen være for et slikt pålegg?

[krikkert]

Etter norsk rett?

 

Straffeprosessloven §§ 216i og 216j i kapittel 16a om kommunikasjonskontroll, for eksempel. Straffeprosessloven § 216i gjelder også hvis det benyttes andre tvangsmidler når disse benyttes av politiet eller PST som ledd i etterforskning av alvorlige straffbare handlinger, jfr. § 222d. 

 

Straffeprosessloven § 208a fjerde ledd åpner for at retten kan pålegge besitteren av ting som kan beslaglegges (og andre) å bevare taushet overfor den mistenkte om at det er begjært/besluttet beslag uten varsel til mistenkte. 

 

 

Alle disse bestemmelsene vil kunne ramme både aktiv og passiv underretning til den det er nedlagt forbud mot å underrette. 

[Ståle Nordlie]

Takker. 

 

Jeg så på § 216i, men den virket ikke helt passende for en lagringstjeneste. Involverer man § 222d blir den nok bedre. 

 

Men § 208a (4) liker jeg.

 

 

§ 208a.

Når noen med skjellig grunn mistenkes for en handling eller forsøk på en handling som etter loven kan medføre høyere straff enn fengsel i 6 måneder, kan retten ved kjennelse beslutte at underretning om beslaget til den mistenkte eller andre som rammes av beslaget, kan utsettes dersom det er strengt nødvendig for etterforskningen i saken at underretning ikke gis. Forhøyelse av maksimumsstraffen ved gjentakelse eller sammenstøt av forbrytelser eller forseelser kommer ikke i betraktning. § 196 gjelder tilsvarende.

§ 216 e annet ledd gjelder tilsvarende. I saker om overtredelse av straffeloven kapittel 8 eller 9 bestemmer påtalemyndigheten hvor lenge underretningen skal utsettes. Påtalemyndigheten kan bestemme at underretning helt skal unnlates. I andre saker kan retten beslutte at underretning kan utsettes for inntil 8 uker om gangen. § 202 c sjette ledd, tredje og fjerde punktum gjelder tilsvarende.

Når tidsfristen for utsatt underretning er utløpt og ikke forlenget, skal den mistenkte og andre som rammes av beslaget, underrettes om kjennelsen, om beslaget og om retten etter § 208 til å kreve brakt inn for retten spørsmålet om beslaget skal opprettholdes.

Retten kan ved kjennelse pålegge besitteren å bevare taushet overfor den mistenkte om begjæringer og beslutninger etter denne bestemmelsen og om beslaget. Når særlige grunner tilsier det, kan slikt pålegg også gis til andre. Pålegg om taushetsplikt kan likevel ikke gis til noen som er nevnt i § 122 første eller annet ledd.

Når politiet ber om rettens samtykke etter denne bestemmelsen, gjelder § 216 d annet ledd tilsvarende. Dersom det ved opphold er fare for at etterforskningen vil lide, kan ordre fra påtalemyndigheten tre istedenfor kjennelse av retten, men ikke ut over 24 timer. § 197 tredje ledd og § 216 d gjelder tilsvarende.

 

 

Uansett hvilken paragraf man bruker blir dette - slik jeg ser det - et spørsmål om grensene for "taushetsplikt" i denne sammenhengen. Kan man pålegges å ikke bare være "taus", men også aktivt lyve til andre for å beskytte informasjonen? Til og med slik at en virksomhet lider et ikke ubetydelig omdømmetap?

 

Og her er det dessuten ikke snakk om å avsløre at "Peder Ås" er under etterforskning, men at politiet har fått kopi av filene til "en eller annen person" blant mange. Hvis de hadde personlige notiser for hver kunde ville det vært mer problematisk.

 

Jeg er ikke overbevist om at taushetsplikten stekker langt nok.

 

(Jeg lette kjapt etter rettspraksis på en mulig "plikt til å lyve" ved taushetsplikt og fant ikke noe relevant. Men taushetsplikt går igjen i så mange sammenhenger at man skulle tro det finnes dommer om dette på ett eller annet område.)

 

[krikkert]

Hvordan man oppfyller sin taushetsplikt er loven uvedkommende - plikten ligger i å "bevare taushet overfor den mistenkte", altså å sikre at mistenkte ikke får kjennskap til det taushetsbelagte. Hvis du har innrettet din virksomhet slik at du må lyve for å tilfredsstille denne plikten, og risikere tap av omdømme ved løgnen, så har du innrettet virksomheten din slik at du ikke kan følge rammebetingelsene i norsk rett uten å tape omdømme. Jeg tviler på at rettsordenen vil anerkjenne dette som et legitimt hensyn å ta, men det kan være et moment i vurderingen av om det foreligger "særlige grunner". 

 

Det er ganske generelt i taushetspliktregler at taushetsplikt innebærer både aktive og passive plikter. Etter forvaltningsloven § 13 innebærer taushetsplikt at man "plikter å hindre at andre får adgang eller kjennskap til" taushetsbelagte opplysninger. Forarbeidene til § 208a fjerde ledd er ganske klare på at omgåelser ikke er akseptabelt (Ot.prp.nr. 64 (1998-1999) s. 151, min utheving): 

 

 

 

Hvis den som besitter en gjenstand som beslaglegges etter hemmelig beslag, forteller om beslaget til den mistenkte, vil formålet med tvangsmidlet forspilles. Retten kan derfor ved kjennelse pålegge besitteren taushetsplikt overfor den mistenkte om alt som har med beslaget å gjøre, se fjerde ledd første punktum. Besitteren kan da heller ikke på annen måte opptre slik at opplysningene blir kjent for den mistenkte, for eksempel spre dem til andre.

 

Jeg vil si at å spre opplysninger om at det er tatt beslag til samtlige kunder innebærer at beslaget blir kjent for den mistenkte. Han blir kanskje ikke kjent med at det er tatt beslag i hans materiale, men han blir kjent med at det er tatt beslag hos hans forretningsforbindelse. 

 

Plikter man å lyve? Alternativet er å bli straffet. Hvorfor skal rettsordenen akseptere å bli holdt som gissel? 

[The Avatar]

Vil det ha nokon praktisk betydning om kunden etter ei veke (tid til neste kanarifuglbrev) veit at det har komt ei utleveringsordre mot kunden?

Dei innsamla dataene vil jo fortsatt foreligge, så om kunden har gjort noke galt så blir ein uansett tatt for det ein har gjort?

[krikkert]

Poenget med å holde etterforskning hemmelig for siktede er å sørge for at han ikke kan forspille bevis. Bevis omfattet av beslaget kan naturlig nok ikke forspilles (det er allerede beslaglagt), men alt som ikke omfattes av beslaget (for eksempel fordi det er hos andre tjenestetilbydere som påtalemyndigheten ikke får vite om før de har gjennomgått beslaget) er det åpen sesong på.