Innstilling fra kontroll- og konstitusjonskomiteen om Årsmelding fra Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) for 2018

Innhald

Til Stortinget

1. Sammendrag

1.1 Utvalgets mandat og sammensetning

EOS-utvalget er et permanent, stortingsoppnevnt organ som kontrollerer norske virksomheter som utøver etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-tjeneste). Kontrollen gjelder bare EOS-tjeneste som utøves, styres eller settes i gang av offentlig forvaltning.

Formålet med kontrollen er etter EOS-kontrolloven § 2 første ledd å:

  1. klarlegge om og forebygge at noens rettigheter krenkes, herunder påse at det ikke nyttes mer inngripende midler enn det som er nødvendig etter forholdene, og at tjenestene respekterer menneskerettighetene,

  2. påse at virksomheten ikke utilbørlig skader samfunnets interesser, og

  3. påse at virksomheten holdes innenfor rammen av lov, administrative eller militære direktiver og ulovfestet rett.

Utvalget skal i sin kontroll ta hensyn til rikets sikkerhet og forholdet til fremmede makter. Utvalget skal ikke søke et mer omfattende innsyn i sikkerhetsgraderte opplysninger enn det som er nødvendig ut fra kontrollformålene, og utvalget skal så vidt mulig ta hensyn til kildevernet og vern av informasjon mottatt fra utlandet. Kontrollen med enkeltsaker og operasjoner skal være etterfølgende, men utvalget har rett til å bli informert om tjenestenes løpende virksomhet. Utvalget kan ikke instruere EOS-tjenestene eller brukes til konsultasjoner. Kontrollen skal være til minst mulig ulempe for tjenestenes operative virksomhet.

Det er sju medlemmer i utvalget. Medlemmene velges for et tidsrom på inntil fem år av Stortinget i plenum etter innstilling fra Stortingets presidentskap. Det oppnevnes ikke varamedlemmer. Etter en lovendring i 2017 kan medlemmene gjenoppnevnes én gang og maksimalt ha vervet i ti år.

Utvalget er uavhengig av både regjeringen og Stortinget. Utvalget kan derfor ikke instrueres av regjeringen, og medlemmer av utvalget kan ikke samtidig være stortingsrepresentanter. Utvalget har en variert sammensetning, der både ulik politisk bakgrunn og erfaring fra andre samfunnsområder er representert.

1.2 Oversikt over utvalgets virksomhet i 2018

1.2.1 Hovedpunkter i kontrollen med tjenestene

EOS-utvalget har som sin viktigste oppgave å «klarlegge om og forebygge at noens rettigheter krenkes». Det gjør utvalget blant annet ved å kontrollere om PSTs registrering av personer er i samsvar med loven, om E-tjenesten ikke bryter forbudet mot å overvåke norske personer som oppholder seg i Norge, og om saker om sikkerhetsklarering er behandlet på en rettssikker og rettferdig måte.

Politiets sikkerhetstjeneste (PST):

  • PST har i en stor andel saker overlevert informasjon til klareringsmyndigheter på muntlig vis uten å dokumentere det skriftlig. Dette er et brudd på loven.

  • Ved ett tilfelle har PST registrert opplysninger om politisk engasjement og utlevert det til en klareringsmyndighet. Dette er forbudt, og utvalget kritiserte tjenesten.

  • PST utleverte opplysninger til en klareringsmyndighet om at en person som skulle sikkerhetsklareres, tilhørte det PST kaller et «ekstremt miljø med voldspotensiale». Men personen tilhørte ikke dette miljøet.

  • Utvalget har kritisert PST for å innhente en chatlogg på ulovlig grunnlag.

  • PST meldte inn to avvik til utvalget. Ett av dem gjaldt skjult kameraovervåking der et kamera ble slått av ni dager etter at rettens tillatelse utløp.

Nasjonal sikkerhetsmyndighet (NSM):

  • I en klagesak har ikke NSM rettet seg etter utvalgets anbefaling om å gi en klager innsyn i korrespondanse mellom NSM og utvalget. Utvalget mener dette er beklagelig.

  • NSM har krenket en klagers rettigheter ved å la personen gå gjennom en klareringsprosess uten at det var grunnlag for det. Personen fikk først konklusjonen «INGEN KLARERING», og det fikk negative følger for klageren.

  • Utvalget har ferdigstilt prosjektet om sikkerhetsklarering av personer som har tilknytning til andre stater. Det har resultert i en særskilt melding til Stortinget.

Etterretningstjenesten:

  • E-tjenesten mente de hadde hjemmel til å gå gjennom informasjon som stammer fra kommunikasjon mellom personer i Norge, selv om den var samlet inn i strid med loven. EOS-utvalget konkluderte på prinsipielt grunnlag med at E-tjenesten ikke har lov til dette. Utvalget fant ikke at E-tjenesten faktisk har gjort dette.

  • Det knytter seg begrunnet tvil til lovligheten av tjenestens innhenting av informasjon fra åpne kilder om norske personer mens de oppholder seg i Norge.

  • Utvalget har brukt mye tid på å jobbe med hørings- svaret til Forsvarsdepartementets forslag om ny lov om Etterretningstjenesten.

Annen EOS-tjeneste:

  • Utvalget har kritisert Riksrevisjonen for ikke å gi dem som blir nektet sikkerhetsklarering, en begrunnelse for vedtaket.

1.2.2 Utført kontrollvirksomhet

Utvalgets kontrollvirksomhet kan deles inn i tre hovedkategorier. For det første gjennomfører utvalget stedlige inspeksjoner i EOS-tjenestene. For det andre undersøker og uttaler utvalget seg om enkeltsaker. Slike saker er gjerne et resultat av problemstillinger utvalget har avdekket i inspeksjonene. For det tredje behandler utvalget klager fra enkeltpersoner.

Etter endringen av EOS-kontrolloven i 2017 stilles det krav om at utvalget gjennomfører minst 13 inspeksjoner årlig.

I 2018 har utvalget gjennomført 20 inspeksjoner og vært alle steder som loven krever. Politiets sikkerhetstjeneste (PST) er inspisert sju ganger, Etterretningstjenesten (E-tjenesten) fire ganger, Nasjonal sikkerhetsmyndighet (NSM) to ganger og Forsvarets sikkerhetsavdeling (FSA) to ganger. Etterretningsbataljonen, Nasjonal kommunikasjonsmyndighet, Forsvarets spesialkommando, Telia Norge AS og Felles cyberkoordineringssenter er inspisert én gang hver.

Utvalget kan i all hovedsak gjennomføre inspeksjoner direkte i tjenestenes elektroniske systemer. Dette innebærer at inspeksjonene inneholder betydelig uanmeldte elementer. Hvilken informasjon som kontrolleres, er ikke kjent for tjenestene før vi stiller muntlige spørsmål i en inspeksjon, eller retter skriftlige henvendelser til tjenestene om funn etter en inspeksjon. Det ble i 2018 gjennomført én inspeksjon med kort varsel – av PST-kontoret ved Oslo lufthavn Gardermoen.

For å gjøre utvalgets kontroll målrettet og effektiv, gjør sekretariatet grundige forberedelser i tjenestene. Inspeksjonsforberedelser er ressurskrevende, og forberedelsene er stadig styrket de siste ti årene.

I 2018 opprettet utvalget 22 saker av eget tiltak, mot 31 i 2017. Sakene utvalget har tatt opp på eget tiltak, er hovedsakelig oppfølging av funn fra utvalgets inspeksjoner. Utvalget avsluttet i 2018 22 saker som var tatt opp av eget tiltak, mot 30 saker i 2017. Sakene som ble undersøkt i 2018, har generelt vært mer arbeidskrevende enn sakene i 2017.

Utvalget undersøker klager fra enkeltpersoner og organisasjoner. Det kom inn 19 klager på EOS-tjenestene i 2018, mot 26 klager i 2017. Klager som faller inn under utvalgets kontrollområde, undersøkes i den eller de tjenestene som klagen retter seg mot. Utvalget har en lav terskel for å ta klagesaker til behandling.

1.3 Utviklingstrekk, rammebetingelser og internasjonalt kontrollsamarbeid

1.3.1 Sekretariatets teknologiske enhet

I årsmeldingen for 2017 skrev utvalget om planene for opprettelse av en teknologisk enhet med minst fem ansatte. Det er antallet utvalget mener enheten bør ha ut fra dagens kontrollbehov. I sin behandling av årsmeldingen for 2017 understreket også Stortinget viktigheten av mer teknologisk kompetanse til utvalget. Tildelingen fra Stortinget for 2018 ga rom for å starte dette arbeidet, og utvalget har ansatt de to første teknologene til den nye enheten. I Stortingets budsjett for 2019 ble ikke dette fulgt opp, og utvalget opplyser at det i 2019 ikke er noen mulighet for ytterligere å styrke den teknologiske enheten på veien mot fem ansatte.

Høsten 2018 ble en fagdirektør og en senioringeniør ansatt i den teknologiske enheten. Sammen med et halvt årsverk som allerede var på plass, teller enheten nå 2,5 årsverk. Det er ifølge utvalget nok til å komme i gang med bedre teknologisk støtte til både utvalget og resten av sekretariatet. Utvalget skriver at det er viktig at den teknologiske enheten har nødvendig oversikt og innsikt i systemene slik at teknologene kan gi utvalget støtte både i forkant av og under inspeksjoner, samt bidra i oppfølgingen av problemstillinger som kommer fra inspeksjonene.

Fremover blir det ifølge utvalget viktig å se på effektivisering av kontrollen med automatisering og andre moderne verktøy. Dette krever både kunnskap om tjenestenes systemer og kunnskap om gode verktøy for å utføre denne effektiviserte kontrollen.

Den teknologiske enheten har startet på en samlet kartlegging og dokumentasjon av systemene i de forskjellige tjenestene.

Teknologene er også i gang med å knytte nettverk med eksisterende IT-miljøer i Norge, spesielt på sikkerhetsområdet. Den teknologiske enheten får nyttig kunnskap gjennom seminarer og andre samlinger, og ved å prate med fagfolk. Et annet mål er å gjøre EOS-utvalget bedre kjent i fagmiljøet, slik at vi forhåpentligvis får mange gode søkere i fremtiden.

Høringen om ny lov om Etterretningstjenesten har tatt mye tid for utvalget mot slutten av 2018. Forslaget om tilrettelagt innhenting (TI) (Digitalt grenseforsvar) introduserer begrepet «styrket kontroll» og peker på EOS-utvalget både i den løpende kontrollen, som er en helt ny rolle, og den etterfølgende kontrollen, som er en utvidelse av dagens rolle.

En eventuell innføring av en ny og omfattende e-lov inkludert TI vil ifølge utvalget kreve ytterligere styrking av den teknologiske enheten ut over fem ansatte, som er behovet i dag.

1.3.2 Internasjonalt samarbeid om kontroll

EOS-tjenestene samarbeider stadig mer internasjonalt, og de deler også mer og mer data over landegrensene – en god del av disse dataene er sensitive personopplysninger. Denne utviklingen gir også kontrollorganene nye utfordringer. Utvalget har derfor behov for å ha kontakt med utenlandske kontrollkollegaer for å utveksle erfaringer og få innspill til å bedre kontrollen.

EOS-utvalget har siden 2015 deltatt i et samarbeidsprosjekt med kontrollorganene fra Danmark, Sveits, Nederland og Belgia. I prosjektet undersøkte kontrollorganene sine nasjonale tjenesters internasjonale utveksling av personopplysninger om fremmedkrigere. EOS-utvalget har i undersøkelsen ikke funnet kritikkverdige forhold hos norske tjenester, men har merket seg at oppbyggingen av tjenestenes systemer har gjort det vanskelig å få full oversikt på ett sted over opplysninger som er delt om en enkeltperson.

Alle møtene med andre lands kontrollorganer har foregått på ugradert nivå, og møtene er omtalt i årsmeldingene for 2015–2017.

Utvalget har en intensjon om å samarbeide mer med de fire kontrollorganene, og forhåpentligvis andre som slutter seg til, i årene fremover.

Den 14. november 2018 kom gruppen med en felles offentlig uttalelse om erfaringene fra prosjektet.

Uttalelsen og en pressemelding om den følger som vedlegg 6 til årsmeldingen. I uttalelsen peker vi blant annet på risikoen for at kontrolltomrom kan oppstå når delingen av personopplysninger mellom tjenester er internasjonal, mens kontrollen bare er nasjonal. Når en norsk tjeneste deler informasjon med en partner i utlandet, kan vi se alt som skjer hos den norske tjenesten, men vår kontroll stopper når informasjonen er sendt ut av landet.

I uttalelsen tar vi til orde for et styrket samarbeid mellom kontrollorganene. Et verdifullt steg mot et nærmere samarbeid vil være å minimere hemmeligholdet mellom kontrollorganene, slik at noe informasjon kan deles. Når data allerede er utvekslet mellom tjenestene, kunne også kontrollorganene ha delt de samme opplysningene. Dette kunne redusert risikoen for et kontrolltomrom.

Utvalget peker i uttalelsen også på viktigheten av å utvikle nye kontrollmetoder, både juridiske og tekniske, som skal kunne bidra til bedre og mer effektiv kontroll av internasjonal datautveksling.

Organet IPCO, som blant annet kontrollerer Storbritannias hemmelige tjenester, har i etterkant sendt ut en offentlig støtteerklæring til vår uttalelse.

Det er for tiden flere initiativ til økt samarbeid om kontroll av internasjonalt samarbeid mellom tjenester. EOS-utvalget følger med på disse.

1.3.3 Anonymitet for varslere

I en artikkel på aldrimer.no 5. mars 2018 fikk utvalget kritikk for at det «tilsynelatende ennå ikke er etablert rammer for at utvalget kan tilby de ansatte i de hemmelige tjenestene kildevern dersom de ønsker å varsle om kritikkverdige forhold». Utvalgsleder svarte i et innlegg på aldrimer.no 18. april 2018 at utvalget har en plikt til å sørge for at identiteten til personer som i fortrolighet har gitt informasjon til EOS-utvalget, beskyttes og ikke eksponeres når vi undersøker mulige kritikkverdige forhold i tjenestene:

«Om vi får et varsel må vi vurdere om og hvordan informasjonen fra varsleren kan brukes av utvalget uten at varslerens identitet blir avslørt. Utvalget kan ta opp saker av eget initiativ, uten å måtte begrunne årsaken til undersøkelsene overfor tjenestene.»

Utvalget har likevel måttet opplyse om risikoen for at en varsler kan bli utpekt som kilde til informasjonen om utvalget satte i gang en undersøkelse.

Men utvalget vil ikke uten samtykke bruke informasjon fra varslere som vil forbli anonyme. Utvalget avslører heller ikke overfor Stortinget identiteten til varslere eller klagere.

Utvalget mener også at personer som er ansatt i virksomheter som er underlagt utvalgets kontrollområde, fritt skal kunne varsle oss om mulige kritikkverdige forhold internt, uten hinder av taushetsplikt. Utvalget mener at vern av varslere bør vurderes regulert i EOS-kontrolloven og eventuelt også i de respektive EOS-tjenestenes regelverk.

1.4 Politiets sikkerhetstjeneste

1.4.1 Generelt om kontrollen

I 2018 har utvalget gjennomført fire inspeksjoner i Den sentrale enhet (DSE). I tillegg er PST-enhetene i politidistriktene Agder og Innlandet inspisert, samt PST-kontoret på Oslo lufthavn Gardermoen. Utvalget har fulgt opp inspeksjonen av PST-kontoret på Oslo lufthavn Gardermoen, men saken er ikke ferdig behandlet i meldingsåret.

Som én av partene i Felles cyberkoordineringsssenter (FCKS) har PST også i den sammenheng blitt inspisert.

I inspeksjonene i tjenesten kontrollerer utvalget særlig følgende:

  • Tjenestens innhenting og behandling av personopplysninger.

  • Tjenestens nye og avsluttede forebyggende saker og etterforskingssaker.

  • Tjenestens bruk av skjulte tvangsmidler (for eksempel telefon- og romavlytting, dataavlesing og hemmelig ransaking).

  • Tjenestens utveksling av informasjon med innenlandske og utenlandske samarbeidspartnere.

Utvalget deler inspeksjonene i en orienteringsdel og en inspeksjonsdel. PSTs orienteringer til oss er nyttige for å få tjenestens syn på dens oppgaver, vurderinger og utfordringer. Orienteringstemaene er i hovedsak valgt av utvalget selv, men tjenesten bes også om å orientere om øvrige forhold de mener er relevante for utvalgets kontroll. Ved å ha et bredt innblikk i tjenestens virksomhet settes utvalget i stand til å foreta en mer spisset kontroll. Under inspeksjonene blir utvalget orientert om blant annet PSTs løpende virksomhet, tjenestens nasjonale og internasjonale samarbeid og saker det har vært offentlig debatt om. Utvalget stiller muntlige spørsmål på stedet og eventuelle skriftlige spørsmål i etterkant.

I inspeksjonsdelen søker utvalget direkte i tjenestens elektroniske systemer. PST varsles ikke om hvilke søk vi gjør. Det innebærer at inspeksjonsdelen inneholder betydelige uanmeldte elementer. Sekretariatet forbereder utvalgets inspeksjoner grundig, og det setter utvalget i stand til å gjennomføre mer målrettede inspeksjoner.

1.4.2 PSTs utlevering av opplysninger i klareringssaker

1.4.2.1 Innledning

Formålet med sikkerhetsklarering er å vurdere om personer er skikket til å behandle sikkerhetsgradert informasjon. Når en person skal sikkerhetsklareres, kan klareringsmyndigheten innhente opplysninger om vedkommende fra en rekke offentlige registre til sin vurdering av personens sikkerhetsmessige skikkethet. Dette kalles personkontroll. PST er blant dem det hentes inn opplysninger fra.

Utvalget kontrollerer jevnlig hvilke opplysninger PST utleverer til klareringsmyndigheten i klareringssaker. Funn i inspeksjonene i PST, NSM og FSA i 2017 og 2018 ga grunn til nærmere undersøkelser av hvilke opplysninger PST formidler til klareringsmyndigheten. Utvalget har også undersøkt i hvilken form opplysningene utleveres, og om det er godt nok dokumentert hvilke opplysninger som er utlevert.

Utvalget har gått gjennom opplysningene som PST har utlevert om i underkant av tjue personer fra 2015 til 2017. I tillegg har utvalget undersøkt hvilke opplysninger PST har registrert om disse personene i tjenestens systemer og registre, samt hvordan klareringsmyndigheten har behandlet opplysningene i klareringssaken.

1.4.2.2 Hvordan PST utleverer informasjonen – bruk av møter og manglende dokumentasjon

Det fremgår av sikkerhetsloven 1998 at PST plikter å utlevere registeropplysninger til klareringsmyndigheten uten hinder av taushetsplikt. Opplysningene skal gis skriftlig.

Utvalget stilte en rekke spørsmål til PST om skriftlighet ved utleveringer, bruk av møter og dokumentasjon av hva som ble formidlet. PST opplyste i sitt svar at tjenesten «… som hovedregel [utleverer] informasjon skriftlig, og i enkelte tilfeller har det blitt gitt ytterligere informasjon i et møte med klareringsmyndigheten».

Det er utvalgets oppfatning at tjenesten rutinemessig har lagt opp til at det holdes møter med klareringsmyndigheten om tjenesten har «flere detaljer enn det som gjengis i brevet eller at fagseksjonen ønsker å presisere informasjonene som blir gitt». Utvalget viste til at flere av de skriftlige utleveringene fra PST til klareringsmyndigheten avsluttes med «for ytterligere opplysninger kontakt PST».

I omkring halvparten av sakene som utvalget undersøkte, gjennomførte PST møter med klareringsmyndigheten. Dette betyr sannsynligvis at utlevering av informasjon i møter skjer i større utstrekning enn det PST beskrev i sitt svar til utvalget.

Utvalget mener at gode grunner taler for at personkontrollopplysninger skal utleveres skriftlig. For det første taler hensynet til en korrekt og komplett formidling av personkontrollopplysninger for at disse skal utleveres skriftlig. Opplysninger fra PST vil normalt være særlig relevante og tungtveiende i en klareringssak. Den som utleverer opplysningene, har best forutsetning for å nedtegne disse korrekt.

For det andre bør utlevering skje skriftlig av hensyn til etterprøvbarheten. Manglende skriftlighet ved utleveringene fra PST gjør det vanskelig for både klageinstansen, en eventuell særskilt oppnevnt advokat og EOS-utvalget å kontrollere hvilke opplysninger klareringsmyndigheten har hatt tilgang til og lagt til grunn for sin avgjørelse. Den som skal klareres, har i enkelte tilfeller ikke krav på begrunnelse. Dette gjelder for eksempel opplysninger fra PST. At alle sakens sider kan ettergås, er særlig viktig siden personen som skal klareres, ikke får vite om at opplysninger fra PST utgjør hele eller deler av begrunnelsen for nektelsen.

PST har uttalt at tjenesten med fordel kunne gitt mer informasjon skriftlig til klareringsmyndigheten i enkeltsaker. PST opplyste også at dokumentasjonen av hvilke personkontrollopplysninger som ble utlevert i møter, ikke har vært tilfredsstillende. Tjenesten har skjerpet praksisen.

Utvalget delte tjenestens syn og la til grunn at PST heretter i all hovedsak vil utlevere informasjon til klareringsmyndigheten skriftlig. Skriftlig utlevering av opplysninger vil redusere behovet for møter mellom PST og klareringsmyndigheten. I den grad møter er nødvendige, forutsatte utvalget at PST sørger for tilfredsstillende dokumentasjon av hvilke opplysninger som utleveres.

Utvalget kritiserte PST for at tjenestens praksis for utlevering av personkontrollopplysninger ikke har fulgt lovens krav om skriftlighet.

1.4.2.3 Kan PST la være å utlevere relevante opplysninger?

PST besvarte ikke utvalgets spørsmål om tjenesten har hjemmel til å holde tilbake opplysninger som er relevante for klareringssaken fra klareringsmyndigheten.

På generelt grunnlag ga tjenesten likevel uttrykk for at den i hvert tilfelle må vurdere hvilken informasjon som kan utleveres. PST uttalte at hensynet til tjenestens virksomhet, operative hensyn, hensynet til pågående etterforsking og vern av kilder og tredjepartsinformasjon må ivaretas, samtidig som klareringsmyndigheten får tilstrekkelig informasjon.

Utvalget uttrykte forståelse for denne type hensyn. Men utvalget bemerket at det vanskelig kan se at sikkerhetslovens regler om personkontroll åpner for at PST kan gjøre sin egen vurdering av om opplysninger skal utleveres, så fremt opplysningene er relevante for personkontrollen. Utvalget uttalte at det bør være tydelig regulert hvordan man skal vekte hensynet til PSTs oppgaveløsning opp mot å utlevere negative opplysninger om personer som søkes klarert.

Utvalget uttalte at unntak fra utleveringsplikten bør reguleres i sikkerhetsloven eller forskrift til sikkerhetsloven.

Utvalget merker seg at det i klareringsforskriften som trådte i kraft 1. januar 2019, er inntatt i § 12 at politiet og PST skal inngå avtale med NSM om politiets og PSTs utlevering av opplysninger som innhentes fra etterretnings- og arbeidsregistre til bruk i klareringssaker. Bestemmelsen skal ivareta hensynet til operative og forebyggende behov hos politiet og PST på den ene siden, og NSM og klareringsmyndigheten på den andre. Uenighet om bruk og utlevering av opplysningene skal avgjøres av Justis- og beredskapsdepartementet.

Utvalget legger til grunn at PST i alle tilfeller vil informere klareringsmyndigheten om at PST har opplysninger som er relevante for en klareringssak og som tjenesten ikke vil utlevere. I motsatt fall kan ikke en uenighet om hvorvidt opplysningene skal utleveres, komme til overflaten.

1.4.2.4 Utlevering av ikke-bekreftede opplysninger

Før PST utleverer opplysninger knyttet til personkontroll, skal tjenesten kontrollere opplysningenes kvalitet og beskrive eventuell usikkerhet om opplysningene er riktige.

PST opplyste at tjenestens bekymring for en person i mange tilfeller vil basere seg på ubekreftede opplysninger. Tjenestens register inneholder ikke faktaopplysninger på samme måte som straffesaksregistrene eller folkeregisteret.

Utvalget uttalte at PST i enkelte tilfeller ikke tydelig nok har informert om usikre opplysninger. Opplysninger til klareringsmyndigheten kan fremstå som førstehåndsinformasjon fra PST («PST er kjent med..»), mens realiteten er at PST har mottatt opplysninger fra en kontakt eller kilde, uten at opplysningene kan bekreftes.

Klareringsmyndigheten skal påse at klareringssaken er så godt opplyst som mulig. Opplysninger fra PST vil som regel veie tungt i klareringssaken, samtidig som klareringsmyndigheten selv sjelden kan bekrefte eller avkrefte opplysningene. For eksempel kan ikke klareringsmyndigheten uten videre konfrontere den som anmodes klarert med opplysningene fra PST i en sikkerhetssamtale.

Utvalget uttalte at det er spesielt viktig at PST tydeliggjør eventuell usikkerhet som hefter ved opplysningene.

1.4.2.5 Konklusjoner og oppfølging

Utvalgets oppgaver er blant annet å klarlegge om og forebygge at noens rettigheter krenkes, og påse at tjenestenes virksomhet er i samsvar med krav i lov og forskrift. Vår undersøkelse viste at PSTs praksis for utlevering av opplysninger til klareringsmyndigheten ikke er i samsvar med kravene. Tjenestens praksis innebærer også en risiko for at rettighetene til personer som anmodes sikkerhetsklarert, kan krenkes. En negativ klareringsavgjørelse kan ha stor betydning for en persons yrkeskarriere.

Saken har demonstrert verdien av at Norge har ett utvalg som kontrollerer alle tjenestene og dermed kan vurdere både arbeidsdelingen og deling av informasjon tjenestene imellom.

Utvalget har merket seg at PST har endret sin praksis og revidert rutinen for utlevering av opplysninger til klareringsmyndigheten, samt at PST og NSM skal utarbeide en ny samarbeidsavtale.

Utvalget vil holde seg orientert om hvilke tiltak tjenesten gjennomfører i oppfølgingen av saken og fortsette sin kontroll av PSTs utleveringer til klareringsmyndighetene.

1.4.3 PSTs utlevering til klareringsmyndigheten i tre saker

1.4.3.1 Bakgrunn

Som redegjort for i punkt 5.2 har utvalget undersøkt PSTs utlevering til klareringsmyndigheten og som følge av den saken uttalt seg om tre konkrete tilfeller. I én av sakene ble resultatet at vedkommende ikke fikk klarering. Utvalget har ikke grunn til å tro at manglene ved PSTs utlevering har virket inn på resultatet i klareringssakene.

1.4.3.2 Sak 1 – Manglende dokumentasjon av hvilke opplysninger som er utlevert

I en sak fremgikk det av PSTs notater til et møte med klareringsmyndigheten at det skulle orienteres om etterretning fra en stat. At PST var bekymret for at personen kunne være tilknyttet fremmed etterretning, fremgikk verken av den skriftlige utleveringen i forkant av møtet, eller av møtereferatet.

På spørsmål fra utvalget om hva som ble delt i møtet, svarte PST at tjenesten var bekymret for at personen som skulle sikkerhetsklareres, kunne være etterretningsoffiser eller på annen måte samarbeide med en konkret stats myndigheter.

Utvalget uttalte at utleveringen i saken illustrerer de problematiske sidene ved PSTs praksis. Hvilke opplysninger som ble utlevert, var ikke dokumentert. I tillegg mente vi at PSTs utlevering kunne gi inntrykk av at tjenesten overfor klareringsmyndigheten gikk god for opplysningene i brevet, selv om opplysningene ikke var bekreftet av PST.

1.4.3.3 Sak 2 – Ulovlig utlevering av opplysninger om politisk engasjement

Politisk engasjement, inkludert medlemskap i, sympati med eller aktivitet for lovlige politiske partier eller organisasjoner og annet lovlig samfunnsengasjement skal ikke bety noe for vurderingen av en persons sikkerhetsmessige skikkethet, jf. sikkerhetsloven § 21 andre ledd. PST hadde i en sak registrert opplysninger om en persons politiske engasjement og delt opplysninger om dette med klareringsmyndigheten. I oppfølgingen uttalte PST at ytringen er innenfor rammen av ytringsfriheten. Til utvalget opplyste PST at det ikke var grunnlag for behandlingen av opplysningene om personen, og at registreringen derfor ble slettet.

Utvalget delte PSTs vurdering av registreringen, og la til at ytringen ikke går ut over grensene for lovlig politisk virksomhet eller samfunnsengasjement.

Utvalget kritiserte PST for å ha utlevert opplysninger om politisk engasjement til klareringsmyndigheten, i strid med forbudet i sikkerhetsloven § 20 femte ledd.

1.4.3.4 Sak 3 – Utlevering av uriktige opplysninger

PST utleverte opplysninger til en klareringsmyndighet om at personen som skulle klareres, var medlem av en organisasjon som av PST ble beskrevet som et ekstremt miljø med voldspotensial. Utvalgets undersøkelse av registreringen av personen i Smart (PSTs arbeidsregister) viste at arbeidshypotesen om medlemskap i organisasjonen ikke var underbygget av informasjon.

PST opplyste at de til å begynne med hadde fått opplysninger som tilsa at personen var medlem i organisasjonen, men at nyere opplysninger viste at dette var feil. Ved en feil ble ikke arbeidshypotesen om medlemskap slettet, og de feilaktige opplysningene ble senere utlevert til klareringsmyndigheten.

Som følge av utvalgets spørsmål har PST slettet arbeidshypotesen og varslet klareringsmyndigheten om at det ble utlevert feil opplysninger om personen. For å hindre lignende saker i fremtiden skal seksjonen i PST som utleverer personkontrollopplysninger, varsles når det oppdages feilregistreringer om en person tjenesten har utlevert opplysninger om.

Utvalget understreket viktigheten av at PST kontrollerer opplysningenes riktighet før de utleveres til klareringsmyndigheten. Utvalget merket seg de tiltak som PST har iverksatt.

1.4.4 Hvor lenge kan PST lagre opplysninger før nødvendigheten av dem må vurderes?

Opplysninger som behandles i politiet og PST, skal ikke lagres lenger enn det som er «nødvendig ut fra formålet med behandlingen».

I årsmeldingen for 2017 skrev utvalget at det i flere saker har stilt spørsmål om det fortsatt er nødvendig å lagre opplysninger om personer i arbeidsregisteret Smart. PST har på generelt grunnlag anført at registrerte opplysninger i arbeidsregisteret kan lagres i fem år før PST må vurdere om arbeidsregistreringene fortsatt er relevante og nødvendige for tjenesten. Tjenesten har vist til den såkalte femårsregelen i politiregisterforskriften § 22-3 tredje ledd. Samtidig har PST pekt på at nødvendigheten og relevansen av en arbeidsregistrering skal vurderes på nytt når det er tilført nye opplysninger på en registrert person i arbeidsregisteret Smart.

Utvalget uttalte i 2017 at arbeidsregistreringer med jevne mellomrom bør gjennomgås av den som er ansvarlig for å ha registrert opplysningene. Formålet er å sikre at arbeidsregisteret skal inneholde oppdatert, korrekt, nødvendig og relevant informasjon.

PST var uenig med utvalget i at arbeidsregistreringer må gjennomgås oftere enn hvert femte år. Utvalget tok derfor opp spørsmålet med Justis- og beredskapsdepartementet.

Departementet viste i brev til utvalget i 2018 til at det i politiregisterforskriften er satt forskjellige tidsintervaller for gjennomgang av opplysninger i ulike registre. Bestemmelsene er gitt fordi det ikke anses mulig å vurdere fortløpende om nødvendighetskravet er oppfylt. Lengden på intervallene beror på en konkret vurdering av hvor lenge det anses forsvarlig å behandle opplysningene uten at det foretas nye konkrete vurderinger om nødvendigheten. Departementet hadde ikke noen innvendinger mot den skisserte praksisen i PST.

Utvalget legger departementets forståelse til grunn i det videre kontrollarbeidet.

1.4.5 PSTs innhenting av chatlogg

Utvalget har i 2018 behandlet en sak som illustrerer hvordan nye måter å kommunisere på utfordrer det tradisjonelle skillet mellom muntlig og skriftlig kommunikasjon. I medhold av straffeprosessloven (strpl.) § 216 l kan PST på bestemte vilkår «ved teknisk innretning avlytte eller gjøre opptak av telefonsamtale eller annen samtale med den mistenkte dersom politiet enten selv deltar i samtalen eller har fått samtykke fra en av samtalepartene».

PST mente at strpl. § 216 l ga hjemmel for å innhente en chatlogg.

Når man chatter, har det form som en samtale, men det skjer skriftlig. Utvalget stilte derfor spørsmål til PST om en chat kan anses som en «samtale» etter strpl. § 216 l.

PST svarte at en naturlig språklig forståelse av ordlyden i bestemmelsen talte for at skriftlige samtaler via Internett og telefonapper som for eksempel Snapchat, instagram og Messenger omfattes av «samtale» i strprl. § 216 l. Tjenesten viste til at ordet «chat» brukes om noe som kan sies å være en mellomting mellom muntlig og skriftlig kommunikasjon, og at bokmålsordboken definerer det som nettprat etter engelsk chat «prat, snakk»; samtale som foregår med tastaturet på datamaskin via internett. Dette mente PST støtter forståelsen av at samtaler ikke bare er muntlige, men at også skriftlig kommunikasjon via internett i stor grad har et muntlig element i seg. PST viste også til lovforarbeidene:

«Avlyttingen/opptaket kan gjelde telefonsamtaler eller andre samtaler. (..) «Samtale» skal forstås vidt. Det avgjørende er om partene kommuniserer muntlig. Om det helt eller i det vesentlige bare er den ene parten som snakker, setter ikke saken i en annen stilling».

PST viste til at det er om lag 20 år siden dette ble skrevet, og at de kommunikasjonsplattformene vi har i dag, ikke fantes da. PST oppsummerte sin tolkning av bestemmelsen slik:

«Det er derfor PSTs oppfatning, under henvisning til alminnelige rettskildeprinsipper, at en naturlig, samfunnskontekstuell ordlydsforståelse bør veie tungt. PST mener derfor at straffeprosessloven § 216l bør kunne anvendes på samtaler som foregår som nettprat/chat når bestemmelsens øvrige vilkår er oppfylt.»

For øvrig viste tjenesten til at metoden innebar et lite inngrep overfor den det gjaldt, som allerede var underlagt annen type overvåkning besluttet av tingretten.

I avsluttende uttalelse til PST ga utvalget uttrykk for et annet syn enn hva PST har på rekkevidden av straffeprosessloven § 216 l. PST har rett i at man i dagligtalen bruker «samtale» også om å «chatte», slik at tidligere klare grenser mellom muntlighet og skriftlighet er blitt mer flytende.

Verdien av å kunne kommunisere fortrolig med andre er en så verdifull rettighet at den er beskyttet i både Grunnloven og i Den europeiske menneskerettighetskonvensjon (EMK). Grunnloven § 102 sier at alle har rett til respekt for kommunikasjonen sin, mens EMK artikkel 8 gir enhver rett til respekt for sin korrespondanse. Dette utgangspunktet kan bare fravikes av myndighetene om det lovfestes.

Til tross for at ordet «samtale» i strpl. § 216 l skal forstås vidt, slår lovforarbeidene fast at det er avgjørende om partene kommuniserer «muntlig». Etter utvalgets syn kan derfor ikke bestemmelsen tolkes i en utvidet betydning under henvisning til en samfunnskontekstuell ordlydsforståelse av begrepet «samtale».

Det at PST etter vår mening ikke kan bruke strpl. § 216 l til å få tilgang til en chatlogg, innebærer ikke at PST er avskåret fra å innhente chatlogger. Tjenesten har på visse vilkår adgang til å «avlytte samtaler eller annen kommunikasjon til og fra bestemte telefoner, datamaskiner eller andre anlegg …» etter strpl. § 216 a. Bruk av denne bestemmelsen krever en kjennelse fra domstolen, mens påtalemyndigheten selv beslutter avlytting etter strpl. § 216 l. Gjennom å benytte strpl. § 216 l som grunnlag for å innhente chatlogger, vil PST kunne unndra seg innhentingen en lovbestemt domstolskontroll, noe som svekker den enkeltes rettssikkerhet.

På denne bakgrunn kritiserte utvalget PST og oppfordret tjenesten til å endre sin praksis.

I etterkant presiserte PST at bestemmelsen kun har blitt benyttet til å innhente chatlogger i dette ene tilfellet.

PST understreket at bruken av bestemmelsen ble begrunnet i deres lovforståelse, og ikke for unndra innhentingen fra domstolskontroll.

PST har overfor utvalget bekreftet at tjenesten vil rette seg etter EOS-utvalgets oppfordring og vil avstå fra å benytte straffeprosessloven § 216 l til innhenting av chatlogger i fremtiden. Dette er utvalget tilfreds med.

1.4.6 Avviksmeldinger – PSTs tvangsmiddelbruk

I årsmeldingen for 2017 skrev vi at PST av eget tiltak orienterte oss om ett avvik knyttet til tjenestens bruk av skjult kameraovervåking. Utvalget har i 2018 blitt orientert om PSTs oppfølging av avviket og endrede rutiner som følge av feilen.

Utvalget har i 2018 blitt orientert om to nye avvik i tjenestens tvangsmiddelbruk. Det ene avviket var knyttet til tjenestens kommunikasjonskontroll, som ikke ble nedkoblet da abonnementet ikke lenger var i bruk. Det andre avviket gjaldt kameraovervåking som ikke ble nedkoblet da rettens tillatelse utløp. Kameraet ble slått av da feilen ble oppdaget ni dager senere. Det ble ikke gjort opptak i de ni dagene.

Utvalget har blitt orientert om tjenestens oppfølging av avvikene. Dette har ikke gitt grunn til oppfølging fra oss.

Utvalget mener det er positivt at PST rapporterer om avvik til utvalget under inspeksjoner. Utvalget legger til grunn at PST tar avvikene alvorlig og gjennomgår sine rutiner for å hindre at feil oppstår på nytt.

1.4.7 Klagesaker for utvalget

Utvalget har i 2018 mottatt seks klager rettet mot PST, mot tolv i 2017. Enkelte av klagene var samtidig rettet mot andre EOS-tjenester.

Utvalgets uttalelser til klagere skal være ugraderte. Opplysning om at noen har vært overvåket eller ikke, anses som gradert hvis ikke annet blir bestemt. Det innebærer at en klager i utgangspunktet ikke kan få vite om vedkommende er overvåket av PST eller ikke. Av EOS-kontrolloven fremgår det at det ved klager mot tjenestene om overvåkingsmessig virksomhet kun skal uttales om klagen har gitt grunn til kritikk eller ikke.

Utvalget har i 2018 avsluttet fire klagesaker mot PST. Ingen klagesaker som ble avsluttet i 2018, har ført til kritikk av PST.

1.5 Nasjonal sikkerhetsmyndighet (NSM)

1.5.1 Generelt om kontrollen

I 2018 har utvalget gjennomført to inspeksjoner i NSM, hvorav den ene var i NSM NorCERT. Det er Norges nasjonale senter som koordinerer hendelseshåndtering i forbindelse med alvorlige IKT-sikkerhetshendelser. Som én av partene i Felles cyberkoordineringssenter (FCKS) har NSM også i den sammenheng blitt inspisert.

NSM har status som direktorat og ivaretar de overordnede funksjoner innenfor forebyggende sikkerhetstjeneste etter sikkerhetsloven. NSM klarerer egne ansatte, i tillegg til å være klageinstans for klareringsvedtak fattet av andre klareringsmyndigheter.

I inspeksjonene kontrollerer utvalget særlig følgende:

  • NSMs behandling av saker der klarering er nektet, nedsatt eller suspendert av klareringsmyndigheten, samt direktoratets behandling av klager over slike saker.

  • NSMs samarbeid med andre EOS-tjenester.

  • NSM NorCERTs informasjonsbehandling.

Under inspeksjonene blir vi rutinemessig orientert om NSMs løpende virksomhet, blant annet om direktoratets samarbeidssaker med andre EOS-tjenester og saksbehandlingstid i klareringssaker. I inspeksjonene søker utvalget direkte i direktoratets elektroniske systemer. Orienteringstemaene er i hovedsak valgt ut av utvalget selv, men tjenesten bes også om å orientere om øvrige forhold som de mener er av relevans for utvalgets kontroll. Utvalget stiller muntlige spørsmål på stedet og eventuelle skriftlige spørsmål i etterkant.

Klareringsmyndighetens oppgave er å vurdere personers pålitelighet, lojalitet og sunne dømmekraft, og om hun eller han er sikkerhetsmessig skikket til å behandle sikkerhetsgradert informasjon. En avgjørelse om sikkerhetsklarering kan få avgjørende betydning for den enkeltes karriere, og det må derfor stilles høye krav til saksbehandlingen. Utvalget har derfor stor oppmerksomhet mot disse sakene – også fordi saksbehandlingen i klareringssaker er mer lukket enn saksbehandlingen i andre forvaltningsavgjørelser.

1.5.2 Særskilt melding til Stortinget om ulik praksis for sikkerhetsklarering av personer med tilknytning til andre stater

Utvalget avga 12. mars 2019 en særskilt melding til Stortinget.

EOS-utvalget har gått gjennom klareringssaker der personen som skal sikkerhetsklareres, eller nærstående har tilknytning til andre stater enn Norge. Utvalget har funnet flere kritikkverdige forhold, som NSM som fagmyndighet har et overordnet ansvar for. Et hovedmål for prosjektet har vært å vurdere om tilnærmet like saker behandles likt.

  • Utvalgets undersøkelse avdekket ubegrunnet forskjellsbehandling av saker som gjaldt klarering av personer med både norsk og et utenlandsk statsborgerskap. Forskjellene gjaldt både saksbehandlingen og sakenes resultat. Enkelte personer med tilknytning til et land ble nektet klarering, selv om andre personer med sammenlignbar tilknytning til det samme landet fikk klarering.

  • Undersøkelsen viste at flere av sakene ikke var tilstrekkelig opplyst, og at personenes tilknytning til Norge ikke var godt nok vurdert.

  • Utvalget har konkludert med at enkeltpersoners rettigheter er krenket, jf. EOS-kontrolloven § 2.

Majoriteten av klareringssakene i denne undersøkelsen er behandlet av klareringsmyndighetene Forsvarets sikkerhetsavdeling (FSA), Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten. Dette er klareringsmyndigheter som har et stort sakstilfang. Utvalget har ikke synspunkter på hvilket resultat de aktuelle sakene skulle ha fått. Dette er en utpreget sikkerhetsfaglig vurdering. Vi er opptatt av at alle klareringsmyndighetene behandler og vurderer saker med tilnærmet samme faktum på lik måte. At det er variasjon i saksbehandlingen og resultatet hos klareringsmyndighetene, går utover rettssikkerheten til personene som søkes klarert.

Undersøkelsen av åtte saker der personer ble nektet klarering, viste at seks av personene ble nektet klarering uten at sakene deres var tilstrekkelig opplyst. Disse sakene ble avgjort av FSA. FSA har orientert om at disse negative klareringsavgjørelsene vil behandles på nytt.

Utvalgets undersøkelse avdekket også ubegrunnet forskjellsbehandling i klareringssaker der ektefellen til personen som skulle klareres, manglet personhistorikk. I flere saker ble det lagt til grunn at ektefellen ikke var omfattet av kravet til personhistorikk, og det ble dermed gitt klarering, mens Nasjonal sikkerhetsmyndighet (NSM) i sammenlignbare saker nektet klarering.

NSMs tilbakemelding i saken støtter opp under utvalgets konklusjoner. NSM erkjenner at det foreligger en uforholdsmessig og ikke faglig begrunnet variasjon knyttet til både saksbehandlingen og avgjørelsen i sakene utvalget viste til. Som mulige årsaker til dette pekte NSM på at det ikke finnes en sporbar oversikt over praksis, og at det er utfordringer med kapasiteten til å holde sikkerhetssamtaler.

Utvalget har overfor NSM, som er fagmyndighet for klareringssaker, gjennom flere år understreket viktigheten av at et erfaringsarkiv og andre verktøy for å sikre lik behandling av tilnærmet like saker kommer på plass. Det er svært viktig at NSM etablerer løsninger som sikrer ensartet praksis. Utvalget merker seg at tiltakene ennå ikke er gjennomført.

1.5.3 Klagesaker for utvalget

1.5.3.1 Innledning

Utvalget har i 2018 mottatt elleve klager rettet mot NSM, mot tre i 2017. Ti av disse er klager i saker om sikkerhetsklarering.

En avgjørelse i sak om sikkerhetsklarering kan være avgjørende for en persons videre yrkeskarriere og livssituasjon. Av den grunn er det essensielt at disse sakene behandles på en rettssikker og rettferdig måte av klareringsmyndighetene. I saker der utvalget uttaler kritikk, får klageren en begrunnelse for utvalgets konklusjon.

Utvalget har i meldingsåret avsluttet åtte klager over nektet sikkerhetsklarering. Av saker vi har avsluttet i meldingsåret, har følgende saker gitt grunn til kritiske uttalelser fra utvalget:

1.5.3.2 Klagesak 1 – Manglende klareringsbehov

I en klagesak ba klageren utvalget om å undersøke om det i det hele tatt var behov for sikkerhetsklarering. Utvalget ba anmodende myndighet (arbeidsgiver) om å dokumentere og begrunne behovet for sikkerhetsklarering i den aktuelle stillingen. Arbeidsgivers svar ga grunn til ytterligere spørsmål fra vår side, og arbeidsgivers uttalelser til utvalget ble oversendt til NSM for direktoratets vurdering.

NSM konkluderte med at klareringsbehovet ikke var tilstrekkelig dokumentert. Den manglende dokumentasjonen var en saksbehandlingsfeil som førte til at vedtaket om INGEN KLARERING var ugyldig.

Anmodningen om sikkerhetsklarering skulle vært avvist av NSM.

Ved avslutningen av saken sluttet utvalget seg til direktoratets ugyldighetsvurdering. Det forelå ikke et lovmessig grunnlag for å gjennomføre en klareringsprosess overfor klageren. Utvalget uttalte videre:

«Den uhjemlede klareringsprosessen har fått faktiske negative følger for [klageren]. Utvalget understreker at en klareringsavgjørelse kan ha avgjørende betydning for en persons livssituasjon og videre yrkeskarriere.

Utvalget bemerker også at en uhjemlet klareringsprosess er en sterk inngripen i enkeltpersonens personvern. Utvalget har merket seg at opplysningene fra klareringsprosessen gjøres utilgjengelig og anonymiseres.

Det er klart kritikkverdig at klareringsmyndigheten har gjennomført et inngripende tiltak uten at det forelå reelt behov for sikkerhetsklarering».

EOS-utvalget mener NSM på en sterkt kritikkverdig måte har krenket klagerens rettigheter, jf. EOS-kontrollloven § 2 første ledd nr. 1 og 3.

I årsmeldingen for 2017 redegjorde utvalget for en lignende klage. Utvalget opprettet sak for å vurdere generelle spørsmål om problemstillinger rundt dokumentasjon og begrunnelse for klareringsbehov. Denne saken er fortsatt til behandling i utvalget.

1.5.3.3 Klagesak 2 – Manglende innsyn i sak der utvalget ikke er enig i NSMs begrunnelse

I årsmeldingen for 2017 omtalte vi en sak om tilbakekall av sikkerhetsklarering, som omhandlet grensen mellom personal- og klareringssak. I samme sak ba omspurte om innsyn i korrespondansen mellom EOS-utvalget og NSM. Vi ba derfor NSM om å vurdere om innsyn kunne gis.

NSM vurderte at det kunne gis innsyn i utvalgets brev til NSM i sin helhet, men unntok fra innsyn flere avsnitt i enkelte av NSMs brev til utvalget. Begrunnelsen for å nekte innsyn var at avsnittene «viser NSMs arbeidsmetoder og vurderinger». NSM vurderte at disse avsnittene inneholder skjermingsverdig informasjon som fortsatt skal være sikkerhetsgradert etter sikkerhetsloven § 11.

Utvalget bemerket overfor NSM at det var uklart hvilke arbeidsmetoder og vurderinger som er sikkerhetsgraderte i denne konkrete saken. Utvalget kunne vanskelig se grunnlaget for å unnta opplysninger i de aktuelle avsnittene fra innsyn, idet de gir uttrykk for beskrivelse av faktum og regelverk, juridiske/sikkerhetsfaglige vurderinger og en gjengivelse av utvalgets uttalelser. Utvalget kunne heller ikke se på hvilken måte de unntatte opplysningene i saksdokumentene er sikkerhetsgraderte. Altså at opplysningene kan skade Norges eller våre alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, om omspurte ble gitt innsyn i disse.

NSM ble derfor bedt om å redegjøre for hvilke arbeidsmetoder og vurderinger som eventuelt er graderte. Direktoratet måtte også svare på hva som er grunnen til dette, samt helt konkret hvorfor innsyn i de aktuelle avsnittene i disse dokumentene for personen saken gjelder, kan skade rikets sikkerhet.

Etter tilbakemelding fra NSM om at de fremdeles mente at opplysningene som ble unntatt fra innsyn, skal være sikkerhetsgraderte, ga vi følgende avsluttende uttalelse:

«Sikkerhetsloven § 11 tredje ledd annet punktum sier at ‘sikkerhetsgradering ikke skal skje i større utstrekning enn strengt nødvendig, og det skal ikke brukes høyere sikkerhetsgrad enn nødvendig’. Bestemmelsen fastsetter en plikt å verdivurdere informasjonen med tanke på om informasjonen er sikkerhetsgradert, samt hvilken sikkerhetsgrad informasjonen ev. har. Dersom unntak fra innsyn begrunnes med at informasjonen er sikkerhetsgradert, uten at det er hjemmel for det, er dette i strid med sikkerhetsloven § 11.

Utvalget merker seg at NSM fremdeles mener at opplysningene som er unntatt fra innsyn skal være sikkerhetsgraderte, ‘basert på de betydelige negative konsekvenser det kan ha for nasjonale sikkerhetsinteresser dersom opplysningene sammenstilles og benyttes til manipulasjon av fremtidige klareringssaker’».

Utvalget kunne på generelt grunnlag være enig i at sammenstilling av detaljerte sikkerhetsfaglige vurderinger og metoder vil kunne skade nasjonale sikkerhetsinteresser om de blir kjent for uvedkommende. Men utvalget hadde fortsatt vanskelig for å se at alle opplysningene i de unntatte avsnittene sier noe om NSMs sikkerhetsfaglige vurderinger eller sikkerhetstjenestens metoder, og dermed inneholder sikkerhetsgradert informasjon etter sikkerhetsloven 1998 § 11.

Utvalget viste også til NOU 2016:19 kapittel 8.2.1 om informasjonssikkerhet, der det fremgår at «[d]en nedre grensen for informasjon som skal sikres må være av en slik art at den har et visst skadepotensial».

Det var for utvalget ikke klart at alle de unntatte opplysningene er av en slik art at de har et visst skadepotensial om de blir kjent for uvedkommende.

Utvalget mener det er beklagelig at innsyn ikke ble gitt i den fullstendige korrespondansen mellom NSM og utvalget i saken.

1.5.3.4 Klagesak 3 – Mangler ved begrunnelsen og underretningen til klageren, samt manglende dokumentasjon

Utvalget stilte spørsmål til NSM om behandlingen av en klage over nektet sikkerhetsklarering. Førsteinstansen hadde i sin avgjørelse vektlagt en rekke forhold nevnt i sikkerhetsloven 1998 § 21 første ledd:

  • straffbare handlinger (bokstav b),

  • forhold som kan lede til at omspurte kan utsettes for press (c),

  • feilaktig eller unnlatt fremstilling om faktiske forhold (d),

  • unnlatelse av å gi autorisasjonsansvarlig løpende underretning om egne forhold (g) og

  • andre forhold knyttet til klagerens væremåte og egenskaper (l).

NSMs interne samtidige begrunnelse (ISB) viste ikke hvilke av de ovennevnte forholdene som var vektlagt i klageomgangen.

I svar til utvalget skrev NSM at de ikke hadde tatt stilling til alle forholdene som førsteinstansen la vekt på. NSM mente at førsteinstansens vektlegging av straffbare handlinger, pressgrunnlag, klagerens egenskaper eller væremåte ikke hadde betydning for sakens utfall. Andre forhold var nok til å nekte klarering. NSM erkjente at dette burde vært omtalt i sakens interne dokumenter og i underretningen til klageren.

Det har stor betydning for klagerens rettssikkerhet og for utvalgets mulighet til å føre etterfølgende kontroll at klareringsmyndighetens vurderinger fremkommer av sakens dokumenter.

Utvalget kritiserte NSM for manglende skriftlig dokumentasjon i saken.

NSM lot også være å informere klageren om at de ikke hadde tatt stilling til alle forhold i saken. Førsteinstansen hadde i sin vurdering av klageren vektlagt forhold av personlig og svært sensitiv karakter. Blant annet la førsteinstansen vekt på at klageren var anmeldt for alvorlige straffbare handlinger, selv om anmeldelsene var henlagt som «intet straffbart forhold bevist.»

Utvalget kritiserte NSM for ikke å klargjøre overfor klager at de sensitive forholdene ikke var en del av begrunnelsen for nektet sikkerhetsklarering. At det ble gitt en mangelfull begrunnelse, var i seg selv kritikkverdig, og det alvorlige vurderingstemaet forsterket utvalgets kritikk.

I sitt svar til utvalget beklaget NSM at direktoratets vedtak fremstod som ufullstendig og var egnet til å skape frustrasjon og misforståelser. Utvalget sluttet seg til NSMs syn på vedtakets utforming.

Det er en forutsetning for enkeltpersoners mulighet til å ivareta sine interesser at klareringsmyndigheten gir en så utfyllende begrunnelse som mulig når en blir nektet sikkerhetsklarering.

1.5.3.5 Klagesak 4 – Lang saksbehandlingstid

I en klagesak kritiserte utvalget NSM for lang saksbehandlingstid. Da klagesaken ble sendt over fra førsteinstans til NSM, gjorde førsteinstansen en feil som klageinstansen NSM ikke kan lastes for. Det var gått 1,5 år siden klagen var avgjort i førsteinstans da NSM ble oppmerksom på saken. Saksbehandlingstiden i NSM var deretter ni måneder. I utvalgets avsluttende uttalelse til NSM ga vi uttrykk for at saken ut fra omstendighetene burde ha vært avgjort av NSM uten opphold. Saksbehandlingstiden var derfor etter utvalgets syn uforholdsmessig lang.

1.5.4 Saksbehandlingstid i klareringssaker

Utvalget har i mange år vært opptatt av klareringsmyndighetenes saksbehandlingstid i klareringssaker.

NSM har i en inspeksjon orientert utvalget om sitt arbeid med å redusere saksbehandlingstiden. Utvalget vil fortsatt holde seg orientert om saksbehandlingstid i klareringssaker i 2019.

1.6 Forsvarets sikkerhetsavdeling (FSA)

1.6.1 Generelt om kontrollen

Utvalget har i 2018 gjennomført to inspeksjoner i FSA. I inspeksjonene i avdelingen kontrollerer vi særlig følgende:

  • FSAs behandling av saker der klarering er nektet, nedsatt eller suspendert av klareringsmyndigheten.

  • FSAs virksomhet innenfor forebyggende sikkerhetstjeneste.

  • FSAs samarbeid med andre EOS-tjenester.

Til inspeksjonene ber utvalget om å bli orientert om FSAs løpende virksomhet, og om enkelte særskilte temaer av kontrollmessig relevans. Orienteringstemaene er i hovedsak valgt ut av utvalget selv, men tjenesten bes også om å orientere om øvrige forhold som de mener er relevante for utvalgets kontroll. Utvalget stiller muntlige spørsmål på stedet og eventuelle skriftlige spørsmål i etterkant.

FSAs behandling av sikkerhetsklareringssaker utgjør en særlig viktig del av vår kontroll med avdelingen. FSA er landets desidert største klareringsmyndighet. Den 1. januar 2017 ble FSA klareringsmyndighet for hele forsvarssektoren, og de overtok ansvaret for klareringssakene til Forsvarsdepartementet og Forsvarsbygg. Utvalget kontrollerer de fleste negative klareringsavgjørelser fattet av FSA, samt påklagede klareringssaker der avdelingen har tatt klagen helt eller delvis til følge i klageomgangen.

Utvalget fører også kontroll med FSAs virksomhet innenfor forebyggende sikkerhetstjeneste, tar stikkprøver knyttet til undersøkelser av sikkerhetstruende virksomhet rettet mot Forsvaret (sikkerhetsundersøkelser) og kontrollerer operative saker som ledd i avdelingens ansvar for å drive militær kontraetterretning i Norge i fredstid. En annen sentral oppgave er å føre kontroll med FSAs behandling av personopplysninger som ledd i utøvelsen av forebyggende sikkerhetstjeneste.

Utvalget har i 2018 mottatt tre klager rettet mot FSA, mot én i 2017. Klagene var også rettet mot andre EOS-tjenester. Utvalget har avsluttet to klagesaker i 2018. Ingen klagesaker som ble avsluttet i 2018, har ført til kritikk av FSA.

1.6.2 Bruk av personkontrollopplysninger til andre formål enn vurdering av sikkerhetsklarering

Utvalget har stilt spørsmål til FSA om personopplysninger som var innhentet i klareringssaker, kunne brukes til andre formål.

FSA skal holde oversikt over det sikkerhetsmessige risikobildet som omgir Forsvaret og norsk militær aktivitet både hjemme og ute. For å forebygge sikkerhetstruende hendelser behandlet FSA opplysninger om et stort antall personer tilknyttet Forsvaret i en sikkerhetsundersøkelse. Av et internt notat i FSA fra 2014 fremgikk det at opplysningene som ville brukes i undersøkelsen, var gitt til avdelingen som ledd i personkontroll i klareringssaker. Dette er opplysninger som etter sikkerhetsloven 1998 § 20 sjette ledd ikke kunne brukes til andre formål enn slik personkontroll. FSA har overfor utvalget i 2018 opplyst at undersøkelsen ikke baserte seg på opplysninger fra personkontroll.

Utvalget minnet ved avslutningen av saken FSA om at opplysninger som er gitt til klareringsmyndigheten i forbindelse med personkontroll, ikke skal benyttes til andre formål enn vurdering av sikkerhetsklarering.

1.6.3 Saksbehandlingstid i klareringssaker

Utvalget har i mange år vært opptatt av klareringsmyndighetenes saksbehandlingstid i klareringssaker.

FSA har i en inspeksjon orientert utvalget om sitt arbeid med å redusere saksbehandlingstiden. Utvalget vil fortsatt holde seg orientert om saksbehandlingstid i klareringssaker i 2019.

1.7 Etterretningstjenesten (E-tjenesten)

1.7.1 Generelt om kontrollen

Utvalget har i 2018 gjennomført to inspeksjoner av E-tjenesten sentralt, i tillegg til inspeksjoner av fartøyet Marjata og Forsvarets stasjon Ringerike på Eggemoen.

Som én av partene i Felles cyberkoordineringssenter (FCKS) har E-tjenesten også i den sammenheng blitt inspisert.

Kontrollen av E-tjenesten er særlig rettet inn mot å kontrollere at tjenesten ikke bryter med det lovfestede forbudet mot å overvåke eller på annen fordekt måte innhente informasjon om personer som oppholder seg i Norge. To andre sentrale kontrollpunkter er å kontrollere at tjenesten er under nasjonal kontroll, og at den overholder Forsvarsdepartementets bestemmelser om innsamling og/eller deling av informasjon om norske rettssubjekter utenfor Norge.

Utvalget skal sikre at virksomheten i E-tjenesten holdes innenfor rammen av tjenestens fastlagte oppgaver. Videre skal kontrollen sikre at virksomheten ikke krenker noens rettigheter eller utilbørlig skader samfunnets interesser, at virksomheten i E-tjenesten holdes innenfor rammen av lov, administrative eller militære direktiver og ulovfestet rett. Andre viktige kontrollpunkt er å sjekke at det ikke nyttes mer inngripende midler enn det som er nødvendig etter forholdene og at tjenesten respekterer menneskerettighetene.

Utvalgets kontroll med E-tjenesten skal omfatte tjenestens tekniske virksomhet, inkludert overvåking og innhenting av informasjon og behandling av personopplysninger. Utvalget skal påse at samarbeidet og informasjonsutvekslingen mellom E-tjenesten og innenlandske og utenlandske samarbeidspartnere holdes innenfor rammen av gjeldende regelverk, jf. EOS-kontrolloven § 6.

I inspeksjonene i E-tjenesten fører utvalget særlig kontroll med følgende punkter:

  • Tjenestens tekniske informasjonsinnhenting.

  • Tjenestens behandling av opplysninger i dens datasystemer.

  • Tjenestens informasjonsutveksling med innenlandske og utenlandske samarbeidende tjenester.

  • Saker av særlig viktighet eller prinsipiell karakter som er forelagt Forsvarsdepartementet (foreleggelsessaker) og interne godkjenningssaker.

Til inspeksjonene ber utvalget om informasjon om E-tjenestens løpende virksomhet, blant annet om tjenestens samarbeidssaker med andre EOS-tjenester, trusselsituasjonen, foreleggelsessaker for Forsvarsdepartementet og interne godkjenninger. Orienteringstemaene er i hovedsak valgt av utvalget selv, men tjenesten bes også om å orientere om øvrige forhold som de mener er relevante for utvalgets kontroll. Utvalget stiller muntlige spørsmål til på stedet og eventuelle skriftlige spørsmål i etterkant.

Interne godkjenninger kan være tillatelser til deling av informasjon om norske rettssubjekter til utenlandske samarbeidende tjenester eller tillatelser til å overvåke norske rettssubjekters kommunikasjon når personene er i utlandet. Som utvalget tidligere har pekt på, plikter ikke E-tjenesten å gå til retten for å få tillatelse når de skal overvåke norske personers kommunikasjon i utlandet. PST må derimot få en kjennelse fra retten når de skal utføre kommunikasjonskontroll av personer som er i Norge.

Utvalget har i 2018 mottatt fire klager rettet mot E-tjenesten, mot seks i 2017. Klagene var også rettet mot andre EOS-tjenester. Utvalget har avsluttet to klagesaker i 2018. Ingen klagesaker som ble avsluttet i 2018, har ført til kritikk av E-tjenesten.

Utvalget ber rutinemessig E-tjenesten om å rapportere til utvalget dersom tjenesten avdekker avvik i den tekniske informasjonsinnsamlingen. E-tjenesten har ikke rapportert noen avvik i 2018.

1.7.2 E-tjenestens innsamling fra åpne kilder om personer i Norge

E-tjenesten skal ikke overvåke eller på annen fordekt måte innhente informasjon om personer i Norge.

På nærmere vilkår kan E-tjenesten innhente informasjon om norske personer i utlandet (heretter kalt innhentingsmål).

Utvalget merket seg at tjenesten i henhold til dens interne regelverk også kan innhente opplysninger fra åpne kilder om personer i Norge – inkludert norske statsborgere. Dette forutsatt at formålet med innhentingen ikke er å innhente informasjon om innenlandske forhold, og at personen er godkjent som et innhentingsmål.

På denne bakgrunn stilte utvalget på prinsipielt grunnlag spørsmål til tjenesten om hvilke skranker e-loven § 4 setter for E-tjenestens innhenting av informasjon fra åpne kilder om personer i Norge. Tjenesten svarte at tjenestens innsamling kun skal være rettet mot utenlandske forhold innenfor E-tjenestens oppgaver, og ikke ha som formål å frembringe opplysninger om innenlandske forhold. Innsamlingen er derfor i realiteten ikke rettet mot personer i Norge. E-tjenesten anførte også at innhenting av informasjon som er åpent tilgjengelig, ikke rammes av «fordekt»-begrepet i e-loven § 4 sin forstand, selv om tjenesten skjuler sin aktivitet.

Forbudet i e-loven § 4 er formulert slik:

«Etterretningstjenesten skal ikke på norsk territorium overvåke eller på annen fordekt måte innhente informasjon om norske fysiske eller juridiske personer»

Utvalget har i særskilt melding til Stortinget tatt opp hvordan begrepet «om» skal forstås. E-tjenesten mener at begrepet må forstås som rettet mot, og at det altså må innfortolkes en overvåkingshensikt. I meldingen omtalte utvalget E-tjenestens søk i lagrede metadata knyttet til personer i Norge for å finne selektorer som er relevante for utenlandsetterretning. Utvalget var i tvil om dette var lov i henhold til dagens regelverk.

Utvalget mener at tjenestens innhenting av informasjon fra åpne kilder rettet mot personer som er godkjente innhentingsmål og som oppholder seg i Norge, må vurderes på samme måte som søkene omtalt over.

Utvalget er opptatt av i hvilke tilfeller E-tjenesten kan samle inn opplysninger om personer som oppholder seg i Norge. Det kan vanskelig trekkes ut av forbudets ordlyd at det er tjenestens hensikt som skal avgjøre om overvåking av personer i Norge er i strid med forbudet eller ikke. At tjenesten kun har til hensikt å overvåke når personen befinner seg utenfor Norge – men ikke når vedkommende befinner seg i Norge – er et kunstig skille som vanskelig kan kontrolleres av oss.

Utvalget kan vanskelig se at tjenesten kan søke etter utenlandsrelevant informasjon via søk etter personer i åpne kilder som befinner seg i Norge – og som er innhentingsmål når de befinner seg i utlandet.

Utvalget uttalte til E-tjenesten at det knytter seg begrunnet tvil til lovligheten av innhentingen av informasjon fra åpne kilder om norske personer mens de oppholder seg i Norge etter dagens regelverk. Saken illustrerer ifølge utvalget at rammen for forbudet i e-loven § 4 bør avklares av Stortinget.

Utvalget har i en høringsuttalelse sendt merknader til forslag til ny e-lov.

1.7.3 E-tjenestens innhenting av innholdsdata om norsk borger

I en inspeksjon fant vi at tjenesten hadde innsamlet innholdsdata i form av personopplysninger om en norsk borger i Norge. Informasjonen var innhentet som følge av tjenestens innsamling av innholdsdata fra satellitt.

Innsamlingen var basert på et søkebegrep som var innenfor tjenestens mandat og rettsgrunnlag. Det innsamlede materialet inneholdt informasjon som ga tjenesten svar på sitt informasjonsbehov – men også irrelevant informasjon om en norsk borger.

Derfor stilte vi spørsmål til tjenesten om innhentingen av informasjon om den norske borgeren var i strid med e-loven § 4. E-tjenesten ble først oppmerksom på at de hadde samlet inn opplysningene om den norske borgeren da utvalget stilte spørsmål. E-tjenesten svarte at innsamlingen ble gjennomført for å utføre tjenestens lovpålagte oppgaver. Søkebegrepet var videre ikke rettet mot norske personer og dermed ikke i strid med forbudet slik tjenesten forstår det.

Utvalget har i særskilt melding til Stortinget tatt opp hvordan forbudets bruk av «om» skal forstås i tilknytning til ordlyden i loven, der det står «(…) innhente informasjon om norske fysiske eller juridiske personer». E-tjenesten mener at begrepet må forstås som rettet mot, og at det må innfortolkes en overvåkingshensikt.

Målrettet innhenting av innholdsdata som er basert på et søkebegrep, vil nettopp ikke være rettet mot spesifikke personer. Dersom E-tjenestens forståelse av forbudet skal legges til grunn, vil slik innsamling aldri rammes av forbudet – selv om innholdsdata om norske borgere i Norge rent faktisk følger med på lasset.

På den andre siden ser vi at dersom en rent språklig forståelse av forbudets begrep «om» skal legges til grunn, vil tjenestens mulighet for innsamling av innholdsdata bli så vanskelig at tjenesten ikke kan utføre sine lovpålagte oppgaver.

I utvalgets avsluttende uttalelse til E-tjenesten sa utvalget at det knytter seg begrunnet tvil til lovligheten av innhentingen av informasjon om en norsk borger etter dagens regelverk – selv om innhentingen ikke var tilsiktet. Utvalget mener at denne saken igjen illustrerer at rammen for forbudet i e-loven § 4 bør avklares av Stortinget.

Utvalget har i en høringsuttalelse sendt merknader til forslag til ny e-lov.

E-tjenesten har orientert utvalget om at informasjonen om den norske borgeren er slettet.

1.7.4 E-tjenesten har ikke lov til å gå gjennom innholdsdata som er samlet inn i strid med loven

Utvalget har bedt E-tjenesten gi en redegjørelse for om tjenesten kan gjennomgå innholdsdata som er innhentet i strid med e-loven § 4 første ledd:

«Etterretningstjenesten skal ikke på norsk territorium overvåke eller på annen fordekt måte innhente informasjon om norske fysiske eller juridiske personer.»

Bakgrunnen for spørsmålet var at utvalget hadde fått inntrykk av at E-tjenesten hadde hørt gjennom innholdet i lydkuttene som ble feilinnsamlet i strid med e-loven § 4 første ledd. Utvalget redegjorde for feilinnsamlingen i årsmeldingen for 2017.

E-tjenesten meldte tilbake at tjenesten ikke hadde hørt gjennom lydkuttene. Utvalget merket seg at tjenesten på generelt grunnlag anførte at «virkningen av at informasjon er ervervet i strid med § 4 … ikke automatisk [vil] være at denne ikke kan behandles med et utenlandsetterretningsformål».

E-tjenesten viste blant annet til praksis i menneskerettighetsdomstolen om presisering av anvendelsen av EMK artikkel 8 (retten til respekt for privatliv), høyesterettspraksis om bruk av ulovlig ervervet bevis i straffesaker og tilsvarende for sivile saker, jf. tvisteloven § 22-7.

Utvalget skrev i avsluttende brev til tjenesten at utenlandsetterretningstjenester skiller seg grunnleggende fra politiorganers formål og virksomhet. Etterretningstjenesten skal «redusere usikkerhet hos viktige beslutningstakere, med et særlig fokus på å forutse framtida. De skal vurdere fremmede trender og handlinger hos stater, organisasjoner og personer, uavhengig av om de vil gjøre noe straffbart.»

Utvalget mener at viderebehandling av slikt (feil)innsamlet materiale må anses som fortsatt «fordekt innhenting» av informasjon om en norsk borger på norsk territorium. Forbudet i e-loven § 4 første ledd mot fordekt overvåking av norske personer i Norge er en sentral begrensning for E-tjenestens virksomhet.

Videre uttalte utvalget ved avslutningen av saken:

«Dersom materiale som er innsamlet i strid med e-loven § 4 gjennomgås av E-tjenesten, vil dette kunne utgjøre en gjentatt krenkelse av e-loven § 4, og være et fortsatt ulovlig inngrep i den overvåkedes privatliv og personvern. Utvalget bemerker at den motsatte konklusjon ville innebære stor fare for utglidning av forbudet i e-loven § 4 første ledd om overvåking av norske borgere på norsk territorium. Dette ville kunne gjøre forbudet i e-loven § 4 illusorisk og vil være problematisk for rettssikkerheten til norske personer i Norge.»

Utvalget konkluderte med at E-tjenesten ikke har hjemmel til å gjennomgå eller på annen måte behandle informasjon som stammer fra norsk kommunikasjon i Norge, og som tjenesten har samlet inn i strid med e-loven § 4 første ledd.

1.7.5 Innsamling av kommunikasjon der en av partene er i Norge

Utvalget har vurdert det rettslige grunnlaget for å behandle personopplysninger om personer i Norge i etterretningsrapporter vedrørende etterretningsmål i utlandet.

Utvalget mener at tjenesten kan rapportere om nødvendig og relevant informasjon for utenlandsetterretning som kommer frem gjennom «den norske forbindelsen» ved innsamling mot mål i utlandet. Dette vil si at lovlig innsamling mot mål i utlandet også kan omfatte målets kommunikasjon med norske personer som befinner seg i Norge. Spørsmålet i saken var om tjenesten gikk for langt i sin sammenstilling og viderebehandling av kommunikasjon med den norske forbindelsen, selv om den var innhentet på lovlig vis. Utvalget lot saken bero med den forklaring tjenesten ga.

Utvalget uttalte at det i arbeidet med ny lov om Etterretningstjenesten må avklares hvilke skranker som gjelder for E-tjenestens sammenstilling og viderebehandling mv. av informasjon som stammer fra «den norske forbindelsen» sett opp mot forbudet i § 4.

1.8 Kontroll av annen EOS-tjeneste

1.8.1 Generelt om kontrollen

Utvalget kontroller EOS-tjeneste, uavhengig av hvilken del av offentlig forvaltning som utfører den. Kontrollområdet er med andre ord funksjonelt definert. Det er ikke begrenset til bestemte organisatoriske enheter.

Etter en endring av EOS-kontrolloven i 2017 skal utvalget gjennomføre en årlig inspeksjon av Etterretningsbataljonen og en årlig inspeksjon av Forsvarets spesialstyrker, jf. EOS-kontrolloven § 7.

Utvalget har i 2018 avsluttet én klagesak rettet mot klareringsmyndigheten i Nasjonal kommunikasjonsmyndighet. Saken ble avsluttet uten kritikk. Etter at Stortinget i 2016 besluttet å endre klareringsmyndighetsstrukturen, er ikke Nasjonal kommunikasjonsmyndighet (Nkom) lenger klareringsmyndighet.

1.8.2 Felles cyberkoordineringssenter (FCKS)

Felles cyberkoordineringssenter (FCKS) ble etablert i 2017 og er et samarbeid mellom NSM, E-tjenesten, PST og Kripos. Senterets mål er å styrke den nasjonale evnen til effektivt forsvar mot og håndtering av alvorlige hendelser i det digitale rommet.

Utvalget har i 2018 gjennomført en inspeksjon av senteret. Inspeksjonen ga ikke grunnlag for oppfølging.

Utvalget har i flere år vært opptatt av å kontrollere samarbeidet mellom EOS-tjenestene i deres arbeid opp mot digitale trusler. Utvalget er særlig opptatt av at samarbeidet innrettes slik at regelverket for de enkelte tjenestene ikke omgås. Utvalget forutsetter at tjenestene dokumenterer sitt samarbeid slik at vi kan føre etterfølgende kontroll.

Utvalget vil fortsette sin kontroll av samarbeidet som finner sted i FCKS.

1.8.3 Inspeksjon av Etterretningsbataljonen (Ebn)

Behovet for ekstern kontroll av Etterretningsbataljonen knytter seg ifølge Evalueringsutvalget for EOS-utvalget til faren for at verktøy og kunnskap bataljonen har om etterretningsvirksomhet, brukes på ureglementert måte.

Utvalget har i 2018 inspisert Ebn på Setermoen. Utvalget ble i inspeksjonen orientert om endringer i Ebn siden inspeksjonen i 2017, samarbeid med andre EOS-tjenester og pågående saker og aktivitet. Utvalget inspiserte Ebns datasystemer og utvalgte dokumenter, på bakgrunn av sekretariatets forberedelse. Inspeksjonen ga ikke grunnlag for oppfølging.

1.8.4 Inspeksjon av Forsvarets spesialkommando

Kontrollbehovet knytter seg ifølge Evalueringsutvalget til avdelingens kapasitet til å drive etterretningsvirksomhet, og til faren for at denne benyttes i Norge i fredstid eller på annen ureglementert måte. Det bør også kontrolleres at samarbeidet med Etterretningstjenesten skjer innenfor gjeldende regelverk.

Vi har i 2018 inspisert Forsvarets spesialkommando på Rena. Utvalget ble i orienteringen orientert om spesialstyrkenes organisering, oppgaver og kapasiteter. Inspeksjonen ga grunnlag for en viss skriftlig oppfølging.

1.8.5 Inspeksjon av Nasjonal kommunikasjonsmyndighet (Nkom)

Det følger av EOS-kontrolloven § 7 nr. 8 at utvalget etter eget tiltak skal utføre inspeksjon av organer som bistår PST. Utvalget har i 2018 inspisert Nkom. Inspeksjonen ga ikke grunnlag for oppfølging.

1.8.6 Inspeksjon av Telia Norge AS

I 2018 har vi gjennomført en inspeksjon av Telia Norge AS. Som teletilbyder har Telia etter ekomloven § 2-8 en tilretteleggingsplikt for PST i forbindelse med kommunikasjonskontroll. Inspeksjonen ga ikke grunnlag for oppfølging.

1.8.7 Personellsikkerhetstjenesten i Riksrevisjonen

Utvalget gjennomførte i 2017 en inspeksjon av personellsikkerhetstjenesten i Riksrevisjonen. Utvalget har i brev til Riksrevisjonen stilt spørsmål om manglende begrunnelser til personer som ble nektet klarering, og tatt opp enkelte spørsmål til realiteten i en av sakene.

I sakene der klarering var nektet som følge av «tilknytning til andre stater», fikk personene opplyst av klareringsmyndigheten at de ikke fikk noen informasjon om begrunnelsen fordi denne er gradert.

I svar til utvalget fastholdt Riksrevisjonen at begrunnelse ikke kunne gis, med hjemmel i sikkerhetsloven 1998 § 25. I henhold til sikkerhetsloven 1998 § 25 tredje ledd første punktum skal «begrunnelse for en avgjørelse … gis samtidig med underretningen om utfallet av klareringssaken». I NSMs veiledning til bestemmelsen fremgår det at begrunnelsen til den enkelte «må utarbeides på basis av klareringsmyndighetens interne begrunnelse».

I vår avsluttende uttalelse viste vi til NSMs veiledning, som også angir at begrunnelsen «som et minimum [må] nevne de regler og faktiske forhold avgjørelsen bygger på». Det fremgår av lovteksten at «tilknytning til andre stater» kan tillegges negativ vekt – og det kan ikke anses som sikkerhetsgradert informasjon å vise til denne i begrunnelsen. Riksrevisjonens personell hadde selv opplyst om sin tilknytning til andre stater og var innforstått med det faktiske forholdet.

Det er kun i ekstraordinære tilfeller at lovgiver har akseptert at begrunnelse kan unntas. Slike hensyn forelå ikke i disse sakene.

Etter utvalgets mening er negative klareringsavgjørelser så inngripende vedtak at det skjerper kravet til at begrunnelsen må utformes på en tilstrekkelig presis og tydelig måte, slik at den reflekterer hensynene som har vært avgjørende i saken. Uteblitt begrunnelse vanskeliggjør omspurtes muligheter til å imøtegå avgjørelsen og svekker deres rettssikkerhet. I avsluttende brev til Riksrevisjonen bemerket utvalget at ingen av personene hadde påklaget de negative avgjørelsene.

EOS-utvalget kritiserte Riksrevisjonen for ikke å ha gitt begrunnelser for de negative avgjørelsene i tråd med sikkerhetslovens bestemmelser. Utvalget har oppfordret Riksrevisjonen til å bringe sin praksis i samsvar med sikkerhetslovens krav til begrunnede underretninger og gi utvalget tilbakemelding om hvilke tiltak som er gjort, jf. EOS-kontrolloven § 14 siste ledd.

I en sak stilte utvalget også spørsmål til grunnlaget for nektelsen. Personen fikk opplyst at begrunnelsen var gradert, og i de interne sakspapirene fremgikk det at den negative avgjørelsen skyldtes tilknytning til annen stat. På spørsmål fra utvalget ga Riksrevisjonen uttrykk for at det var personens tilbakeholdenhet med å gi opplysninger til klareringsmyndigheten som var avgjørende for det negative utfallet. I avsluttende brev til Riksrevisjonen uttalte vi at personen skulle fått en begrunnelse som samsvarte med den reelle begrunnelsen for utfallet. Vi påpekte også overfor Riksrevisjonen at de interne sakspapirene syntes å mangle dokumentasjon for at personen ikke hadde gitt klareringsmyndigheten ønskede opplysninger. Tvert imot var det dokumentert at vedkommende hadde gitt Riksrevisjonens flere detaljer om sin kontakt med et annet lands borgere.

Utvalget var derfor i berettiget tvil om saken var godt nok opplyst og dokumentert til at avgjørelsen kunne etterprøves av utvalget.

Utvalget har bedt Riksrevisjonen om en tilbakemelding om hvilke tiltak som er blitt foretatt på grunnlag av vår kritikk, jf. EOS-kontrolloven § 14 siste ledd.

1.8.8 Prosjekt om sikkerhetssamtaler

I kontrollen med klareringssaker har utvalget i mange år vært særlig oppmerksom på sikkerhetssamtalen som verktøy for klareringsmyndigheten. En sikkerhetssamtale skal, slik loven lød i 2018, gjennomføres i saker der det ikke er «åpenbart unødvendig». Klareringsmyndigheten skal gjennom samtalen innhente opplysninger som grunnlag for å kunne vurdere om omspurte er sikkerhetsmessig skikket. Etter sikkerhetsloven § 8-4 er det en rekke forhold som kan være relevante i vurderingen av om en person er sikkerhetsmessig skikket.

Utvalget besluttet i 2018 å gjøre en systematisk gjennomgang av et større antall sikkerhetssamtaler. Formålet med gjennomgangen er å undersøke om sikkerhetssamtalene forberedes og gjennomføres slik at informasjon som er relevant for klareringsmyndigheten, kommer frem, samt hvordan samtalen sikrer kontradiksjon for omspurte.

Prosjektet er forventet å bli ferdig i 2019.

1.8.9 Klage på klareringsavgjørelser i Forsvarsdepartementet

Utvalget har i 2018 avsluttet to klagesaker rettet mot klareringsmyndigheten i Forsvarsdepartementet, som var klageinstans i begge sakene. Utvalget ba departementet om å dokumentere sine vurderinger i klagesakene. Utvalget mente at det ikke fremgikk av departementets interne saksdokumenter at departementet i klageomgangene hadde foretatt en konkret og individuell vurdering av klagerens sikkerhetsmessige skikkethet. Departementet opplyste at det delte førsteinstansens vurderinger og konklusjon, men erkjente at vurderingene i større grad burde vært dokumentert.

Utvalget påpekte at det har stor betydning for klagernes rettssikkerhet og for utvalgets mulighet til å føre en reell etterfølgende kontroll at klareringsmyndighetens vurderinger fremkommer av sakenes dokumenter.

2. Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, lederen Dag Terje Andersen, Eva Kristin Hansen og Magne Rommetveit, fra Høyre, Svein Harberg og Bente Stein Mathisen, fra Fremskrittspartiet, Hanne Dyveke Søttar, fra Senterpartiet, Nils T. Bjørke, fra Sosialistisk Venstreparti, Torgeir Knag Fylkesnes, og uavhengig representant Ulf Leirstein, viser til Dokument 7:1 (2017–2018) Årsmelding fra Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) for 2018.

Komiteen viser til at EOS-utvalget er Stortingets kontrollorgan med de hemmelige tjenestene i Norge. Hovedformålet med kontrollen er å påse at borgernes rettigheter ikke krenkes, og at lover og regler følges. EOS-utvalget skal påse at de hemmelige tjenestene balanserer hensynet til den enkeltes privatliv opp mot samfunnets og borgernes behov for sikkerhet.

I dette arbeidet kontrollerer EOS-utvalget blant annet om PSTs registering av personer er i samsvar med loven, at E-tjenesten ikke bryter forbudet mot å overvåke norske personer som oppholder seg i Norge, og om saker om sikkerhetsklarering av NSM og FSA er behandlet på korrekt måte.

Komiteen viser til at EOS-utvalget hvert år skal avgi en melding til Stortinget om resultatet av denne kontrollen. I tillegg kan EOS-utvalget avgi særskilte meldinger dersom dette anses nødvendig.

EOS-utvalget avga 12. mars 2019 en særskilt melding til Stortinget om ulik praksis for sikkerhetsklarering av personer med tilknytning til andre stater. Utvalget avdekket ubegrunnet forskjellsbehandling av saker som gjaldt klarering av personer med både norsk og utenlandsk statsborgerskap. Flere av sakene var ikke tilstrekkelig opplyst, og personenes tilknytning til Norge var ikke godt nok vurdert. Det ble også avdekket ubegrunnet forskjellsbehandling i klareringssaker der ektefellen til personen som skulle klareres, manglet personhistorikk.

Komiteen vil behandle den særskilte meldingen som en egen sak og viser til innstillingen til denne.

Komiteen er kjent med at den raske teknologiske utviklingen med nye kommunikasjonsformer skaper utfordringer for tjenestene og i neste omgang for utvalgets kontroll. Komiteen har derfor tidligere understreket viktigheten av at utvalget tilføres mer teknologisk kompetanse. Tildelingen fra Stortinget for 2018 ga rom for å starte dette arbeidet, men ble ikke fulgt opp i Stortingets tildeling for 2019. Komiteen forventer at EOS-utvalget tilføres tilstrekkelige midler for 2020 slik at planene for opprettelse av en teknologisk enhet med minst fem ansatte blir fullført. Dette er nødvendig for å ivareta dagens kontrollbehov. Dersom forslaget om tilrettelagt innhenting (TI) blir innført, vil dette kreve ytterligere økt bemanning.

Komiteen viser til at EOS-utvalget siden 2015 har deltatt i et internasjonalt samarbeidsprosjekt som har sett på tjenestenes utveksling av personopplysninger om de enkelte lands fremmedkrigere. Komiteen registrerer at utvalget ikke har funnet kritikkverdige forhold om utlevering av opplysninger om norske fremmedkrigere av tjenestene.

PST

Komiteen viser til at sikkerhetsloven pålegger PST å utlevere registeropplysninger som har betydning for sikkerhetsklareringer, uten hinder av taushetsplikt til den som skal klarere vedkommende. Opplysningene skal gis skriftlig. EOS-utvalget har avdekket at PST i en stor andel klareringssaker har overlevert disse opplysningene muntlig. Dette er et klart brudd på loven.

Komiteen registrerer at PST har erkjent at rutinene ikke har vært tilfredsstillende, og at de nå har skjerpet praksisen. Komiteen har merket seg at PST har endret sin praksis og revidert rutinen for utlevering av opplysninger til klareringsmyndigheten, samt at PST og NSM skal utarbeide en ny samarbeidsavtale.

Komiteen har videre merket seg at ingen av klagesakene til EOS-utvalget om PST som ble ferdigbehandlet i 2018, har resultert i kritikk av PST.

NSM

Komiteen viser til at NSM som fagmyndighet har et overordnet ansvar for sikkerhetsklarering av personer i Norge og skal påse at like saker behandles likt, uavhengig av hvem som er klareringsmyndighet i den enkelte sak. Komiteen er enig med utvalget i at det er viktig at NSM etablerer løsninger som sikrer ensartet praksis, og forventer at dette arbeidet blir prioritert.

For øvrig viser komiteen til den særskilte meldingen om ulik praksis for sikkerhetsklarering av personer med tilknytning til andre stater og innstillingen til denne.

Komiteen viser til at utvalget har mottatt elleve klager rettet mot NSM, hvorav ti gjelder saker om sikkerhetsklarering. Komiteen har merket seg at utvalget i flere av sakene har kommet med til dels sterk kritikk av NSM for håndteringen av saken. Komiteen forventer at NSM tar lærdom av denne kritikken. En feil avgjørelse kan få svært avgjørende konsekvenser for den det gjelder. Dette fordrer tilsvarende høye krav til saksbehandlingen.

FSA

Komiteen viser til at FSA er landets desidert største klareringsmyndighet med ansvar for sikkerhetsklareringer for hele forsvarssektoren. EOS-utvalgets kontroll med FSAs behandling av sikkerhetsklareringer er derfor en viktig del av kontrollen med avdelingen. Komiteen har merket seg at ingen av klagesakene til EOS-utvalget som ble avsluttet i 2018, har medført kritikk av FSA.

E-tjenesten

Komiteen viser til at E-tjenesten er Norges militære og sivile utenlandsetterretningstjeneste. Tjenesten skal fremskaffe informasjon og varsle norske myndigheter om forhold som kan true Norge og norske interesser fra utlandet.

Dette innebærer at E-tjenesten som hovedregel ikke har anledning til å overvåke eller på annen fordekt måte innhente informasjon om norske statsborgere som oppholder seg på norsk territorium. E-tjenesten kan heller ikke fritt foreta slik informasjonsinnhenting overfor norske personer i utlandet. For overvåking av norske personer i utlandet er det fastsatt utfyllende bestemmelser.

Etter interne retningslinjer kan E-tjenesten innhente opplysninger fra åpne kilder om personer i Norge, herunder norske statsborgere, når personen er godkjent som innhentingsformål ved opphold i utlandet. Komiteen har merket seg at EOS-utvalget mener det knytter seg begrunnet tvil til lovligheten av dette. Utvalget har i sitt høringssvar om ny lov for E-tjenesten tatt opp denne problemstillingen og uttalt at dette er noe Stortinget som lovgiver må ta stilling til.

Komiteen legger til grunn at dette er noe Stortinget vil se nærmere på i forbindelse med behandlingen av lovforslaget i Stortinget.

Komiteen viser videre til at EOS-utvalget har tatt opp to andre problemstillinger som omhandler innhenting av innholdsdata om norske statsborgere.

Den ene saken gjaldt innsamling av personopplysninger om en norsk borger i Norge innhentet via satellitt. Innsamlingen var basert på søkebegreper som var innenfor E-tjenestens mandat og rettsgrunnlag, men fanget også opp irrelevant overskuddsinformasjon. E-tjenesten ble først oppmerksom på at de hadde samlet inn opplysningene om den norske borgeren da utvalget stilte spørsmål. E-tjenesten har orientert utvalget om at informasjonen om den norske borgeren er slettet.

Komiteen vil understreke at selv om søket var innenfor tjenestens lovpålagte oppgaver og som sådan ikke var rettet mot norske personer, skal denne formen for overskuddsinformasjon som følger med, slettes når en blir klar over det.

Tilsvarende gjelder den andre saken hvor innholdsdata var samlet inn i strid med loven. I dette tilfellet ble det innsamlet lydfiler om norske borgere. Selv om E-tjenesten ikke hadde hørt gjennom innholdet, mente E-tjenesten at dette ikke automatisk måtte medføre at de var forhindret i å nyttiggjøre seg dette materialet i utenlandsetterretningssammenheng.

Komiteen er enig med utvalget, som konkluderte med at E-tjenesten ikke har hjemmel til å gjennomgå eller på annen måte behandle informasjon som stammer fra norsk kommunikasjon i Norge, og som tjenesten har samlet inn i strid med e-loven § 4 første ledd.

Det er viktig at rammene ligger fast, og at formålsglidning unngås.

Komiteen har videre merket seg at ingen av klagesakene til EOS-utvalget på E-tjenesten, og som er avsluttet i 2018, har resultert i kritikk.

3. Komiteens tilråding

Komiteen har for øvrig ingen merknader, viser til dokumentet og rår Stortinget til å gjøre følgende

vedtak:

Dokument 7:1 (2018–2019) – Årsmelding fra Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) for 2018 – vedlegges protokollen.

Oslo, i kontroll- og konstitusjonskomiteen, den 21. mai 2019

Dag Terje Andersen

Ulf Leirstein

leder

ordfører