1.1 Utvalgets mandat og sammensetning

EOS-utvalget er et permanent, stortingsoppnevnt kontrollorgan. Utvalget har til oppgave å kontrollere norske virksomheter som utøver etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-tjeneste). Utvalgets mandat følger av EOS-kontrolloven. Kontrollen gjelder bare EOS-tjeneste som utøves av den offentlige forvaltning, eller som er under styring av eller på oppdrag fra denne.

Formålet med kontrollen er i henhold til EOS-kontrolloven § 2 første ledd å:

1. klarlegge om og forebygge at noens rettigheter krenkes, herunder påse at det ikke nyttes mer inngripende midler enn det som er nødvendig etter forholdene, og at tjenestene respekterer menneskerettighetene,

2. påse at virksomheten ikke utilbørlig skader samfunnets interesser, og

3. påse at virksomheten holdes innen rammen av lov, administrative eller militære direktiver og ulovfestet rett.

Utvalget skal i sin kontroll iaktta hensynet til rikets sikkerhet og forholdet til fremmede makter. Utvalget skal ikke søke et mer omfattende innsyn i graderte opplysninger enn det som er nødvendig ut fra kontrollformålene, og skal så vidt mulig iaktta hensynet til kildevernet og vern av informasjon mottatt fra utlandet. Kontrollen med enkeltsaker og operasjoner skal være etterfølgende, men utvalget har rett til å bli informert om tjenestenes løpende virksomhet. Utvalget kan ikke instruere EOS-tjenestene eller nyttes av disse til konsultasjoner. Kontrollen skal være til minst mulig ulempe for tjenestenes løpende operative virksomhet.

Det er syv medlemmer i utvalget. Medlemmene velges for et tidsrom på inntil fem år av Stortinget i plenum etter innstilling fra Stortingets presidentskap. Det oppnevnes ikke varamedlemmer. Etter en lovendring i 2017 kan medlemmene gjenoppnevnes én gang og maksimalt inneha vervet i ti år.

Utvalget er uavhengig av både regjeringen og Stortinget. Utvalget kan derfor ikke instrueres av regjeringen, og medlemmer av utvalget kan ikke samtidig være stortingsrepresentanter. Utvalget har en variert sammensetning, der både ulik politisk bakgrunn og erfaring fra andre samfunnsområder er representert. Utvalgets medlemmer og ansatte i sekretariatet må ha sikkerhetsklarering og autorisasjon for høyeste nivå både nasjonalt og etter traktat Norge er tilsluttet. Det vil si sikkerhetsklarering og autorisasjon for henholdsvis strengt hemmelig og Cosmic Top Secret.

Av dagens syv medlemmer har fem partipolitisk bakgrunn. De to øvrige har juridisk og teknologisk faglig bakgrunn. Den brede sammensetningen bidrar til å styrke utvalgets kompetanse og legitimitet.

1.2 Oversikt over utvalgets virksomhet i 2017

1.2.1 Hovedpunkter i kontrollen med tjenestene

EOS-utvalget har som sin viktigste oppgave å «klarlegge om og forebygge at noens rettigheter krenkes». Det gjør utvalget blant annet ved å kontrollere om PSTs registrering av personer er i samsvar med loven, om E-tjenesten ikke bryter forbudet mot å overvåke nordmenn i Norge og om saker om sikkerhetsklarering er behandlet riktig.

1.2.2 Utført kontrollvirksomhet

Utvalgets kontrollvirksomhet utøves i hovedsak ved at utvalget gjennomfører inspeksjoner i EOS-tjenestene.

EOS-kontrollinstruksen stilte krav til utvalget om å gjennomføre minst 23 inspeksjoner hvert år. 21. juni 2017 ble EOS-kontrollinstruksen opphevet og integrert i EOS-kontrolloven. Etter lovendringen stiller EOS-kontrolloven § 7 andre ledd krav om at utvalget gjennomfører minst 13 inspeksjoner årlig. Reduksjonen i antallet inspeksjoner utvalget må gjennomføre, gir utvalget økt fleksibilitet i sin kontrollvirksomhet. Utvalget har i meldingsåret oppfylt de nye kravene til inspeksjonssteder og antall inspeksjoner.

I 2017 har utvalget gjennomført 21 inspeksjoner. Politiets sikkerhetstjeneste (PST) er inspisert sju ganger, Etterretningstjenesten (E-tjenesten) fem ganger, Nasjonal sikkerhetsmyndighet (NSM) 3 ganger og Forsvarets sikkerhetsavdeling (FSA) to ganger. Personellsikkerhetstjenesten ved Statsministerens kontor, personellsikkerhetstjenesten i Riksrevisjonen, etterretnings- og sikkerhetsfunksjoner ved Etterretningsbataljonen og Forsvarets Spesialstyrker Stab er også inspisert.

For å gjøre utvalgets kontroll målrettet og effektiv gjennomfører sekretariatet grundige forberedelser i tjenestene. Forberedelsene er stadig styrket de siste ti årene. Inspeksjoner forberedes først i møter mellom utvalgets kontaktpersoner i tjenestene og sekretariatet, og bekreftes deretter i et inspeksjonsbrev i forkant av inspeksjonen. Inspeksjonsforberedelse er en ressurskrevende del av sekretariatets virksomhet.

Utvalget kan i all hovedsak gjennomføre inspeksjoner på egen hånd direkte i tjenestenes elektroniske systemer. Dette innebærer at inspeksjonene inneholder betydelige uanmeldte elementer. Hvilken informasjon som kontrolleres, er ikke kjent for tjenestene før utvalget stiller muntlige spørsmål i en inspeksjon, eller retter skriftlige henvendelser til tjenestene om funn i etterkant av en inspeksjon. Det er i 2017 ikke gjennomført helt uanmeldte inspeksjoner.

I 2017 opprettet utvalget 31 saker av eget tiltak, mot 51 saker i 2016. Sakene utvalget har tatt opp av eget tiltak, er hovedsakelig oppfølging av funn fra utvalgets inspeksjoner. Utvalget avsluttet i 2017 30 saker som var tatt opp av eget tiltak, mot 27 saker i 2016.

Utvalget undersøker klager fra enkeltpersoner og organisasjoner. Det kom inn 26 klager på EOS-tjenestene i 2017, mot 32 klager i 2016. Utvalget prioriterer klagesaksbehandlingen og bruker mer ressurser på den enn tidligere. På formelt grunnlag ble noen klagesaker avvist, blant annet under henvisning til at forholdet faller utenfor utvalgets kontrollområde. Klager og henvendelser som faller innenfor utvalgets kontrollområde undersøkes i den eller de tjenester som klagen retter seg mot. Utvalget har en lav terskel for å behandle klagesaker.

EOS-tjenestene har gjennomgående vist forståelse for utvalgets kontroll. Men utvalget opplever til tider for lang responstid fra enkelte av tjenestene i saksbehandlingen, samt enkelte mangler i teknisk tilrettelegging for kontrollen. Erfaringene har vist at kontrollen bidrar til å sikre enkeltindividets rettssikkerhet – og til å skape tillit i befolkningen til at tjenestene opererer innenfor sine rettslige rammeverk.

1.2.3 Endringer i EOS-kontrolloven

Som redegjort for i årsmeldingen for 2016, er EOS-utvalgets virksomhet og rammebetingelser evaluert av et utvalg nedsatt av Stortingets presidentskap. Evalueringsutvalget leverte sin rapport til Stortinget 29. februar 2016. Blant annet som følge av dette vedtok Stortinget 13. og 16. juni 2017 endringer i EOS-kontrollloven. Endringene trådte i kraft 21. juni 2017.

Lovendringen innebærer at kravet til antall inspeksjoner utvalget må gjennomføre årlig, er redusert. I tillegg er det gjort endringer i kravene til hvilke tjenester og virksomheter som skal inspiseres, hvilke kontrolloppgaver som skal gjennomføres, og kravene til utvalgets tilstedeværelse under inspeksjoner.

Utvalget er tilfreds med at det etter lovendringen har større frihet til å disponere egne kontrollressurser. Utvalget vurderer kontinuerlig hvordan arbeidet kan utføres på en mest mulig målrettet og effektiv måte. Utvalget har til behandling en vurdering av hvilke kontrolloppgaver som kan delegeres til sekretariatet, og hvordan inspeksjonene skal innrettes. Dette arbeidet vil fortsette i 2018.

1.3 Utviklingstrekk og utfordringer

Den sentrale kontrolloppgaven for EOS-utvalget er å se til at EOS-tjenestene ikke gjør inngrep i individets rettigheter i større grad enn det rettsreglene tillater. Utvalget skal påse at tjenestene ikke benytter mer inngripende midler enn det som er nødvendig, og at virksomheten ikke utilbørlig skader samfunnets interesser. Tjenestene må balansere hensynet til den enkeltes privatliv opp mot samfunnets og borgernes behov for sikkerhet. Dette er krevende avveininger for tjenestene og utfordrende sett i et kontrollperspektiv. Det er utvalgets oppgave å ha et kritisk blikk rettet mot tjenestenes disposisjoner, samtidig som tjenestene må ha anledning til å utnytte handlingsrommet som ligger innenfor det rettslige rammeverket.

EOS-tjenestene er underlagt detaljerte personvernrettslige regler og fremstår i all hovedsak som rettssikkerhetsorienterte. Hensynet til enkeltmenneskers personvern og rettssikkerhet skal inngå i tjenestenes vurderingsgrunnlag, når ulike former for skjulte overvåkingstiltak vurderes. Det er gode grunner for at ett organ fører demokratisk kontroll med alle EOS-tjenestene. I en tid med økende samarbeid mellom tjenestene, særlig innenfor E-tjenestens og PSTs kontraterrorarbeid, er dette avgjørende for å kunne ha en dekkende kontroll. I 2017 er PSTs adgang til å utlevere informasjon til E-tjenesten utvidet. For å videreutvikle samarbeidet mellom PST, NSM og E-tjenesten, og for å styrke evnen til å motvirke trusler i det digitale rom, er det i 2017 etablert et felles cyberkoordineringssenter (FCKS).

Også EOS-tjenestenes internasjonale samarbeid er økende, spesielt på kontraterrorområdet. I årsmeldingen for 2015 uttalte utvalget at det er en prinsipiell utfordring at samarbeidet mellom tjenestene er grenseoverskridende, mens kontrollen er nasjonal. Utvalget er stadig opptatt av grenseoverskridende samarbeid på kontrollområdet og har diskutert temaet i møter med andre lands kontrollorganer, både bilateralt og i flere internasjonale seminarer og konferanser. I årsmeldingen omtaler utvalget et internasjonalt prosjekt det tar del i, der temaet er demokratisk kontroll med tjenestenes utveksling av opplysninger om fremmedkrigere over landegrensene. Omtalen viser at det er utfordrende for kontrollorganene å gjennomføre samordnede undersøkelser som kan gi relevante erfaringer om for eksempel kontrollmetodikk, uten å komme i konflikt med tjenestenes behov for skjerming av opplysninger.

Den raske teknologiske utviklingen innebærer at både trusselbildet og EOS-tjenestenes metoder endrer seg. Nye kommunikasjonsformer øker både statlige og ikke-statlige aktørers muligheter til å drive etterretning, rette angrep mot norske interesser og utøve terror. EOS-tjenestene må møte cybertrusselen og endrede måter å kommunisere på med utvikling av stadig nye verktøy og metoder. Datamengdene i tjenestene og kompleksiteten i deres datasystemer og overvåkingstiltak, er betydelig og økende. Utvalget må på sin side tilpasse kontrollen til denne tekniske utviklingen.

Som følge av Evalueringsutvalgets rapport og Stortingets behandling av denne, har utvalget i 2017 besluttet å etablere en teknologisk enhet i sekretariatet for å styrke den teknologiske kompetansen og kapasiteten i utvalget. EOS-utvalget mener at enheten bør består av minst fem ansatte. Målet er at enheten vil gi utvalget bedre innsikt i EOS-tjenestenes systemer og bidra til å videreutvikle metoder for kontroll, herunder automatisert kontroll av tjenestenes systemer og verktøy. Eventuell vedtakelse av et digitalt grenseforsvar (DGF) vil ytterligere forsterke behovet for teknisk kompetanse i utvalget og i sekretariatet, uansett hvilken rolle EOS-utvalget får i kontrollen med DGF.

Utvalget har i flere årsmeldinger uttalt at det er en utfordring at utvalget er rettslig forhindret fra å gi ytterligere opplysninger om grunnlaget for kritikken i klagesaker. Svaret på om det finnes eller ikke finnes opplysninger om en person i tjenestene, er i seg selv hemmelig.

I kontroll- og konstitusjonskomiteens innstilling til utvalgets årsmelding for 2015 ba komiteen Justis- og beredskapsdepartementet om å vurdere praksisen med å gi klagere begrunnelse for utvalgets kritikk av PST. Etter henvendelse fra utvalget i to klagesaker har departementet i 2017 besluttet at det kan gis utfyllende begrunnelse i begge sakene. Utvalget er tilfreds med at departementet synes å ha fulgt opp Stortingets anmodning om å vurdere praksisen i saker der klagen har gitt grunn til kritikk.

Utvalget ser likevel at en utfyllende begrunnelse ikke alltid er nok til å berolige klagerne. Det vises også til at politiregisterlovens regler om innsyn i politiets registre ikke gjelder for innsyn i PST, slik at klagere heller ikke har rett til innsyn i opplysninger som ligger til grunn for kritikken. At utvalget kan gi tilfredsstillende svar til klagere har betydning for tilliten til tjenestene og til utvalgets kontroll.

1.4 Høring om behandling av overskuddsinformasjon fra kommunikasjonskontroll mv.

Den 22. september 2017 mottok EOS-utvalget Justis- og beredskapsdepartementets høring om behandling av overskuddsinformasjon fra kommunikasjonskontroll mv. i straffesaker. Departementet foreslår blant annet endringer i straffeprosessloven §§ 216g og 216i om sletting og videre bruk av materiale innhentet ved kommunikasjonskontroll, og overføring av regler om dette til politiregisterlovgivningen.

EOS-utvalget har praktisert en høy terskel for å gi høringssvar. Men i tilfeller der slike forslag får direkte konsekvenser for EOS-utvalgets kontroll og/eller det er forhold som utvalget mener bør fremkomme før Stortinget behandler et lovforslag, anser utvalget at det er viktig å uttale seg om forslaget.

Utvalget avga høringssvar 18. desember 2017. Bakgrunnen for uttalelsen var at behandling av overskuddsinformasjon fra tvangsmidler i forebyggende øyemed ikke var berørt i departementets forslag om å overføre deler av § 216g til politiregisterlovgivningen. Utvalgets høringssvar ble for øvrig avgitt før utvalget mottok svar fra Justis- og beredskapsdepartementet om departementets vurdering av anvendelsen av straffeprosessloven § 216g i PSTs forebyggende virksomhet.

Utvalget bemerket i høringssvaret at vilkårene for PSTs bruk av tvangsmidler i forebyggende øyemed er hjemlet i politiloven § 17d. Uavhengig av om tvangsmidler benyttes som ledd i forebyggende virksomhet eller som ledd i etterforsking, pekte utvalget på at opplysningenes og tvangsmidlenes art er det samme, og at metodene som brukes, innebærer et tilsvarende inngrep i personvernet til de som direkte eller indirekte rammes av bruken. Derfor ga utvalget uttrykk for at regelverket for behandling av overskuddsinformasjon fra tvangsmidler i forebyggende øyemed bør klargjøres i forbindelse med departementets arbeid med å overføre regler om slik behandling fra straffeprosessloven til politiregisterlovgivningen.

Når det gjelder fremtidige vurderinger av begrensinger for bruk av overskuddsinformasjon fra dataavlesing i straffesaker, bemerket utvalget at slike begrensinger også bør vurderes for bruk av overskuddsinformasjon fra dataavlesing som metode i forebyggende øyemed, jf. politiloven § 17d og straffeprosessloven § 216o.

Angående sperring av opplysninger, viste EOS-utvalget til at det ved flere anledninger har bemerket at det ikke er implementert noen tilfredsstillende løsning for sperring av opplysninger som ikke lenger skal være tilgjengelig for etterretningsformål eller operativ virksomhet i PST, sist i utvalgets årsmelding for 2015 pkt. 4.5. I januar 2018 opplyste PST til utvalget at tjenesten har et pågående prosjekt som skal løse problemet, men at den ennå ikke har et teknisk regime som sikrer «etterlevelse av både politiregisterloven og arkivloven» med hensyn til sletting og sperring.

Høringssvaret følger som vedlegg til meldingen.

1.5 Politiets sikkerhetstjeneste (PST)

1.5.1 Generelt om kontrollen

I 2017 har utvalget gjennomført fem inspeksjoner i Den sentrale enhet (DSE). Utvalget har videre gjennomført inspeksjoner av PST-enhetene i politidistriktene Øst og Finnmark.

Antall inspeksjoner har i meldingsåret blitt redusert, som følge av endringer i EOS-kontrolloven, som ble vedtatt av Stortinget i juni 2017.

1.5.2 Avviksmeldinger – PSTs tvangsmiddelbruk

PST har i 2017 av eget tiltak orientert utvalget om ett avvik knyttet til tjenestens bruk av skjult kameraovervåking. Feilen medførte at kameraovervåkingen pågikk i nesten én måned lenger enn det retten hadde godkjent. PST har orientert utvalget om at interne rutiner vil gjennomgås. Utvalget vil holde seg orientert om PSTs tiltak for å hindre fremtidige avvik av en slik karakter. I 2018 vil utvalget styrke sin kontroll av PSTs tekniske innsamling som følge av etablering av den teknologiske enheten i sekretariatet.

Utvalget ser positivt på at tjenesten selv avdekker avvik og rapporterer avvik til utvalget under inspeksjoner i tjenesten. Utvalget legger til grunn at tjenesten tar slike feil og avvik alvorlig, og at tjenesten har oppmerksomhet rettet mot kvalitetssikring og rutiner for å minimere mulighetene for at slike feil skal oppstå igjen. Feilen må etter utvalgets syn karakteriseres som alvorlig, og utvalget vil holde seg orientert om PSTs oppfølging av avviket.

1.5.3 Kontroll av PSTs kildearbeid

I årsmeldingen for 2016 redegjorde utvalget for sitt arbeid med å etablere kontroll av PSTs kildearbeid. Under henvisning til uenighet mellom utvalget og PST om rekkevidden av utvalgets innsynsrett i kildematerialet, mente utvalget problemstillingen var et «forhold som bør behandles av Stortinget». Utvalgets innsynsrett i PSTs kildemateriale inngikk også i Stortingets behandling av representantforslaget til endringer i EOS-kontrolloven.

Fra kontroll- og konstitusjonskomiteens merknader 6. juni 2017 til endringer i EOS-kontrolloven jf. Innst. 431 L (2016–2017) siteres:

«Komiteen viser til at det er statsrådenes ansvar å sette tjenestene i stand til å utføre sitt virke på en måte som gjør det tilgjengelig for kontroll, og samtidig ivareta kildevernet. Komiteen ber derfor om at dette arbeidet prioriteres og at PSTs register innrettes slik at kontroll av metode er mulig å gjennomføre uten å avdekke identitet.»

Fra kontroll- og konstitusjonskomiteens merknader 6. juni 2017 til utvalgets årsmelding for 2016 jf. Innst. 418 S (2016–2017) siteres:

«Komiteen mener at for å oppfylle formålet med EOS-kontrolloven og dens hensikt, må EOS-utvalget ha mulighet til å søke i PSTs systemer for behandling av kildemateriale, uten at kildens navn eller personnummer eksponeres.»

Stortinget vedtok 21. juni 2017 en videreføring av tidligere lovtekst som gir utvalget rett til å kreve innsyn i og adgang til PSTs «arkiver og registre, lokaler, installasjoner og anlegg av enhver art». Utvalgets beslutninger om innsyn er bindende for PST, men PST har en rett til å få sine eventuelle protester inntatt i årsmeldingen og dermed gjort kjent for Stortinget.

Under henvisning til Stortingets behandling sendte utvalget en anmodning om innsyn i deler av kildematerialet til PST 21. juni 2017. Utvalget forutsatte at kun kildenes navn og fødselsnummer skulle unntas fra kontrollen. PST avslo å tilrettelegge som anmodet i brev til utvalget 14. september 2017. På bakgrunn av en ny påpekning av utvalgets innsynsrett fra utvalget 21. desember 2017, meddelte PST i brev 4. januar 2018 at tjenesten anerkjenner utvalgets fulle innsynsrett og at tjenesten vil tilrettelegge for utvalgets innsyn i kildematerialet som anmodet.

Innsynsretten er EOS-utvalgets viktigste virkemiddel for å oppfylle sin lovpålagte oppgave. Saken har derfor vært av stor betydning for utvalget. Det har vært utvalgets klare oppfatning at EOS-kontrolloven ikke kan forstås slik at det er opp til den som skal kontrolleres, å beslutte hvor langt kontrollorganets innsynsrett rekker. Betydningen av innsynsretten er todelt: For det første har den trolig en sterk disiplinerende og dermed preventiv effekt. Tjenestene vet at utvalget kan se i enhver skuff, eller i ethvert register. For det andre gjør innsynsretten at utvalget kan sette seg inn i og vurdere alle sider av en sak, og dermed bli i stand til å rapportere uten forbehold til Stortinget. Utvalgets kontroll gir også tjenesten økt legitimitet.

Samtidig som utvalget er gitt innsynsrett, har Stortinget pålagt EOS-utvalget å følge enkelte forsiktighetsregler. EOS-utvalget understreker at Stortingets pålegg om å utvise varsomhet på kildefeltet vil bli tatt hensyn til i kontrollarbeidet. PSTs tilrettelegging innebærer at kildenes navn og personnummer ikke eksponeres i kontrollen.

Utvalget har i februar 2018 gjennomført en første inspeksjon av kildematerialet, og fikk da innsyn i samsvar med lovens og Stortingets forutsetninger. EOS-utvalget er tilfreds med PSTs tilrettelegging for utvalgets innsyn.

1.5.4 Kontrollen av PSTs behandling av opplysninger i arbeidsregisteret Smart

1.5.4.1 Utgangspunkt

Opplysninger som behandles i politiet og PST, skal ikke lagres lenger enn det som er «nødvendig ut fra formålet med behandlingen». Utvalget har i 2017 avsluttet flere saker der det på denne bakgrunn har stilt spørsmål til nødvendigheten av fortsatt behandling av opplysninger om personer i arbeidsregisteret Smart.

1.5.4.2 PSTs avklaring av grunnlag for fortsatt registrering

I meldingsåret har utvalget blant annet fulgt opp enkeltregistreringer i arbeidsregisteret, der utvalget tidligere har lagt til grunn at tjenesten jobber aktivt med å avklare om grunnlaget for videre behandling av opplysninger er til stede. Som ledd i oppfølging av en sak fra 2015, merket utvalget seg at PST nå slettet eller vil slette opplysninger om flere personer, der opplysningene ikke lenger er nødvendig ut fra formålet med behandlingen. Utvalget tok til orientering at PST anså det nødvendig å opprettholde registreringer på enkelte personer.

I en sak ble PST på bakgrunn av at forholdet i etterforskingssaken var foreldet, også bedt om å redegjøre for om tjenesten har noen bekymringer knyttet til den aktuelle personen i dag. Tjenestens svar indikerte at den ikke hadde noen bekymring knyttet til vedkommende i dag og at saken derfor var avsluttet. På spørsmål fra utvalget om grunnlaget for å behandle nye opplysninger om vedkommende, informerte PST om at tjenesten likevel er bekymret for at vedkommende «forsøker å øke sin økonomiske kapasitet slik at han på denne måten kan yte støtte til en terrororganisasjon jf. politiloven § 17b nr. 1», og at de nye opplysningene dermed er nødvendige i forebyggende øyemed.

Utvalget fant det ikke klart at de nye opplysningene ga grunnlag for en aktuell bekymring for at personen i dag kan knyttes til terrorfinansiering. Sett på bakgrunn av den relativt vide skjønnsmargin PST har ved vurderingen av om et forhold anses «nødvendig ut fra politimessige formål» etter politiregisterloven § 64 første ledd, jf. tredje ledd nr. 1 bokstav b, lot utvalget likevel saken bero med den forklaring som PST ga.

1.5.4.3 Tidspunkt for nødvendighetsvurderingen vs. femårsregelen

Tjenesten har i flere saker, på generelt grunnlag, anført at registrerte opplysninger i arbeidsregisteret kan behandles i fem år før PST må gjennomføre en faglig vurdering av om arbeidsregistreringene fortsatt er relevante og nødvendige for tjenesten, med henvisning til femårsregelen i politiregisterforskriften § 22-3 tredje ledd. Samtidig har tjenesten pekt på at nødvendigheten og relevansen av en arbeidsregistrering skal vurderes på nytt når det er tilført nye opplysninger på en registrert person i Smart.

Som argument for at opplysninger kan behandles i fem år i arbeidsregisteret før PST må gjennomføre en faglig vurdering av om arbeidsregistreringene fortsatt er relevante og nødvendige for PST, viste tjenesten blant annet til departementets uttalelse i forarbeidene. Der står det at nødvendighetskriteriet er

«et prinsipp som ikke kan gjennomføres fullt ut, og at det må lages regler som er praktisk gjennomførbare, f.eks. ved å gi tidsbestemte slettefrister eller anvisning på at opplysningene skal nødvendighetsvurderes i nærmere bestemte tidsintervaller.»

Utvalget mente at departementets uttalelse er et kvalifisert uttrykk for at nødvendighetsprinsippet skal følges i praksis, så langt det er mulig. Utvalget bemerket videre at nødvendighetskriteriet er et sentralt personvernrettslig prinsipp, som gjelder for all behandling av personopplysninger. Nødvendighetskriteriet representerer en begrensning for behandlingen, idet opplysninger kun kan behandles når det er nødvendig ut fra formålet. Kriteriet er en rettslig standard som vil variere med tid og situasjon. Hvor lenge det er «nødvendig» å beholde en konkret arbeidsregistrering, må avgjøres etter en konkret vurdering i det enkelte tilfellet. Formålet med behandlingen av opplysningene, inngrepets karakter og behandlingens omfang er sentrale momenter i vurderingen.

Etter utvalgets oppfatning bør arbeidsregistreringer med jevne mellomrom gjennomgås av den eller de som er ansvarlige for å ha registrert opplysningene, for at arbeidsregisteret skal inneholde oppdatert, korrekt, nødvendig og relevant informasjon.

I etterkant av utvalgets avsluttende uttalelse til PST har tjenesten gitt uttrykk for at den er uenig med utvalget i at arbeidsregistreringer må gjennomgås oftere enn hvert femte år. På denne bakgrunn har utvalget tatt opp spørsmålet med Justis- og beredskapsdepartementet.

1.5.5 Sletteutfordringer i PST

Ifølge politiregisterloven § 50 skal personopplysninger som ikke lenger skal lagres, slettes eller sperres.

Utvalget har i 2017 merket seg at PST har utfordringer med å oppfylle lovens krav, og at PST jobber med å løse dette.

Utvalget har bedt PST om bli holdt orientert om tjenestens arbeid med å løse sletteutfordringene, og har uttrykt en forventning om at tjenesten snarlig finner en løsning, slik at opplysninger ikke behandles når grunnlaget for behandlingen ikke lenger er til stede. Utvalget vil i 2018 følge opp PSTs sletteutfordringer.

1.5.6 Behandling av opplysninger om personer som er utsatt for fremmed etterretning

Utvalget har i 2017 avsluttet to saker om PSTs behandling av opplysninger om personer som er eller kan bli «utsatt for fremmed etterretning». På generelt grunnlag har utvalget uttrykt følgende:

«Hvorvidt vilkårene for behandlingen av opplysninger om [slike] personer er til stede, må etter utvalgets oppfatning bero på en konkret vurdering av om personen kan anses å være ‘utsatt for’ fremmed etterretning. Slik utvalget ser det, må en slik vurdering blant annet se hen til arten av kontaktrelasjonen med [fremmed etterretning] (hvor kvalifisert kontakten er sett ut fra omstendighetene og omfanget av kontakten mv.), hvilke eventuelle verdier personen forvalter/har tilgang til, og som er av sikkerhetsbetydning for enkeltpersoner, Norge eller andre land, og om det er sannsynlig at kontaktrelasjonen vil kunne materialisere seg i konkrete straffbare forhold dersom personen kan utnyttes av fremmed stat.»

Utvalget har merket seg at PST mener at virksomheten fra fremmed stat må være straffbar i Norge for å defineres som «ulovlig etterretningsvirksomhet».

En av sakene omhandlet registreringer av personer i yrkesgrupper som kan være særlig utsatt for ulovlig fremmed etterretningsvirksomhet, der skadepotensialet er stort om fremmed etterretning lykkes. PST redegjorde for sitt syn på når forsøk på påvirkning av de aktuelle yrkesgruppene fra fremmed etterretningstjenestes side anses som ulovlig etterretningsvirksomhet. Utvalget undersøkte blant annet om det var strengt nødvendig å registrere opplysninger om enkelte personers politiske overbevisning, jf. politiregisterloven § 7. Saken ble avsluttet uten kritikk av PST.

I den andre saken bemerket utvalget at det ser PSTs bekymring for at fremmede etterretningstjenester tilnærmer seg norske borgere. Utvalget bemerket at det likevel kunne vært tydeligere begrunnet hva PSTs bekymring består i, i lys av tjenestens oppgave om å forebygge ulovlig etterretningsvirksomhet.

Om det forblir uklart om kontakten kan relateres til bekymring for ulovlig etterretningsvirksomhet i Norge, bør PST etter utvalgets syn vurdere om grunnlaget for behandling av opplysninger fortsatt er til stede.

Utvalget viste også til at det av hensyn til personer som er utsatt for fremmed etterretning, burde fremgå av registreringen at personen selv ikke har noe negativt heftet ved seg.

PST har orientert utvalget om at tjenesten tok utvalgets avsluttende merknader til etterretning. Utvalget la til grunn at dette nå gjenspeiles i utformingen av registreringene på de aktuelle personene.

Utvalget ser det som positivt at tjenesten oppdaterer sin registreringspraksis, for å sikre at behandlingen av opplysninger er i tråd med politiregisterlovgivningens krav.

1.5.7 Oppfølging av etterforskingssaker og forebyggende saker i PST

1.5.7.1 Innledning

Utvalget gjennomgår regelmessig nye og avsluttede forebyggende saker (f-saker) og etterforskingssaker (e-saker) i PST, under utvalgets inspeksjoner i tjenesten. Utvalget holder seg videre oppdatert om og kontrollerer løpende saker i tjenesten, herunder blant annet tjenestens bruk av lovfestede skjulte tvangsmidler og ulovfestede metoder, samt samarbeid og informasjonsutveksling med innenlandske og utenlandske samarbeidspartnere. Utvalget har i 2017 avsluttet flere saker der temaer som samarbeid, informasjonsutveksling og metodebruk er tatt opp med tjenesten.

1.5.7.2 Samarbeid mellom PST og det ordinære politiet

I 2017 har utvalget hatt kritiske merknader til at en lokal PST-enhet, som ledd i en etterforskingssak der forholdet i saken var foreldet etter norsk lov, ville “bruke en eventuell oppdukkende mulighet i ordinær straffesak til å delta på ransaking hos objektet”. Utvalget ba PST om å redegjøre for om PST deltok på slik ransaking hjemme hos personen i regi av det ordinære politiet, kontakten med det ordinære politiet, samt om slik kontakt etter tjenestens syn kan skape en uheldig situasjon overfor det ordinære politiet med tanke på eventuell fremprovosering av en ransaking de ellers ikke ville gjennomført.

PST svarte at det verken var gjennomført noen ransaking hos personen der PST har vært til stede, eller ransaking som tjenesten har mottatt overskuddsinformasjon fra. Utvalget bemerket at det bør være bedre dokumentasjon på PSTs informasjonsdeling med og anmodninger til det ordinære politiet, enn det som var tilfellet i den aktuelle saken.

1.5.7.3 Nedkobling av kommunikasjonskontroll

Som ledd i gjennomføringen av kommunikasjonskontroll i en forebyggende sak, ba PST teletilbyderne om nedkobling av kommunikasjonskontrollen to dager etter at det var fastslått at vedkommende ble forhindret fra å bruke kommunikasjonsmiddelet. Utvalgets undersøkelse viste at det i denne perioden ble avlyttet tolv samtaler mellom andre personer.

Etter spørsmål fra utvalget om det rettslige grunnlaget for å fortsette kommunikasjonskontrollen, opplyste PST at nedkoblingen av kommunikasjonskontrollen i saken ble forsinket, og at kommunikasjonskontrollen skulle vært koblet ned på det tidspunktet det kunne fastslås med sikkerhet at vedkommende ikke lenger kunne bruke kommunikasjonsmiddelet.

Utvalget bemerket at det var uheldig at nedkobling av kommunikasjonskontrollen da ikke ble gjennomført umiddelbart. Utvalget la til grunn at PST sletter KK-materialet i perioden etter at kommunikasjonskontrollen skulle vært nedkoblet, og merket seg at «PST vil slette den aktuelle hendelsen [i Smart] da grunnlaget for å behandle opplysningene ikke lenger er tilstede».

1.5.7.4 Spørsmål om rettslig grunnlag for å lagre overskuddsinformasjon innhentet fra avlyttede samtaler mellom nærstående i forebyggende saker

Utvalget ba PST om å redegjøre for det rettslige grunnlaget for å nedtegne innholdet fra samtaler mellom nærstående til en person som er underlagt kommunikasjonskontroll.

I straffesaker er siktedes nærstående fritatt fra vitneplikt. Opptak eller notater som er gjort under kommunikasjonskontrollen, skal snarest mulig slettes om retten ikke vil kunne kreve vitneforklaringer knyttet til uttalelsene som er fanget opp gjennom kommunikasjonskontrollen. Utvalget har tidligere tatt opp spørsmålet om bruken av reglene i straffeprosessloven § 216g om behandling av overskuddsinformasjon i PSTs forebyggende virksomhet. PST har tidligere opplyst til utvalget:

«Straffeprosessloven § 216g er ikke via politiloven gitt anvendelse for PSTs forebyggende saker. PST finner likevel grunn til, også i forebyggende saker, å følge de prinsipper som er nedfelt i bestemmelsen og de viktige hensyn som den ivaretar.»

Men i den aktuelle saken svarte tjenesten at «[h]ensynet bak strpl. § 119 [om kallsmessig taushetsplikt] tilsier at prinsippene i bestemmelsen gis direkte anvendelse i PSTs forebyggende virksomhet», men ikke når det gjelder vitnefritaksreglene for nærstående etter straffeprosessloven § 122:

«Hensynene bak denne bestemmelsen er ikke relevant for PSTs forebyggende virksomhet da bestemmelsen er ment å beskytte siktedes pårørende mot å måtte velge mellom å lyve i retten eller å bidra til at siktede blir dømt i en straffesak.»

I avsluttende brev til PST stilte utvalget spørsmål ved om ikke det avgjørende må være om hensynene bak reglene om vern av konfidensiell kommunikasjon og beskyttelse av nærståendes rett til ikke å inkriminere den andre (vern av vitnet) etter § 122, er relevante ved kommunikasjonskontroll også i det forebyggende sporet, snarere enn om hensynene bak § 216g er relevante for PSTs forebyggende virksomhet.

Utvalget ba Justis- og beredskapsdepartementet avklare den rettslige forståelsen av anvendelsen av straffeprosessloven § 216g i PSTs forebyggende saker.

Utvalget viste blant annet til at Politimetodeutvalget bemerket at en adgang for PST til å benytte tvangsmidler i forebyggende øyemed forutsetter at det samtidig vedtas saksbehandlingsregler som ivaretar grunnleggende krav til rettssikkerhet, samt at saksbehandlingsreglene for bruk av tvangsmidler som ledd i etterforsking skal få tilsvarende anvendelse når tvangsmidlene brukes for å forebygge. Videre viste utvalget til departementets egne uttalelser, blant annet om at rettssikkerhets- og personvernhensyn gjør seg gjeldende med enda større styrke ved bruk av tvangsmidler i forebyggende saker, enn når tvangsmidler anvendes som ledd i etterforsking av en straffbar handling, «der det må påvises forhold som gir grunn til å undersøke om det foreligger et straffbart forhold» .

Utvalget spurte om hensynene bak vernet etter vitnefritaksreglene tilsier at det skal være andre regler for PSTs bruk av tilsvarende informasjon fra saker i det forebyggende sporet. Videre spurte utvalget om hvilke hensyn som taler for at rettssikkerhets- og personvernhensyn skal stå svakere ved PSTs kommunikasjonskontroll i forebyggende saker enn ved kommunikasjonskontroll i etterforskingssaker, og om dette har vært intensjonen.

I tilbakemelding fra departementet i desember 2017 uttrykte departementet forståelse for utvalgets synspunkter, men argumenterte for at § 216g ikke kommer til anvendelse for PSTs forebyggende tvangsmiddelbruk.

I avsluttende brev til departementet bemerket utvalget at det har oppfattet forarbeidene slik at bruken av opplysninger innhentet gjennom tvangsmidler i forebyggende øyemed etter politiloven kapittel IIIa var ment å være strengere regulert enn ved tvangsmiddelbruk i etterforskingssaker etter straffeprosessloven. Utvalget konstaterte at departementets tilbakemelding må forstås slik at det motsatte i så fall er tilfellet, noe utvalget stilte seg undrende til.

For straffesaker vil reglene i § 216g oppstille skranker for behandlingen av overskuddsinformasjon fra kommunikasjonskontrollen, med spesifikke sletteregler for opplysninger som ikke skal beholdes. Om ikke disse saksbehandlingsreglene får tilsvarende anvendelse når tvangsmidlene brukes for å forebygge, mente utvalget at regelverket vil gi et svakere personvern for dem som indirekte omfattes av kommunikasjonskontroll i forebyggende øyemed. Utvalget fant dette betenkelig.

Utvalget pekte på at det ikke bør være opp til PSTs skjønn å avgjøre om overskuddsinformasjon fra kommunikasjonskontroll i forebyggende øyemed oppfyller nødvendighetskriteriet i forebyggende saker, i betydningen om materialet skal eller ikke skal beholdes. Dette bør, slik utvalget ser det, lovreguleres konkret på tilsvarende måte som i straffesakssporet.

Utvalget bemerket at departementets konklusjon vil medføre at PST i det forebyggende sporet kan behandle overskuddsinformasjon fra kommunikasjonskontrollen en ellers måtte tilintetgjort snarest mulig i straffesakssporet jf. § 216g. Dette selv om man er lenger unna det straffbare forholdet ved at det ikke er krav til mistanke om at et straffbart forhold er begått eller er under oppseiling.

Departementet skrev at en tilsvarende anvendelse av § 216g i forebyggende saker vil «kunne få svært uheldige konsekvenser», og viste blant annet til at

«dersom den som kontrolleres for eksempel i en telefonsamtale med en nærstående eller sin lege gir uttrykk for at han planlegger et terrorangrep, må PST kunne bruke denne opplysningen for å avverge angrepet.»

Til dette pekte utvalget på at fortrolig/konfidensiell kommunikasjon mellom lege og pasient nyter et spesielt vern i norske prosessregler, tilsvarende som samtaler mellom advokat og klient. Konfidensielle samtaler mellom målet for kommunikasjonskontrollen og personer underlagt kallsmessig taushetsplikt omfattes av bevisforbudet i straffeprosessloven § 119. Slik kommunikasjon kan heller ikke gjennomføres som ledd i straffesaker, om det på forhånd er klart at det dreier seg om slik fortrolig og vernet kommunikasjon. Denne typen overskuddsinformasjon skal tilintetgjøres snarest mulig. Det samme må etter utvalgets oppfatning gjelde i forebyggende saker, noe også PST selv har gitt utrykk for ved flere anledninger.

Utvalget bemerket at departementet syntes å forutsette at PST kan høre gjennom særlig vernet og fortrolig lege-pasientkommunikasjon ved kommunikasjonskontroll i forebyggende øyemed. En slik forståelse samsvarer ikke med det særskilte vernet av informasjon underlagt kallsmessig taushetsplikt. Dette medfører at PST i det forebyggende sporet ikke vil være avskåret fra å avlytte lege-pasientkommunikasjon, mens PST vil være avskåret fra slik gjennomhøring ved kommunikasjonskontroll i en terroretterforskingssak eller avvergende terroretterforskingssak – der mistanke er til stede om at hovedobjektet planlegger å gjennomføre nettopp en terroraksjon.

Utvalget har vanskelig for å se at adgangen til å behandle overskuddsinformasjon fra kommunikasjonskontroll som er innhentet gjennom samme type inngripende tvangsmidler, skal være ulik, avhengig av om tvangsmidlene benyttes som ledd i etterforsking eller til forebygging.

Utvalget anser at det er opp til Stortinget å vurdere hvilke regler som skal gjelde for behandling av overskuddsinformasjon fra kommunikasjonskontroll i forebyggende saker.

1.5.8 PSTs lagring av kontekstuelle opplysninger fra åpne kilder

Utvalget merket seg at PST ved enkelte anledninger lagrer avisartikler som vedlegg til etterretningsinformasjon i Smart. I tillegg til å inneholde opplysninger om personer som PST mener det er nødvendig å behandle opplysninger om, kan artiklene inneholde opplysninger om andre personer. Utvalget tok opp med tjenesten om opplysninger om andre personer som fremgår av artikler tilknyttet etterretningsinformasjon, er å anse som «behandlet» i politiregisterlovens forstand, og om det stilles krav om at opplysningene må være nødvendige og relevante for tjenestens oppgaveløsning. Utvalget spurte også om tjenesten sladder personopplysninger i vedlagte artikler, når opplysningene ikke anses som relevante og nødvendige for PSTs oppgaveløsning.

PST svarte at avisartikler i Smart etter teorien omfattes av behandlingsbegrepet i loven, men argumenterte for at det ikke var nødvendig å sladde eventuelle personopplysninger i artikler selv om opplysningene ikke oppfylte politiregisterlovens krav til behandling. Det ble vist til at artiklene er offentlig tilgjengelige og ble lagret for å sikre dokumentasjon omkring etterretningsopplysningene. PST opplyste at det ikke var en utbredt praksis å lagre avisartikler på denne måten.

Under henvisning til at opplysningene er gjenfinnbare ved søk i registeret, la utvalget til grunn at også opplysninger i artikler fra aviser som lagres i Smart, må oppfylle politiregisterlovens krav til formålsbestemthet, nødvendighet og relevans. Utvalget oppfordret PST til å endre sin praksis. Til dette svarte PST at tjenesten med bakgrunn i lovens formål og reelle hensyn ikke fant det riktig eller faglig forsvarlig å endre praksis.

Utvalget ba på denne bakgrunn Justis- og beredskapsdepartementet om å vurdere PSTs lovforståelse. Departementet uttalte at også behandling av personopplysninger som finnes i publiserte avisartikler, må tilfredsstille kravene til formålsbestemthet, nødvendighet og relevans når de inntas i PSTs arbeidsregister.

I sin tilbakemelding på departementets syn uttalte PST til utvalget at gjeldende rett ikke i tilstrekkelig grad tar hensyn til PSTs behov for behandling av opplysninger som kan anses som kontekstuelle, eller kildebeskrivende. PST opplyste at tjenesten arbeider med et forslag til forskriftsendring for å synliggjøre behovet og en mulig rettslig løsning. Inntil et klart rettslig grunnlag er på plass, vil tjenesten endre sin praksis.

Utvalget merker seg at PST vil sladde personopplysninger som ikke er relevante og nødvendige for tjenesten i de tilfellene PST finner det nødvendig å lagre artikler i Smart. Utvalget vil følge med på utviklingen i PSTs arbeid med å endre forskriften.

1.5.9 PSTs varsling til Nkom ved opprettelse av mobilregulerte soner og tilrettelegging for utvalgets kontroll av varslinger

I en inspeksjon i PST undersøkte utvalget om tjenesten hadde oppfylt sin lovpålagte varslingsplikt til Nasjonal kommunikasjonsmyndighet (Nkom) ved bruk av mobilregulerte soner. Utvalgets undersøkelse avdekket ingen brudd på plikten. På bakgrunn av spørsmål fra utvalget har tjenesten tilrettelagt for utvalgets kontroll, slik at utvalget kan finne frem til og få oversikt over all bruk av mobilregulerte soner og varsling til Nkom.

Ved avslutningen av saken uttalte utvalget at tjenestens løsning er tilfredsstillende for utvalgets kontrollformål.

1.5.10 Utfordringer i samarbeidsprosjekt med andre kontrollorganer grunnet PSTs endrede åpenhet om internasjonalt samarbeid

Utvalget ved sekretariatet har siden 2016 deltatt i et internasjonalt prosjekt knyttet til demokratisk kontroll av tjenestenes utveksling av personopplysninger over landegrensene. Prosjektet pågår fortsatt.

I forbindelse med utvalgets prosjektarbeid om PSTs og E-tjenestens informasjonsutveksling om fremmedkrigere med utenlandske samarbeidende tjenester, har PST og E-tjenesten fått oversendt graderte utkast til bidrag til en felles prosjektrapport for kontroll av faktafeil og gradering.

I sin tilbakemelding på rapportutkastet meddelte PST at utvalgets omtale av de fleste av tjenestens internasjonale samarbeidsrelasjoner var gradert informasjon, og tjenesten ba om at «samarbeid omtales mer generelt og at eksemplene utelates».

Etter at utvalget henviste til at informasjon om samarbeidsrelasjoner var hentet fra PSTs egen nettside, viste PST blant annet til at

«[i]nformasjon som er taushetsbelagt, men ikke nødvendigvis sikkerhetsgradert etter reglene i sikkerhetsloven, gjelder spesielt for PSTs deltagelse i diverse forum internasjonalt og samarbeid med konkrete tjenester eller organisasjoner.»

PST opplyste at tjenesten hadde fjernet omtalen av konkrete samarbeidsrelasjoner på egne nettsider.

På bakgrunn av tilbakemeldingene fra PST ble teksten om samarbeidsrelasjoner i rapporten endret. I tilbakemelding til PST merket utvalget seg at tjenesten anførte at det i internasjonale fora er kutyme for at det ikke er offentlighet rundt hvilke samarbeidsrelasjoner tjenestene deltar i.

I avsluttende brev til tjenesten konstaterte utvalget at PST i dag ikke praktiserer samme åpenhet som tjenestens kollegaer i andre land. Utvalget viste igjen til at PSTs deltakelse i angjeldende internasjonale samarbeidsfora allerede er gjort offentlig kjent, og bekreftet, av blant annet tjenesten selv, PSTs samarbeidende tjenester og overordnet myndighet.

Ifølge årsmeldingen er konsekvensen at utvalget ikke vil kunne omtale internasjonale samarbeidsrelasjoner som PST deltar i, selv om informasjonen om dette er offentlig tilgjengelig og kjent for andre lands kontrollorganer. Det viser til at samarbeidsprosjektet lider under dette, fordi prosjektrapporten vil måtte skrives langt mer generell enn det som var ønsket. Dette bidrar til at veien til et eventuelt tettere samarbeid mellom kontrollorganer om kontroll av internasjonal informasjonsutveksling, vil bli lengre. Utvalget anser dette som uheldig for det internasjonale samarbeidet på kontrollområdet.

1.5.11 Oppfølging av funn på filområder i PST-nett

I foregående årsmeldinger har utvalget omtalt PSTs behandling av etterretnings- og personopplysninger i filområder utenfor det ordinære etterretningssystemet. PST har i 2017 opplyst til utvalget at tjenesten har

«igangsatt et arbeid med sikte på å endre det interne regelverket slik at dette på en god måte regulerer overnevnte behov innen politiregisterlovens rammer. I den forbindelse har PST nedsatt en arbeidsgruppe for gjennomgang av behov, gjennomgang av status på filområdene samt utvikling av gode, hensiktsmessige rutiner for mellomlagring.»

Utvalget vil holde seg orientert om det pågående arbeidet i PST og fortsette sin kontroll av opplysninger PST behandler på sine filområder.

1.5.12 PSTs behandling av opplysninger om døde personer

Utvalget kritiserte i årsmeldingen for 2016 punkt 4.5 PST for å ha lagret opplysninger om personer i flere år etter deres død, uten at dette var nødvendig. Utvalget merket seg at tjenesten arbeidet med en teknisk løsning for å sikre at registreringer blir revurdert kort tid etter at tjenesten får inn opplysninger om registrerte personers dødsfall. PST opplyste i meldingsåret at tjenesten fra 1. januar 2017 tok i bruk et nytt script i arbeidsregisteret som inneholder kategorien «døde objekter som mangler revurdering».

Utvalget legger til grunn at bruk av det nye scriptet bidrar til å sørge for at opplysninger om personer som er registrert som døde, gjennomgås av tjenesten på et tidligere tidspunkt enn det som var vanlig etter tidligere praksis, det vil si først ved femårsrevurderingen.

1.5.13 Norske personer registrert i databasen tilhørende Terrorist Screening Center i FBI (TSC)

I årsmeldingene for 2013 og 2014 omtalte utvalget at det ble gjort kjent med at det var behandlet opplysninger om et nokså stort antall norske personer i en database tilhørende Terrorist Screening Center (TSC), som er en avdeling i FBI. Databasen har til formål å identifisere mistenkte eller potensielle terrorister. Utvalget har tidligere understreket at det er problematisk at det i FBI-databasen TSC er behandlet opplysninger om norske personer og personer med norsk tilknytning, uten at man vet grunnlaget for hvorfor disse er registrert. I årsmeldingen for 2014 fremgår det at justis- og beredskapsministeren orienterte utvalget om at han ville fortsette å følge opp saken overfor amerikanske myndigheter, og gi et fyllestgjørende svar på utvalgets spørsmål når slik avklaring foreligger.

I årsmeldingen for 2016 orienterte EOS-utvalget om at det hadde bedt Justis- og beredskapsdepartementet om å få oppgitt hva som er status i departementets oppfølging av saken i etterkant av utvalgets årsmelding for 2014, inkludert den eventuelle videre dialogen som har vært med amerikanske myndigheter. Utvalget hadde ved tre anledninger henvendt seg til departementet i saken, uten å ha fått noe svar. I innstillingen fra kontroll- og konstitusjonskomiteen til EOS-utvalgets årsmelding for 2016 uttalte komiteen at den

«stiller seg uforstående til at en henvendelse vedrørende fremmed staters lagring av informasjon om personer med norsk tilknytning, står ubesvart.»

Utvalget har i brev til Justis- og beredskapsdepartementet i august og desember 2017 bedt om status i departementets oppfølging av saken. Ved sluttbehandlingen av denne årsmeldingen har EOS-utvalget fortsatt ikke mottatt noen tilbakemelding fra departementet.

1.5.14 Klagesaker for utvalget

Utvalget har i 2017 mottatt 12 klager rettet mot PST, mot 20 i 2016. Utvalgets uttalelser til klagere skal være ugraderte. Opplysning om at noen har vært overvåket eller ikke, anses som gradert hvis ikke annet blir bestemt. Det innebærer at en klager i utgangspunktet ikke kan få vite om vedkommende er overvåket av PST eller ikke. Av EOS-kontrolloven fremgår det at det ved klager mot tjenestene om overvåkingsmessig virksomhet kun skal uttales om klagen har gitt grunn til kritikk eller ikke.

Utvalget har i 2017 avsluttet seks klagesaker mot PST uten kritikk. I én klagesak kritiserte utvalget PST. Klagen rettet seg mot PSTs fremferd overfor klager i en åpen etterforsking. PST ransaket klagerens bolig, uten å ha innhentet tillatelse fra retten. PST kan gjennomføre ransaking uten rettens godkjennelse, om det er «fare ved opphold», jf. straffeprosessloven § 197 andre ledd. Etter utvalgets syn godtgjorde ikke PST at det forelå fare ved opphold. Tjenesten skulle dermed innhentet rettens godkjennelse på forhånd for å ransake boligen. Utvalget mener at vilkåret om «fare ved opphold» ikke var oppfylt, og kritiserte PST for å ha gjennomført ransaking av klagers bolig uten rettens godkjennelse. Klageren ble informert om dette.

I årsmeldingen for 2016 fremgår det at utvalget hadde uttalt kritikk mot PST i to klagesaker. Utvalget henvendte seg i begge sakene til Justis- og beredskapsdepartementet med anmodning om å gi en fyldigere tilbakemelding til klageren, jf. dagjeldende EOS-kontrollinstruks § 8 andre ledd. Utvalget hadde på tidspunktet for behandlingen av årsmeldingen for 2016 ikke fått svar fra departementet.

Utvalget ble i 2017 gitt anledning til å gi klagerne i de to sakene en fyldigere begrunnelse enn bare at klagen hadde gitt grunn til kritikk av PST. Utvalget er tilfreds med at departementet ga anledning til dette.

I den ene saken, som gjaldt klage over ulovlig overvåking av telefon- og e-postkommunikasjon, rettet utvalget en viss kritikk mot PST for å ha behandlet opplysninger om klageren som tjenesten ikke hadde grunnlag for å behandle. Klageren ble informert om dette, samt om at det kritiserte forholdet hadde opphørt, og at utvalgets undersøkelser ikke hadde avdekket forhold av den art som ble anført i klagen.

Den andre saken gjaldt PSTs behandling av opplysninger om en person som i e-poster til Statsministerens kontor ga uttrykk for kritikk av myndighetene. I avsluttende brev til PST og klageren uttalte utvalget at vilkårene for å behandle opplysninger om personen i første omgang ikke var til stede, og at opplysningene i tillegg ble lagret lenger enn det som var nødvendig for PSTs formål med behandlingen. Utvalget uttalte videre at behandlingen var i strid med det dagjeldende forbudet i PST-instruksen § 15 mot å behandle opplysninger om en person kun på bakgrunn av blant annet vedkommendes politiske overbevisning. Tjenesten ble kritisert for dette. PST sa seg i etterkant uenig i at tjenesten hadde brutt PST-instruksen § 15.

Det tok henholdsvis fire og seks måneder før departementet besvarte utvalgets anmodninger om å gi en fyldigere begrunnelse. I sistnevnte sak tok det ytterligere fire måneder før departementet kom med en tilbakemelding som var egnet til å klargjøre bakgrunnen for kritikken av PST overfor klageren. Departementet beklaget at utvalgets henvendelser ikke var besvart tidligere. Som en konsekvens opplever klagerne uforholdsmessig lang saksbehandlingstid i sine klager til utvalget.

Utvalget finner dette uheldig.

Utvalget viser til at det stadig er en stor utfordring at klagere i begrenset grad kan gis begrunnelse for utvalgets kritikk av PST i klagesaker.

1.6 Nasjonal sikkerhetsmyndighet (NSM)

1.6.1 Generelt om kontrollen

I 2017 har utvalget gjennomført tre inspeksjoner i NSM, herunder én inspeksjon i NSM NorCERT. NSM ivaretar de overordnede funksjoner innen forebyggende sikkerhetstjeneste etter sikkerhetsloven. NSM er klareringsmyndighet for eget personell og for CTS-klareringer i sivil sektor i Norge, i tillegg til å være klageinstans for klareringsvedtak fattet av andre klareringsmyndigheter.

I inspeksjonene i direktoratet kontrollerer utvalget særlig følgende:

• Direktoratets behandling av saker der klarering er nektet, nedsatt eller suspendert av klareringsmyndigheten, samt direktoratets behandling av klager over slike saker.

• NSMs samarbeid med andre EOS-tjenester.

• NSM NorCERTs informasjonsbehandling.

Under inspeksjonene blir utvalget rutinemessig orientert om NSMs løpende virksomhet, blant annet om direktoratets samarbeidssaker med andre EOS-tjenester og saksbehandlingstid i klareringssaker. I inspeksjonene søker utvalget direkte i direktoratets elektroniske systemer.

Ved vurdering av om en person skal gis sikkerhetsklarering, skal klareringsmyndigheten vurdere om vedkommendes pålitelighet, lojalitet og sunne dømmekraft tilsier at hun eller han er sikkerhetsmessig skikket til å behandle skjermingsverdig informasjon. En avgjørelse i sak om sikkerhetsklarering kan få avgjørende betydning for personers karriere, og det må derfor stilles høye krav til saksbehandlingen. På denne bakgrunn, og fordi saksbehandlingen i klareringssaker er mer lukket enn saksbehandlingen i andre forvaltningsavgjørelser, har utvalget stor oppmerksomhet rettet mot sakene.

1.6.2 Saksbehandlingsrutiner i klareringssaker

Klareringssaker innledes ved at den som anmodes klarert (omspurte), fyller ut informasjon om seg selv og sine nærstående i personopplysningsblanketten. Arbeidsgiver (anmodende myndighet) sender blanketten sammen med en anmodning om klarering til klareringsmyndigheten. Her skal behovet for klarering angis. Klareringsmyndigheten innhenter opplysninger om omspurte fra en rekke registre, og vurderer på bakgrunn av omspurtes egne opplysninger og opplysningene fra registrene om omspurte er sikkerhetsmessig skikket til å behandle gradert informasjon. Om klarering gis som anmodet, får arbeidsgiver underretning om dette. Om det ikke gis klarering som anmodet, får omspurte underretning med begrunnelse for vedtaket og anledning til å klage over avgjørelsen.

I årsmeldingen for 2013 ba utvalget NSM om å gå gjennom sine rutiner for håndtering av dokumentinnsyn. NSM har i 2017 utgitt en veileder som inneholder NSMs anbefaling av hvordan innsynsreglene i sikkerhetsloven skal forstås og praktiseres. Formålet med veilederen er å skape en klar og enhetlig praksis, samt å forenkle behandlingen av innsynssaker.

Utvalget slutter seg til NSMs forventning om at veiledningen vil få en effekt for likebehandling, effektivitet og sikkerhet ved anmodninger om innsyn. Utvalget mener det er positivt at veilederen er publisert på NSMs nettsider, slik at også personer som er i en klareringsprosess, kan få tilgang til detaljerte opplysninger om hvordan innsynsanmodninger skal vurderes og behandles.

1.6.3 Saksbehandlingstid i klareringssaker

I de seks siste årsmeldingene har utvalget påpekt at saksbehandlingstiden i klareringssaker i mange tilfeller er altfor lang.

Bakgrunnen for utvalgets oppmerksomhet knyttet til saksbehandlingstid i klareringssaker, er at avgjørelser i saker om sikkerhetsklarering kan være avgjørende for en persons videre yrkeskarriere og livssituasjon. Utvalget har i inspeksjoner holdt seg orientert om saksbehandlingstiden i klareringssaker. NSM har gjennom året opplyst om at antallet klareringssaker som er til behandling, er kraftig redusert, fra 301 pågående saker i desember 2016 til 106 saker i desember 2017.

Utvalget merker seg at gjennomsnittlig saksbehandlingstid i klagesaker har gått opp sammenlignet med saksbehandlingstiden som ble oppgitt i desember 2016. NSM har orientert utvalget om flere tiltak som er iverksatt for å redusere denne. Utvalget forutsetter at NSMs innsats for å redusere saksbehandlingstiden i klareringssaker fortsetter.

Utvalget har i 2017 holdt seg orientert om saksbehandlingstiden i saker som gjelder anmodning om innsyn i klareringssaker. Gjennomsnittlig saksbehandlingstid for anmodninger om innsyn var i mai 2017 i underkant av tre måneder og i overkant av to måneder i desember 2017. Siden innsynsbegjæringer som regel ikke reiser vesentlige tvilsspørsmål, mener utvalget at saksbehandlingstiden er altfor lang.

Utvalget bemerker at lang saksbehandlingstid i enkeltsaker om innsyn kan føre til at det tar svært lang tid før omspurte får en avklaring. Dette fordi klage over klareringsavgjørelsen ikke skal behandles før begjæringen om innsyn og eventuell klage over nektet innsyn er behandlet.

Utvalget merker seg at gjennomsnittlig saksbehandlingstid for anmodninger om innsyn har økt noe siden 2016. Etter utvalgets syn bør saksbehandlingstiden fortsatt reduseres kraftig. Utvalget forutsetter at NSM prioriterer denne sakskategorien.

1.6.4 Tilbakekall av sikkerhetsklarering – grensen mellom personal- og klareringssak

Som ledd i utvalgets gjennomgang av klareringssaker tok utvalget opp en klareringssak med NSM, der direktoratet som klageinstans hadde opprettholdt klareringsmyndighetens vedtak om å frata omspurte klareringen fordi vedkommende skulle ha opptrådt illojalt overfor arbeidsgiveren. Klareringsnektelsen ble opprettholdt, og omspurte fikk tre års observasjonstid. Dette innebærer at eventuell ny anmodning om klarering først kan fremsettes på nytt tre år etter nektelsen.

Utvalget ba NSM redegjøre for hva som var bakgrunnen for at saken ble behandlet som en sak innenfor rammen av klareringsinstituttet, fordi den i realiteten så ut til å omhandle en konflikt i arbeidsforholdet mellom omspurte og arbeidsgiver. Videre ble NSM bedt om å redegjøre for på hvilken måte omspurtes brudd på arbeidsgivers føringer om arbeidsmessige forhold ga «rimelig grunn» til tvil om omspurtes evne og vilje til å håndtere sikkerhetsgradert informasjon. NSM ble også bedt om å redegjøre for om tilbakekallet av omspurtes sikkerhetsklarering var en forholdsmessig reaksjon sett opp mot sakens omstendigheter, jf. sikkerhetsloven § 6, vurderingen av observasjonstid, samt hvordan NSM på generelt grunnlag sikrer seg at klareringsinstituttet ikke misbrukes til å «kvitte seg med» arbeidstakere en ellers ikke har rettslig grunnlag for å avskjedige eller si opp.

På bakgrunn av tilbakemeldingen fra NSM, var utvalget enig i at «forhold som er relevante i personalsaker også kan være relevante ved vurdering av sikkerhetsmessig skikkethet», under forutsetning av at forholdene «er relevante i vurderingen av vedkommendes pålitelighet, lojalitet og sunne dømmekraft i forhold til behandlingen av skjermingsverdig informasjon», jf. sikkerhetsloven § 21.

Utvalget pekte på at avgjørelsen om å tilbakekalle omspurtes sikkerhetsklarering var vurdert opp mot sikkerhetsloven § 21 første ledd bokstav l om «andre forhold», som skal være en sikkerhetsventil. Det som skal vurderes, er hvorvidt omspurte «evner å bevare taushet om sensitiv informasjon og for øvrig kan anses sikkerhetsmessig skikket», for så langt som mulig «å ekskludere tvil om at den undersøkte vil opptre i overensstemmelse med de krav som stilles til befatning med skjermingsverdig informasjon».

Det var liten tvil om at omspurte hadde unnlatt å følge pålegg og føringer fra arbeidsgiveren, og at omspurte i så måte hadde utvist en manglende lojalitet sett opp mot arbeidsgivers styringsrett. Utvalget mente likevel at det ikke av dette nødvendigvis kunne utledes at omspurte hadde utvist eller ville kunne utvise illojalitet i sikkerhetsmessig sammenheng. Etter utvalgets oppfatning forelå det ingen konkrete forhold i saken som ga indikasjoner på at omspurte hadde opptrådt eller ville kunne opptre upålitelig eller illojalt i sikkerhetsmessige situasjoner, eller at omspurte for øvrig utgjorde noen sikkerhetsrisiko med tanke på behandling av gradert informasjon.

Utvalget viste videre til at også NSM, i sin egen interne samtidige begrunnelse, nettopp pekte på flere momenter som trakk i retning av at saken i realiteten angikk personalmessige forhold. Utvalget bemerket overfor NSM at det var betenkelig sett ut fra omspurtes rettsstilling at saken derfor ble behandlet som en autorisasjons- og sikkerhetsklareringssak.

Utvalgets konklusjon var at det knyttet seg sterk tvil til om omspurtes illojale handlinger overfor arbeidsgiver var relevante å vurdere som ledd i en personellsikkerhetssak. Utvalget oppfordret derfor NSM til å behandle klareringssaken på nytt, og i den forbindelse gjennomføre sikkerhetssamtale med vedkommende, jf. EOS-kontrollinstruksen § 7 siste ledd.

Utvalget fant videre grunn til å kritisere NSM for lang saksbehandlingstid, da det gikk omtrent 14 måneder fra klareringsmyndigheten opprettholdt sin egen klareringsnektelse i klageomgangen, til omspurte mottok brev om NSMs avgjørelse i klageomgangen.

NSM meldte senere tilbake at direktoratet ikke ville ta saken opp til ny vurdering.

I en avsluttende uttalelse til NSM understreket utvalget at tilliten til sikkerhetsklareringsinstituttet er avhengig av at det er hevet over enhver tvil at instituttet ikke misbrukes til å kvitte seg med ansatte en ellers ikke har rettslig grunnlag for å avskjedige eller på annen måte si opp.

Med bakgrunn i det nevnt over, samt ikke minst de personlige konsekvensene tilbakekallet av sikkerhetsklareringen hadde for omspurte selv, bemerket utvalget at NSMs manglende vilje til å følge opp utvalgets oppfordring var i strid med Stortingets forutsetninger om oppfølgingen av kritikk eller anbefalinger fra EOS-utvalget. Utvalget bemerket i den forbindelse at også NSM hadde problematisert hvorvidt saken i realiteten primært angikk personalmessige forhold. Utvalget understreket at den minste antydning om at så er tilfelle, bør føre til oppfølging fra overordnede myndigheter.

NSM meddelte deretter at direktoratet likevel ville ta saken opp til ny vurdering. Saken ble gjennomgått av nye saksbehandlere, og det ble gjennomført ny sikkerhetssamtale med omspurte. NSM konkluderte fortsatt med at omspurte «ikke var sikkerhetsmessig skikket på daværende tidspunkt». Utvalget er kjent med at omspurte vil bli oppsagt fra sitt arbeid som følge av klareringsnektelsen.

Utvalget tok til orientering at NSM på nytt konkluderte med at omspurtes unnlatelse av å følge pålegg og føringer fra arbeidsgiver i det aktuelle tilfellet, gir rimelig tvil ved hans sikkerhetsmessige skikkethet. Dette til tross for saken er sterkt preget av en personalkonflikt mellom omspurte og arbeidsgiver, og at det for øvrig ikke er andre forhold i saken som gir grunnlag for å betvile omspurtes sikkerhetsmessige skikkethet. Utvalget har ingen mulighet til å pålegge EOS-tjenestene å omgjøre vedtak, og saken er dermed endelig avsluttet fra utvalgets side.

1.6.5 Nedlasting og lagring av sensitive personopplysninger hos NSM NorCERT

NSM NorCERTs oppgave er å være en «nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur» samt drive et «nasjonalt varslingssystem for digital infrastruktur». Utvalget fører regelmessig kontroll med NSM NorCERT, herunder deres behandling av personopplysninger.

Etter et dataangrep mot Miljøpartiet De Grønnes (MDG) nettside i juni 2016, ble partiets medlemsliste lekket på internett. NSM NorCERT ba partiet om opplysninger om angrepet og tilbød sin bistand.

Under en inspeksjon i februar 2017 fant utvalget ut at NSM NorCERT hadde lastet ned medlemslisten til Miljøpartiet De Grønne fra nettet. Medlemslisten ble lagret i NSM NorCERTs datasystemer i overkant av syv måneder og ble slettet like etter utvalgets inspeksjon.

Utvalget viste til at opplysninger om politisk oppfatning er definert som sensitive personopplysninger i personopplysningsloven. Utvalget ba NSM om å redegjøre for hvorfor de sensitive personopplysningene ble lastet ned og om direktoratet selv mente at det hadde hjemmel til å behandle disse opplysningene.

I tillegg til å orientere om de faktiske forholdene over, opplyste NSM at medlemslisten ble lastet ned for å hindre ytterligere spredning av listen på internett. MDG ble informert om dette. Når det gjaldt hjemmelsspørsmålet svarte NSM følgende:

«Etter en fornyet vurdering ser vi at det er tvilsomt om [personopplysningsloven] § 9e gir tilstrekkelig rettslig grunnlag og at hjemmel for nedlasting burde ha vært søkt på en annen måte.»

NSM skrev også at sikkerhetsloven ikke utelukket at NSM NorCERT kunne behandle sensitive personopplysninger, og at det av sikkerhetsfaglige grunner var nødvendig å laste ned medlemslisten.

Ved avslutningen av saken uttalte utvalget at NSM NorCERTs nedlastning og lagring av medlemslisten innebar at sensitive personopplysninger ble behandlet i personopplysningslovens forstand. Utvalget viste til at sikkerhetslovens regler ikke i seg selv gir NSM NorCERT hjemmel til å behandle sensitive personopplysninger. Innhenting og lagring av slike personopplysninger er også i strid med NSMs egen interne instruks. Utvalget kritiserte følgelig NSM NorCERT for å ha behandlet sensitive personopplysninger uten hjemmel i lov og i strid med intern instruks.

NSM beklaget at medlemslisten ble lastet ned og opplyste at direktoratet har iverksatt tiltak i form av revisjon av instruksverk og bedre kvalitetssikring av behandlingsgrunnlag. Dette for å hindre at lignende situasjoner skal oppstå i de tilfeller NorCERT blir gjort kjent med mulig kompromittering av sensitive personopplysninger.

Utvalget har forståelse for at det kan oppstå situasjoner der NSM NorCERT kan ha et operativt behov for å behandle sensitive personopplysninger. Utvalget forutsetter at NSM i sin oppfølging tar initiativ til nødvendige regelverksendringer.

1.6.6 Uttalelse om behandling av personopplysninger for å undersøke sikkerhetstruende hendelser

Utvalget har gjennom sin kontrollvirksomhet merket seg at registre og tilhørende rapporter om sikkerhetstruende hendelser også inneholder personopplysninger om berørte personer. Av forskrift om sikkerhetsadministrasjon (heretter forskriften) § 5-4 andre ledd andre punktum fremgår det at «[r]egisteret med tilhørende rapporter skal oppbevares i minst fem år».

Personopplysningsloven fastsetter at opplysninger som behandles «ikke [skal] lagres lenger enn det som er nødvendig ut fra formålet med behandlingen». Dette fremgår f.eks. også av instruks om sikkerhetstjeneste i Forsvaret (heretter instruksen). Av personopplysningsloven fremgår det at opplysninger skal slettes, med mindre annet følger av arkivloven eller annen lovgivning.

På bakgrunn av det ovennevnte tok utvalget opp flere spørsmål med NSM som overordnet sikkerhetsmyndighet, blant annet om forholdet mellom bevaringsregimet for rapportering av sikkerhetstruende hendelser etter forskriften og regelverket knyttet til behandling av personopplysninger i virksomhetene som er underlagt sikkerhetsloven. NSM ble bedt om å redegjøre for hva slags informasjon forskriften pålegger virksomhetene som er underlagt sikkerhetsloven, å bevare ved sikkerhetstruende hendelser, og i hvilken grad forskriften § 5-4 tar høyde for regelverket om behandling av personopplysninger. I tillegg ba utvalget NSM vurdere om hensynet til den enkeltes personvern kan tale for å slette personopplysninger før det er gått fem år, selv om sikkerhetshensyn kan begrunne en femårsbehandling av opplysninger om selve den sikkerhetstruende hendelsen og oppfølgingen av den.

Utvalget så positivt på at NSM i sitt svar meddelte at det arbeider med en policy for hva slags informasjon som skal kunne registreres i forbindelse med undersøkelser av sikkerhetstruende hendelser. Utvalget merket seg at NSM legger opp til et skille mellom en rapport og et hendelsesregister (basert på avidentifiserte data).

I avslutningen av saken oppfordret utvalget NSM om å avklare nærmere i hvilken grad og hvordan virksomhetene underlagt sikkerhetsloven er ment å behandle personopplysninger som ledd i undersøkelser av sikkerhetstruende hendelser. Bakgrunnen var at Forsvarsdepartementet, i Prop.153 L (2016–2017) om lov om nasjonal sikkerhet (sikkerhetsloven), ikke fulgte opp Sikkerhetsutvalgets forslag om en egen bestemmelse om behandling av personopplysninger.

Utvalget merket seg at NSM var enig med utvalget i at personopplysninger som ikke lenger er nødvendige for formålet, må kunne slettes om formelle forutsetninger i arkivregelverket er på plass. Utvalget oppfordret NSM til å avklare hvilke formelle forutsetninger som må være på plass før sletting av personopplysninger kan skje.

Overfor NSM bemerket utvalget at det er viktig av hensyn til personvernet at det klargjøres i hvilken grad personopplysninger kan behandles som ledd i rapportering av sikkerhetstruende hendelser, og at eventuell behandling må være relevant og nødvendig for formålet med behandlingen – å undersøke omstendigheter rundt en sikkerhetstruende hendelse.

Avslutningsvis bemerket utvalget at behandling av personopplysninger i virksomheter som utøver forebyggende sikkerhetstjeneste, og som er underlagt EOS-utvalgets kontrollområde, kommer i en spesiell stilling. EOS-utvalget kan ikke pålegge sletting/sperring av personopplysninger, slik Datatilsynet kan. Videre forutsetter f.eks. den registrertes krav om sletting/sperring av behandlede personopplysninger at den registrerte har kjennskap til behandlingen, noe som ikke nødvendigvis vil være tilfellet ved behandling av opplysninger som ledd i utøvelsen av forebyggende sikkerhetstjeneste.

Utvalget understreker viktigheten av at virksomhetene som er underlagt sikkerhetsloven, har et bevisst forhold til hva slags undersøkelser de kan iverksette som ledd i undersøkelser av sikkerhetstruende hendelser, hvilke metoder som kan benyttes, samt hva slags opplysninger de kan innhente og behandle.

Utvalget vil holde seg orientert om arbeidet med policy for innsamling og oppbevaring av informasjon ved sikkerhetstruende hendelser.

1.6.7 NSMs bruk av mobilregulerte soner

NSM kan i særskilte tilfeller og for korte tidsrom ta i bruk mobilregulerte soner for sikring av konferanserom. En mobilregulert sone defineres som et begrenset geografisk område der kommunikasjon i elektronisk kommunikasjonsnett til bruk for offentlig mobilkommunikasjon påvirkes eller hindres ved hjelp av lovlig identitetsfanging og/eller jamming.

Utvalget har i 2017 kontrollert NSMs bruk av mobilregulerte soner i årene 2014, 2015 og 2016. Kontrollen er gjennomført ved at NSM har oversendt til utvalget opplysninger om når og hvor direktoratet har tatt i bruk mobilregulerte soner, begrunnelsen for dette, samt kopi av varslene fra NSM til Nasjonal kommunikasjonsmyndighet.

Undersøkelsen avdekket ingen avvik fra regelverket ved NSMs bruk av mobilregulerte soner.

1.6.8 Klagesaker for utvalget

1.6.8.1 Innledning

Utvalget har i 2017 mottatt tre klager rettet mot NSM. I en klage hevdet klageren å ha blitt utsatt for ulovlig overvåking. De øvrige to gjelder sikkerhetsklarering.

En avgjørelse i sak om sikkerhetsklarering kan være avgjørende for en persons videre yrkeskarriere og livssituasjon. Av den grunn er det essensielt at disse sakene behandles på en rettssikker og rettferdig måte av klareringsmyndighetene. I saker der utvalget uttaler kritikk, får klageren regelmessig en begrunnelse for utvalgets konklusjon.

Utvalget kritiserte i årsmeldingen for 2014 NSM for å ha avgjort realiteten i en klareringssak før klagen over nektet innsyn i sakens dokumenter ble tatt til behandling. Seks måneder etter at utvalget uttalte seg om saken, og et år og seks måneder etter at klage over vedtaket ble fremsatt, avgjorde NSM klagen over vedtak om nektet innsyn. Utvalget har i ettertid kritisert NSM for lang saksbehandlingstid ved behandlingen av klagen over nektet innsyn og uttalt at det var uheldig at det gikk seks måneder fra utvalget ga sin uttalelse i saken til innsynsklagen var behandlet. Utvalget understreket overfor NSM viktigheten av at direktoratet utviser forståelse for utvalgets kontroll, herunder at oppfølging av utvalgets uttalelser skjer innen rimelig tid.

Av saker utvalget har avsluttet i meldingsåret, har fire saker gitt grunn til kritiske uttalelser fra utvalget. Disse er omtalt i kapittel 1.6.8 i årsmeldingen.

1.7 Forsvarets sikkerhetsavdeling (FSA)

1.7.1 Generelt om kontrollen

Utvalget har i 2017 gjennomført to inspeksjoner i FSA.

I inspeksjonene i avdelingen kontrollerer utvalget særlig følgende:

• FSAs behandling av saker der klarering er nektet, nedsatt eller suspendert av klareringsmyndigheten.

• FSAs samarbeid med andre EOS-tjenester.

• FSAs virksomhet innenfor forebyggende sikkerhetstjeneste.

Under inspeksjonene blir utvalget regelmessig orientert om FSAs løpende virksomhet.

FSAs behandling av sikkerhetsklareringssaker utgjør en særlig viktig del av utvalgets kontroll med avdelingen. FSA er landets desidert største klareringsmyndighet. Den 1. januar 2017 ble FSA klareringsmyndighet for forsvarssektoren, og overtok ansvaret for klareringssakene til Forsvarsdepartementet og Forsvarsbygg. Endringen har ført til en økning i FSAs portefølje. Utvalget kontrollerer de fleste negative klareringsavgjørelser fattet av FSA, samt påklagede klareringssaker der avdelingen har tatt klagen helt eller delvis til følge i klageomgangen.

Utvalget fører også kontroll med FSAs virksomhet innenfor forebyggende sikkerhetstjeneste, og tar stikkprøver knyttet til undersøkelser av sikkerhetstruende virksomhet rettet mot Forsvaret (sikkerhetsundersøkelser), samt operative saker som ledd i avdelingens ansvar for utøvelse av militær kontraetterretning i Norge i fredstid. En sentral oppgave for utvalget er å føre kontroll med FSAs behandling av personopplysninger som ledd i utøvelsen av forebyggende sikkerhetstjeneste.

Utvalget har i 2017 mottatt én klage rettet mot FSA. Klagen var også rettet mot PST og E-tjenesten. Klagesaken ble avsluttet uten kritikk av FSA. I 2016 mottok utvalget fire klager og henvendelser rettet mot FSA.

1.7.2 FSAs fotografering og filming av personer utenfor militært område under øvelse

Under en inspeksjon i FSA fant utvalget en mappe med 532 filer fra en øvelse på sivilt område i Oslo. Filene var fra en øvelse i militær kontraetterretning høsten 2015 og inneholdt en rekke bilder og filmer av personer. Øvelsen foregikk til dels inne på en kafé. Av instruks om sikkerhetstjeneste i Forsvaret § 15 fremgår at

«utdanning i, trening i og øving av metoder som medfører inngrep i den personlige rettssfære kan på norsk territorium i fredstid kun gjennomføres i forhold til deltakere som på forhånd har avgitt informert samtykke om dette.»

Etter spørsmål fra utvalget opplyste FSA at kursdeltakerne hadde gitt samtykke til bilde- og videoopptak. Bildematerialet ble oppbevart lenger enn nødvendig før det ble slettet.

Om avbildede personer som ikke deltok i øvelsen, svarte FSA

«[h]va gjelder tredjepersoner som kan ha blitt avbildet eller filmet vises det til at disse ikke har vært deltakere i øvelsen og således ikke faller inn under kretsen personer som det kreves samtykke fra.»

FSA viste til at bilde- og videoopptakene utelukkende var rettet mot kursdeltakerne, og la til grunn at eventuelle bilder av tredjepersoner faller utenfor definisjonen i personopplysningsloven § 2 nr. 1.

I sin avsluttende uttalelse til FSA kritiserte utvalget avdelingen for å ha lagret personopplysninger i mer enn ett år lenger enn deltakerne hadde samtykket til. Utvalget merket seg at FSA hadde gått gjennom sine rutiner for å sikre at behandling av informasjon skjer i samsvar med regelverket.

Utvalget vurderte om fotograferingen av personer som ikke deltok i øvelsen, var å anse som behandling av personopplysninger eller et inngrep i den personlige rettssfære. Utvalget viste til at innholdet i uttrykket «inngrep i den personlige rettssfære» ikke er definert, men la til grunn at innsamling av bildemateriale kan utgjøre et slikt inngrep, fordi avdelingen ba om deltakernes samtykke til behandling av bildemateriale.

I vurderingen av om fotograferingen av tredjepersonene er å anse som behandling av personopplysninger i lovens forstand, viste utvalget til at formålet om å beskytte den enkelte mot krenkelser av personvernet kan få betydning for tolkningen. Fra utvalgets uttalelse siteres:

«At tredjepersonene ikke er fokus for bildene/filmene, taler mot at avbildningen og lagringen av billedmaterialet krenker personvernet deres, og mot at behandlingen av opplysningene skal anses som et inngrep i deres rettssfære.

I motsatt retning trekker at flere av personene som er avbildet kan identifiseres, enten ved utseende eller registreringsnummer på kjøretøy alene. Det gjelder særlig de kaféansatte, som i større grad enn forbipasserende og kunder ble avbildet i forbindelse med øvelsen. Disse er også enklere å identifisere, ved sammenkobling av informasjon om utseende og arbeidssted. Aktiviteten var ikke varslet, slik at tredjepersonene ikke kunne unngå å bli avbildet, og de ble ikke på noe tidspunkt informert om at det ble tatt bilder. Tredjepersonene hadde ikke grunn til å anta at en avdeling fra Forsvaret gjennomførte en øvelse på stedet, ettersom dette var sivilt og ikke militært område. I denne retning er det også vektlagt at avbildningen ble utført av en myndighet som til en viss grad kan utøve fordekt sikkerhetstjeneste, og at materialet, selv om det skulle slettes, ble oppbevart i avdelingens systemer i mer enn ett år etter at innsamlingen fant sted.»

FSA har i ettertid sagt seg uenig i utvalgets vurdering.

Utvalget mener etter en helhetsvurdering at opplysningene om tredjepersonene, i den grad de kan identifiseres fra bildene, må anses som personopplysninger. Fotograferingen og filmingen og den etterfølgende lagringen av billedmaterialet innebærer et inngrep i deres personlige rettssfære, selv om fotograferingen og filmingen ikke rettet seg mot dem. Utvalget legger derfor til grunn at disse skulle ha avgitt informert samtykke.

1.7.3 Behandling av personopplysninger i FSA-nett

Utvalget fører regelmessig kontroll med FSAs behandling av personopplysninger. Temaet har vært omhandlet blant annet i årsmeldingene for 2010, 2011, 2012, 2015 og 2016.

I 2017 stilte utvalget i to saker flere spørsmål til FSA om avdelingen hadde grunnlag for å behandle opplysninger om personer i forskjellige databaser og journaler, og hvordan krav til behandling av opplysningene sikres og følges opp.

FSAs seksjon for analyse merker dokumenter med om de inneholder personopplysninger eller ikke. Utvalget merket seg åtte dokumenter som inneholdt opplysninger om navngitte personer eller identifiserende opplysninger som bilde og registreringsnummer på kjøretøy, uten at dokumentene var merket med at de inneholdt personopplysninger. Dokumentene inneholdt blant annet informasjon om at de navngitte personene hadde begått sikkerhetsbrudd. Utvalget så at FSA i et av dokumentene begrunnet merkingen med at:

«[d]et er navn tilknyttet saken men som ikke er nevnt ufordelaktig. Derfor anses det ikke som personopplysninger som er saksinvolvert og derfor ikke huket av.»

På denne bakgrunn ba utvalget FSA om å redegjøre for sin forståelse av personopplysningsbegrepet, hvordan registreringene følges opp, og hvordan avdelingen sikrer at regelverkets krav til behandling av personopplysninger etterleves.

FSA sa seg enig i at dokumentene inneholdt personopplysninger og endret sin rutine for å sikre at alle dokumenter som inneholder personopplysninger, merkes i tråd med dette. FSA innførte videre en rutine som gjorde at saksbehandler måtte angi hjemmel for å kunne lagre registreringer som inneholder personopplysninger. Dette ville sikre oppfølging av krav til behandling av personopplysninger.

Utvalget tok avdelingens redegjørelse til orientering, og sa seg tilfreds med at FSA hadde endret sine rutiner for behandling av personopplysninger i arkivjournalen.

Utvalget viste videre til en hendelse der FSA hadde registrert opplysninger om en privatperson som tok kontakt med Sjøforsvaret. Det fremgikk av registreringen at den ikke kunne slettes tidligere enn oktober 2020. På bakgrunn av utvalgets spørsmål slettet avdelingen likevel opplysningene.

Utvalget så positivt på at opplysningene ble slettet, idet de ikke oppfylte kravene for behandling av opplysninger.

En journal i FSA inneholdt informasjon om 536 hendelser registrert i 2005. Hendelsene gjaldt blant annet observasjoner, henvendelser og invitasjoner som ble oppfattet som mistenkelige, og det var i en rekke hendelser registrert opplysninger om personer tilknyttet hendelsene. Til 16 av hendelsene stilte utvalget spørsmål om FSA tidligere hadde vurdert om det var nødvendig å behandle opplysninger om de omtalte personene, og om avdelingen mente det fortsatt var nødvendig å behandle personopplysningene. Etter utvalgets spørsmål opplyste FSA at avdelingen ikke lenger hadde grunnlag for å behandle opplysningene, og at journalregisteret var slettet.

Utvalget fant det positivt at avdelingen slettet hele registeret, og ikke kun de hendelsene utvalget stilte spørsmål om. Utvalget kritiserte likevel FSA for ikke tidligere å ha vurdert om det fortsatt var nødvendig å lagre opplysningene i registeret. En slik vurdering burde vært foretatt senest etter fem år, i 2010.

I forbindelse med FSAs undersøkelse av en sikkerhetstruende hendelse, behandlet avdelingen i to dokumenter opplysninger om en daværende forsvarsansatt som hadde tilknytning til en MC-klubb. Opplysningene ble registrert i 2010. Under henvisning til at personopplysninger ikke skal lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, stilte utvalget i 2017 spørsmål til avdelingen om det fortsatt var grunnlag for behandling av opplysningene. FSA opplyste at det ikke lenger var nødvendig for formålet å behandle de aktuelle opplysningene, og viste til at kravene i forskrift om sikkerhetsadministrasjon kapittel 5 var oppfylt. Dokumentene ble slettet.

I avsluttende brev til FSA sa utvalget seg tilfreds med at FSA som følge av utvalgets spørsmål i saken slettet dokumentene fra FSAs nettverk.

Opplysninger om at en person som tjenestegjorde i Forsvaret, hadde hatt kontakt med et miljø som kan skade nasjonale sikkerhetsinteresser, ble registrert i forbindelse med en sikkerhetsundersøkelse i 2012/2013. FSA vurderte etter en samtale med personen at kontakten var av ikke-ideologisk karakter, og at personen ikke utgjorde en risiko. På spørsmål fra utvalget om det fortsatt var nødvendig for FSA å behandle opplysningene om personen, viste FSA til forskrift om sikkerhetsadministrasjon § 5-4, der det fremgår at registrerte sikkerhetstruende hendelser og rapporter tilknyttet disse skal oppbevares i minst fem år.

Under henvisning til at registreringen fremstod mer som en bekymring enn en spesifikk hendelse, og at bekymringen for lengst var avkreftet, oppfordret utvalget FSA om å slette opplysningene om personen. Dette fordi opplysningene ikke lenger syntes å være nødvendige for formålet med behandlingen, jf. instruks om sikkerhetstjeneste i Forsvaret § 24 andre ledd.

FSA fastholdt at opplysningene måtte oppbevares i minimum fem år, og ville ikke etterkomme utvalgets oppfordring.

Utvalget kan ikke pålegge sletting eller sperring av personopplysninger, og tok derfor FSAs tilbakemelding til orientering. Utvalget har tatt opp med NSM spørsmål om forholdet mellom oppbevaringsplikten for rapporter om sikkerhetstruende hendelser og kravet om sletting av opplysninger så snart de ikke er nødvendige for formålet med behandlingen.

1.8 Etterretningstjenesten (E-tjenesten)

1.8.1 Generelt om kontrollen

Utvalget har i 2017 gjennomført tre inspeksjoner av E-tjenesten sentralt, i tillegg til inspeksjoner av to lokale stasjoner, Forsvarets stasjon Varanger og Forsvarets stasjon Vardø.

Kontrollen av E-tjenesten er særlig rettet inn mot å kontrollere at tjenesten ikke bryter med det lovfestede forbudet mot å overvåke eller på annen fordekt måte innhente informasjon om norske fysiske og juridiske personer som oppholder seg på norsk territorium, jf. e-loven § 4 første ledd. Et annet sentralt kontrollpunkt er å kontrollere at tjenesten overholder Forsvarsdepartementets bestemmelser om innsamling og/eller deling av informasjon om norske rettssubjekter utenfor norsk territorium.

Utvalget skal sikre at virksomheten i E-tjenesten holdes innenfor rammen av tjenestens fastlagte oppgaver, jf. EOS-kontrolloven § 6 tredje ledd nr. 2. Videre skal kontrollen sikre at virksomheten ikke krenker noens rettigheter eller utilbørlig skader samfunnets interesser, at virksomheten i E-tjenesten holdes innenfor rammen av lov, administrative eller militære direktiver og ulovfestet rett, samt at det ikke nyttes mer inngripende midler enn det som er nødvendig etter forholdene, og at tjenesten respekterer menneskerettighetene, jf. EOS-kontrolloven § 2.

Utvalgets kontroll med E-tjenesten skal omfatte tjenestens tekniske virksomhet, herunder overvåking og innhenting av informasjon og behandling av personopplysninger. Utvalget skal påse at samarbeidet og informasjonsutvekslingen mellom E-tjenesten og innenlandske og utenlandske samarbeidspartnere holdes innenfor rammen av de tjenstlige behov og gjeldende regelverk, jf. EOS-kontrolloven § 6 andre og tredje ledd.

I inspeksjonene i E-tjenesten fører utvalget særlig kontroll med følgende punkter:

• Tjenestens tekniske informasjonsinnhenting.

• Tjenestens behandling av opplysninger i dens datasystemer.

• Tjenestens informasjonsutveksling med innenlandske og utenlandske samarbeidende tjenester.

• Foreleggelsessaker for Forsvarsdepartementet og interne godkjenningssaker.

Under inspeksjonene blir utvalget rutinemessig orientert om E-tjenestens løpende virksomhet, blant annet om tjenestens samarbeidssaker med andre EOS-tjenester, trusselsituasjonen og foreleggelsessaker for Forsvarsdepartementet, samt interne godkjenninger. Interne godkjenninger kan være tillatelser til deling av informasjon om norske rettssubjekter til utenlandske samarbeidende tjenester eller tillatelser til å overvåke norske rettssubjekters kommunikasjonsmidler når personene er i utlandet. Som utvalget tidligere har pekt på, stiller ikke lovgivningen krav om ekstern tillatelse fra retten for at E-tjenesten skal overvåke norske rettssubjekters kommunikasjonsmidler i utlandet, slik som for PST når det gjelder for eksempel kommunikasjonskontroll av personer som befinner seg i Norge.

Utvalget har i 2017 blitt holdt orientert om avvik i E-tjenestens tekniske innsamling, og avsluttet oppfølgingen av en avvikssak i tjenesten.

Utvalget har i meldingsåret fortsatt arbeidet med å styrke sin forståelse av E-tjenestens krevende tekniske systemer, installasjoner og kapasiteter, blant annet gjennom tekniske møter med tjenesten og teknisk sakkyndig. Utvalget er i ferd med å etablere en egen teknologisk enhet med flere teknologer i utvalgets sekretariat, blant annet for å heve sin kompetanse på dette området.

1.8.2 Norsk statsborgerskap og tilknytning til Norge

E-tjenestens regelverk oppstiller skranker for tjenestens adgang til å samle inn opplysninger om personer på norsk territorium. E-tjenesten har som hovedregel et forbud mot å overvåke eller på annen fordekt måte innhente informasjon om norske fysiske og juridiske personer som oppholder seg på norsk territorium, jf. e-loven § 4 første ledd. E-tjenesten kan heller ikke fritt foreta slik informasjonsinnhenting overfor utenlandske personer i Norge eller norske personer i utlandet. Det er videre fastsatt utfyllende bestemmelser for Etterretningstjenestens innsamling mot norske personer i utlandet.

Utvalget har i 2017 bedt E-tjenesten om å avklare, på generelt grunnlag, om tjenesten i gitte tilfeller ikke vil anse en norsk statsborger i utlandet som «norsk», forutsatt at det ikke er andre særlige tilknytningspunkter til Norge enn statsborgerskapet. En konsekvens av ikke å bli ansett som en norsk person, vil være at vedkommende ikke omfattes av ovennevnte bestemmelser om tjenestens innsamling mot norske personer i utlandet, med tilhørende internt godkjenningsregime for slik innsamling.

Bakgrunnen for at spørsmålet ble reist, var at tjenesten hadde foretatt en intern vurdering om en person i utlandet var å anse som «norsk» eller ikke, til tross for at vedkommende innehar norsk statsborgerskap. I det konkrete tilfellet ble vedkommende ansett som «norsk».

På bakgrunn av tilbakemeldingen fra E-tjenesten uttrykte utvalget at det ikke kunne finne noen gode argumenter eller holdepunkter for at det skal vurderes om en norsk statsborger har «nær tilknytning» til riket eller ikke, for å anse vedkommende som «norsk». Etter utvalgets vurdering innebærer norsk statsborgerskap at personen er norsk, uavhengig av hva slags tilknytning E-tjenesten mener vedkommende har til riket. Utvalget bemerket også at det hadde noe vanskelig for å se hva E-tjenesten vil oppnå ved i gitte tilfeller ikke å anse en norsk statsborger som norsk, gitt de kravene som er nedfelt i departementets bestemmelser om overvåking av norske personer i utlandet.

Om en norsk statsborger vil kunne anses som «ikke-norsk» i E-tjenestens øyne, mente utvalget at dette kan innebære et brudd på gjeldende bestemmelser. Potensielt sett kan en slik praksis ha uoverskuelige negative konsekvenser for norske rettssubjekters rettsstilling. Dette gjelder spesielt med tanke på utlevering av opplysninger til utenlandske samarbeidende tjenester.

Utvalget merket seg at E-tjenesten anser at

«rettssubjekter som innehar norsk statsborgerskap som den helt klare hovedregel skal anses som 'norsk person' iht. § 2 nr. 1 i FDs bestemmelser»,

Men E-tjenesten viste til at

«det kan tenkes spesielle situasjoner hvor det helt unntaksvis vil kunne være at en norsk statsborger likevel ikke vil være å anse som 'norsk person' etter interngodkjenningsregimet»

som tjenesten illustrerte med et tenkt eksempel der en person med både norsk og utenlandsk statsborgerskap utvandrer fra Norge.

Utvalget uttrykte likevel at det fremstår som unaturlig ikke å anse norske statsborgere som «norsk[e]».

Også av hensyn til den parlamentariske kontrollen med E-tjenestens overvåking av norske borgere, mente utvalget at personer med norsk statsborgerskap bør anses som «norske», uavhengig av ev. vurderinger som gjøres av deres tilknytning til Norge eller til utlandet/fremmed stat. De vil da omfattes av utfyllende bestemmelser for Etterretningstjenestens innsamling mot norske personer i utlandet, med tilhørende internt godkjenningsregime for overvåkingen, som kontrolleres av utvalget.

Både E-tjenesten og utvalget mener at det i en ny lov om Etterretningstjenesten er behov for å klargjøre den territorielle begrensningen for E-tjenestens innhentingsvirksomhet, både når det gjelder fordektbegrepet, begrepet «norsk» og problemstillinger knyttet til hvem innhenting er rettet mot.

1.8.3 Avvik i tjenestens tekniske innsamling

1.8.4 Behandling av opplysninger om norske personer i Norge

I forbindelse med utvalgets kontroll med tjenestens informasjonssystemer, stilte utvalget blant annet spørsmål til det rettslige grunnlaget for behandlingen av personopplysninger i et dokument som syntes å være utarbeidet for opplæringsformål for E-tjenestens og PSTs personell. Dokumentet omhandlet blant annet norske personer som befinner seg i Norge.

På bakgrunn av tilbakemelding fra E-tjenesten, var utvalget enig i E-tjenestens vurderinger om at behandlingsgrunnlag for personopplysninger for opplæringsformål ikke kan være det samme som grunnlaget for E-tjenestens behandling av personopplysninger med et etterretningsformål. Utvalget tok likevel til etterretning at behandlingen av personopplysninger i det konkrete tilfellet gikk utover det som kunne anses som et rent opplæringsformål, i og med at de aktuelle personenes personopplysninger i dette tilfellet hadde aktuell etterretningsrelevans for samarbeidet mellom E-tjenesten og PST.

1.8.5 Klagesaker for utvalget

Utvalget har i 2017 mottatt seks klager mot E-tjenesten. Av klagene rettet fire seg også mot PST, mens en av sakene i tillegg var rettet mot FSA.

En av klagene gjaldt klage over nektet innsyn i E-tjenesten. Saken ble avsluttet uten kritikk av tjenesten.

Fem av klagene gjaldt mistanke om ulovlig overvåking. En av klagene ble avvist da den ikke ga grunnlag for å iverksette undersøkelser fra utvalgets side. De fire øvrige klagesakene ble avsluttet uten kritikk av E-tjenesten.

1.9 Kontroll av annen EOS-tjeneste

1.9.1 Generelt om kontrollen

Utvalget fører en løpende kontroll med all EOS-tjeneste som utføres av den offentlige forvaltning eller under styring av eller på oppdrag fra denne. Kontrollområdet er med andre ord funksjonelt definert. Det er ikke begrenset til bestemte organisatoriske enheter.

Etter EOS-kontrollinstruksen § 11 nr. 2. bokstav e var det krav om at utvalget årlig inspiserte minst to av E-tjenestens stasjoner og/eller sikkerhets- og etterretningsfunksjoner ved militære staber og avdelinger, samt personellsikkerhetstjenesten ved minst to departementer/etater. Bestemmelsen ble opphevet 21. juni 2017 og erstattet av EOS-kontrolloven § 7.

Ved evalueringen av EOS-utvalget vurderte Evalueringsutvalget om det er etterretningsenheter i Forsvaret som i større grad bør underlegges ordinær kontroll av EOS-utvalget. Evalueringsutvalget foreslo at Hærens etterretningsbataljon og Forsvarets spesialstyrker skulle underlegges EOS-utvalgets ordinære kontroll. Kontroll- og konstitusjonskomiteen støttet Evalueringsutvalgets forslag, og representantforslag om endringer i EOS-kontrolloven ble vedtatt av Stortinget.

EOS-kontrolloven § 7 andre ledd stiller nå krav om at utvalget gjennomfører minst én årlig inspeksjon av Etterretningsbataljonen og av Forsvarets spesialstyrker, samt «minst én av Etterretningstjenestens stasjoner eller etterretnings-/sikkerhetstjeneste ved militære staber og avdelinger».

Utvalget har i 2017 gjennomført inspeksjoner av sikkerhets- og etterretningsfunksjonene ved Etterretningsbataljonen og Forsvarets Spesialstyrker Stab. Videre har utvalget inspisert personellsikkerhetstjenestene ved Statsministerens kontor og i Riksrevisjonen.

Utvalgets inspeksjon av Statsministerens kontor ga grunnlag for oppfølging.

Utvalget har i 2017 mottatt tre klager over klareringsavgjørelser behandlet av Forsvarsdepartementet. I meldingsåret er en klagesak rettet mot Forsvarsdepartementet avsluttet uten kritikk. Etter at Stortinget i 2016 besluttet å endre klareringsmyndighetsstrukturen, er ikke Forsvarsdepartementet lenger klareringsmyndighet. Departementet er fortsatt klageinstans for enkelte klareringsavgjørelser.

1.9.2 Etterretningsbataljonen (Ebn)

EOS-kontrolloven § 7 andre ledd nr. 5 stiller krav om at utvalget skal gjennomføre minst «en årlig inspeksjon av Etterretningsbataljonen». Behovet for ekstern kontroll av Ebn knytter seg ifølge Evalueringsutvalget til faren for at verktøy og kunnskap bataljonen har om etterretningsvirksomhet brukes på ureglementert måte.

Utvalget har i 2017 inspisert Etterretningsbataljonen. Utvalget ble i inspeksjonen orientert om bataljonens oppbygning, struktur og kapasiteter, samarbeid med andre EOS-tjenester og avdelinger i Forsvaret, samt bataljonens rutiner for utdanning og øving av personell i Norge. I tillegg kontrollerte utvalget dokumenter og opplysninger på bakgrunn av sekretariatets forberedelse av inspeksjonen i forkant, blant annet gjennom søk i datasystemer. Inspeksjonen har bidratt til at utvalget har opparbeidet seg kunnskap om Etterretningsbataljonens virksomhet. Utvalget har fulgt opp inspeksjonen ved å innhente enkelte dokumenter knyttet til det som ble inspisert. Oppfølgingen er ikke avsluttet.

1.9.3 Forsvarets spesialstyrker

EOS-kontrolloven § 7 andre ledd nr. 6 stiller krav om at utvalget skal gjennomføre minst «en årlig inspeksjon av Forsvarets spesialstyrker». Kontrollbehovet knytter seg ifølge Evalueringsutvalget til avdelingens kapasitet til å drive etterretningsvirksomhet og faren for at denne benyttes i Norge i fredstid eller på annen ureglementert måte. Det bør også kontrolleres at samarbeidet med Etterretningstjenesten skjer innenfor gjeldende regelverk.

Utvalget har i 2017 inspisert Forsvarets Spesialstyrker Stab (FSST). Utvalget ble i inspeksjonen orientert om FSST og om Forsvarets spesialstyrkers organisering og oppgaver, samt spesialstyrkenes samarbeid med EOS-tjenestene. Utvalget ble videre orientert om Forsvarets spesialstyrkers kapasiteter og evner til å drive etterretningsoperasjoner, samt rutiner for utdanning og øving av personell i Norge. Utvalget var opptatt av hvordan FSST/spesialstyrkene håndterer personopplysninger i operativ sammenheng på norsk territorium og under trening/øving. Utvalget har innhentet informasjon om gjeldende regelverk som gjelder FSST og Forsvarets spesialstyrker. Inspeksjonen har bidratt til at utvalget har opparbeidet seg kunnskap om FSSTs og Forsvarets spesialstyrkers virksomhet.

1.9.4 Personellsikkerhetstjenesten i Riksrevisjonen

Utvalget gjennomførte i 2017 en inspeksjon av personellsikkerhetstjenesten i Riksrevisjonen. Riksrevisjonen består som klareringsmyndighet for eget personell etter at Stortinget i 2016 besluttet å endre klareringsmyndighetsstrukturen. I inspeksjonen gjennomgikk utvalget særlig klareringsmyndighetens negative klareringsavgjørelser og saksbehandlingspraksis. Utvalget har fulgt opp inspeksjonen ved å innhente enkelte dokumenter. Oppfølgingen er ikke avsluttet.

1.9.5 Oppfølging av inspeksjon av personellsikkerhetstjenesten ved Statsministerens kontor (SMK)

Utvalget inspiserte personellsikkerhetstjenesten ved SMK i februar 2017. I inspeksjonen merket utvalget seg en klareringssak der en person var gitt klarering for lavere sikkerhetsgrad enn det var anmodet om klarering for. I brev til SMK viste utvalget til en rekke krav til saksbehandlingen i klareringssaker, og ba SMK om å redegjøre for kontorets behandling av saken. Videre ble det stilt spørsmål om SMK anså avgjørelsen for å være i tråd med sikkerhetslovens bestemmelser.

I sitt svar redegjorde SMK for saksbehandlingen og uttalte at kontoret

«anser at saken om klarering av [omspurte] er behandlet i overensstemmelse med de prosessuelle krav som følger av sikkerhetsloven kapittel 6 om personellsikkerhet. Vi anser at også selve klareringsavgjørelsen er fattet i samsvar loven.»

Utvalget viste i sin avsluttende uttalelse til at regelverket stiller krav om at hensynet til dokumentasjon sikres gjennom skriftlighet i saksbehandlingen. En avgjørelse om klarering for en lavere sikkerhetsgrad enn det det er anmodet for, er å anse som en negativ klareringsavgjørelse som utløser visse rettigheter for omspurte, blant annet krav om skriftlig underretning med begrunnelse for avgjørelsen, samt opplysning om klageadgang og innsynsrett.

Utvalget bemerket at omspurte ikke hadde fått skriftlig underretning om resultatet av klareringsavgjørelsen, samt at SMK innhentet opplysninger fra omspurtes referanse hos tidligere arbeidsgiver, uten at det var utarbeidet referat el. for å sikre dokumentasjon omkring samtalen.

I tillegg hadde utvalget kommentarer til SMKs interne begrunnelse i saken. Det fremgår av NSMs veiledning til sikkerhetsloven § 25 at

«[b]egrunnelsen må, etter NSMs vurdering, som et minimum nevne de regler og faktiske forhold avgjørelsen bygger på.»

Utvalget kunne ikke ut fra sakens dokumenter se at SMK hadde vist til hvilken hjemmel klareringssaken var vurdert etter. Hjemmelshenvisningen kom først til syne i SMKs tilbakemelding på utvalgets spørsmål.

Utvalget merket seg videre at SMK, i kontorets svar på utvalgets spørsmål, omtalte opplysninger fra sikkerhetssamtalen kontoret gjennomførte med omspurte som ikke gjenfinnes i kontorets eget notat fra sikkerhetssamtalen. Sakens dokumenter ga heller ikke et entydig bilde av hvilke omstendigheter SMK hadde lagt til grunn for sin vurdering av saken. Dette vanskeliggjorde utvalgets kontroll av kontorets saksbehandling og vurderinger.

Utvalget uttalte at gjennomgangen av saken hadde vist flere svakheter i behandlingen av saken relatert til prosessuelle og materielle krav i klareringssaker, og fant det bekymringsfullt at SMK samtidig mente at kontoret hadde handlet i samsvar med loven.

Utvalget viste til at formålet med saksbehandlingsreglene i klareringssaker er å ivareta omspurtes rettssikkerhet, og oppfordret SMK til å følge alle bestemmelser i sikkerhetsloven med forskrifter fremover i arbeidet med klareringssaker.

De ovennevnte forholdene understreker viktigheten av å sikre dokumentasjon på ethvert trinn i saksbehandlingen. Det skal være mulig å etterprøve klareringsmyndighetens behandling av klareringssaker, særlig av hensyn til en eventuell senere klage til NSM fra omspurte og EOS-utvalgets etterfølgende kontroll.

1.9.6 Oppfølging etter inspeksjonen ved Haakonsvern i 2016

Utvalget skrev i årsmeldingen for 2016 at utvalget etter inspeksjonen ved Sjøforsvarets hovedbase Haakonsvern hadde oppfordret basen til å etablere rutiner for å sikre at personopplysningslovens krav til behandling av personopplysninger ble ivaretatt i forbindelse med registrering av personopplysninger i blant annet en liste over personer som skulle nektes adgang til basen. Haakonsvern har opplyst til utvalget at basen i 2017 reviderte sine rutiner, og at basen nå har gode rutiner for behandling, oppbevaring, tilgangskontroll og revisjon av listen. Utvalget tok Haakonsverns redegjørelse til orientering.

1.10 Eksterne relasjoner og administrative forhold

1.10.1 Utvalgets eksterne relasjoner

I 2017 har EOS-utvalget hatt kontakt med ulike eksterne miljøer som andre norske kontrollorganer, forskningsmiljøer og utenlandske EOS-kontrollorganer.

EOS-tjenestene samarbeider i stadig større grad på tvers av landegrensene. Utvalget ser fordeler ved internasjonalt samarbeid også på kontrollområdet, blant annet for å utveksle erfaringer på ugradert nivå og videreutvikle kontrollen. Blant annet møtte utvalget det svenske kontrollorganet Statens Inspektion for Forsvärsunderrättelsesverksamheten (SIUN), som kontrollerer det svenske systemet for kabelspaning, i forbindelse med debatten om Digitalt grenseforsvar i Norge. Utvalget deltok i et møte med de skandinaviske landenes kontrollorganer, der effektiv kontroll var blant temaene. Deler av utvalget deltok i november også på et nytt samarbeidsforum i regi av FNs spesialrapportør for personvern – International Intelligence Oversight Forum. I år ble det arrangert for andre gang, i Brussel. Der deltok kontrollorganer fra store deler av Europa, men også fra Nord-Amerika og Oseania. Både her og i andre fora har EOS-utvalget kontakt med relevante organer for å utveksle erfaringer om kontrollarbeidet med de hemmelige tjenestene i ulike land.

1.10.2 EOS-utvalget i media

I løpet av 2017 har EOS-utvalget vært omtalt i mange norske medier. Det bidrar til økt kunnskap og åpenhet om kontrollen med EOS-tjenestene.

I mai skrev utvalgsleder Løwer en kronikk i Aftenposten om saken som gjaldt utvalgets, på det tidspunkt, manglende innsyn i PSTs kildemateriale. Kronikken ble blant annet fulgt opp av justisminister Per-Willy Amundsen og Aftenpostens Harald Stanghelle.

I sommer ble det oppmerksomhet rundt en sak der en advokat klaget til EOS-utvalget og utvalget kritiserte PST. Det var flere misforståelser i media, og utvalgsleder Løwer presiserte at bakgrunnen for kritikken var at det var behandlet personopplysninger om advokaten uten at det var grunnlag for det.

Utvalget fant i høst grunn til å komme med en presisering til Advokatbladet etter at lederen av Advokatforeningen uttalte seg om denne klagesaken under sin årstale. For utvalget er det en utfordring at det er rettslig forhindret fra å gi mer informasjon om grunnlaget for kritikk som uttales i klagesaker.

Den særskilte meldingen EOS-utvalget sendte i 2014 om «utvalgets taushetsplikt overfor evalueringsutvalget og evalueringsutvalgets tilgang til EOS-utvalgets informasjon» ble også omtalt i flere medier. Det kom som følge av at Stortingets kontroll- og konstitusjonskomité tok tak i saken og sendte et brev til presidentskapet. Løwer ble blant annet intervjuet i Aftenposten om saken.

I et intervju med VG viste utvalgsleder til at utvalget har anmodet Stortinget om å vurdere om det bør lovfestes at utvalget bør kunne ytre seg om det offentliges erstatningsansvar.

Det var saken om FSAs ulovlige behandling av flere journalisters personopplysninger som fikk mest oppmerksomhet i mediene etter at årsmeldingen for 2016 ble publisert i april 2017.

1.10.3 Administrative forhold

Utvalgets utgifter i 2017 har vært på kr 13 632 788 mot budsjett, inkludert overførte midler på kr 15 185 000. Mindreforbruket skyldes i hovedsak vakanser og permisjoner i utvalgets sekretariat. Av ubrukte midler er kr 750 000 (5 pst.) søkt overført til budsjettet for 2018. Utvalget anmodet i brev i juni 2017 Stortingets presidentskap om midler til å flytte til større og sikrere lokaler. Anmodningen ble avslått. Ny anmodning ble fremsendt i november 2017, og er til behandling i presidentskapet. Det er medgått mye tid til planlegging av nytt lokale også i 2017. Det er fortsatt behov for å utvide sekretariatet med flere ansatte. Utvalget kommer tilbake til dette i forbindelse med budsjettprosessen for 2019.