Etter Safe Harbour: Kan et varsler-fond gjøre Norge tryggere for alle?

Merk: Denne teksten er mer enn ett år gammel. Jeg kan ikke garantere at alt som står her fremdeles er riktig eller det jeg mener. Les likevel og skriv en kommentar om du lurer på noe! English: Old post, might be outdated.

Folk gjør positive ting for verden hele tiden. Hver dag reddes tusenvis av sjøstjerner én for én. Noen gir teppene sine til flyktninger, noen er frivillige leksehjelpere. Noen donerer små og store summer til viktige organisasjoner eller bruker hele livet sitt på å ta seg av sitt syke barn eller risikerer livet for å redde uskyldige i krigssoner. Verden er full av fantastiske mennesker og hver dag gjør de sitt for å gjøre den bedre. Innsatsen deres er langt fra fånyttes!

Problemer på system-nivå må løses på system-nivå…

Samtidig er ikke problemet først og fremst at det ikke er nok av disse menneskene. Problemet er at folk tvinges på flukt, sprenges i fillebiter i kriger og at organisasjoner som bekjemper fattigdom, nød og urettferdighet i det hele tatt trenger å eksistere.

Med andre ord: Det er flott å redde én og én sjøstjerne, men årsaken til at de i det hele tatt ligger og dør på stranda og trenger å bli kastet ut i havet er problemer på system-nivå. Derfor vil vi aldri klare å redde dem alle om vi ikke setter inn løsninger på system-nivå.

System-problemer ser ut til å strømme over oss uten ende. Men selv om vi hører om positive historier på det normale nivået rett som det er, er det sjelden man hører om gode nyheter på system-nivå. Derfor er det så utrolig viktig å glede oss over dem som kommer. Og ikke minst se om vi kan lære av dem, slik at vi forhåpentligvis kan få flere av dem, for det trenger vi sårt.

…og det skjer!

I forrige uke slo EU fast at den såkalte Safe Harbour-avtalen ikke lenger er gyldig. Som advokat Jon Wessel-Aas skrev i Aftenposten:

En fersk dom fra EU-domstolen […] representerer en tydelig tendens i europeisk rett for tiden: Man er i ferd med å ta tilbake europeernes grunnleggende demokratiske friheter, i samsvar med de felleseuropeiske konstitusjoner som beskytter dem.

I løpet av de siste ti-femten årene har våre politiske myndigheter undergravd de samme frihetene, ved å la hensyn til kontroll og sikkerhet styre politikken.

Dommen ugyldiggjør EU-kommisjonens såkalte Safe Harbour-beslutning, som siden 2000 har dannet det generelle, formelle grunnlaget for at virksomheter lovlig har kunnet overføre europeiske personopplysninger til USA.

Hurra! Det nytter, det er mulig å endre systemet til det bedre! Denne gangen var det som skulle til en 27 år gammel student fra Østerrike, Max Schrems, som orket å ta saken til retten, og en ung mann, Edward Snowden, som satte menneskerettigheter over sin egen høyt lønnede jobb.

Disse har nå sørget for at Facebook og andre tjenester du bruker på nett ikke lenger kan overføre dine personopplysninger fra Europa til USA, hvor amerikanske myndigheter kan bruke dem til å overvåke deg.

Snowden våget å risikere fengsling og tortur for å gjøre USA, som i egne øyne verdens beste demokrati, litt mer reelt demokratisk. For, som Sivilombudsmannen sier:

Vi er alle tilhengere av en åpen og opplyst samfunnsdebatt. For å få til dette, må en rekke forutsetninger være tilstede. Helt grunnleggende er:

  • Lov til å si det man mener
  • Ha grunnlag for å danne seg en mening, noe som forutsetter tilgang til opplysninger.

Uten slik tilgang får man nok en offentlig samtale, men ikke en opplyst en – og ikke det nødvendige fundament for et velfungerende demokrati. For det er det vi taler om her: Intet mindre enn et velfungerende demokrati!

Så, når vi er ferdige med å juble, må vi spørre oss selv hva vi kan lære av dette for å skape flere system-løsninger, og færre system-problemer.

Varsling, en løsning som skaper løsninger

Det interessante her er at vi snakker om et slags meta-system-problem og -løsning. System-løsningen jeg har snakket om så langt, EU-dommen, handlet om system-problemet overvåking. Men den løsningen skjedde fordi Snowden turte å trosse et annet system-problem: Varslere risikerer karrieren, venner, penger, anseelse, ja noen ganger til og med familie, sikkerhet og sine mest grunnleggende rettigheter.

Denne gangen var det en som varslet om ekstrem, massiv og ulovlig overvåking. Men det kunne like gjerne vært snakk om helt andre kritikkverdige forhold. Måten varslere behandles på er et problem på system-nivå. I tillegg er det et «meta-problem», fordi mangel på varsling opprettholder eller skaper andre problemer. På samme måte blir det å fikse dette en «meta-løsning»: Løser vi dette problemet vil det automatisk åpne for å løse en hel kaskade av andre problemer.

Så hvordan kan vi løse dette meta-system-problemet, at varsling er så farlig at de færreste tørr å gjøre det, slik at vi kan bruke den informasjonen vi da får tilgang på til å løse mange flere problemer?

Data-systemer og samfunns-systemer

Blant dem som utvikler programvarene som kontrollerer din datamaskin og smarttelefon, nettbank, bil og kollektivtrafikk, TV, strømforsyning, og stadig mer av alt mulig synlig og usynlig rundt deg som du avhenger av hver dag, er det ett problem som kanskje overskygger alle andre: Man får aldri tettet alle sikkerhetshull!

Det er derfor Windows aldri kan slutte å mase om at du må starte maskinen din på nytt og derfor det er problematisk å kjøre gamle versjoner av programmer, selv om de har alle funksjonene du trenger. Der det er et system vil det alltid oppstå nye problemer, der det er programvare vil det alltid oppdages nye sikkerhetshull.

Det hadde ikke vært så stort problem hadde det ikke vært for at det ikke bare er «de snille» som ser etter hullene. Det finnes et stort svartebørs-marked for salg av sikkerhetshull. Hvis man oppdager et sikkerhetshull i et mye brukt program er det nok av kriminelle som vil punge ut for å lære om det før de som lager programmet oppdager det selv og får tettet det. Sikkerhetshullene utnyttes til å stjele passordene og bank-informasjonen din, bruke maskinen din til å angripe andre maskiner, eller verre ting i maskiner som kontrollerer lands infrastruktur.

Pisk vs gulrot, eller problemet blir ikke borte under teppet

Foruten å gjøre sitt beste for å finne flest mulig sikkerhetshull selv, er det to måter å prøve å løse problemet på:

De dumme implementerer DRM, såkalt kopisperre, i programmene sine. Ikke fordi DRM noen sinne har forhindret piratkopiering av noe, men fordi mange land har lover som forbyr det å bryte kopisperrer, og å fortelle andre hvordan man bryter dem. Slik prøver de å feie problemene under teppet ved å gjøre dem ulovlige å snakke om. Det er mange eksempler på at folk har havnet i juridisk trøbbel bare fordi de har prøvd å varsle om sikkerhetshull i programvare med DRM.

Men akkurat som i alle andre varslingssaker blir ikke problemene borte av at ingen tør å snakke om dem. Derfor går de smartere bedriftene en helt motsatt vei: De utlover store dusører til alle som kan finne sikkerhetshull i programmene deres. Slik vil de ikke bare prøve å få folk til å selge sikkerhetshullene til seg i steden for å selge dem på det kriminelle svartebørs-markede. De vil også gi folk et ekstra incentiv til å lete etter feilene. For akkurat som at problemene ikke blir borte av at ingen snakker om dem, blir de heller ikke borte av at ingen leter etter dem.

De aller smarteste gjør det også så enkelt som mulig å lete etter feil, ved å gjøre hele koden til programmet tilgjengelig for alle, og lar alle, ikke bare de ansatte eller faste frivillige, fikse hullene de finner selv, ved å tillate endring og redistribuering av koden. Slike programmer kalles Fri programvare/åpen kildekode.

Varslere trenger også mat, kan vi hjelpe dem?

Kanskje det er på tide at vi lærer av dette for hvordan vi styrer samfunnet vårt? For det første nytter det ikke å skremme folk til taushet. Problemet vil fortsatt være der, og jo lenger det eksisterer uten å bli fikset, jo flere rammes. Dessuten blir konsekvensene verre for dem som har prøvd å holde dem skjult når de endelig avsløres. VW er et eksempel som er friskt i minne.

Vi må med andre ord unngå «DRM-løsningen» på problemet: Den lovfestede beskyttelsen av varslere må styrkes og håndheves bedre, så arbeidsgivere ikke kan straffe dem som gjør samfunnet en tjeneste ved å avsløre problemer. Dette gjelder i vel så stor grad offentlige arbeidsgivere som private.

Men kanskje det er på tide å gå et skritt lenger. Kanskje det er på tide å gi folk et økonomisk incentiv til å se etter og rapportere om kritikkverdige forhold der de jobber eller er engasjert. I dag er det jo slik at det er motsatt: Varsler du vil du sannsynligvis miste jobben og slite med å få deg en ny.

Dr. Stelios Andreadakis har nylig holdt et foredrag om dette på UiO (som jeg dessverre ikke fikk med meg):

The existing legislative framework gives emphasis to encouraging whistle-blowers to step up and share their concerns, but there are numerous instances of retaliation practices from the side of the employers against the whistle-blowers. As a result, potential whistle-blowers do not feel adequately protected under both legislation and corporate policies as well as assured that their career progression will not be harmed.

Vi må selvsagt samtidig både styrke varslervernet og skape en kultur for at man gjør det rette bare fordi det er det rette å gjøre. Men selv hvis vi får styrket lovene og håndhevingen av dem, vil varsling sannsynligvis alltid være vanskelig, og kanskje alltid en økonomisk risiko. Da vil det være positivt å kunne sikre at varslere ikke går på dunken økonomisk, ved å gi dem en gave som takk for hjelpen og erstatning for problemer det måtte påføre dem (uten at de må gå til rettssak først). Det vil sannsynligvis også være samfunnsøkonomisk lønnsomt dersom det fører til at vi får avslørt flere korrupsjoner og andre problemer.

Vi kjenner problemet, la oss skape løsningene!

Jeg vil ikke si at økonomisk kompensasjon/belønning nødvendigvis er løsningen som trengs for å fikse system-problemet med at folk ikke tør å varsle. Men jeg mener det er vel verdt å vurdere.

Det jeg er helt sikker på er at vi må legge bedre til rette for varsling, og at det handler om mer enn å bare straffe varslere mindre. Her er noen oppsummerende tanker:

  1. Varsler-vernet må styrkes, så man kan si ifra om kritikkverdige forhold uten å måtte risikere alt.
  2. Vi må vurdere hvordan vi kan gi folk lyst og mulighet til å varsle, på tross av at det sannsynligvis alltid vil innebære noe risk. En økonomisk godtgjørelse som takk for hjelpen for å ha avslørt problemet, og som erstatning for tort og svie, er én mulighet.
    1. Dersom en økonomisk godtgjørelse til varslere er en god idé bør dette være et statlig ansvar, men ordnes på en slik måte at varslere som er irriterende for staten ikke kan snytes.
    2. Fram til staten tar på seg dette ansvaret, eller dersom de ikke klarer å ordne det på en reelt nøytral måte, kunne det vært veldig bra om noen private, enten en gruppe engasjerte enkeltmennesker eller en organisasjon eller stiftelse, som for eksempel Fritt Ord, satte opp et eget varsler-fond. Fritt Ords Pris i år ble tildelt varslerne Robin Schaefer og Jan Erik Skog, men prisen deles kun ut én gang i året, og for forskjellige typer innsats.
  3. Akkurat som at programvare må ha en åpen kildekode for at problemer skal kunne oppdages og fikses raskest mulig (og for at brukerne skal kunne være trygge på at programmet ikke gjør noe de ikke vil) så må mest mulig offentlig informasjon også være like fritt tilgjengelig og gjenbrukbart, av samme grunn.
  4. Se til Island: La oss kopiere det arbeidet de har gjort med å endre lovene for å gjøre landet til et paradis, ikke for skattesnyltere, men for journalistikk.
  5. Vi må skape et samfunn hvor folk ønsker å gjøre det rette, bare for å gjøre det rette. Et viktig skritt på veien er å vise at vi setter pris på dem som gjør det rette, nettopp ved å gjøre det enkelt og belønne dem heller enn å straffe dem.

Norge må, med andre ord, bli en trygg havn for varslere.

Vi kan ikke lene oss tilbake og tenke at ja, dette er viktig, men det må fikses av de andre der ute som har dette problemet. Det er nok av eksempler på at varslere her i Norge har blitt behandlet helt forferdelig. Hvor mange eksempler er det på folk som har sett dette og bestemt seg for at de ikke tør å varsle om kritikkverdige forhold i sin bedrift, departement eller organisasjon? Hvor mange overtramp, dødsfall og skader kunne vært unngått? Det kan vi ikke vite, og det er problemet.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.