Den 34 år gamle mannen deltok i 2017 på «#hack4.no», som var samling i regi av Kartverket. Her skulle en rekke offentlige og private deltakere presentere ideer og forslag til digitale løsninger for deling av offentlige data. Tiltalte foreslo en app, «Bilsnakk», som skulle gjøre brukeren i stand til å kontakte eieren av feilparkerte biler, ved å ta et bilde med mobiltelefonen.

Ideen slo veldig an, og fikk sågar en pris under samlingen.

For å få appen til å fungere, var han imidlertid avhengig av å få tilgang til kjøretøyregisteret. Derfor kontaktet han Vegvesenet. Vegvesenet henviste ham imidlertid til å søke om innsyn i hvert enkelt kjøretøy, noe som ville gjøre utarbeidelsen av appen til en relativt lang oppoverbakke.

Kopierte hele registeret

Ved å bruke Bank ID til å gå inn på sitt eget kjøretøy, oppdager den ivrige utvikleren at han fikk se sin informasjonen på en nettside med en URL som sluttet på et tall. Ved ganske enkelt å bytte ut tallet manuelt i nettleseren, fikk han opp andre kjøretøy. Han snekret derfor raskt et – for kyndige – banalt script, som raket ut hundretusener av filer, og lagret dem i hans eget register.

Retten tar neppe munnen for full når den legger til grunn at metoden var «vesentlig tidsbesparende sammenlignet med om tiltalte skulle ha foretatt denne operasjonen manuelt». Tilfreds med dette, kontaktet mannen på ny Vegvesenet, og forklarte at han hadde funnet en løsning. Gleden ble kortvarig. Retten beskriver:

«Tiltalte ble pågrepet samme dag og det ble gjennomført ransakning og tatt beslag i datautstyr. Tiltalte erkjente raskt de faktiske forhold, men mente ikke han hadde gjort noe straffbart.»

I Bergen tingrett ble mannen dømt til 14 dagers betinget fengsel, men mannen har anført at det han gjorde var så enkelt, at det ikke kan subsumeres under straffebudet som gjør det ulovlig å skaffe seg datatilgang med en «uberettiget fremgangsmåte». Det er på det rene at mannen ville fått tilgang til den samme informasjonen om han hadde benyttet seg av sin ordinære, men betydelig mer tidkrevende, rett til å søke innsyn i hvert enkelt kjøretøy.

For lav terskel

Gulating lagmannsrett vurderer saken annerledes enn tingretten, og skriver:

«Lagmannsretten har kommet til at tiltalte ikke «ved annen uberettiget fremgangsmåte» har skaffet seg tilgang til deler av Vegvesenets datasystem.

Selv om tiltalte logget inn via Bank ID, og siden ikke var designet for slik bruk som tiltalte gjorde av nettstedet, må det legges en viss vekt på at det ikke var informasjon på siden som tilsa at man ikke kunne hente den informasjon man ønsket.

Lagmannsretten er enig med forsvarer i at brukergrensesnittet var slik at det var meget enkelt å få tilgang til informasjonen tiltalte skaffet seg tilgang til. Når en løsning, selv om det ikke var tilsiktet fra Vegvesenets side, så enkelt legger til rette for at man kan skaffe seg tilgang til informasjon, bør det utvises varsomhet med å anse slike handlinger som en objektiv overtredelse av straffeloven § 204.»

Retten skriver at det ikke er tvil om at man kan begå datainnbrudd ved å skaffe seg tilgang til opplysninger som er offentlig tilgjengelige, men mener det å legge terskelen så lavt som dette, vil medføre «kriminalisering av handlinger som ikke er straffverdige».

Mannens forsvarer, advokat Alexander Gonzalo Sele, sier til Bergens Tidende at de fra starten har ment at terskelen for hva som er datainnbrudd ble lagt for lavt i denne saken.

– Om dommen hadde blitt stående, kunne det gitt ganske store konsekvenser for datautviklere og andre som innhenter offentlig tilgjengelig informasjon, sier Sele til BT.

Aktor i saken, politiadvokat Anja Mathiesen, opplyser til Rett24 at påtalemyndigheten ennå ikke har tatt stilling til om lovanvendelsen vil bli anket til Høyesterett.

Hvis du lurer på hvem som eier et kjøretøy, kan du søke opp det her.

Dommen finner du her.