Det skjer minst en gang i uken i Oslos gater, og det skjer stadig oftere.

Først setter politiet opp en falsk basestasjon, som later som om den er en ekte basestasjon fra for eksempel Telenor eller Telia.

Deretter skrur politiet opp signalstyrken, slik at mobiltelefonene i nabolaget lokkes til å koble seg til politiets falske basestasjon uten at mobileierne skjønner hva som skjer.

Dermed kan politiet ta ut informasjon fra mobilene som gjør det mulig å finne ut hvem som eier telefonen.

Etter straffeprosessloven skal slik overvåking bare skje når politiet har grunn til å mistenke alvorlig kriminalitet.

Dokumenter Aftenposten har fått innsyn i, viser at Oslo-politiet i flere år har lagret mobildata fra helt tilfeldige mobilbrukere etter øvelser eller trening med falske basestasjoner, uten noen som helst mistanke.

Dataene er blitt lagret i ett år.

Fakta: Hva er basestasjon, IMSI og falske basestasjoner? Basestasjon: En radiosender som er bindeleddet for trafikk mellom mobil­telefonene og telefonnettet. IMSI-nummer: Et unikt, globalt nummer for hvert mobilabonnement. Dette identifiserer den enkelte bruker. IMSI står for International Mobile Subscriber Identity og er på opptil 15 sifre. Falsk basestasjon: Kalles også IMSI-catcher eller IMSI-fanger, og brukes til å overvåke mobiltrafikk. Opptrer som en falsk basestasjon mellom mobilbrukere og de ekte basestasjonene. Ved å skru opp signalstyrken, lokkes mobiltelefonene til å knytte seg til de falske basestasjonene. Brukes både avlytting, jamming, kartlegging eller hacking.

Kontrollutvalget: - Uten lovhjemmel

Kontrollutvalget for kommunikasjonskontroll (KK-utvalget), som på vegne av regjeringen skal kontrollere at politiet følger loven, mener praksisen til Oslo-politiet ikke er lovlig.

«Kontrollutvalget for kommunikasjonskontroll kan ikke se at den lagringen som er beskrevet har lovhjemmel», konkluderer lederen i kontrollutvalget, lagdommer Ingvild Mestad, i et brev til Oslo politidistrikt og Justisdepartementet.

Politiet har blant annet lagret IMSI-numre, som er et globalt nummer som identifiserer hvem som eier sim-kortet.

Utvalget mener politiet ikke har lov til å lagre slik informasjon bare fordi politifolk øver seg på å bruke overvåkingsutstyr i Oslos gater.

KK-utvalget stilte spørsmål ved praksisen allerede i mars 2018, men politiet avviste at dette var et problem og fortsatte lagringen.

Junge, Heiko / NTB scanpix

Fakta: Utvalget for kommunikasjonskontroll Har ansvar for å kontrollere at politiets og påtalemyndighetens bruk av kommunikasjonskontroll, romavlytting og dataovervåking skjer innenfor rammen av lov og instrukser. Skal kontrollere at informasjonen som hentes inn ved disse metodene bare blir brukt på lovlig måte, og at lovens regler om taushetsplikt, oppbevaring og tilintetgjøring blir fulgt. Utvalget kontrollerer ikke etterretnings-, overvåknings- og sikkerhetstjenesten. Består av fire medlemmer plukket ut av regjeringen og oppnevnt av Kongen i statsråd.

Politiet: - Marginalt inngrep

«Inngrepet anses så marginalt overfor den enkelte borger at det verken er følbart, eller medfører noen risiko for misbruk», svarte Oslo politidistrikt i et brev.

Oslo-politiet mente også at dataene fra øvelsene med falske basestasjoner måtte lagres for at Nasjonal kommunikasjonsmyndighet (Nkom) skulle kunne føre tilsyn.

– Inntil Kontrollutvalget reiste spørsmålet har Oslo politidistrikt også vært av den klare oppfatning at dette ikke var å regne som kommunikasjonskontroll, svarer visepolitimester Bjørn Vandvik i en epost til Aftenposten.

Han viser til at lagringen har «foregått i treningsøyemed og ikke er knyttet til etterforsking», og at det derfor ikke var et inngrep som krevde hjemmel i lov.

– Etter at Kontrollutvalget problematiserte praksisen med lagring, har det vært dialog med Nkom med tanke på å avklare deres behov for lagring og om kravet om lagring fra deres side kunne endres. Det har av ulike årsaker vært vanskelig å få til et møte med Nkom, skriver Vandvik.

Bjørge, Stein / Andreas Bakke Foss

– Et ikke ubetydelig inngrep i personlig integritet

Kontrollutvalget avviser at lagring av personopplysninger med falske basestasjoner er et «marginalt inngrep», men tvert i mot «et ikke ubetydelig inngrep i den personlige integriteten»:

Lagring av personopplysninger etter overvåking med falske basestasjoner etter straffeprosessloven paragraf 216 krever at det er mistanke om noe kriminelt og at det foreligger tillatelse fra domstol.

Utvalget viser dessuten til at Grunnlovens paragraf 102 og 113 krever at «lagring av informasjon fra kommunikasjonskontroll har hjemmel i lov».

I tillegg mener utvalget at praksisen ikke har vært i samsvar med den europeiske menneskerettighetskonvensjonen.

«KK-utvalget finner etter dette grunn til å kritisere Oslo politidistrikt for å ha lagret informasjon om utenforstående tredjepersoner uten lovhjemmel», lyder konklusjonen.

Johansen, Erik / NTB scanpix

Vil ikke si hvor mange mennesker som ble berørt

Hvor mange mennesker politiet har lagret IMSI-numrene til etter øvelsene med falske basestasjoner, vil verken Oslo politidistrikt eller Kontrollutvalget opplyse til Aftenposten.

– Dette kan vi ikke uttale oss om, svarer KK-utvalgets leder lngvild Mestad.

Oslo-politiet svarer heller ikke på spørsmål om hvor mange år denne praksisen har pågått.

Politiet fikk også i fjor hard kritikk «systematisk brudd» på reglene om å slette e data fra telefonavlytting og annen kommunikasjonskontroll.

Espedal, Jan Tomas

Så ofte bruker politiet og PST falske basestasjoner

Bruken av falske basestasjoner i Norge var ukjent for de fleste, inntil Aftenposten i 2014 gjorde omfattende målinger i Oslo med kontraspionasjeutstyr.

Målingene viste at falske basestasjoner med stor sannsynlighet var i bruk en rekke steder i Oslo, noe Politiets sikkerhetstjeneste og politiet benektet kategorisk.

Saken førte til at norske kontrollmyndigheter anskaffet tilsvarende utstyr som Aftenposten benyttet for å kunne avsløre mobilspionasje.

Siden den gang har den offisielle, rapporterte bruken av falske basestasjoner gått rett til værs fra en gang i året i 2015 til 107 saker i 2017.

En av de mest brukte falske basestasjoner i politiet, er amerikanskprodusert og kalles Stingray. Overvåkingsutstyret kan også avlytte flere samtaler på en gang.

Skjermdump fra manuel for Stingray fra Intercept

Lover nå å stoppe lagringen

Avsløringen fører til at Oslo-politiet nå lover å stoppe lagringen av mobiltelefon-dataene fra øvelser og trening.

– Oslo politidistrikt har for egen del verken ønske eller behov for å lagre opplysningene, skriver visepolitimester Bjørn Vandvik.

– Oslo politidistrikt vil derfor ikke lenger lagre slike opplysninger fra trening i tråd med anbefalingene fra Kontrollutvalget.