Ministerium: Derfor stopper EU-dom ikke ny dansk sessionslogning

Den danske logningsbekendtgørelse havde ikke de samme mangler som EU's logningsdirektiv. Stoppet handlede kun om, at data var ubrugelige.

Hvordan kan Danmark genoptage sessionslogning af danskernes færden på internettet, når EU-Domstolen i april 2014 fandt, at EU's logningsdirektiv var i strid med EU's charter for grundlæggende rettigheder?

Det korte svar er ifølge Justitsministeriets vurdering, at den danske logning - måske - ikke var ulovlig. Til gengæld var den ikke et brugbart redskab til politiet. Nu vil politiet have logningen tilbage i et format, hvor de loggede data kan bruges.

Justitsministeriet er i færd med at gøre et nyt lovforslag klar til behandling i Folketinget, som skal genindføre sessionslogning i en lidt ændret udgave af den logning, daværende justitsminister Karen Hækkerup valgte at suspendere i juni 2014.

Imidlertid kan EU-Domstolens afgørelse ikke nødvendigvis direkte overføres på den danske logningsbekendtgørelse, lyder vurderingen fra Justitsministeriet.

Læs også: EU-Domstolen dømmer telelogningsdirektiv ugyldigt

På baggrund af en aktindsigtsansøgning fra Version2 henviser Justitsministeriet til et notat til Folketingets retsudvalg, hvori ministeriet redegør for EU-dommens betydning for de danske regler.

JM: Dansk logning er anderledes

I notatet lyder konklusionen, at EU-Domstolen ikke alene så på spørgsmålet om masseovervågning, men på de samlede problemer i EU's logningsdirektiv. På flere punkter adskiller den danske sessionslogning sig fra formuleringerne i EU-direktivet, og det er på den baggrund, at ministeriet vurderer, at de danske regler ikke nødvendigvis kan siges at være ulovlige.

Læs også: Minister: Dansk telelogning er ikke ulovlig - selvom EU-logning er

Eksempelvis henviser ministeriet til, at den danske retsplejelov fastsætter begrænsninger for, hvilke myndigheder der kan få adgang til de loggede data og under hvilke omstændigheder. Det var ikke specificeret i EU-direktivet.

Tilsvarende giver den danske persondatalov og udbudsbekendtgørelsen regler for opbevaring af logningsdata, som igen var en mangel i EU-direktivet. Dansk lovgivning indebærer således, at logningsdata ikke må opbevares i udlandet, og teleudbydere skal sørge for passende sletning, når dataene ikke længere skal opbevares.

Endelig indeholdt den danske bekendtgørelse også en fast tidsafgrænsning for logningen. EU-direktivet havde blot en ramme på seks måneder til to år. De danske regler lød på 12 måneder. Det er i øvrigt et punkt, som i det nye forslag vil blive sat ned til seks måneder ifølge Justitsministeriets oplæg.

Men når den danske sessionslogning ikke var ulovlig, hvorfor blev den så stoppet - og hvorfor vil regeringen nu genindføre den?

Den danske logningsbekendtgørelse om sessionslogning af trafikken på internettet var undervejs, inden EU-direktivet trådte i kraft. Den danske logning var altså ikke en implementering af et EU-direktiv, men kom til at fungere som Danmarks implementering af direktivet, da EU indførte det i 2006.

Politiet manglede software

Det stod imidlertid hurtigt klart, at dansk politi ikke kunne bruge de loggede. Ifølge Justitsministeriet bundede det i den danske formulering, der tillod internetudbydere at nøjes med at logge hver 500. pakke eller logge ved kanten af deres eget netværk. Samtidig havde dansk politi fra 2007 til 2010 ikke den fornødne software til analyse af sessionslogningsdata.

Derfor var der allerede i 2013 tale om at ændre den danske logningsbekendtgørelse, så reglerne pålagde internetudbyderne at logge data, der kunne bruges af politiet. Med EU-dommen i 2014 fik Justitsministeriet mulighed for at stoppe sessionslogningen og udarbejde en ny bekendtgørelse, uden Danmark brød med EU's logningsdirektiv. Det fremgår af et svar fra Justitsministeriet.

En ny udgave af logningsbekendtgørelsen med en opdateret sessionslogning var allerede på tale til behandling i folketinget i foråret 2015, men daværende justitsminister Mette Frederiksen valgte at udskyde det endnu et år.

Læs også: Mette Frederiksen: Vi vil høre relevante parter om sessionslogning

Ifølge det foreløbige svar fra Justitsministeriet på Version2's henvendelse, så er der ikke ændret ved vurderingen fra 2014 om, at de danske regler formentligt ikke er ulovlige i forhold til EU's charter, selvom EU-direktivet var ulovligt.

Følg forløbet

Kommentarer (19)

Anne-Marie Krogsbøll

...eller er der andre sagkyndige udlægninger af dette (Jesper Lund?)?

I øvrigt: Pind har givet EU besked om, at Danmark gerne vil så tæt på Europol som muligt, især mht. at dele databaser:http://arbejderen.dk/indland/danmark-%C3%B8nsker-s%C3%A5-meget-europol-s...

Har dette betydning i forbindelse med sessionslogning, f.eks. ved at udenlandske myndigheder også efter dommerkendelse kan gå ind i de danske data?

Mogens Ritsholm

Det er rigtigt, at dommen ikke direkte kan bruges til at afvise forslaget om sessionslogning.

Det kan den jo heller ikke al den stund, at sessionslogning ikke var et krav i direktivet. Det var en særlig dansk udbygning i forhold til direktivet, der slet ikke krævede logning af internettrafik.

Men omvendt kan man ikke sige, at sessionslogning er lovligt efter databeskyttelsesdirektivet, fordi EU-dommen ikke direkte kan lægges til grund.

Dommen lægger i sine præmisser vægt på proportionalitet, når krav om bevarelse af personlige data kræves. Og det er lidt svært at se, at sessionslogning ikke i dette spørgsmål er mindre velbegrundet end de typer logning, som direktivet krævede.

Til overflod har vi også i det danske lovgrundlag fra 2002 en forudsætning om, at logningen ikke skal bruges til at følge en brugers færden på internettet, herunder besøgte hjemmesider.

Så det er ikke frit frem, fordi dommen i sig selv ikke direkte kan bruges til at afvise forslaget om sessionslogning.

Det burde artiklen nok have belyst.

Christian Nobel

Samtidig havde dansk politi fra 2007 til 2010 ikke den fornødne software til analyse af sessionslogningsdata.

Havde det så ikke været en rigtig god ide, alt andet lige, hvis genierne i JM havde fundet ud af hvad man egentlig kunne, før man påførte teleudbyderne den udgift, i stedet for flere år efter at komme som en dum blondine og udbryde: Guuuud alså, vi ka' slet ikk' læse data (og at forvente forståelse af data vil nok være at stramme den).

Derfor var der allerede i 2013 tale om at ændre den danske logningsbekendtgørelse, så reglerne pålagde internetudbyderne at logge data, der kunne bruges af politiet.

Men når de er så inkompetente at de ikke kan analysere data, og heller ikke ved hvordan det skal gøre, og med hvad, så lusker man bare fejt ud af kampen - for efterfølgende et par år efter at føre samme ide til torvs, stadig uden nogen forståelse for opgaven!

Dumpet!

Jesper Lund

Det stod imidlertid hurtigt klart, at dansk politi ikke kunne bruge de loggede. Ifølge Justitsministeriet bundede det i den danske formulering, der tillod internetudbydere at nøjes med at logge hver 500. pakke eller logge ved kanten af deres eget netværk.

Der genereres normalt en masse pakker (max 1500 bytes per pakke) med identisk IP:port i både source og destination enden, så hvad skulle være det store problem ved at kun hver 500. pakke logges? Hvis det handler om at finde ud af at mistænkte brugte Skype eller andre kommunikationstjenester, skal den information nok kunne uddrages af sessionsloggen. Og mere præcis information end "en Skype bruger" kan man alligevel ikke håbe på.

Hvis der er tale om en CG-NAT kunde, vil sessionslogningen på kanten af netværket (udveksling mellem to AS numre) indeholde den offentlige IP adresse for NAT gateway, som bruges af mange kunder på samme tid.

Det er en reel begrænsning, men den rammer langt fra alle kunder. Hvis kundeudstyret tildeles en offentlige IP adresse, kan der ikke være nogen forskel mellem om logningen sker "tæt ved kunden" eller på kanten af netværket. Det er præcist de samme informationer om pakken og kunden, som er tilgængelige.

Derudover har nogle teleselskaber lavet kreative løsninger med yderligere logning i NAT gateway, så de loggede pakker kan associeres med de enkelte kunder, også når er bruges NAT. Det er bl.a. TDC siden i hvert fald omkring 2011/12 (det omtales i en JM redegørelse fra december 2012).

Så.... helt ærligt, hvis det var muligt at bruge sessionslogningen til noget som Justitsministeriet vil være bekendt at vise frem for Folketinget og den masseovervågede danske befolkning, burde der så ikke være bare eet eksempel fra perioden 2007-2014?

Men det er der ikke. Det har vi Justitsministeriets ord for.

Hvordan skal mere af det, som ikke har virket selv i de situationer hvor det rent faktisk fungerede efter hensigten, kunne gøre en forskel?

René Nielsen

Det som harmer mig, er at Justitsministeriet anderkender at en opdateret sessionslogning formentligt ikke er lovlig i forhold til EU's charter.

Det forhold at Justitsministeriet bruger ordvalget formentlig, er det samme som at indrømme at sessionslogningen er så langt inde i en gråzone at Justitsministeriet med en vis sandsynlighed vurderer at sessionslogningen bliver underkendt, hvis indbragt for EU domstolen.

Det er med andre ord – en politisk udmelding hvor man følger sin politiske herre men samtidig udtrykke sin tvivl om lovligheden.

Jens Jönsson
Frithiof Jensen

Har dette betydning i forbindelse med sessionslogning, f.eks. ved at udenlandske myndigheder også efter dommerkendelse kan gå ind i de danske data?


Jeg tror du skal slette "efter dommerkendelse" .... formodentligt vil "myndighederne" aggregere "det hele" i noget cloud noget som alle "vennerne" og vores "fjenders fjender" kan rode rundt i nogenlunde som de selv vil - fordi: "Vi har ikke grund til at .... blah, blah, og atter blah" holder jo "i byretten" hvis man ikke helt har styr på en skid.

.... I hvert fald så kommer det hurtigt til at fungere sådan i praksis fordi systemerne med garanti bliver hacket.

Anne-Marie Krogsbøll

Mikael Ibsen og Frithiof Jensen:

Jeg er enig i, at vi under alle omstændigheder ikke kan stole på myndighederne i denne sag. Men det kunne være rart også at få en vurdering af, om det ligefrem bliver en del af lovgrundlaget og den formentlig kommende Europol-aftale, at disse data også kan deles med EU?

I øvrigt fra hestens egen mund - dvs. Pinds twitter i dag:
Søren Pind ‏@sorenpind · for 2 timer siden
"Der er områder hvor man ikke blot skal forlade sig på myndighederne. Dér er det vigtigt, vi har domstolene til at kontrollere dem @dkpol"

René Nielsen

"Der er områder hvor man ikke blot skal forlade sig på myndighederne. Dér er det vigtigt, vi har domstolene til at kontrollere dem @dkpol"


Det er jo det som er problemet, at domstolskontrollen heller ikke virker! 98% af aflytningskendelserne holder ikke til efterfølgende dom.

Det her er ikke regneregler hvor minus og minus giver plus! Hvor man tager en domstolskontrol som ikke virker og en logning som heller ikke virker - og så virker de pludselig!

Hvorfor forstår sheriffen ikke at han skal gå målrettet efter "bad guys" og lade hr og fru Jensen i fred?

Erik Trolle

Søren Pind ‏@sorenpind · for 2 timer siden
"Der er områder hvor man ikke blot skal forlade sig på myndighederne. Dér er det vigtigt, vi har domstolene til at kontrollere dem @dkpol"


Ja den med domstolene, grinte vi meget af det år, da en Svensk sort hacker, blev dømt på indicier. Fremsat af en IT analfabet af en anklager. Hvordan skal vi dog kunne stole på dommerstanden? Den gang blev politiet og CSC fik bare en påtale om at de skulle passe bedre på person data.

Jeg tænker bare hvorfor skal vi stole på at politikere, embedsmænd og domstole går efter retfærdighed for borgerne?

Keld Simonsen

Det siges at kommisionen har meldt ud at der ikke kommer noget nyt direktiv på området, efter at EU-domstolen kendte det gamle direktiv for ulovligt. Det må vel betyde at kommissionen har vurderet at et nyt direktiv også vil være i strid med EMK, fordi masseovervågning i enhver form vil stride mod EMK.

Det undrer mig at JM ikke følger EU-kommissionen her, og kryber under en fortolkning af EU-dommen, hvor de tror at masseovervågning vil være lovlig, bare der er adgangsbegrænsninger og andre begrænsninger, fx en eller anden dommerkendelse.

Hvis logningsdata genereres generelt, så mener jeg det er i strid med EMKs bestemmelser om privatlivets fred.

Frithiof Jensen

Hvorfor forstår sheriffen ikke at han skal gå målrettet efter "bad guys" og lade hr og fru Jensen i fred?


Fordi politiet også er blevet inficeret med NPM (New Public Management):

Hvis man kun bekämper rigtige kriminelle så når man ikke sine bonus-mål fordi de professionelle formodentligt er svärere at fange, ikke er så mange at det gör noget og at det som regel er större sagskomplekser som tager lang tid at udrede.

Når man således ikke kan löse opgaven (at få sin bonus) inden for de givne rammer .... så må man flytte problemet til et andet som man kan löse (tänke uden for boksen). Hvis man välger "plankton-modellen" så får man:

Masser af små bitte fisk, men meget lidt manuelt politi-arbejde med den enkelte sag, "opklaringsgraden" (eller hvad den nu er man optimerer) ligger helt i top, bonussen er sikret og der er frigjort ressourcer til at bevogte noget fodbold. Win-Win.

Måske er der også en vis grad af raseri hos myndighederne over at de fleste "hr & fru Jensen" ikke bare respekterer alle landets efterhånden utallige love, forordninger og uskrevne regler. Man köber piratvarer, der er sort arbejde, folk köber kina-ting uden om tolden, mange samler sten på stranden, 30% af befolkningen ryger hash, samtlige körer for stärkt, mange opfatter endda både politiet og justitsministeriet som lettere retarderede og de griner af dem i smug. Det sidste er nok det värste.

Anne-Marie Krogsbøll

Ja netop, Christian - det var også min tanke. Jeg troede næsten ikke mine egne øje.

Det kan godt være, at vores andres kommentarer ikke altid er lige kloge, men vi er trods alt heller ikke landets justitsminister til millionløn.

Der burde man kunne forlange et højere niveau - selv når han er sur.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen