Justitsministeriet: Nyt sessionslognings-forslag efter sommerferien

Justitsministeriet har holdt møder med telebranchen og gør klar til et nyt forslag om sessionslogning efter sommerferien.

Der er et nyt lovforslag om sessionslogning på vej efter sommerferien. Det kan Berlingske Business fortælle på baggrund af et svar til Folketingets retsudvalg fra justitsminister Søren Pind (V):

»Justitsministeriet har i den seneste tid afholdt møder med en række store tele- og internetudbydere, hvor der er etableret en nyttig og konstruktiv dialog omkring udformningen af fremtidens logningsregler. Den dialog vil Justitsministeriet nu fortsætte med henblik på at finde en model, som i tilstrækkelig grad tilgodeser politiets og PETs behov, men som samtidig reducerer de økonomiske byrder for branchen til et acceptabelt niveau. Det betyder bl.a., at et lovforslag om revision af logningsreglerne først vil blive fremsat til næste folketingssamling. Lovforslaget vil blive udformet i lyset af drøftelserne med branchen,« skriver Søren Pind.

Midt i marts satte justitsministeren et lovforslag om sessionslogning i bero med henvisning til, at man havde lyttet til branchen, hvor blandt andet Teleindustrien har givet udtryk for, at det ville blive meget dyrt for teleselskaberne at indføre sessionslogning.

Præcist hvad lovforslaget indebar er uvist, da forslaget aldrig blev offentliggjort. I forbindelse med en præsentation fra justitsministeriet tidligere på året fremgik det, at tanken med sessionslogning var at lagre oplysninger om blandt andet hvilke ip-adresser, der kommunikerer med hinanden, i et halvt år.

Ifølge justitsministeren er det blandt andet Rigspolitiet, som har ytret ønske om sessionslogning. Det skulle blandt andet gøre det lettere at fange banditter, selvom de bruger internettet i stedet for en fastnettelefon til at kommunikere via. I hvor høj grad sessionslogning rent faktisk vil gøre det lettere at fange online-banditter, er der delte meninger om.

Kritikere har blandt andet anført, at mens de kriminelle forholdsvist let vil kunne undvige logningen, så vil helt almindelige danskere få deres daglige online-færden overvåget af myndighederne.

Teleindustrien: Ikke kun kroner og ører

Direktør i teleoperatørernes interesseorganisation Teleindustrien Jakob Willer påpeger i et nyhedsbrev, at det for branchen ikke kun er et spørgsmål om kroner og ører, når man har modsat sig den form for sessionslogning, som der tidligere har været lagt op til.

»Fra Teleindustriens side er det klart, at udsigten til en milliardregning har stået højt på listen over vores betænkeligheder ved at skulle genindføre sessionslogningen. Men det er ikke kun økonomien, der har stået højt på listen. Vores betænkeligheder handler i høj grad også om de juridiske problemstillinger og den overvågning, som kunderne udsættes for. Vi er stærkt betænkelige ved at udvide overvågningen - og det er vigtigt hele tiden at holde sig for øje, at der er tale om et indgreb i den personlige frihed. Med Justitsministeriets egne ord, så er det altså vigtigt, at overvågningen og logningen begrænses til det 'strengt nødvendige'. Hvad der er 'strengt nødvendigt', kan man så sikkert have forskellige opfattelser af,« skriver Jakob Willer i Teleindustriens nyhedsbrev.

Formand for PROSA Niels Bertelsen ser helst, der slet ikke kommer et nyt forslag. I Prosabladet er han ifølge Business citeret for at sige:

»Det ville glæde mig endnu mere, hvis forslaget slet ikke bliver fremsat, da det er en grov krænkelse af borgernes grundlæggende frihedsrettigheder. Uanset om det skulle være teknisk muligt og økonomisk forsvarligt at indføre den udvidede form for sessionslogning, er den ikke ønskelig, da midlet slet ikke står mål med de rettigheder, som bør gælde i et retssamfund som Danmark.«

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
John Foley

Justitsministeren har som forventet blot udskudt den beslutning han desværre - uden at tænke sig om - allerede har truffet. Forslaget og en kommende lov vil ikke forhindre yderligere terrorhandlinger. Alle hidtidige terrorister har været kendt af myndighederne i forvejen, med de beføjelser, der allerede eksisterer.
Yderligere beføjelser til myndighederne, herunder politiet og efterretnings-tjenesterne, vil kun bidrage til begrænsning af demokratiet, forstærke politikerleden og øge masseovervågningen, der allerede er gået for vidt. Der er brug for helt andre og effektive løsninger, som et nationalt og uafhængigt cybersikkerheds råd ville kunne frembringe i et et offentligt-privat samarbejde, som det allerede er gjort i andre lande vi normalt sammenligner os med.

Mogens Ritsholm

Justitsministeriet forsøger krampagtigt at holde fast i deres egen fejltagelse med sessionslogning.

Telelogning drejer sig om retention af data. Altså opbevaring af de data, som teleselskaberne allerede har. De skal efter logningsreglerne bevares en vis periode i stedet for at smides væk. Det drejer sig både om såkaldte trafikdata, kundeoplysninger og f.eks. hvilke IP-adresser en kunde er tildelt historisk osv.

Sessionslogning går langt videre. For det kræver, at teleselskaberne aktivt indfører funktioner, som opsnapper oplysninger fra datastrømmen mellem kunder. Og det er oplysninger, som teleselskaberne slet ikke får i hånden, hvis de ikke indfører specifikke funktioner alene med dette overvågningsformål.

Nævnte ydre ramme er udtrykt i den gældende logningsbekendtgørelses § 1, hvor der står, at telelogning alene vedrører oplysninger, der "genereres eller behandles" af en televirksomhed. Hvis det ikke er tilfældet, kan man altså ikke med logningsreglerne kræve, at der indføres nye overvågningsfunktioner alene for overvågningens skyld.

"genereret eller behandlet" er ikke et tilfældigt ordvalg. For det er taget fra logningsdirektivets art. 1, der blev grundigt diskuteret forud for direktivets udstedelse - og altså adopteret som den ydre ramme til danske logningsregler.

Var den gamle sessionslogning så ikke ulovlig?

Jo det var den faktisk. Og den var tilmed ulovlig, da det danske lovgrundlag sagde, at det ikke var hensigten at følge en kundes færden på internet. Det sagde Teleindustrien og andre klart til justitsministeriet i 2006. Se også høringssvarene til bekendtgørelsen.

Det er denne skandale med Justitsministeriets magtmisbrug, som Søren Pund nu graver frem med sit nye forslag, selv om Karen Hækkerup behændigt fik den begravet efter EU-dommen, som alle troede var afgørende.

Søren Pind kan godt fortsætte. Men han slipper ikke godt fra endnu en gang at kalde det telelogning. Så må han kalde det teleovervågning som udtryk for, at private virksomheder forpligtes til at lave overvågning alene af hensyn til myndighederne.

Man kan så spørge, om der ikke er andre private virksomheder, der burde forpligtes til at overvåge for politiet, når man nu først har overskredet den vigtigt principielle grænse for, hvad private virksomheder kan forpligtes til.

Men indtil videre spiller Søren Pind med falske kort, da han prøver at give indtryk af, at sessionslogning jo bare er telelogning med pligt til at gemme sine oplysninger i stedet for at smide dem væk.

Og så overser han fuldstændig, at IT-udbyderne faktisk har mange af de oplysninger, som politiet ønsker adgang til.

Hvorfor ikke bede dem om procedurer for udlevering til politiet i stedet for denne jagt på tvivlsomme spor hos bittransportørerne, der alligevel ikke har brugbare spor af den egentlige anvendelse og den egentlige kommunikation ?

Fordi det er for internationalt og for svært siger de.

Altså ligesom historien om bagerne og smeden, hvor man besluttede at henrette en bager, fordi man ikke kunne undvære smeden, selv om han var morderen. Man lod det bekvemmelige bestemme udfaldet i stedet for det faktuelle.

René Nielsen

Som borger ville jeg ønske der kommer en debat om overvågning fremfor at uduelige jurister får lov til at gennemtrumfe en sessionslog som når det kommer til stykket ikke kan bruges til at andet at overvåge hr og fru Jensen.

Det som er hovedproblemet er ikke omkostningerne ved sessionslogningen som Justitsministeriet fejlagtigt tror. Hovedproblemet er, at ligger i definitionen af privatliv eller privacy.

For en jurist er privacy, at f.eks. aflytning kun kan ske efter en dommerkendelse. For en IT udvikler er definitionen af privacy at det ikke er teknisk muligt for nogen udenforstående at tilgå de data han behandler – dommerkendelse eller ej. For at opnå dette vil IT udvikleren anvende kryptering af data og krypterede forbindelser imellem enhederne.

Jeg er ked af at jeg ryster juristerne ud af deres verdens opfattelse – men indtil der bliver indført et krypteringsforbud er det er IT udviklerne som bestemmer hvad en juridisk dommerkendelse er værd. Og en dommerkendelse vil ikke være noget værd fordi den viser blot at mobiltelefonen via VPN er forbundet til samme adresse. Sessionsloggen vil ikke afslører andet.

Et forbud imod kryptering er lige så meget værd som et forbud imod terrorisme. Ingen forbudene virker, for terrorisme er jo i forvejen forbudt, så hvad skulle afholde en terrorist fra at kryptere eller bruge VPN?

Men læren fra de seneste terroranslag er jo, at terroranslagene planlægges uden brug af mobiltelefoner/tablets fordi terroristerne opholder sig en periode sammen i en lejlighed og der taler om det som skal tales om i planlægningen af deres udåd. Hvorfor en sessionslog er uden værdi fordi de kommunikationskanaler som efterretningstjenesterne overvåger – ikke bliver anvendt.

Terroristerne er derfor ”gået sort” – ikke fordi de krypter som efterretningstjenesterne fejlagtigt tror, men fordi de ikke benytter de kommunikationskanaler som efterretningstjenesterne overvåger. Og samtidig kan vi som borgere læse i aviser at Belgien blev advaret af Tyrkiet og USA om at netop de personer som gennemfører terroranslag.

Så det politiet har brug for, er at finde tilbage til de klassiske politidyder – ikke en sessionslog som åbenlys er uden værdi.

René Nielsen

Det handler ikke specielt om terror. Terrorlovgivningen er bare det smuthul en regering kan benytte, hvis de vil gennemføre noget uden at behøve at forklare sig


Jeg er helt enig i din betragtning!

Men os som ved at det er forkert – er nødt til at forklare de uvidende masser om hvorfor det er forkert, for det er den sandhed som Søren Pind og hans medløbere frygter allermest.

Du kære læser skal i din omgangskreds kommunikerer kort, enkelt og klart. Du skal sige ”det passer ikke, sessionsloggen er intet værd imod terrorisme”.

Først når folk selv ønsker at høre om hvorfor det ikke virker, skal du sige ”terrorister bruger ikke mobiltelefoner fordi de ved at mobilforbindelser bliver overvåget”. Hold dig væk fra lange forklaringer og få det enkelte budskab frem at ”det ikke virker”.

Hvis folk så spørger om hvad politiet så skal gøre, skal du svare ”udføre godt gammeldags politiarbejde hvor man tager indberetninger alvorligt uanset hvor de kommer fra. Ved terroranslagene i Belgien og Frankrig var samtlige terrorister i forvejen mistænkte af politiet – for terrorisme”

Klavs Klavsen

Umiddelbart så ser jeg sessionslogningen til at være fuldstændig ekvivalent med at indoperere en chip i nakken på alle personer i Danmark - sessionslogningen tracker bare vores digitale færden istedet for vores fysiske.

Det er da helt klart et nyttigt værktøj - men som det er nu, sker der trods alt flest indbrud, mord osv. af folk der er fysisk til stede - så hvorfor er det så lige at de ikke også foreslår en chip i nakken på alle? (og ja jeg ved godt hvorfor JEG ikke ønsker hverken chip i nakken, eller sessionslogning.. men hvis man kan foreslå sessionslogning, må en chip være ligeså fin, og komplementere så man også lige får den fysiske del med ?)

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017