Modstand mod sessionslogning vokser: Fælles opråb til politikerne skal stoppe internetovervågning

EU-domstolen dømte i sidste måned logningsdirektivet ude. Nu vil et bredt spektrum af interessenter, der spænder fra erhvervslivet til Amnesty International, se handling fra de danske politikere.

Politikerne på Christiansborg skal revidere de danske logningsregler, så danskerne ikke overvåges og registreres unødvendigt. Det er budskabet fra en bred skare af forskere, erhvervsledere og aktivister, der har rettet skriftlig henvendelse til retsudvalget.

Henvendelsen sker på baggrund af, at EU-domstolen i sidste måned dømte det såkaldte logningsdirektiv ugyldigt, og dermed vurderes dele af de danske logningsregler nu at være på kant med europæisk lovgivning. Deriblandt den berygtede sessionslogning, der registrerer danskernes brug af internettet ved at gemme metadata om hver 500. datapakke, man sender eller modtager.

Læs også: EU-Domstolen dømmer telelogningsdirektiv ugyldigt

Læs også: Teleorganisationer: Danske logningsregler skal ændres nu

Sessionslogning udgør over 90 procent af de 3.500 milliarder logninger af danskernes digitale gøren og laden, der blev foretaget sidste år - alt imens det efterforskningsmæssige udbytte af logningerne ifølge både justitsministeriet og politiet er ganske beskedent. Og nu skal den afskaffes mener afsenderne af brevet, der blandt andet tæller teleselskabernes talerør Teleindustrien, Forbrugerrådet Tænk, Amnesty International, Bitbureauet og Cepos.

"Med det erfaringsgrundlag der allerede nu foreligger om anvendelsen af logningsdata og EU-dommen, er der anledning til at konkludere, at de danske regler om internetsessionslogning som minimum straks bør suspenderes. Vi skal med denne henvendelse opfordre til, at Folketinget tager initiativ til at beskytte danske borgere mod unødvendig og ubegrundet overvågning og registrering," hedder det i skrivelsen, der samtidig opfordrer til en reform af logningsreglerne generelt.

Justitsministeren skal i samråd med folketingets retsudvalg 2. juni, og netop EU-dommens indflydelse på de danske logningsregler er på dagsordenen.

Læs også: Professor efter EU-dom mod telelogning: Svært at bevare sessionslogning

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Nielsen

Hvis en EU lov koster de Danske borger noget, om det er frihed eller penge er det lige meget - så indføres den straks - med henvisning til at man skal følge EU.

Men hvis en EU kendelse/lov/m.v. er til fordel for Danskere, om det er mere frihed, bedre økonomi, eller anden fordel - så syltes den så længe som overhovedet muligt.

Der er lidt for mange eksempler på denne slags ting.

  • 17
  • 0
#4 Deleted User

De sidste procent består af logning af dine samtaler og dine sms'er - altså registrering af metadata (tid, modtager, nærmeste mobilmast mm.). Det er denne logning, som EU indførte med direktivet, der nu er underkendt, og den slags logning, som de fleste andre lande også har.

Danmark indførte så oven i hatten den særlige sessionslogning, hvor metadata om dit internetforbrug også bliver logget.

vh.

Jesper, Version2

  • 6
  • 0
#5 Mogens Ritsholm

Sessionslogning var netop ikke krævet i direktivet.

Men trods liden nytte er det i DK opretholdt, fordi skiftende justitsministre har henvist til, at det måske kom med i et revideret direktiv.

Det halmstrå er nu helt væk, da direktivet er ophævet.

Derfor er der nu efter danske regler god grund til at ophæve sessionslogning straks. For erfaringen viser stadig, at det ikke gør nogen nytte i forhold til de enorme mængder data.

I øvrigt kan teleselskaberne selv standse det, da det oftest ikke falder inden for hovedkriteriet i logningsbekendtgørelsens § 1. For det er kun oplysninger, der genereres eller behandles af teleudbyderen, der skal gemmes - uanset kravene i øvrige paragraffer. Og en internetudbyder har vel ikke behov for at kigge på TCP header for at skovle IP datagrammer frem.

Hovedkriteriet i § 1 skal netop sikre, at man med logning ikke bevæger sig over i egentlig overvågningsvirksomhed.

  • 5
  • 0
#6 Mogens Ritsholm

De sidste procent består af logning af dine samtaler og dine sms'er - altså registrering af metadata (tid, modtager, nærmeste mobilmast mm.). Det er denne logning, som EU indførte med direktivet, der nu er underkendt,

Nej, det er forkert.

Det er underkendt, at man med et direktiv kan forpligte landene til logning.

Hvorvidt landene på egne præmisser kan logge tager dommen ikke stilling til.

En sådan vurdering må ske på det samlede nationale grundlag, herunder adgang til oplysningerne osv. Disse forhold var ikke med i direktivet, da det er national kompetence.

En stor del af de loggede oplysninger (bortset fra sessionslogning) skal også opbevares efter bogføringsregler.

Så det er helt skørt at sige, at man pludselig ikke samtidigt må kalde dem logningsdata - og som sagt er det heller ikke det, som dommen drejer sig om.

  • 3
  • 0
#7 Jesper Lund

En stor del af de loggede oplysninger (bortset fra sessionslogning) skal også opbevares efter bogføringsregler.

Det som ikke skal opbevares efter bogføringsreglerne er

  • Alle masteoplysninger
  • Indgående opkald og sms
  • Udgående opkald hvis de er omfattet af fri tale
  • Udgående sms hvis kunden har "fri sms"
  • Internet logning generelt

Dette blog indlæg (på tysk) beskriver hvad der gemmes hos Deutsche Telekom http://blog.vorratsdatenspeicherung.de/2013/05/18/telekom-setzt-vorratss...

Tyskland har ikke logningsregler, så udgående opkald og sms slettes hurtigt for flatrate kunder, og det samme gælder masteoplysninger for alle kunder. Dog slettes disse data ikke så hurtigt som man kunne ønske sig det.

  • 3
  • 0
#8 Jesper Lund

En sådan vurdering må ske på det samlede nationale grundlag, herunder adgang til oplysningerne osv. Disse forhold var ikke med i direktivet, da det er national kompetence.

Dansk lovgivning skal være i overenestemmelse med alle vedtagne EU direktiver, herunder 2002/58/EF. Artikel 15.1 giver mulighed for logning under visse betingelser, men den nationale logning er omfattet af EU-retten, herunder Charter om Grundlæggende Rettigheder. Så EU-dommen har i høj grad betydning for den danske logning, f.eks. præmis 58+59.

  • 3
  • 0
#9 Baldur Norddahl

I øvrigt kan teleselskaberne selv standse det, da det oftest ikke falder inden for hovedkriteriet i logningsbekendtgørelsens § 1. For det er kun oplysninger, der genereres eller behandles af teleudbyderen, der skal gemmes - uanset kravene i øvrige paragraffer. Og en internetudbyder har vel ikke behov for at kigge på TCP header for at skovle IP datagrammer frem.

Interessant fortolkning men den holder nok ikke i retten. Både bemærkninger og vejledning til loven gør det meget klart hvordan den kan bruges.

Paragraf 1 sikrer at man ikke tvinges til at indhente information, som udbyderen ikke er i besidelse af i forvejen. F.eks. skal man logge navn og adresse på brugeren. Men hvis man driver et åbent WIFI access point, så er man ikke tvunget til at spørge om navn og adresse, før der gives adgang.

Et andet eksempel er bolignetværket i Farum Midtpunkt. I Farum Midtpunkt har alle lejligheder adgang til netværket. Som nyindflytter skal man således ikke først oprettes som bruger for at få adgang. Administrationsselskabet for Farum Midtpunkt er KAB og juristerne der nægtede at videregive navneinformationer til internetudbyderen med henvisning til persondatabeskyttleseslovgivningen. Situationen blev redet af at paragraf 1 fritager internetudbyderen fra at logge navn når de ikke kender det.

Modsat er der ingen tvivl om at IP headere bliver behandlet i netværket. Ellers kan internetudbyderen jo ikke route trafikken. Du hævder så at routeren jo ikke kigger dybere ind i headeren, f.eks. på TCP. Men det er for det første forkert (NAT!) og for det andet ikke anerkendt. Nettet har oplysningen så derfor skal det logges.

  • 2
  • 0
#10 Mogens Ritsholm

Paragraf 1 sikrer at man ikke tvinges til at indhente information, som udbyderen ikke er i besidelse af i forvejen. F.eks. skal man logge navn og adresse på brugeren. Men hvis man driver et åbent WIFI access point, så er man ikke tvunget til at spørge om navn og adresse, før der gives adgang.

§ 1 i logningsbekendtgørelsen kommer fra artikel 1 i direktivet, og det var det mest diskuterede emne, da direktivet blev behandlet.

Meningen er, at teleselskaberne skal gemme de trafikdata, som de behandler eller genererer. Altså bevare dem, selv om de egentlig i i nogle tilfælde skulle slettes efter direktivet om personlige data.

Det er den helt overordnede forudsætning.

Under arbejdet med logningsbekendtgørelsen var forslaget på et tidspunkt, at alle korresponderende IP-adresser for datagram skulle bevares. Dem har man jo som udbyder fat i ved rutningen. Så det falder ind under § 1. Men det giver også 500 gange flere logninger end sessionslogning.

Det er jo helt vanvittigt.Og det ville blive dyrt. Så vi bekæmpede det.

Så foreslog JMIN sessionslogning og vi gav nogle økonomiske estimater, hvorefter det blev fastsat.

Men de overså, at man i virkeligheden med kravet i 5.1 bevægede sig ud af rammen i § 1.

Men vi turde ikke udfordre det. For det kan jo godt forsvares, at det var meningen at logge efter TCP analyse. Og så kunne de jo bare ændre hjemlen eller § 1.

Men på den anden side kan man med de eksisterende regler godt undlade sessionslogning, hvis nettet ikke kigger på TCP. Så er man ude af 5.1 og dermed også 5.4.

Som den politiske situation er nu, kan man næppe reparere den indre modstrid i reglerne.

Og for resten. Der står intet om sessionslogning i loven eller bemærkningerne til den. Det blev som sagt opfundet i forbindelse med JMINs udarbejdelse af bekendtgørelsen.

  • 1
  • 0
#11 Baldur Norddahl

Dommere går sjældent med til at læse loven på en måde, så at indre stridigheder medfører at loven ingen effekt har.

På hvilken måde behandler en router afsender iP adressen? Alligevel skal den logges. Hvad betyder "behandler"? Rent nøgternt, så behandler en switch eller en router samtlige bits i en netpakke, ellers har den jo lidt svært ved at modtage og videresende disse bits.

Tilliden til myndighederne ligger på et meget lavt niveau herfra. F.eks. er erhvervsstyrelsen nu nået frem til at ComX netværket alligevel ikke skal være åbent for andre udbydere - medmindre altså de vil betale 2 kroner til TDC for hver gang kunden bliver faktureret 1 krone. En ting er hvordan du som teknikker læser loven, noget andet hvordan juristerne vælger for os.

  • 1
  • 0
#12 Mogens Ritsholm

Nettet har oplysningen så derfor skal det logges

Nettet har også alt indhold. Det var netop for at sætte en grænse til egentlig overvågning, at logningspligten er begrænset til oplysninger, der "genereres eller behandles" af nettet.

Det er som sagt taget fra direktivets artikel 1. Men det står ikke i dansk lovgivning. Derfor kunne JMNIN bare have ændret §1, hvis de opdagede det.

Men det kan de politisk ikke nu. Derfor kan det bruges.

Nogle gange overgår virkeligheden fantasien.

Eneste løsning på denne farce er at ophæve sessionslogning.

Det var oprindeligt min plan at komme af med det ved den planlagte revision i 2009. Men så var jo væk, og man udskød i øvrigt revisionen flere gange. Og nu er vi i 2014 uden at andre tilsyneladende har tænkt over det.

  • 2
  • 0
#13 Mogens Ritsholm
  • 3
  • 0
Log ind eller Opret konto for at kommentere