Sådan ser politiets ønskeseddel ud til genoplivning af omstridt sessionslogning
I syv år blev der indsamlet milliarder og atter milliarder af registreringer af danskernes færden på internettet som følge af den danske logningsbekendtgørelse. I 2014 blev logningen indstillet. Hovedargumentet var, at den ikke virkede. Nu ser logningen ud til at være ved at genopstå i udvidet form.
Rigspolitiet holdt den 11. december 2014 et møde med repræsentanter fra den danske telebranche for at drøfte politiets ønsker til en ny logning af danskernes brug af internet og telefoni. Mødet var sat i stand på foranledning fra Justitsministeriet.
Det var ellers Justitsministeriet selv, som i juni 2014 valgte at stoppe den såkaldte sessionslogning. Det skete indirekte som følge af en dom fra EU-Domstolen, som fandt, at EU's logningsdirektiv var i strid med EU's menneskerettighedscharter. Men den danske sessionslogning var også indført som en del af VK-regeringens terrorpakker, og ét af argumenterne mod sessionslogningen var, at politiet ikke kunne anvende de registrerede data i praksis.
Sessionslogningen indebar, at flere internetudbydere implementerede en løsning, hvor de loggede trafikken ved yderpunkterne på deres netværk. Det indebar, at kravet om at registrere hver 500. datapakke ikke opsamlede hver 500. datapakke fra hver enkelt bruger, men derimod hver 500. pakke fra den samlede pulje af brugere.
Disse data udgjorde hovedparten af de loggede data, og viste sig at være ubrugelige for politiet.
Da sessionslogningen blev droppet var budskabet fra Justitsministeriet derfor også, at det ikke var, fordi logningen var ulovlig eller uønsket, men fordi den ikke var et effektivt redskab. Det viser sig nu, at det ikke blot var en undskyldning for at slippe af med en kontroversiel brug af overvågning, men blot en tænkepause for at få en forbedret logning på plads.
Rigspolitiet påpeger i indkaldelsen til mødet om nye logningsregler, at det er helt afgørende for politiets efterforskning at få mulighed for at gøre indgreb i meddelelseshemmeligheden og få at vide, hvem der har kommunikeret med hvem, i hvilket tidsrum, samt hvor de befandt sig.
Ifølge politiet er disse oplysninger 'af væsentlig og i nogle tilfælde afgørende betydning'. Det gælder eksempelvis sager, hvor gerningsstedet er digitalt, som en bankkonto eller server, eller for at slå fast, hvem der har befundet sig sammen med en mistænkt på en lokalitet.
Derfor foreslår Rigspolitiet en ny udgave af sessionslogningen som rummer følgende oplysninger ud fra oplægget til mødet den 11. december:
Telefonitrafik
Registrering af telefonnumre for alle parter i kommunikationen samt start- og sluttidspunkt. Desuden skal lokaliteten fastlægges i form af oplysninger om mobilceller ved start- og sluttidspunkt. Der skal også registreres identiteten på udstyret med IMSI- og IMEI-numre.
For telefoni ved hjælp af anonyme tjenester som for eksempel taletidskort skal teleselskaberne desuden registrere tidspunktet for ibrugtagning, sidste anvendelse og nedlæggelse.
Mobil datatrafik
Her skal der registreres brugerens IP-adresse og portnummer, samt IP-adresse og portnummer på destinationen, når brugeren initierer en forbindelse.
Derudover skal den første datapakke registreres med et tidsstempel, og der skal registreres, hvor mange bytes der overføres i løbet af sessionen.
I forhold til tidligere vil politiet desuden have alle mobiludbydere til at registrere lokationsdata for mobilt dataforbrug, så både mobilcellen ved kommunikationens start og alle efterfølgende celleskift registreres.
Især det sidste er en skærpelse i forhold til tidligere. I praksis vil det give større mulighed for at følge en persons færden via en smartphone, end hvis der kun registreres lokationsdata i forbindelse med telefonopkald eller sms-beskeder. En telefon, som løbende sender og modtager data ved eksempelvis automatisk tjek af e-mail eller sociale medier vil således også løbende efterlade et geografisk spor i logfilerne, som politiet vil kunne få indsigt i.
Kablet internettrafik
Her skal ligesom for mobil datatrafik indsamles IP-adresser og portnumre også indsamles oplysninger om den første datapakke og samlet mængde bytes, der overføres i løbet af sessionen.
Det er Rigspolitiets første prioritet, men Rigspolitiet ønsker endvidere at få indsamlet enten hver 500. eller hver 1.000. datapakke. Vel at mærke for hver enkelt abonnent.
For internetudbyderne vil det indebære, at mange af dem ikke blot kan tænde for den gamle sessionslogning, men skal installere en helt anden infrastruktur. Til gengæld vil politiet altså kunne få indblik i, hvad hver enkelt bruger har foretaget sig på internettet.
Det var ofte ikke muligt ud fra de gamle regler, hvor det hos flere udbydere var tilfældigt, hvilken bruger de indsamlede pakker stammede fra, fordi logningen foregik på kanten af udbydernes netværk.
Øget datamængde og omkostninger
Af mødereferatet fremgår det, at TDC påpegede, at logning på abonnentniveau ville føre til en betydelig større datamængde, som skulle logges. Både Telia og Telenor tilføjede, at denne form for logning ville give yderligere kompleksitet og omkostninger i forhold til den tidligere sessionslogning.
Teleselskaberne vurderede, at det ikke kun var udgifterne til lagring af data, men også administration af myndighedernes adgang til dataene, som ville være en betydelig udgift for dem.
Derfor fremsatte blandt andet Telia et forslag om, at Rigspolitiet burde redegøre for det konkrete behov for eksempelvis, hvor lang en periode der skal lagres data fra.
Flere af selskaberne påpeger desuden, at det vil være problematisk, hvis der udarbejdes særlige danske regler på området, hvis EU bestemmer sig for at gå i en anden retning.
»EU kigger også på logning, og vi må forvente nogle fælles europæiske regler. Det vil være fuldstændig grotesk, hvis Danmark går enegang, og der kommer europæiske regler. Vores opfordring er at vente og se, hvad der sker i EU,« siger direktør Jakob Willer fra brancheorganisationen Teleindustrien til Version2.
En eventuel ny dansk sessionslogning vil nu afhænge af arbejdet i Justitsministeriet, hvorefter der vil blive fremsat et lovforslag.
Af mødereferatet fremgår det, at en genoptagelse af sessionslogningen både vil afhænge af de tekniske konsekvenser af logningen og af, om Justitsministeriet vurderer, at de nye logningsregler ikke vil være i strid med EU's menneskerettighedscharter.
Daværende justitsminister Karen Hækkerup påpegede umiddelbart i forbindelse med beslutningen om at standse den danske sessionslogning, at den danske logningsbekendtgørelse ikke nødvendigvis var i strid med EU's charter.
Det skyldtes, at de danske regler ganske vist var en implementering på baggrund af EU's direktiv, men domstolens kritik var mere generel og kunne ikke automatisk overføres til de danske regler, som ifølge Karen Hækkerup var mere afgrænsede og strikse end EU's generelle direktiv.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
