Alternativt flertal smuldrer: Ubrugelig sessionslogning fortsætter

Et forslag om at afskaffe den omstridte sessionslogning, der registrerer danskernes internetbrug, kunne ikke samle flertal i Folketinget. Dansk Folkeparti vil give politiet mere tid til at vise, at de kan bruge de enorme mængder data.

Siden september 2007 har danske teleselskaber samlet header-oplysninger om hver 500. pakke, du sender og modtager på internettet og gemt disse data i mindst et år.

Sådan lød nemlig et af kravene i reglerne om mere fintmasket overvågning af danskernes tele- og internetbrug, der blev indført for at kunne stoppe terror og alvorlig kriminalitet. Men sessionslogning, som denne del af logningen kaldes, koster teleselskaberne mange millioner kroner at gennemføre, og de anslået mindst 2.000 milliarder datapunkter, der er blevet indsamlet siden 2007, har næsten ikke været brugt siden da.

Læs også: Justitsminister fastholder logning af ubrugelige data

Derfor har Venstre og Enhedslisten forsøgt at få opbakning til et ændringsforslag, som vil afskaffe sessionslogning helt - men Dansk Folkeparti vil ikke stemme for, fortæller de nu Version2. Dermed falder forslaget, som skal til afstemning i folketingssalen torsdag den 30. maj. Og sessionslogningen fortsætter ufortrødent.

»Jeg er helt indforstået med, at der har været rejst kritik af sessionslogning, og at det ikke har været brugt i særlig stort omfang. Man kan godt sætte spørgsmålstegn ved, om det fungerer optimalt. Men helt at afskaffe sessionslogning synes jeg er meget vidtgående. Det kan jeg slet ikke forstå,« siger Martin Henriksen fra Dansk Folkeparti til Version2.

Han vil hellere give politiet mere tid, fordi meldingen derfra er, at man fremover regner med at bruge sessionsdata mere end nu.

Evaluering af reglerne bliver udskudt - igen

Ændringsforslaget fra Enhedslisten og Venstre er stillet i anledning af lovforslag 142, som endnu engang vil udskyde den evaluering af sessionslogning, der ellers skulle have været sket i 2009. Med lovforslaget bliver det først i slutningen af 2014, at sessionslogningen bliver målt og vejet.

Dansk Folkeparti havde oprindeligt tænkt sig at stille et andet ændringsforslag, som ville fremskynde en evaluering af sessionslogningen og havde med Enhedslisten, Liberal Alliance og Venstre flertal for dette forslag.

Læs også: Flertal tvinger Bødskov til at ændre udskældt logningsbekendtgørelse

Men forslaget er droppet nu fra Dansk Folkepartis side, fordi justitsministeren har lovet at koble den danske evaluering af den store EU-proces, hvis der kommer yderligere forsinkelser.

»Vi har noteret os, at justitsministeren har svaret, at hvis EU ikke er færdig med sin revision i 2014-2015, så laver man en særskilt, national revision af sessionslogningssagerne. Og så ser vi, hvad der kommer ud af det. Dermed kommer den danske revision senest i efteråret 2014, og det har gjort, at vi har sagt, at det er i orden,« siger Martin Henriksen.

Sessionslogning blev indført i Danmark, selvom det ikke var en del af EU-kravene til telelogning. Men den ekstra registrering, som skulle gøre det muligt at se, om en borger besøgte for eksempel ekstremistiske hjemmesider, er aldrig blevet en succes for politiet.

De første mange år kunne politiet slet ikke læse det format, som teleselskaberne afleverede de enorme mængder data i. Først i 2012 kunne politiet håndtere sessionslogninger, men værdien har vist sig at være begrænset på grund af den måde, data bliver logget på. Hos store teleselskaber bliver flere kunders trafik blandet, og al intern trafik i netværket, der ikke skal videre til et andet teleselskab, bliver slet ikke logget.

Læs også: Dokumentation: Derfor er 5 års tele-logfiler ubrugelige for politiet

Foreløbig har Rigspolitiet kun kunnet give ét eksempel på, at sessionslogning blev brugt i en efterforskning. Det var ved et netbankindbrud, hvor dataene kunne frikende ejeren af computeren, da logfilerne viste, at en udenlandsk server havde haft kontakt med computeren i gerningsøjeblikket. Det var i øvrigt kun muligt at finde sessionsdata frem, fordi personen var kunde hos en lille internetudbyder - det ville have været umuligt hos et af de store firmaer, skrev Rigspolitiet selv i en redegørelse om telelogning fra december 2012.

Data fra sessionslogning udgør 90-95 procent af alle data, teleselskaberne skal samle ind for at leve op til logningsreglerne. Udover disse omstridte registreringer af, hvad en netforbindelse bliver brugt til, skal alle opkald, sms’er og datatrafik også registreres. Disse data, der for eksempel kan vise, hvor en mobiltelefon befinder sig, når den kommunikerer med omverdenen, bliver brugt i stor stil af politiet og efterretningstjenesten.

Kravet om at gemme sessionsdata, som altså er blevet brugt meget sjældent, koster teleselskaberne mellem 50 og 100 millioner kroner om året, anslår den tidligere telechef hos TDC, Mogens Ritsholm, der stoppede i TDC i 2009. Samtidigt gør reglerne det svært for nye, mindre firmaer at komme ind på markedet, vurderer han.

Læs også: Eks-telechef: Stop nu nytteløs sessionslogning

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

I februar 2012 mente Morten Bødskov at EU Kommissionen ville fremlægge et forslag til revision af logningsdirektivet i løbet af sommeren 2012
http://www.ft.dk/samling/20111/lovforslag/l53/spm/14/svar/855177/1075336...

Det var en medvirkende årsag til at Folketinget udsatte evalueringen af de danske logningsregler, inklusive sessionslogningen som ingen andre EU lande har, til 2012-2013.

Der kom selvfølgelig intet forslag til revision af logningsdirektivet fra EU.

Nu mener Morten Bødskov at EU Kommissionen kommer med et forslag til revision af logningsdirektivet senest 2014-15. Det er selvfølgelig en bekvem undskyldning for at udskyde den danske revision i endnu to år.

Men det er ganske interessant at Morten Bødskov åbenbart ved mere om planerne for revisionen af logningsdirektivet end EU Kommissionen gør.

Den ansvarlige EU Kommissær Malmström skrev for nyligt (14. maj 2013) følgende i et brev til en NGO

During an oral question debate at the plenary session of the European Parliament in October 2012, which was attended by around 20 Members, concerns about the current Directive were expressed, which in many ways echoed the conclusions of the Commission in its evaluation report published in April 2011 (COM(2011)255 final). We have noted that there is no consensus across the EU on the way forward. Germany is not unique in this respect, where views are also very diverse. The Commission intends to propose a reform of the EU data retention framework, although there is no timetable for doing so at present.

"No timetable for doing so at present", og det kommer fra Kommissionen.

Fulde brev er her
http://www.devianzen.de/letter-from-mrs-malmstrom.pdf

European Digital Rights (som IT-Politisk Forening er medlem af) har en god fornemmelse for hvad der sker i EU systemet. De siger at et forslag til revision af logningsdirektivet tidligst kommer i 2017.

Det er sådan set meget forståeligt at Kommissionen ikke kan fremlægge et forslag hverken i sommeren 2012 eller i 2014-15. På den ene side har Kommissionen medlemsstater som Danmark, hvor Justitsministeren åbenbart ikke kan få overvågning nok.

På den anden side er der medlemsstater som Tyskland (og en række andre EU lande), hvor en national forfatningsdomstol har underkendt en lov som implementerer logningsdirektivet fordi den er i strid med den tyske forfatning. Der verserer to sager ved EU domstolen om hvorvidt logningsdirektivet krænker borgernes fundamentale rettigheder (menneskerettigheder). Bemærk at sagen foran EU domstolen er logningskrav uden den danske sessionslogning, som er meget mere indgribende i borgernes ret til privatliv end noget andet i logningsdirektivet.

  • 23
  • 0
Morten Jensen

Men det er ganske interessant at Morten Bødskov åbenbart ved mere om planerne for revisionen af logningsdirektivet end EU Kommissionen gør.

Hatten af for at du holder dig selv (og de dovne af os herinde :$) så godt informeret om hvad der foregår i EU. Tusind tak fordi du gider Jesper Lund :) Jeg sætter personligt stor pris på det

  • 15
  • 0
Mogens Ritsholm

DF lagde særlig vægt på, at politiets adgang til lokaliseringsoplysninger ikke skulle svækkes. Og JMIN påstod jo i redegørelsen, at man fik disse oplysninger med sessionslogning. Ergo støttede DF fortsat sessionslogning.

At sessionslogning giver lokaliseringsoplysninger blev så trukket tilbage af JMIN med svaret på spm 16 i tilknytning til L142. For lokaliseringsdata kræves kun i § 4.

se selv her:

http://www.ft.dk/samling/20121/lovforslag/l142/spm/16/svar/1053582/12487...

OK, så kom vi så langt.

I svaret på spm 18 siger man efterfølgende reelt, at lokaliseringsoplysninger i forbindelse med data fra mobil heller ikke skal logges efter § 4.

I stedet henviser man til, at man alene har fået disse oplysninger, fordi TDC knyttede dem til sessionslogning (§ 5), selv om det ikke kræves iflg svaret på spm 16.

se selv her:

http://www.ft.dk/samling/20121/lovforslag/l142/spm/18/svar/1055567/12514...

Det betyder, at TDC frivilligt logger lokaliseringsoplysninger i forbindelse med dataforbrug fra en mobil. Og ifølge JMIN sker det i en samlet streng med sessionslogninger, selv om der er tale om to helt adskilte funktioner til registrering af sessioner og lokaliseringer.

Men JMIN har overset den fundamentale forudsætning, at teleselskaberne slet ikke må gemme trafikdata og hertil knyttede lokaliseringsoplysninger ifølge særdirektivet, hvis det ikke skal bruges til debitering eller det kræves logget. Det står højt og larmende i Direktiv om databeskyttelse inden for elektronisk kommunikation. Og det er i Danmark udmøntet i § 23 i udbudsbekendtgørelsen.

Så JMIN siger i virkeligheden, at TDCs og andre mobilselskabers logning af lokaliseringsoplysninger i forbindelse med dataforbrug fra en mobil er forbudt.

Konsekvensen er, at TDC og andre mobiludbydere straks må indstille denne logning.

Og DF har opnået det modsatte af det, som de ønskede.

Jeg er på flere punkter uenig med JMIN i deres fortolkning. Men de er jo de fremmeste til fortolkning af derers egne regler - og derefter haver vi os alle at rette.

Jeg har skrevet det til retsordførerne. Det er formentlig den største logivningsbommert i mange år.

  • 13
  • 0
ab ab

Men den ekstra registrering, som skulle gøre det muligt at se, om en borger besøgte for eksempel ekstremistiske hjemmesider

Det har aldrig - officielt - været hensigten med bekendtgørelsen, at det skulle være muligt at se, om en borger besøger ekstremistiske hjemmesider. Den slags overvågning har hidtil kun været noget, der har kunnet foregå i en politistat og i Karina Lorentzens politiske idékatalog.

Meningen med registreringen har været, at den skulle bistå politiet i at efterforske og retforfølge strafbare forhold jfr. ordlyden i §1:

§ 1. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal foretage registrering og opbevaring af oplysninger om teletrafik, der genereres eller behandles i udbyderens net, således at disse oplysninger vil kunne anvendes som led i efterforskning og retsforfølgning af strafbare forhold.

  • 6
  • 0
Jørgen Elgaard Larsen

Det er ikke kun kommisionen, der mener, at en revision af EU-direktivet har lange udsigter. Da IT-Politisk Forening havde en delegation i Bruxelles i Februar, talte vi med flere europaparlamentsmedlemmer, den danske repræsentation, og EDPS (EU's svar på datatilsynet). Der var ingen af dem, der forventede en revision foreløbig.

I det hele taget giver det ikke mening at vente på revision af EU-direktivet. Når det skal evalueres, vil man blandt andet se på nationale erfaringer - f.x. en dansk evaluering.

For dem, der gerne vil beholde sessionslogningen, er det bekvemt at gøre det til en hønen-og-ægget-situation: Danmark venter på EU og EU venter på Danmark. Resultat: Deadlock.

Men i virkelighedens verden er der intet i vejen for at foretage evalueringen i Danmark allerede nu. Tværtimod vil det give os mulighed for at få ekstra indflydelse på EU-processen.

Problemet er blot, at evalueringen kunne vise, at logningen ikke er nødvendig nok til at overtrumfe privatlivsbeskyttelsen i de europæiske menneskerettigheder. Det er lidt skidt, hvis man gerne vil have mere logning...

  • 11
  • 0
Jesper Lund

Det har aldrig - officielt - været hensigten med bekendtgørelsen, at det skulle være muligt at se, om en borger besøger ekstremistiske hjemmesider. Den slags overvågning har hidtil kun været noget, der har kunnet foregå i en politistat

Mission creep er ikke et ukendt begreb i forbindelse med overvågning.

Lad os tage Justitsministeriets egne udsagn om formålet med sessionslogningen fra redegørelsen i december
http://www.ft.dk/samling/20121/lovforslag/l142/bilag/2/1213533.pdf

På side 32 om formålet med sessionslogningen

Sessionslogning kan anvendes i forbindelse med ’intelligence-led policing’, som omtalt ovenfor under pkt. 5.2, og som efterforskningsredskab i sager om organiseret kriminalitet og terrorsager, hvor man er interesseret i at klarlægge en mistænkts eventuelle kontakt til ekstremistiske fora på internettet

Det operative ord her er "kan" (sessionslogningen har antageligt endnu ikke været anvendt til dette formål, og PET mener ikke at der er brug for sessionslogningen).

Der henvises til side 20 hvor der står

Anvendelse af loggede data som efterforskningsmæssigt styringsredskab kan bidrage til i en indledende fase at målrette indhentningen af data, der skal bruges bevismæssigt. Denne fase indeholder en analyse og profilering af den pågældende brugers (mistænktes) kommunikation – såkaldt ’intelligenceled policing’ – og er afgørende for et effektivt og ressourcebesparende politiarbejde. En sådan evidensbaseret tilgang til indhentelse af data vil give et overblik over den pågældende brugers kommunikationsmønstre, således at den efterfølgende efterforsknings- eller efterretningsmæssige indsats kan målrettes herefter.

Jeg synes det står ret tydeligt: profilering af den mistænkte borgers kommunikation, men vel at mærke en profilering som blev foretaget på et tidspunkt hvor der ikke var nogen mistanke mod borgeren.

Det må også anses for mission creep at den eneste dokumenterede "værdi" af sessionslogningen er sager om netbankindbrud (der er flere sager ala afsnit 5.4.3, har det vist sig), mens vi startede med terror som begrundelse for sessionslogningen..

  • 9
  • 0
Mogens Ritsholm

Det operative ord her er "kan" (sessionslogningen har antageligt endnu ikke været anvendt til dette formål, og PET mener ikke at der er brug for sessionslogningen).

Der var faktisk repræsentanter for PET, der var fortalere for sessionslogning under diskussionerne i ekspertgruppen i 2006-2007.

Og man mente ud fra sine kontakter med tilsvarende tjenester i andre lande, at de også ville indføre det. Jeg blev blandt andet belært om, at Sverige med sikkerhed ville indføre noget tilsvarende.

Derfor er det også lidt besynderligt, at det nu er PET, der er på tilbagetog, mens Rigspolitiet prøver at opretholde støtten til noget, der i realiteten alene var ønsket af PET.

Men det er nok mere spørgsmålet om prestigetab for den samlede etat end den faktiske brugbarhed, der dikterer holdningen.

  • 5
  • 0
Erik Haahr

I den svenske implementering af logningsdirektivet er http og ftp trafik specifikt undtaget fra logningskravet... Det fremgår desværre ikke hvorfor disse protokoller er undtaget, for det virker en smule ulogisk at logge al email trafik via imap, smtp og pop3, men ikke browser baseret email.

Men uanset begrundelse, så er det en forskel i implementering af det samme underliggende direktiv.

  • 0
  • 0
Mogens Ritsholm

I den svenske implementering af logningsdirektivet er http og ftp trafik specifikt undtaget fra logningskravet... Det fremgår desværre ikke hvorfor disse protokoller er undtaget, for det virker en smule ulogisk at logge al email trafik via imap, smtp og pop3, men ikke browser baseret email.

Men uanset begrundelse, så er det en forskel i implementering af det samme underliggende direktiv.

Jeg forstår ikke hvad du mener.

Sverige logger ikke internettrafik overhovedet, og det kræves heller ikke efter direktivet.

Men der er krav om logning af e-mail og IP-telefoni - men kun når disse udbydes som teletjenester. Det følger også af direktivet, og er dermed gennemført i både Danmark og Sverige (næsten).

Da kun televirksomheder kan være pligtsubjekter skal web-mail ikke logges, når det ikke udbydes af en televirksomhed. Og ren VoiP uden mulighed for samtrafik med alm. telefonnumre logges heller ikke. For det har slet ikke relation til udbydere af teletjenester. Det er simpelthen uden for reglernes rækkevide.

At sådanne IT-tjenester så alligevel logger spor er en helt anden sag. Det har intet med logningsreglerne for teletjenester at gøre.

Og FTP og HTTP trafik skal aldrig logges - bortset fra den særlige almene sessionslogning i DK - og kun DK. Det er jo applikationer på den basale IP transporttjeneste og dermed principielt netudbyderen uvedkommende, selv om internetudbyderen ofte af praktiske grunde leverer DNS-service.

  • 1
  • 0
Erik Haahr

I SFS 2012:128 ændres förordningen 2003:396 til at omfatte følgende to paragraffer vedrørende internettrafik:

42 § När det gäller meddelandehantering ska följande lagras:
1. avsändares och mottagares nummer, ip-adress eller annan meddelandeadress,
2. uppgifter om avsändande och mottagande abonnent och, i förekommande fall, registrerad användare,
3. datum och spårbar tid för på- och avloggning i den eller de tjänster som använts,
4. datum och spårbar tid för avsändande och mottagande av meddelande, och
5. uppgifter om den eller de tjänster som har använts. Förordning (2012:128).

43 § När det gäller internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform) ska följande lagras:
1. användares ip-adress,
2. uppgifter om abonnent och, i förekommande fall, registrerad användare,
3. datum och spårbar tid för på- och avloggning i tjänsten som ger internetåtkomst,
4. den typ av kapacitet för överföring som har använts, och
5. uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.

  • 1
  • 0
Mogens Ritsholm

Hej Erik

Din henvisning viser ikke hele forordningen med krav til teleudbydere i Sverige - men kun de tilføjede krav til logning.

Hvis du havde hele forordningen ville du se, at logningskravet kun er rettet mod teleudbydere - altså udbydere, der sælger transport af signaler på kommerciel basis. Det gælder endda kun offentlige udbydere.

Det betyder f.eks. af § 42 slet ikke retter sig mod gmail, da google ikke er en teleudbyder i Sverige. Måske hjælper det lidt på de spørgsmål, som du tidligere stillede.

vh

Mogens

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize