I snart seks år har danske teleselskaber skullet registrere alle danskernes internettrafik mere finkornet end i noget andet EU-land, nemlig gennem den såkaldte sessionslogning, hvor data om hver 500. pakke i internettrafikken skal gemmes i et år.
Men reglerne var forfejlede, allerede da de blev indført i 2007, og i dag giver de endnu mindre mening, lyder det fra Mogens Ritsholm, som var telechef i TDC frem til 2009 og dermed med ved forhandlingerne, dengang reglerne blev lavet.
I dag er han pensionist, men har engageret sig i diskussionen om sessionslogning, fordi han mener, det er et frygteligt spild af ressourcer - samtidig med at reglerne gør det svært for mindre konkurrenter at udfordre de store teleselskaber.
»Det generer mig ad helvede til, at jeg har været med til at indføre reglerne dengang. Men jeg var omringet af jurister, som ikke fattede noget, og jeg kunne ikke gøre noget ved det. Det var en forfejlet idé fra starten af, men det stod ikke til at ændre dengang,« siger han til Version2.
Nu vil han gøre sit for at få stoppet den omfattende registrering, som har vist sig ikke at blive brugt i praksis.
»Samfundet bruger 50-100 millioner kroner hvert år på sessionslogning. Og efter snart seks år med det, kan Justitsministeriet og politiet kun komme med ét eksempel på, at de har haft brug for det. Samtidig vokser mængderne af registreringer, fordi trafikken på internettet vokser,« siger Mogens Ritsholm.
Ville logge al dansk internettrafik
Logningsbekendtgørelsen, som trådte i kraft i september 2007, pålægger teleselskaberne at registrere telefonaktivitet, inklusive en mobiltelefons position, når den bliver brugt. På samme måde bliver en mobiltelefon, som forbinder til netværket for at hente data, registreret med position. Det giver politiet et fintmasket billede af, hvor en telefon har været på et bestemt tidspunkt, og disse data bliver tit brugt i kriminalsager.
Men ud over den ’klassiske’ telelogning indførte man også den såkaldte sessionslogning, som skulle give politi og efterretningsvæsen et billede af, hvad en person brugte internettet til. For eksempel om en mistænkt havde besøgt hjemmesider med bombeopskrifter eller terroropfordringer.
Ifølge reglerne skal teleselskaberne gemme IP-adresser og portnumre for den første og sidste pakke i hver session på nettet, men kan også vælge at registrere hver 500. pakke, hvilket de fleste valgte at gøre i stedet, blandt andet fordi det var svært at definere, hvornår en internetsession er slut.
»Reglerne blev diskuteret lige efter bomberne i London. Man var forskrækket over udsigten til terror, og politikerne ville hjælpe politiet mest muligt. Man ville have samme slags registrering for internet som for telefoni, men forstod ikke, at det fungerer helt anderledes på internettet,« forklarer Mogens Ritsholm.
Faktisk ville Justitsministeriet oprindelig have al trafik på internettet registreret, men endte med kompromiset om første og sidste pakke, samt at teleselskaberne kun skulle registrere trafik ud af deres netværk til andre udbydere, altså ikke intern trafik mellem egne kunder.
»Vi kunne påvise, at hvis man i et stort net som hos TDC eller andre store teleselskaber skulle registrere alt det om alle kunder, ville det kræve en mur omkring kunderne, som nemt ville blive en milliardudgift. Så vi fik et kompromis, så det ikke blev helt uoverstigeligt dyrt,« siger Mogens Ritsholm.
Denne skelnen betød, at det i mange år i praksis kun var de mindre internetudbydere, som viste præcist, hvilke pakker der hørte til hvilke kunder - alle andre samlede pakker ind i én stor pærevælling.
Giver mindre og mindre mening
Men selv efter de værste tekniske problemer er blevet overvundet - nogle steder - er sessionslogningen stadig værdiløs, mener den tidligere telechef.
»Man registrerer nogle spor af, hvilke IP-adresser, du har været i direkte kontakt med. Men det er jo ikke særligt interessant i dag. Når du sender en e-mail, sker det jo via en e-mail-tjeneste, så det siger intet om selve den e-mail. Og jo mere, man bruger skyen, jo mindre interessant bliver det. Så kan du bare se, at du har brugt en tjeneste i skyen, ikke hvad du har gjort der,« siger han.
IP-adresser er heller ikke en statisk størrelse, så det kræver i princippet en historisk oversigt over alle IP-adresser, hvis man vil bruge de loggede data til noget seriøst, pointerer han. Og med Virtual Network Operator (VNO), hvor al trafikken går til et bestemt netværk, før den sendes videre, vil sessionslogningen overhovedet ikke kunne vise noget om en persons internettrafik.
Problemet i den politiske debat har været en sammenblanding af de forskellige former for logning. Når Justitsministeriet skriver i redegørelsen om logningsreglerne fra december 2012. om, hvordan sessionslogning blev brugt til at identificere en gerningsmand til et røveri, er det en misforståelse.
Der er nemlig ingen geografiske data gemt i sessionsloggen - kun i den almindelige internetovervågning - hvilket Justitsministeriet også måtte bekræfte i et svar til Pernille Skipper fra Enhedslisten, der kom torsdag den 16. maj.
»Justitsministeriet kan ikke sætte foden rigtigt, når de skal beskrive reglerne. De kender det ikke godt nok, for de bruger jo ikke selv sessionslogning til noget. Konklusionen bliver hver gang, at man hellere må lade være med at ændre på noget,« siger Mogens Ritsholm.
Logningsbekendtgørelsen skulle oprindeligt have været igennem en evaluering i 2009, men den er blevet udskudt flere gange. Nu vil regeringen udskyde denne evaluering igen, til om to år, med lovforslag 142, der er på vej igennem Folketinget. En betænkning om at få stoppet sessionslogningen fandt flertal hos oppositionen, inklusive Enhedslisten, men så skiftede Dansk Folkeparti mening og vil nu ikke stemme for betænkningen.
»Dansk Folkeparti sprang fra med en begrundelse om, at det var vigtigt for dem, at man kunne følge en mobil rundt. Men det har intet med sessionslogning at gøre,« siger den tidligere telechef.
Samtidig er der ikke meget lyst til at tage emnet op i regeringskontorerne, fordi hele konceptet har været en fejl fra starten, mener Mogens Ritsholm.
»Justitsministeren prøver at feje det ind under gulvtæppet, for hvis man stopper sessionslogning nu, har man brugt mange hundrede millioner kroner på det hos teleselskaberne, uden at det kunne bruges til noget. Det er en skandale, men den bliver kun større, hvis man ikke stopper det nu,« siger han.
I 2009 var der samlet 400 milliarder registreringer sammen om danskernes internetfærden - som altså ikke rigtigt er blevet brugt. I dag vurderer Mogens Ritsholm, at tallet er mindst 2.000 milliarder registreringer.
»Det er en belastning for hele telebranchen, for det er dyrt at indføre, det skal tænkes med i hver eneste opgradering, og det betyder, at der er nogle systemvalg, du ikke kan tage. Og så kan det afskrække mindre firmaer fra at gå ind på telemarkedet og dermed gå ud over konkurrencen,« siger han.