Venstre: Dansk telelogning er gået for vidt

Selvom Venstre var med til at indføre den omfattende telelogning af danskerne fra 2007, mener partiets it-ordfører, at det er gået for vidt. Han opfordrer til ny debat om reglerne.

Mens debatten nu i otte måneder har kørt om den hemmelige og omfattende amerikanske overvågning gennem NSA’s dataopsamling, har det statssanktionerede og helt offentlige danske modsvar, telelogningen, fået meget lidt opmærksomhed.

Det vil Venstres it-ordfører, Michael Aastrup Jensen, nu lave om på - selvom han selv var med til at indføre reglerne.

»Jeg tror, det er de færreste danskere, der ved, hvor meget der bliver logget gennem telelogning og så videre. Selvom vi i Venstre var i den regering, som gennemførte det, er vi meget kritiske over for det. Vi er nødt til at kigge på, om vi ikke gik for langt i vores mål om at bekæmpe terror. Jeg synes, vi er gået for langt,« siger han til Version2.

Den danske logningbekendtgørelse har været i brug siden 2007 og er den danske meget stramme fortolkning af fælles EU-regler om logning af teletrafik. I Danmark betyder reglerne, at oplysninger om alle opkald og sms’er registreres og gemmes i ét år. Men mere kontroversielt kræver de danske regler også, at løbende stikprøver af danskernes internettrafik skal gemmes med den såkaldte sessionlogning. I praksis betyder det for eksempel, at alle med en tændt smartphone løbende vil få deres position registreret via logningen.

Mens teleoplysningerne bliver brugt jævnligt af politiet til kriminalsager, har brugen af internetlogningen været næsten ikke-eksisterende. Samtidigt udgør disse data over 90 procent af den samlede mængde registreringer, der er løbet op i over 1.000 milliarder dataposter pr. år.

»At vi lagrer så mange milliarder oplysninger - og kun en meget lille promille af det bliver brugt - synes jeg er et retssikkerhedsmæssigt problem. Vi skal have en debat om, hvor meget nytte logningen har været til, og hvor meget af det der falder ind under det oprindelige formål, nemlig antiterror,« siger Michael Aastrup Jensen.

Efter politisk pres fra oppositionen udsendte Justitsministeriet i slutningen af 2012 en oversigt med eksempler på, hvordan logningdataene blev brugt. Der var kun ét eksempel på, at sessionlogning var blevet brugt i en sag, og den handlede om netbankindbrud.

»Det bliver brugt meget lidt og ikke til antiterror, men mod organiseret kriminalitet. Man kan sige, at målet helliger midlet, men det synes jeg ikke. Vi må kunne pinpointe, hvor der skal logges, og reducere den voldsomme mængde data, der bliver logget i dag,« siger it-ordføreren.

Du har jo selv været med til at indføre reglerne. Hvorfor er du nu imod telelogningen?

»Jeg har hele tiden været skeptisk, og den skepsis er vokset og vokset. Også Venstres folketingsgruppe er blevet mere opmærksom på problemet. Vi ved, at der er en terrortrussel mod Danmark, som vi skal sørge for at beskytte os imod. Men nogle gange er man nødt til at sige stop,« siger Michael Aastrup Jensen.

I maj 2013 tegnede der sig et alternativt flertal uden om regeringen for at afskaffe sessionlogning, med Enhedslisten, Venstre, Liberal Alliance og Dansk Folkeparti. Men Dansk Folkeparti sprang fra, og dermed faldt forslaget.

Læs også: Alternativt flertal smuldrer: Ubrugelig sessionslogning fortsætter

Et andet politisk slagsmål har været evalueringen af reglerne, som flere gange er blevet udskudt af regeringen. Der tegnede sig også i foråret 2013 et alternativt flertal for at tvinge en evaluering igennem, men også her faldt Dansk Folkeparti fra, da partiet fik lovning på en evaluering senest i slutningen af 2014.

Med SF’s udtræden af regeringen er den politiske situation ændret, og nye flertal kan opstå. Version2 arbejder på en kommentar fra SF om partiets holdning til tele- og sessionlogning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Ritsholm

Venstre vil have det afskaffet, mens SF og R er imod afskaffelse.

Lyder det ikke lidt mærkeligt.

Sessionslogning blev gennemtrumfet af PET dengang hvor politikerne troede på alt hvad der kom fra den kant.

Det er helt vildt og langt ud over hvad der logges i andre lande. NSA har for længst opgivet at gøre noget lignende, fordi det ikke kunne bruges til noget.

Men Danmark kører bare videre og logger mere data end NSA.

Alligevel har embedsværket hidtil overbevist de siddende ministre - senest Bødskov - om, at det er bedre at fortsætte fejlen end at indrømme den. Og da det ikke kan bruges, gør det ingen skade - lige bortset fra den økonomiske skade. Men det rammer jo ikke staten.

Det er en sag om embedsværkets magt over for Folketinget.

Derfor ender R, SF og V med synspunkter, der er unaturlige med deres respektive udgangspunkter.

Hvis V havde siddet i regering, havde embedsværket sikkert også overbevist dem om, at det var bedre at give aben videre til kommende justitsministre.

Kasper Hovgaard

En tænkt situation...

Journalist: Hvorfor ønsker regeringen at opretholde sessionslogning?
Justitsminister: Ifølge de risikovurderinger, der foreligger, har vi ikke på nuværende tidspunkt tilstrækkelig gode argumenter for at ændre sikkerhedsniveauet.
Journalist: Hvilke risikovurderinger drejer det sig om?
Justitsminister: Det kan jeg desværre ikke komme nærmere ind på.
Regringens sikkerhedsudvalg: Det kan vi desværre ikke udtale os om.
PET: Ingen kommentarer.

Jesper Høgh

Det er jo gratis og måske ligefrem sympativækkende for Venstre, at indrømme en fejl, som de véd, at regeringen ikke er til sinds at omgøre.

For regeringen derimod, taler det jo ikke dens sag, at den fastholder en åbenlys tåbelig lov.

Dette spin ville uden tvivl have haft større gennemslagskraft, hvis det havde været fremført af Birthe Rønn Hornbech, før hun skrottede sit image som Venstres samvittighed.

Iøvrigt skal man jo ikke regne med, at politiske udtalelser i dagens Danmark holder mere end ganske få minutter. Der har jo på det seneste vist sig en påfaldende stor omstillingsparathed hos danske politikere.
Ole Sohn overgås vidst kun af Karen Jespersen i disciplinen politisk sidespring.

Johannes Aagaard

@ Mogens Ritsholm,

Tak for dine kommentarer, som jeg altid læser med interesse. Jeg er helt enig i dine betragtninger om det mildt sagt spøjse forløb med opretholdelsen af det nuværende ret værdiløse regelsæt vedrørende sessionslogning, og redegørelsen fra Justitsministeriet/Rigspolitiet i 2013 understregede sådan set blot, at en revision var bydende nødvendig; hvilket altså ikke skete.

Jeg kunne dog godt tænke mig at stille dig et par spørgsmål:

Ud fra de gældende regler for logning af telefonidata, burde man så logisk set ikke tilstræbe at sidestille internettrafik med netop telefoni - det er jo til dels blot en kommunikation (og meget andet) på andre platforme end de gængse på telefoniområdet?

Er situationen ikke den i dag, at de store teleudbydere alligevel logger også sessionsdata meget dybt (på DPI-niveau) - formentlig for at kunne forholde sig til karakteren af brugernes udnyttelse af abonnementerne og for eventuelt at røre ved den såkaldte netneutralitet? (I USA er Netflix f.eks. i udbydernes søgelys, givetvis fordi Netflix i perioder udgør 30% af al internetaktivitet). Og bør staten så ikke kunne plukke i de data efter behov (læs lovhjemlet og med retskendelse), således at man - som på telefoniområdet - ideelt set kan tegne et billede af det såkaldte brugerspor, d.v.s. opkaldsaktiviteter, kontakter, lokationer m.v.?

Situationen er jo den, at mange af os helt frivilligt (men sjældent synderlig velreflekteret) giver slip på mange privatlivsdata i forhold til kommercielle udbydere - kontaktoplysninger, kontakter, anvendte services og sites, geografiske lokationer, kaldsaktivitet, browsing-signaturer, fotos med EXIF-data, m.v. For en stor dels vedkommende er disse serviceudbyderes tjenester lokaliseret i USA og dermed underlagt lovgivningen der.

Myndighederne i Storbritannien skulle i øvrigt efter sigende (Prism-lækagerne bl.a.) med lovhjemmel kunne lagre tre døgns internetbaserede indholdsdata og 30 dages metadata, hvilket jo m.h.t. detaljeringsgrad overtrumfer den danske lovgivning betydeligt.

Ville en britisk model give mening i dine øjne?

Mogens Ritsholm

Jeg kunne dog godt tænke mig at stille dig et par spørgsmål

Dit første spørgsmål afspejler sådan set ganske godt det første udkast til logningsbekendtgørelse, der blev sendt i høring i 2004.

Udkastet var ganske kort, og det bærende element var, at teleselskaberne skulle logge hvem, der havde været i kontakt med hinanden uanset om det var telefoni, internet eller mail.

Man var vant til at få sådanne teleoplysninger fra de digitale telefoncentraler. Og det ville man så også gerne have tilsvarende for internet, e-mail mv.

Sessionslogningen er sådan set udtryk for en fastholdelse af denne ambition.

Men den store fejltagelse heri er, at internet og e-mail slet ikke virker på samme måde som telefoni. Internet er bare en pakketransport mellem maskiner. De tjenester, der skaber kontakt ligger uden for nettet - f.eks. i mailservere. Så i Internettet ved man slet ikke hvem der kontakter hvem. Der er næsten ingen direkte kontakt mellem brugere på internet bortset fra tjenester som fildeling.

Derfor kan nettet ikke give anvendelige spor via logning.

Det er noget helt andet med telefonitjenesten, hvor nettet netop stiller slutkunderne sammen under et totalt samlet ansvar. Og nettet har derfor som en del af tjenesten fuld information om hvem der kontakter hvem - eller i hvert fald numrene.

Så dit spørgsmål er godt. For det rummer faktisk kimen til den monumentale fejltagelse, der resulterede i sessionslogning.

Det vidste PET godt. Men de forfulgte alligevel den umulige målsætning, og de henviste netop til Deep packet inspection, som man f.eks. dengang kunne udføre med Cisco netview.

Men det koster kapacitet, transport og opsamling, hvis en router skal logge 1 ud af 500 pakker. Og det binder med hensyn til mulige løsninger, der ikke bare bruger en Cisco router eller lignende. Og så er det som sagt overordnet nytteløst, da den direkte transport mellem IP-adresser ikke siger noget. Og slet ikke et år efter det er sket.

Deep packet inspection bruges til statistik og dirigeringsbeslutninger og ikke til indsamling af metadata. Og det er realtidshandlinger, der slet ikke belaster i samme grad som logning.

Jeg kender ikke noget til din omtale af UK-forhold. Men det er ihvertfald ikke logning hos teleselskaberne. Der er måske tale om "væsener som NSA"s ret til at koble sig på og analysere data med eget udstyr. Men det er et gæt fra min side.

Eller der er måske tale om et krav i en frivillig "code of practice", som internetudbydere i UK aftalte med home office for ca. 10 år siden. Dengang tilgik kunderne ofte internet via en proxy-server hos udbyderen. Og proxy-serverens havde derfor løbende kundernes DNS-valg i hånden. I denne code of practice var det aftalt, at DNS tracken skulle gemmes i 3 døgn.

Men brug af proxy-server forsvandt hurtigt med stigende trafik, og mig bekendt blev det aldrig realiseret. Den danske lov fra 2002 siger i øvrigt eksplicit, at DNS ikke skal logges.

Det blev et lidt langt svar, selv om jeg ikke er gået ganske dybt ned i det. Men overordnet er det efter min opfattelse retvisende.

Mogens Ritsholm

Deep packet inspection bruges til statistik og dirigeringsbeslutninger og ikke til indsamling af metadata. Og det er realtidshandlinger, der slet ikke belaster i samme grad som logning.

Måske ikke forklaret så tydeligt.

Men meningen er, at der enten tages en realtids dirigeringsbeslutning eller inspektionen tæller nogle trafiktællere op, hvorefter alt om den inspicerede pakke glemmes. Typisk er statistikfunktionerne temporære og omfatter kun et udvalg af pakkerne for ikke at føre til blivende belastning. Ligesom ved DSB trafiktællinger kan man måske sige.

Johannes Aagaard

Tak for svaret.

Jeg kan ikke rigtigt se, hvorledes anvendelse af DPI hos udbyderne ikke skulle indebære, at man indsamler data, som i - det mindste - et vist omfang også skulle omfatte metadata (i realiteten svarende til en del af de data, som er omfattet af den nuværende logningsbekendtgørelses §5).

Jeg er helt med på, at man ikke 1:1 kan sammenligne brugersporet for traditionel telefoni med IP-trafik, idet jeg dog ikke er i tvivl om, at teleudbyderne f.s.v. angår lokalisering, kan stedfæste også brugere af mobildata ned på celleniveau. Identificering af brugeren/abonnenten vil naturligvis også være på plads. Jeg er ligeledes med på, at kontaktsporet (hvem der eks. er e-mailet til eller chattet med - og med hvilke selektorer), får man naturligvis ikke/kan man ikke få fra teleudbyderen.

Som jeg kan forstå det her, så er der faktisk kun et par af folketingets politikere, der har blot en smule styr på, hvad sessionslogningen indebærer og hvilke muligheder og meget klare begrænsninger, der er i den forbindelse med myndighedsudøvelsen.

Det er skræmmende, at lovgivning på et sådan indgribende område som dette, dels ikke følges op fra både myndighedernes siden og fra politisk hold generelt med hensyn til lovgivningens anvendelse og nytteværdi, dels ikke justeres og korrigeres, når virkeligheden for længst har overhalet regelsættet.

Dét vi risikerer nu er, at man - ud fra et ekstremt uoplyst grundlag - fra politisk hold og de udøvende myndigheders side - begynder at kaste blikket på mulighederne for yderligere filtrering af bestemte trafiktyper (f.eks. senest nævnt TOR-browseren) helt ned på applikationsniveau, bortfiltrering af bestemte domæner, samt forbyder anvendelse af VPN-løsninger og proxier.

Det er et budskab, som jeg mener er meget væsentligt nu at formidle til politisk hold.

Mogens Ritsholm
Johannes Aagaard

For et års tid siden fulgte jeg en forespørgselsdebat og en høring angående bl.a. logningsreglerne, og da var det faktisk kun Pernille Skipper og Simon Emil Ammitzbøll, der havde en nogenlunde god forståelse for substansen i det her og i et vist omfang også kunne diskutere indholdet fornuftigt.

Alene det forhold, at man fra politisk hold ikke har kunnet formulere eksempelvis det, som denne tråd (i al beskedenhed) beskriver, samt ud fra andre gode artikler og debatter f.eks her på V2, er i mine øjne et udtryk for et nærmest totalt politisk kollaps.

Mogens Ritsholm

For et års tid siden fulgte jeg en forespørgselsdebat og en høring angående bl.a. logningsreglerne, og da var det faktisk kun Pernille Skipper og Simon Emil Ammitzbøll, der havde en nogenlunde god forståelse for substansen i det her og i et vist omfang også kunne diskutere indholdet fornuftigt

Venstre er også ganske godt inde i sagen, og der var faktisk et flertal for revision sidste år.

Men regeringen fastholdt sin modstand mod en revision uden reelle argumenter. Og så sprang DF i målet.

Det kan man egentlig ikke laste dem. For når regeringen med hele apparatet i ryggen fastholder nytteværdien af sessionslogning, kan man som oppositionsparti godt forlade sig på det, selv om man er skeptisk.

Men det understreger samtidigt den daværende regerings - og især Bødskovs - ansvar, hvis det ikke holder.

Log ind eller Opret konto for at kommentere