Tale af Jesper Lund på IT-Politisk Forenings grundlovsmøde 2014
Tale holdt af næstformand Jesper Lund på IT-Politisk Forenings grundlovsmøde 5. juni 2014, kl. 14:30, på Amager Fælled. Video med talen følger senere.
I dag er det grundlovsdag, og efter traditionen fejrer vi at den danske befolkning i 1849 fik mulighed for selv at vælge magthaverne ved frie valg, og at den enkelte borger fik en række frihedsrettigheder i forhold til staten.
Grundlovens § 72 sikrer at boligen er ukrænkelig og at der ikke må ske indgreb i meddelelseshemmeligheden uden retskendelse. Man skal dog lige huske at læse den indskudte sætning ”hvor ingen lov hjemler en særegen undtagelse”.
Disse ”helt særlige” undtagelser er der i dag cirka 200 af, så i forhold til Folketingets lovmaskine er retten til privatliv nærmest blevet en undtagelse.
Men heldigvis får vi hjælp fra anden hånd. Vi har den Europæiske Menneskerettighedskonvention, som er indarbejdet i dansk lov, og EU-traktaten indeholder et Charter om Grundlæggende Rettigheder, hvor privatliv og beskyttelse af persondata indgår.
Med Lissabontraktaten fra 2009 er det fastslået at al EU-lovgivning skal respektere Charter om Grundlæggende Rettigheder, og det samme gælder for EU's medlemsstater, når de implementerer EU-lovgivning.
Der er tradition for at grundlovstaler hos IT-Politisk Forening kommer ind på logningsbekendtgørelsen, som nok det værste overgreb i nyere tid mod vores ret til privatliv. Det vil denne tale naturligvis også gøre, og emnet er højaktuelt.
I mandags var der samråd i Retsudvalget. Enhedslisten havde bedt regeringen redegøre for hvad den agtede at gøre med den danske logningsbekendtgørelse efter at EU-domstolen den 8. april havde erklæret EU's logningsdirektiv ugyldigt.
På samrådet trak Justitsministeren en kanin op ad hatten: sessionslogningen ville blive afskaffet i løbet af ganske få dage. Det bliver vist først senere på måneden, så vi bliver stadig sessionslogget i dag når vi står her på Amager Fælled med vores smartphones.
Men derudover agtede regeringen ikke at flytte et komma i logningsbekendtgørelsen på nuværende tidspunkt. Det må vente på den revision af logningsreglerne, som Folketinget tidligere har forpligtet sig til at gennemføre næste år.
Justitsministeren mente at vi skulle være glade for afskaffelse af sessionslogningen, og talerne ved dagens grundlovsmøder blev nærmest beordret til at fremhæve det i deres skåltaler. Jeg skal nok opfordre til at skåle senere, men det bliver ikke på grund af afskaffelse af sessionslogningen.
Det skyldes ikke at jeg er utaknemmelig, og at jeg ikke er glad for at der ikke længere bliver registreret en oplysning om os 1-2 gange i minuttet, men nu ”kun” hvert 10. minut.
Hvis det var sket i 2013, ville jeg nok have jublet, endda uden at Justitsministeren havde beordret mig til det.
Dengang var der i foråret 2013 udsigt til en afskaffelse af sessionslogningen, fordi Justitsministeriet havde produceret en selvevalueringsrapport der viste at politiet var ude af stand til at bruge oplysningerne til noget. Det var kun lykkedes Justitsministeriet at finde en sag om et netbankindbrud, hvor sessionslogningen havde spillet en meget perifer rolle.
Men i sidste øjeblik sprang Dansk Folkeparti fra, fordi de fik et løfte om at sessionslogningen ville blive brugt mere i fremtiden. Når udgangspunktet er 0 sager, har man heller ikke lovet DF for meget på dette punkt.
Så hvorfor var jeg skuffet i mandags over det kun var sessionslogningen som blev afskaffet? Det skyldes EU-domstolen som den 8. april 2014 tændte et lys, nej en stor fakkel, og i den danske overvågningsformørkelse ved at annullere EU's logningsdirektiv.
Før der kommer en dom fra EU-domstolen bliver der offentliggjort en udtalelse fra generaladvokaten, så det var ikke helt uventet at domstolen ville erklære logningsdirektivet for helt eller delvist ugyldigt. Men måden som det skete på, dommens præmisser (altså begrundelser), var overraskende.
EU-domstolen sagde nemlig at indsamling af tele- og internetoplysninger om alle borgere i sig selv er et indgreb i retten til privatliv, og dommen bruger faktisk ordet ”overvågning” i denne forbindelse.
Fra politikere hører vi ofte argumentet at logning alene er en uskyldig registrering, at det bliver først overvågning når politiet kigger på vores oplysninger efter at have indhentet en dommerkendelse.
Det lyder som en strid om ord, men der er tale om en meget vigtig forskel. Det er forskellen mellem selektiv overvågning af konkrete mistænkte personer og masseovervågning af hele befolkningen.
Dommen siger videre at fordi logningsdirektivet omfatter alle borgere, på alle geografiske områder og på alle tidspunkter, uden nogen hensyntagen til om disse personer nogensinde vil komme under mistanke for alvorlig kriminalitet, så kan logningskravene i direktivet ikke være proportionale i forhold til borgernes ret til privatliv. Det gælder uanset at disse logningsregler er indført med det legitime formål at bekæmpe terror og anden alvorlig kriminalitet.
Præmis 57-59, som jeg har refereret her, var det som virkelig tændte et lys i mørket, fordi de rækker langt ind i de nationale logningslove, også den danske logningsbekendtgørelse. Danmark har nogle retssikkerhedsgarantier om adgang til logningsoplysningerne, ligesom de øvrige EU-lande har det, men i alle EU-lande er der tale om logning af hele befolkningen, altså masseovervågning. Det ligger i logningens natur at den skal omfatte alle.
Så der var lagt i kakkelovnen til den danske logningsbekendtgørelse inden samrådet i mandags. Hvad ville Justitsministeren gøre ved præmis 57-59, der virkede som en uoverstigelig hurdle for at fortsætte med masseovervågning i en retsstat, hvor borgernes grundlæggende rettigheder til privatliv og persondatabeskyttelse naturligvis skal respekteres?
Det er velkendt at Justitsministeriets embedsmænd er glade for logning. I virkeligheden er det nok embedsmændene, snarere end politikerne, som har fået ideen om logning. Det vil også forklare hvorfor skiftende justitsministre fra forskellige partier har ment præcist det samme om logning i de sidste 15 år.
Selv om 9/11 altid fremhæves som begrundelse for logningen, var de grundlæggende ideer, og sågar det totalt meningsløse sessionsbegreb for kommunikation via internettet, beskrevet i en betænkning fra 1999.
Til samrådet i mandags havde de skarpe embedsmænd i Justitsministeriet skrevet et 30-siders notat med en meget snæver fortolkning af dommen. Embedsmændene havde selvfølgelig også læst præmis 57-59, og de var klar over at den danske logningsbekendtgørelse omfattede alle borgere, på alle steder, på alle tidspunkter.
Men præmis 57-59 var blot et af tre elementer i EU-domstolens vurdering, sagde Justitsministeriet i notatet, og det var uklart hvilken vægt man skulle tillægge de enkelte elementer.
Derfor var der, mente Justitsministeriet, ikke grundlag for at antage, at de danske logningsregler skulle være i strid med EU's Charter om Grundlæggende Rettigheder.
Sagt med andre ord: der var tvivl om fortolkning af EU-dommen, og denne tvivl skal naturligvis komme masseovervågningen til gode. Det er et bekvemt synspunkt, specielt i et land som Danmark hvor det er nærmest umuligt at sagsøge staten, hvis man mener at staten krænker borgernes grundlæggende rettigheder.
Når sessionslogningen så alligevel bliver ophævet, skyldes det ikke at den er særligt indgribende i vores ret til privatliv. På ingen måde.
Det skyldes alene at sessionslogningen ikke virker, hvilket hele Danmark har vidst siden Justitsministeriets selvevalueringsrapport blev offentliggjort i december 2012.
Og internt i Justitsministeriet har man faktisk vidst det i 10 år, altså inden reglerne om sessionslogning overhovedet trådte i kraft den 15. september 2007.
Under samrådet fremhævede Justitsministeren at logning var en rigtig god ide. Det skal være muligt at gå tilbage i tiden og se hvem vi har ringet og sms'et til, hvor vi befandt os (de såkaldte masteoplysninger), og sågar hvad vi har lavet på internettet. Det sidste lyder som sessionslogning, hvis det teknisk kan lade sig gøre.
Ministeren kunne slet ikke forestille sig en situation, hvor politiet ikke havde adgang til disse oplysninger. Det er ellers situationen i Tyskland, efter at forfatningsdomstolen smed deres logningslov ud i 2010, og mig bekendt har Tyskland ikke udviklet sig til et mekka for kriminalitet fordi politiet mangler dette redskab. Sverige og Norge har også opgivet logning efter EU-dommen.
Så på trods af den banebrydende dom fra EU-domstolen er vi reelt ikke kommet videre i den danske politiske debat om logning. Justitsministeren ser det alene som en nyttigt redskab for politiet, og hvad der skal logges handler alene om hvad der er teknisk muligt, og måske hvad det koster.
Når logningsreglerne skal revideres i næste folketingssamling, snakker Justitsministeren alene om at logge flere oplysninger, ikke færre. Den retorik har vi hørt mange gange før, og vi ved at Justitsministeriet har planerne liggende i skuffen for endnu mere logning. De har kigget på valideret brugerregistrering på WiFi hotspots og brugen af VPN og Tor.
Vi kan roligt tale om en ideologisk modsætning mellem retten til privatliv for borgere der formodes at være uskyldige indtil det modsatte er bevist og det totalovervågede kontrolsamfund. En modsætning som vi utvivlsomt kommer til at høre meget mere til i de kommende år.
Men denne tale skal ikke kun handle om logningsbekendtgørelsen. Der er andre end den danske stat som overvåger os.
Vendingen ”ikke grund til at tro” har regeringen brugt hyppigt i det sidste års tid. Det var ikke bare på samrådet i mandags.
For præcist et år siden, den 5. juni 2013, offentliggjorde The Guardian de første artikler om NSA's omfattende overvågning af borgere i hele verden, men især uden for USA. Den 5. juni 2013 stiftede vi bekendtskab med PRISM, UPSTREAM, og i de kommende måneder med mange andre mystiske forkortelser på dokumenter med dårlig Powerpoint grafik.
Få dage efter de første afsløringer trådte kilden til det hele frem. En ægte whistleblower som Daniel Ellsberg i starten af 1970'erne. Edward Snowden havde kopieret et stort antal dokumenter fra NSA's arkiver, og overdraget dem til journalisterne Glenn Greenwald og Laura Poitras. Kun Snowden ved præcist hvor mange dokumenter der er tale om. NSA er ikke klar over det.
I IT-Politisk Forening er vi ofte blevet beskyldt for at være paranoide, og vi er blevet bedt om at finde sølvpapirhatten frem. Men om noget viser Snowden afsløringerne at vi slet ikke har været paranoide nok.
Sæt hvis man for et år siden havde beskyldt NSA for bevidst at undergrave krypteringsstandarder på internettet, betale firmaer som RSA penge under bordet for at ødelægge deres krypteringssoftware, og gøre os til nemme ofre for organiseret kriminalitet, blot for at det skulle være nemmere for NSA at aflytte os. Det er da for langt ude, ikke... ”Har du husket at tage dine piller?”, ville de fleste nok sige. Men i dag ved vi at det er sandt. Det er dokumenteret af Snowden papirerne, og NSA har bekræftet det.
Det blev ret hurtigt klart at NSA ikke arbejdede alene. Snowden dokumenterne indeholdt også oplysninger om samarbejde med andre lande, og Danmark er jo kendt som en af USA's gode venner, takket være krigen mod terror.
Så naturligvis blev regeringens spurgt, af folketingsmedlemmer og journalister, om NSA's overvågning også omfattede danske borgere, og om den danske stat samarbejdede med NSA.
Spørgsmålet er stillet på mange måder, men svaret har altid være det samme: der er ikke grund til at tro, at der sker ulovlig overvågning af danske borgere.
Bemærk at der altid bliver spurgt til overvågning og svaret med ulovlig overvågning. Og denne spidsfindige forskel udgør faktisk en stor del af problemet, for meget af den overvågning som NSA og GCHQ, den britiske efterretningstjeneste, foretager er formentlig ”lovlig” i den gængse juridiske forstand.
Grundloven og dansk lov om meddelelseshemmelighed gælder i Danmark, men den beskytter ikke vores kommunikation når den passerer en landegrænse.
Folketinget bevilger hvert år penge til at Forsvarets Efterretningstjeneste kan overvåge udlændinge uden retskendelse, og andre lande gør selvfølgelig det samme. Uden for Danmark, enten fysisk eller virtuelt i et fiberoptisk kabel, er vi udlændinge.
Sådan har det altid været, og for 30-40 år siden var det måske ikke noget stort problem. Det kostede 25 kroner i minuttet til KTAS at ringe til udlandet, og det begrænsede selvsagt kommunikationen på tværs af landegrænser.
Men internettet har som bekendt forandret det. Det er nærmest umuligt at foretage sig noget på internettet uden at generere trafik som passerer en landegrænse.
Selv et besøg på den pæredanske hjemmeside for Danmarks Radio genererer trafik til udlandet, fordi dr.dk indeholder diverse tracking elementer fra Google og Facebook. Og når Google eller Facebook bliver orienteret, bliver NSA også orienteret. Det har Snowden papirerne også dokumenteret.
En positiv ting ved NSA overvågningen og Snowden afsløringerne er at de, om noget, har rebootet den danske politiske debat om overvågning og privatliv.
Lovforslaget om Center for Cybersikkerhed er et godt eksempel på dette. IT-Politisk Forening skrev et høringssvar om dette lovforslag i foråret, og det var et lovforslag med en nærmest uhæmmet indgriben i danskernes ret til privatliv. Groft sagt skulle Center for Cybersikkerhed under FE have mulighed for at opstille ”sorte bokse” på internettet, som skulle registrere al trafik til/fra samfundsvigtig infrastruktur. Det lyder som elastik i metermål.
Også indholdet at trafikken skulle registreres, ikke bare de såkaldte metadata, som bliver registreret med logningsbekendtgørelsen.
Og naturligvis uden dommerkendelse. Husk at grundlovens § 72 bare kræver at der er et lovgrundlag som hjemler en særegen undtagelse.
Det var et rigtigt skidt lovforslag, men de grundlæggende beføjelser til Center for Cybersikkerhed var identiske med dem som et enigt folketing havde givet GovCERT tre år tidligere.
Da denne lov blev vedtaget i 2011 var GovCERT ganske vist en civil myndighed under IT- og Telestyrelsen, men den nuværende regering flyttede GovCERT til Forsvarsministeriet og FE uden at nogen i Folketinget protesterede mod dette.
Men i marts rullede protesterne mod Center for Cybersikkerhed, både på Christiansborg og i medierne. Forsvarsministeriet måtte i gang med damage control, og alle som havde skrevet høringssvar blev indkaldt til et hemmeligt møde, hvor ledende embedsmænd prøvede at fortælle os hvad lovforslaget i virkeligheden gik ud på.
Det endte med et politisk forlig mellem regeringen og Venstre, DF, KF og SF, så der kommer et Center for Cybersikkerhed med vidtgående beføjelser. Men en række af de kritiske bemærkninger i høringssvarene fra bl.a. IT-Politisk Forening førte til ændringer af lovforslaget, så vores arbejde har ikke været nyttesløst. På nogle punkter får Center for Cybersikkerhed faktisk færre beføjelser end GovCERT har i dag.
Se & Hør skandalen, eller Nets skandalen som vi burde kalde den, har også været en stor hjælp for privatlivsdebatten i Danmark. Det kommer ikke bag på IT-kyndige at centrale databaser med persondata udgør en sikkerhedsrisiko, og at det kun er et spørgsmål om tid før oplysningerne bliver misbrugt.
Men det er selvfølgelig en abstrakt diskussion. Det virker meget mere overbevisende, når medierne rapporterer at Se & Hør med hjælp fra en tys-tys kilde hos Nets kan overvåge kendte danskeres færden via deres brug af kreditkort, specielt hvis det ligefrem rammer kongehuset eller politikerne selv.
Så takket være datasløseriet hos Nets er vi kommet til at diskutere alternativer til den danske model for persondata, hvor alle vores personfølsomme oplysninger ligger trygt og godt i store centrale siloer og bare venter på at blive misbrugt.
Var ord som kryptering, pseudonymisering og privacy-by-design kommet på banen i den offentlige debat uden hjælp fra Nets og Se & Hør? Jeg tvivler.
Men debatten handler stadig for meget om enkeltsager. Vi kradser kun i overfladen af problemet med at sikre vores privatliv mod truslen fra centrale databaser. Det er ikke nok at lukke Se & Hør eller smide et par personer i fængsel, som der er lagt op til.
Og vi må også konstatere at mens alle kritiserer Nets og datasikkerheden omkring kreditkort, er staten i fuld gang med at opbygge nye unødvendige centrale systemer med personfølsomme data.
Vores gode gamle klippekort, der kan købes kontant og bruges anonymt, skal erstattes med rejsekort, hvor detaljerede oplysninger om hver eneste rejse gemmes under vores CPR-nummer i 5 år.
Og vores gode gamle el-målere skal erstattes med ”intelligente el-målere” der kan fjernaflæses. Det bliver præsenteret for borgerne som noget der er NEMmere, og sådan var det også med dankortet i stedet for kontanterne.
Men fordi der ikke er tænkt privatliv ind i hverken kreditkort eller el-målere, bliver det først og fremmest NEMmere at overvåge os. En aflæsning af el-forbruget hver time, som der er lagt op til, vil sige en hel del om hvornår vi er hjemme, og hvornår vi står op om morgenen.
Men selv om samrådet i mandags om logningsbekendtgørelsen var en stor skuffelse, har det forløbne år siden sidste grundlovsmøde givet grobund for en forsigtig optimisme.
Snowden har måske ikke gjort det store indtryk på Folketinget, men medierne har fået interesse for at skrive om privatliv. Og det er vigtigt. For politikerne læser aviser, hører radio og ser TV. Og de er på Twitter det meste af døgnet sammen med journalisterne.
I forhold til privatlivet er det også positivt at EU har indflydelse på en stor del af dansk lovgivning. EU, og i særdeleshed Europaparlamentet, tager i langt højere grad end Folketinget hensyn til grundlæggende rettigheder som privatliv og persondatabeskyttelse når der vedtages ny lovgivning.
Et godt eksempel er forslaget om en ny persondataforordning i EU, som skal erstatte den danske persondatalov. Den danske regering er bange for at borgerne skal få for mange rettigheder, og at vi skal til at give samtykke når vores data skal behandles i den offentlige sektor. Det kan lægge hindringer i vejen for den offentlige tvangsdigitalisering hen over hovedet på borgerne, og samtykkekrav kan skabe problemer for regeringens storstilede plan om at sælge vores sundhedsdata til medicinalindustrien.
Det var også Europaparlamentet som stoppede ACTA og truslen mod vores frihed på internettet for to år siden, og det er Europaparlamentet som har holdt høringer om NSA's overvågning af europæiske borgere, mens medlemmerne af Folketinget med enkelte undtagelser har koncentreret sig om nye variationer af ”der er ikke grund til at tro” ordspillet.
Hvis vi senere på året får lovgivning om netneutralitet med det formål at sikre et frit og åbent internet, bliver det på grund af Europaparlamentet, ikke Folketinget.
Selv om det på falderebet kom til at handle om EU, skal min tale på denne traditionsrige dag naturligvis afsluttes med en opfordring til at udbringe en skål for den danske grundlov og for vores ret til privatliv, som vi fortsat skal kæmpe for.