Notat om JM sessionslogning 2015

Notat udleveret på møde med Justitsministeriet den 3. februar 2015

IT-Politisk Forening om revision af logningsreglerne

IT-Politisk Forening værdsætter, at vi denne gang inddrages tidligt i drøftelserne om revision af logningsreglerne. Vi har i foreningen studeret de spørgsmål, som Justitsministeriet ønsker at der tages udgangspunkt i.

Hvem skal være forpligtet til at logge oplysninger?

Vi mener ikke, at nogen skal forpligtes til at overvåge medborgere, som en domstol ikke har fundet grundlag for at mistænke for en forbrydelse. Den nuværende logningsbekendtgørelse forpligter teleselskaberne til masseovervågning af alle borgere på statens vegne.
justit

Hvem skal der logges oplysninger om?

IT-Politisk Forening er modstander af en logning, der (som den nuværende ordning) omfatter alle borgere, på alle steder, og alle tidspunkter. Det er masseovervågning, som vi hele tiden har været politisk modstander af.

I forhold til retten til privatliv i EMRK og Charter om Grundlæggende Rettigheder, har vi løbende undret os over, hvordan denne masseovervågning kunne være en proportional indskrænkning af retten til privatliv. Dommen fra EU-domstolen om logningsdirektivet den 8. april 2014, og de efterfølgende kendelser ved de nationale domstole i Østrig, Slovenien, Rumænien og Polen i 2014 der helt eller delvist har underkendte landenes respektive logningslove, har kun bestyrket os i denne undren.

Hvis teleselskaber eller andre skal forpligtes til at gemme oplysninger om borgere, skal denne forpligtelse være målrettet mod konkrete mistænkte, og en dommer skal have vurderet grundlaget for mistanken. Det må ikke være et indgreb som har karakter af masseovervågning ved at det omfatter alle borgere, uanset at disse borgere ikke har nogen forbindelse til grov kriminalitet.

Skal logningsforpligtelsen gælde både tele- og internetkommunikation, og hvilke oplysninger herom skal logges?

Vi mener ikke at teleselskaberne, eller andre virksomheder, skal forpligtes til at registrere oplysninger om alle borgere, når det eneste formål er at politiet skal kunne få adgang til oplysningerne. Teleselskaberne skal kun registrere trafikdata for tele- eller internetkommunikation, hvis disse oplysninger skal bruges til afregning med kunderne, eller hvis der er et netværksteknisk behov for dette.

Oplysninger om hvilke websteder (IP adresser) som borgerne besøger (som i den tidligere sessionslogning), og masteoplysninger der afslører hvor borgerne befinder sig, skal ikke registreres under nogen omstændigheder. Disse oplysninger er meget indgribende i retten til privatliv, fordi de giver mulighed for at tegne præcise profiler af borgerne.

Hvor lang skal opbevaringsperioden for loggede oplysninger være, og skal der gælde den samme periode for alle typer oplysninger?

Hvis der med "loggede oplysninger" menes den slags logning af uskyldige borgere, som er foregået siden 2007, så er det mindre vigtigt hvor lang perioden er. Indgrebet i vores ret til privatliv sker i samme øjeblik vores private færden logges. I det øjeblik har vi allerede mistet kontrollen over vores private data. Vi finder det principielt forkert at staten tvinger borgerne til at skulle stole på at internetudbydere, hoteller, campingpladsejere, værtshusholdere, busselskaber og arrangører af politiske folkemøder kan og vil opbevare vores private data på betryggende vis og sørge for, at de slettes straks den lovbestemte logningsperiode udløber.

Hvis vi borgere vil undgå det tab af kontrol over egne data, der sker ved logningen, kan vi ikke forlade os på kortere perioder, eller på garantier, forsikringer og kontrol af logningsdata. Vi må enten tage tekniske forholdsregler, ved hjælp af for eksempel kryptering og anonymiseringssytemer, eller undvære nogle af bekvemmelighederne, som den moderne teknik kunne have givet.

Heldigvis er der mange af IT-Politisk Forenings medlemmer, der har forudsætningerne for at kunne modstå overvågningen i et vist omfang. Men det gælder ikke for hele befolkningen. Til gengæld har kriminelle og terrorister ekstra gode forudsætninger for at undgå overvågning. De behøver ikke at kommunikere særlig meget for at begå deres forbrydelser, og de står ikke tilbage fra eksempelvis at stjæle mobiltelefoner og computere, eller endda begå identitetstyveri.

Sessionslogningen, som efter syv år blev afskaffet i 2014 har da heller ikke bidraget nævneværdigt til opklaring eller afværgning af alvorlige forbrydelser. Vi formoder, at man forventer at en ny overvågning vil være mere effektiv. Selv hvis det er tilfældet, vil det være en stakket frist, for de kriminelle er også fulgt med den tekniske udvikling de sidste syv år. På grund af ikke kun syv års europæisk logning, men især også den grænseoverskridende overvågning, som Edward Snowden har afsløret, er et stigende antal mennesker, også danskere, begyndt at tage deres forholdsregler mod den altomfattende overvågning. Det gør det meget lettere for kriminelle at få adgang til teknologier, der gør al logning ganske forgæves.

Når man behandler alle borgere som kriminelle, så gør man det samtidig nemmere for de kriminelle at skjule sig i mængden. I demokratiske samfund bliver de fleste forbrydelser opklaret med hjælp fra befolkningen fordi den har tillid til politiet og retssystemet. Massiv overvågning er med til at undergrave den tillid.

Alternativer til logning af alle borgere

Det er vores, og mange andres, vurdering, at en logning som omfatter alle borgere, uden nogen forbindelse til grov kriminalitet, ikke er forenelig med præmis 58+59 i EU-dommen. Hvis teleselskaberne skal kunne forpligtes til at gemme oplysninger, som de ikke af egen drift og forretningsmæssige hensyn ville have gemt, skal dette indgreb være målrettet mod konkrete mistænkte personer, eller der skal være tale om oplysninger, som har en direkte sammenhæng til en konkret grov forbrydelse der er begået. Når forpligtelserne for teleselskaberne omfatter alle personer, og ikke er målrettet mod konkrete hændelser med grov kriminalitet, er det masseovervågning som efter vores opfattelse ikke er proportional.

I stedet for masseovervågningen med de nuværende logningskrav, vil vi opfordre til at Justitsministeriet i forbindelse med evalueringen af logningsreglerne undersøger målrettede alternativer til logning. Et alternativ til logning/masseovervågning af alle borgere kunne være hastesikring af data ("quick freeze"), hvor politiet har mulighed for at stoppe den sletning af trafikdata, som teleselskaberne er forpligtet til at foretage i henhold til e-privacy direktivet 2002/58/EF (i Danmark implementeret ved udbudsbekendtgørelsen). Inden data udleveres til politiet skal dette indgreb (hastesikring) selvfølgelig godkendes af domstolene.

En hastesikring af data vil kunne målrettes mod konkrete mistænkte, som fremadrettet kan overvåges i overensstemmelse med retsplejeloven (med godkendelse af en dommer). Hvis der endnu ikke er konkrete mistænkte personer, kan hastesikring ("quick freeze") begrænse datalagringen ("logningen"), så den kun omfatter oplysninger som har en direkte sammenhæng til den konkrete kriminalitet, som politiet efterforsker. Et eksempel kunne være en adgang til at hastesikre/gemme masteoplysninger om aktive mobiltelefoner i et afgrænset geografisk område, hvis der i dette afgrænsede område er begået en forbrydelse af en sådan grovhed, at der efter retsplejeloven er mulighed for udvidet teleoplysning. Sammenlignet med logningsbekendtgørelsen i dag, vil der på denne måde blive registreret væsentligt færre oplysninger om borgere som ikke er mistænkt for kriminalitet, og politiet vil ikke være fuldstændigt afskåret fra at bruge teleoplysninger i deres arbejde med at opklare kriminalitet.

Niels Elgaard Larsen
IT-Politisk Forening
elgaard@agol.dk
262020402