Læsetid: 4 min.

Kritikere af cyberlov kvitterer for forbedringer

Der er ifølge kritikere store problemer med loven for det såkaldte Center for Cybersikkerhed. Men de samme kritikere medgiver nu, at der under lovgivningsprocessen reelt er sket præciseringer og forbedringer af den juridiske ramme for centret – det kommer ikke til at udføre en ny masseovervågning
På Kastellet i København ligger Forsvarets Efterretningstjeneste – og det er et problem, at det nye Center for Cybersikkerhed skal ligge under FE, mener kritikere.

Christian Ringbæk

14. juni 2014

Flere af de personer, der har stået for den hårdeste kritik af regeringens lovgrundlag for det såkaldte Center for Cybersikkerhed (CFCS), medgiver nu, at der er sket en række forbedringer i arbejdet med loven, fra da den blev sendt i høring i februar.

»Jeg mindes ikke, at jeg har set et lovudkast, der har medført så mange ændringer på grundlag af høringssvarene,« siger Jesper Lund, der er næstformand hos interesseorganisationen IT-Politisk Forening.

Søren Sandfeld Jakobsen, der er professor i it-ret på Aalborg Universitet, er enig.

»Jeg synes, at der kommet nogle betydelige indrømmelser. Det betyder ikke, at der ikke er noget grundlag for kritik, men jeg synes, at ministeriet er gået et stykke for at imødekomme den,« siger Søren Sandfeld Jakobsen.

Hans Jørgen Bonnichsen, der er tidligere operativ chef hos Politiets Efterretningstjeneste, medgiver også, at han delvist har ændret syn på loven.

»Der er sket en skærpelse i forhold til definitionen af, hvornår man må træde ind og tilsidesætte grundlovens regler, som er medvirkende til, at jeg er knap så bastant i min kritik, som jeg har været tidligere,« siger Hans Jørgen Bonnichsen.

Onsdag vedtog Folketinget med et bredt flertal det nye lovgrundlag for CFCS, der allerede eksisterer i dag som en del af Forsvarets Efterretningstjeneste.

Centret skal beskytte myndigheder og private virksomheder mod eksempelvis hackerangreb. Men det gælder kun for de enheder, der er tilsluttet centret, hvilket i dag er de fleste ministerier og enkelte store virksomheder og kommuner.

Mindre data til NSA

Tjenesten har efter loven mulighed for at opsnappe og analysere data fra de tilsluttede myndigheder og virksomheder. Det kan ske uden retskendelse, og tjenesten har ret til at behandle indholdet af kommunikationen og oplysninger om, hvorfra og til hvem data er tilgået – såkaldt trafikdata.

Centret må dog kun analysere selve indholdet af kommunikationen, hvis der er begrundet mistanke om en såkaldt ’sikkerhedshændelse’.

Det er et centralt og omdiskuteret begreb i loven, der defineres som en hændelse, der »negativt påvirker eller vurderes at ville kunne påvirke« eksempelvis it-systemer eller netværk.

Både Jesper Lund fra IT-Politisk Forening og Hans Jørgen Bonnichsen peger på, at selv om begrebet ’sikkerhedshændelse’ stadig fremstår elastisk, så har forsvarsminister Nicolai Wammen (S) afgivet et notat til Forsvarsudvalget, hvori begrebet præciseres.

»Det er trods alt en forbedring,« siger Hans Jørgen Bonnichsen.

Ved begrundet mistanke om en såkaldt sikkerhedshændelse, kan CFCS også videregive data til andre landes lignende tjenester. Det kunne eksempelvis være den amerikanske efterretningstjeneste NSA. Men der er blevet strammet op på det område, siger Jesper Lund fra IT-Politisk Forening.

»Der er blevet lagt begrænsninger på, hvilke data der kan udleveres til samarbejdspartnere i udlandet. I lovudkastet og gældende lovgivning var der mulighed for at udlevere trafikdata, men nu kan man kun udlevere trafikdata, der knytter sig til en konkret sikkerhedshændelse,« siger han. Søren Sandfeld Jakobsen fra Aalborg Universitet kalder det også et ’klart fremskridt’.

IT-advokat Henrik Mansfeldt Witt, der har kritiseret og beskæftiget sig med loven, peger dog på, at det er betænkeligt, at for eksempel det centrale begreb ’sikkerhedshændelse’ ikke er præciseret i selve lovens ordlyd, men kun i forarbejderne til loven.

»Lovens ordlyd angiver de yderste grænser for, hvad man kan. Om nogle år kan man argumentere for, at hvis aktiviteter kan rummes inden for ordlyden, så er de lovlige. Hvis det kommer til en retssag, vil en domstol måske lægge vægt på, hvad der står i forarbejderne, men det er lovens ordlyd, der binder,« siger han.

»Retssikkerhedsmæssigt er det dybt betænkeligt, at man lovgiver så meget i forarbejderne, som man reelt gør i denne her sag,« siger han.

Problem at det bliver under FE

Jesper Lund fra IT-Politisk Forening er da heller ikke samlet set tilfreds med de små sejre.

»Jeg synes ikke, at det er ikke noget godt lovforslag. Der er stadig mange problemer ved det. Eksempelvis, at centret ligger under Forsvarets Efterretningstjeneste,« siger han.

Han peger også på, at centret med loven får mulighed for at opbevare både pakke- og trafikdata i op til 13 måneder.

Det betyder, at al kommunikation kan gemmes. Tidligere var det kun lovligt at gemme såkaldt pakkedata, indholdet af kommunikationen, i op til 14 dage, hvis data ikke var en del af en såkaldt sikkerhedshændelse.

I en aktindsigt, som Information har fået i en e-mail mellem den norske ambassade i København og en ukendt ’Sektion for Sikkerhedspolitik og Nordamerika’, er spørgsmålet om den nye lov for Center for Cybersikkerhed vurderet. Heri understreger ambassaden, at netop disse opbevaringstider »repræsenterer en udvidelse i forhold til gældende lov« i Danmark.

Ikke masseovervågning

Men både Jesper Lund, Hans Jørgen Bonnichsen og Søren Sandfeld Jakobsen afviser, at centret vil komme til at foretage masseovervågning.

Rådet for Digital Sikkerhed og Amnesty International har ellers tidligere kritiseret, at regeringen med den ene hånd har gjort noget positivt ved at afskaffe den omstridte sessionslogning, for derefter at vedtage loven om Center for Cybersikkerhed.

Men de to typer af overvågning kan ikke sammenlignes, siger Søren Sandfeld Jakobsen.

»Der er også væsentlige forskelle. Sessionslogningen er netop massiv, fordi den forpligter teleudbydere til at logge vores telefonkommunikation, e-mail og internetsessioner. Det er en helt rutinemæssig opsamling af data,« siger han.

»I modsætning til det skal Center for Cybersikkerhed kun agere i tilfælde af sikkerhedshændelser. Det hører forhåbentlig ikke til dagens orden, at de behandler og registrerer store mængder af persondata. Det er forhåbentlig kun, hvis de har en konkret grund til det, hvis der eksempelvis er en hacker på spil,« siger han.

»Det er en helt afgørende forskellig sammenhæng,« siger han.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

anbefalede denne artikel

Kommentarer

Helene Nørgaard Knudsen

Det er da et kæmpe skridt i den rigtige retning. Min holdning til hvem og hvordan de data håndteres er måske lidt for meget men på langt sigt er det stadig målet.

Claus Jensen

Centret er stadig under FE. Resten er blot kosmetiske indrømmelser. Intet man ikke kan arbejde sig rundt om med et stykke elastik.