Logningssystemet skal efter alt at dømme ændres – men til hvad?

Embedsmændene i Justitsministeriet står over for en svær opgave.

Sidste år varmede tidligere justitsminister Søren Pind (V) op til at udvide mængden af oplysninger om alle danskere, der skulle registreres efter logningsbekendtgørelsen. Ifølge Søren Pind var det nødvendigt for at sikre, at politiet havde de nødvendige efterforskningsredskaber.

Men en skelsættende EU-dom, der faldt lige før jul, betyder, at opgaven nu er ændret radikalt.

Hidtil har Justitsministeriet ikke villet kommentere på dommen, men i en kortfattet skriftlig udtalelse tidligere på ugen antydede justitsminister Søren Pape Poulsen (K) – ganske vist i vage vendinger – at der vil ske ændringer på baggrund af dommen, når et nyt lovforslag om logningsregler skal fremlægges til foråret.

Ifølge justitsministeren giver EU-dommen »anledning til at overveje indretningen af de gældende regler om logning«. Samtidigt slog Søren Pape Poulsen også fast, at det nuværende system – som ser ud til at være i strid med EU’s regler – skal fortsætte, indtil man har et nyt system:

»Det siger sig selv, at Danmark – ligesom de andre EU-lande – hurtigst muligt skal tage stilling til, hvilke konsekvenser dommen bør have for indretningen af de nationale regler om logning. Vi vil dog ikke ophæve de gældende regler – og dermed fratage politiet et centralt værktøj til bekæmpelse af grov kriminalitet – før vi har et nyt system på plads.«

Spørgsmålet om nye regler er kompliceret, fordi en indskrænkning af logningspligten kan føre til, at visse typer spor – som man i det nuværende system har adgang til – fremover ikke vil være registreret.

»EU-dom gør det sværere for Danmark at bekæmpe kriminalitet og terror«, skrev Politiken for eksempel på baggrund af Søren Pape Poulsens udtalelser. 

Information har bedt kritikere af de nuværende regler om at give deres bud på, hvordan politiet kan sikre sig adgang til efterforskningsmateriale selv uden den totale masseindsamling af data om alle danskeres kommunikation og bevægelsesmønstre.

Scenarie #1: Et mere målrettet logningssystem

EU-dommen slår fast, at altomfattende logning vanskeligt kan betragtes som værende i overenstemmelse med EU-retten. Men omvendt slår dommen også fast, at en »målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet« kan være i orden.

Jacob Mchangama, der er direktør i den juridiske tænketank Justitia, har foreslået netop et sådant alternativ til de nuværende regler.

»Som jeg forestiller mig det, vil det betyde, at politiet kan pålægge teleselskaberne at logge data om personer, hvis man har en rimelig formodning om, at de er involveret i alvorlig kriminalitet,« forklarer han.

Et sådan krav til teleselskaberne skal altså kunne ske med et lavere mistankekrav, end hvad der kan udløse en egentlig retskendelse. Hvis politiet efterfølgende får en tilstrækkelig begrundet mistanke, vil de skulle have en kendelse for at få adgang til dataen. Der havde eksempelvis været tre indberetninger til PET om, at Omar El-Hussein var radikaliseret, inden han begik sit terrorangreb – og han ville derfor oplagt være en person, som stadigvæk ville være krævet loggget.

Et andet eksempel er folk med forbindelser til bandekriminalitet, hvor man også vil kunne kræve logning af en kreds på potentielt nogle tusinde personer med forbindelse til bandemedlemmer. Hvis det tekniske system gør det muligt, ville man også løbende kunne udvide kredsen, på baggrund af hvem bandemedlemmerne har megen kontakt med, uden det nødvendigvis kommer i konflikt med EU-reglerne.

»Selv om du bruger én logget person til efterfølgende at logge ti andre, han har været i kontakt med – vil det stadig være en brøkdel af det antal, der bliver logget i dag,« siger Jacob Mchangama og understreger:

»Hvis der ikke længere findes en rimelig formodning om, at en person er involveret i alvorlig kriminalitet, skal logningen selvfølgelig droppes.«

For at undgå misbrug kunne Tilsynet med Efterretningstjenesten og Datatilsynet føre stikprøvekontrol.

Et oplagt problem med denne type logning er, at det ikke vil være muligt for myndighederne at følge spor tilbage i tiden, når det gælder personer, der ikke før har været i forbindelse med alvorlig kriminalitet, inden de begår en forbrydelse. Men det er et problem, som det er vanskeligt at komme helt udover, hvis EU-dommen skal tages alvorligt.

Jacob Mchangama sammenligner situationen med diskussionen om et DNA-register. Her ville man også i forhold til de fleste forbrydelser stå med meget større muligheder for opklaring, hvis man tvang alle borgere til at afgive deres DNA og samlede det i et register, men det har man fravalgt at gøre af hensyn til beskyttelse af privatlivet.

Et andet problem, som formand for IT-Politisk Forening Jesper Lund påpeger, er, at den målrettede model kan blive for dyr og kompliceret at administrere i forhold til den gevinst, der vil være ved systemet. Hvis man alligevel kun fokuserer på personer, der har forbindelse til alvorlig kriminalitet, er spørgsmålet, om man ikke i mange tilfælde lige så godt kunne få en retskendelse mod dem, og dermed adgang til mere vidtgående efterforskningsskridt.

Scenarie #2: Kun logning af lokaliseringsdata

EU-dommen problematiserer, at den nuværende logning »omfatter alle abonnenter og registrerede brugere generelt« og »er rettet mod alle elektroniske kommunikationsmidler og samtlige trafikdata«. Det problematiske ifølge domstolen er altså, at det registrerede materiale er altomfattende. Det åbner for, at man i et nyt system f.eks. kan fortsætte med at foretage registreringer af hele befolkningens bevægelser ud fra mastedata, hvis bare man ikke samtidigt logger, hvem de ringer til og SMS’er til.

»Man vil kunne se, hvor en person færdes, men det vil ikke være lige så indgribende, som hvis man samtidig kan se, hvem du ringer og skriver til,« siger Jacob Mchangama.

Det vil så eksempelvis kunne kombineres med et system med mere målrettet logning af SMS’er og opkald for særligt udvalgte personer, som beskrevet i scenarie 1.

En fortsættelse af logningskravet i forhold til mastedata vil betyde, at man i en drabssag – som f.eks. i sagen om drabet på Emilie Meng – stadig vil kunne se, hvilke mobiltelefoner der har befundet sig i et givent område i en given periode. Det er en type spor, man kan forestille sig, myndighederne er bange for at miste, hvis man afskaffer al logning.

Et problem med den løsning vil dog være, at det ikke kan udelukkes, at den også er for indgribende, og at man derfor kan ende med at skulle lave reglerne om en gang til, hvis den bliver udfordret ved EU-domstolen. Der er stor sandsynlighed for, at man i mange tilfælde vil kunne kombinere lokationsoplysningerne med opkaldsdata, fordi telebranchen ikke kommer til at slette alle opkaldsdata, selv om logningsbekendtgørelsen skulle blive afskaffet. I mange tilfælde logger teleselskaberne dataen på grund af anden lovgivning eller for at kunne vise en kunde, hvilke opkald, der er blevet foretaget, i tilfælde af en klage over en regning. Netop spørgsmålet om alt det, teleselskaberne alligevel kommer til at registrere, fører os til næste scenarie.

Scenarie #3: Fortsat dataregistrering trods indskrænkning af logningsbekendtgørelsen  

En tredje mulighed er, at logningskravet til teleselskaberne helt afskaffes. Det vil betyde, at politiet i første omgang mister en række spor, som de i høj grad har gjort brug af, siden mobiltelefonen blev allemandseje. Men spørgsmålet er, om det på sigt vil blive så stort et problem.

»Logning har været et utroligt effektivt redskab for politiet igennem mange år, men var det især dengang telefonen og teleselskaberne var vores primære kommunikation. Politiet klager jo selv over, at de kriminelle løber fra dem på nettet. Kommunikationen flytter i stigende grad væk fra teleselskaberne og over til andre kommunikationstjenester som Facebook, Skype, Signal og så videre,« siger Jesper Lund.

»Nogle af de kommunikationstjenester gemmer jo i forvejen en frygtelig masse data, så når politiet nu bliver nødt til at lægge deres arbejdsrutiner om, vil det være naturligt at kaste blikket mod de data, som indsamles af kommercielle årsager. Måske er det det, der skal til for at få politiet ind i det 21. århundrede,« siger Jesper Lund.

Søren Pinds reaktion på, at kommunikationen flytter sig, var at foreslå indførelse af sessionslogning – en kontroversiel form for internetovervågning – i en ny form. Men det er svært at forestille sig, at det kan ske efter EU-dommen.

»Man bliver nødt til at rette blikket efter tjenester som Facebook, nu hvor det, man har, ikke længere er lovligt,« siger Jesper Lund.

En anden faktor som potentielt gør politiets problemer mindre, er, at teleselskaberne sandsynligvis vil fortsætte med at registrere en masse oplysninger om deres kunder, uanset om der er en logningsbekendtgørelse eller ej. En registerindsigt, som en journalist på mediet Zetland søgte i sine egne data, viste eksempelvis, at teleselskabet 3 har foretaget en langt mere omfattende registrering af journalistens bevægelser, end logningsbekendtgørelsen kræver. Registreringen sker ifølge 3 for at kunne servicere deres kunder bedre, men ville stadig kunne fås af myndighederne med en dommerkendelse.

Direktør i Teleindustriens brancheforening Jakob Willer skriver i en kommentar som svar på kritikken af teleselskabernes overregistrering, at selskaberne på den ene side ikke ønsker at masseovervåge, men at man har ret til at gemme en lang række informationer om kunderne efter de gældende regler:

»Det afgørende her er, at selskaberne har brug for disse informationer for at kunne drive telenettet, udskrive regninger, holde øje med driftssituationen og selvfølgelig også kunne forhindre forsøg på snyd eller misbrug af nettet,« skriver Jakob Willer.

Selv efter en eventuel afskaffelse af logningsbekendtgørelsen, er der altså fortsat en række data, som politiet vil kunne få adgang til, og et nyt EU-direktiv vil endda i nogle tilfælde øge mulighederne for at selskaberne – med samtykke – kan gemme data om kunderne af kommercielle grunde

Problemet med de nuværende registreringer hos selskaberne er, at oplysningerne ifølge kritikere bliver indsamlet ulovligt – f.eks. i tilfældet med 3.

Hidtil har det ikke haft store konsekvenser, fordi myndighederne ser ud til kun i meget begrænset omfang at føre tilsyn, men det kan ændre sig, hvis kommende EU-regler overfører tilsynspligten til Datatilsynet og samtidig åbner mulighed for at uddele store bøder til selskaberne.