Protokol Om alt det internettet og teknologien gør ved vores samfund

EU-generaladvokat: Logning kan være ulovlig

Foto: Scanpix/Vincent Kessler

Den omfattende indsamling af data om borgernes færden kendt som telelogning kan være ulovlig.

Det vurderer én af EU-Domstolens ni generaladvokater, Cruz Villálon. Ifølge ham er direktivet, der pålægger tele- og dataudbyder at gemme enorme mængder data om brugernes adfærd, i modstrid med retten til privatliv som det er indskrevet i EU's charter for menneskerettigheder.

Udmeldingen vækker glæde hos EDRI, der er en paraplyorganisation for flere europæiske it-politiske- og menneskerettighedorganisationer.

»Direktiv 2006/24/EC's (logningsdirektivet, red.) mangler har været krystalklare, siden det blev foreslået af EU-Kommissionen. Hverken da det blev foreslået, ej heller siden, har Kommissionen været i stand til at komme med troværdigt bevis for at tiltagene (i direktivet, red) er nødvendige,« siger Joe McNamee, direktør i EDRI i en udtalelse på organisationens hjemmeside.

Herhjemme er IT-politisk Forening også glade for udmeldiengen fra generaladvokaten.

»IT-Politisk Forening er meget tilfredse med generaladvokatens indstilling. Især fordi den er baseret på helt fundamentale rettigheder i Den Europæiske Unions charter om grundlæggende rettigheder,« skriver foreningen på sin hjemmeside og henviser til artikel 7 og 52(1) fra EU's charter om grundlæggende rettigheder.

Artikel 7 og 52(1) siger, at »Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation,« og »Enhver begrænsning i udłvelsen af de rettigheder og friheder, der anerkendes ved dette charter, skal være fastlagt i lovgivningen og skal respektere disse rettigheders og friheders væsentligste indhold. Under iagttagelse af proportionalitetsprincippet kan der kun indføres begrænsninger, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.«

Herhjemme kalder de Radikales IT-ordfører, Jeppe Mikkelsen, vurderingen for »meget spændende« på sin Twitterprofil. De Radikale har tidligere afvist at ændre i den danske implementering af direktivet, før EU har været igennem en evaluering.

I Danmark blev logningsbekendtgørelsen indført i 2007 på baggrund af et EU-direktiv og i forbindelse med Terrorpakke II.

900 milliarder oplysninger blev registreret i 2012. 10 pct. af den trafik stammer fra logning af telefontrafik, hvor myndighederne kan finde ud af, hvor du bevæger dig, få overblik over hele dit sociale netværk og indsamle viden om, hvem du taler med hvor og hvornår. Telelogning er blevet kaldt det mest privatlivskrænkende instrument nogensinde indført.

Se mere på vores journal om samme emne her

Om denne blog

Teknologi, viden, internet - og om det, det gør ved vores verden

I redaktionen:

Lars Højholt

Didde Elnif

Jens Christoffersen

Simone Sefland

Send bidrag, forslag til artikler eller lignende til web@information.dk.

Anbefalinger

  • Henrik Christensen
  • Torben Selch
  • Tue Romanow
Henrik Christensen, Torben Selch og Tue Romanow anbefalede denne artikel

Kommentarer

Jamen så er det vel bare at gå igeng. Og hvis USA har indsamlet informationer hos borgerne i Europa på den konto - så skal de slæbes i retten.

Helene Nørgaard Knudsen

Det er måske ikke den rigtige tråd men nu kommer den alligevel. Jeg har siddet og arbejdet med nogle retnings-linjer for statslig IT. Indtil videre er dette resultatet:

* Servere skal placeres fysisk i Danmark. Ellers kan der gå værdifuld tid med at få et hold frem i tilfælde af et cyberangreb. Eller det er måske så billigt at sende et par 2-personers f16 jagere afsted til Sverige eller Indien med cyber-soldater for at genskabe kontrol med en server og derefter rydde op.

* Alle statslige it-projekter skal som ufravigeligt krav have at al kode (inkl. operativ-system samt andre services) skal være tilgængeligt for staten - det er ikke nødvendigt at koden er offentlig kendt. Dette er for at undgå at blive låst til en bestemt leverandør da man kan videreudvikle systemet selv. Derudover giver det 2 fordele: man kan gå koden igennem for bagdøre (hvilket er kedeligt og omfattende). Opstår der et sikkerhedshul kan man »lappe« hullet, i yderste instans kan man »fjerne« problemkoden eller minimere skaden. dette kan man ikke hvis man ikke har adgang til kildeteksten.

* Krav om at data ikke udleveres til andre end repræsentanter for den danske stat. Sker dette så kan firmaet sagsøges for at have videregivet »stats-information«, en betegnelse for stats-data der ikke har vital betydning for rigets sikkerhed, f.eks blodprøver, cpr-register (nogle dele af det kan være hemmeligt alligevel, beskyttet identitet).

Michael Madsen, Niels Mosbak, Karsten Aaen og Elver Rasmussen anbefalede denne kommentar
John Vedsegaard

En form for logning er cookies...

Så har vi altså 2 modstridende lovgivninger, EU's charter for menneskerettigheder og de forskellige nationale love om krav for indsamling og opbevaring af borgernes datatrafik.

Det væsentlige er så, at få afgjort, hvilke af disse modstridende 2 love, der har den største styrke, - altså vægtes højst.

Jeg syntes, at dette skal afgøres snarest vede en helt åben retssag. Men lad det være sagt med det sammen, tror nogen virkelig i fuld alvor på, at landene vil acceptere resultatet, og dermed lade de ansvarlige USA-venlige politikere dømme for magtmisbrug?

Tja, der er væsentlige spørgsmål omring logningen af teletrafikken i, vel alle, europæiske lande.

Det vi så ikke ved er hvad der sker med alt det loggede efter 1 år?
Destrueres data der er over 1 år gamle eller gemmer nogen det alligevel et andet sted?

Vi ved heller ikke hvor meget eller hvilke data vores egen regering deler med NSA om danskerne, og de (ikke)svar deres gives fra regeringens side tyder på der gives langt flere oplysninger end der er rimeligt begrundede i terrorøjemed eller alm. efterretningsmæssig hensigt.

Statens(regeringens) lukkethed å det område er helt i stil med totalitære staters ageren og i forlængelse af USA og NSA ønsker for et statsdomineret Imperie med totalitære hensigter.

- Borgerne holdes jo fast i uvidenheden fra regeringens side efter bedste Kafka mønster!

Michael Madsen, Niels Mosbak og Karsten Aaen anbefalede denne kommentar
Børge Rahbech Jensen

"Så har vi altså 2 modstridende lovgivninger, EU's charter for menneskerettigheder og de forskellige nationale love om krav for indsamling og opbevaring af borgernes datatrafik."

Det er vist ikke helt korrekt. Jeg læser det sådan, at to af EUs direktiver strider imod hinanden, og Europa-Kommissionen er både den tiltalte og den forurettede i den sag.

Helene Nørgaard Knudsen

Det mest morsomme ved den måde logging foregår på i Danmark er at man kan bruge en vpn så logges der kun 2 ip-addresser: den man får af sin isp og den man kobler op på sin vpn-udbyder. Man kan også sætte en torrent igang med Linux-distro (stor fil, lovlig). Og da der kun logges ved hver 500. pakke er der stor sandsynlighed for at det eneste der logges er en masse lovlig trafik.

John Vedsegaard

Helene, tror du virkelig ikke det kan logges, bare fordi der bruges torrent? Naturligvis kan det logges, hvis man har en parallel forbindelse kan alt logges ALT. Det er netop den måde NSA og andre former for spionage organisationer bruger, derfor findes der de såkaldt "sorte" tråde i lyslederkablerne. I øvrigt bruger masser af firmaer torrents på en helt lovlig måde, for eksempel bruger spilfirmaet Blizzard dem til download, så de kan spare trafik på deres egne servere.

Nærmere betegnet, når alle data bliver sendt via 2 linier og den ene er "sort", bliver alt logget. Den sorte linie er til gengæld umulig at opdage, da den naturligvis ikke sender handshake og altså kun modtager data.

Derimod er private spionagenet noget andet, de har (så vidt vides) ikke egne kabler som andre ikke må bruge, hvorfor de anvender cookies og forskellige former for software de lokker folk til at bruge, for eksempel apps.
Enhver form for undersøgelse af brugeradfærd, er spionage og burde bære strafbart.

Noget helt andet er at et sådant parallelt netværk, meget nemt kan vendes om og sende uendelig mange data den anden vej, så at computertrafik bliver blokkeret eller computerne direkte ødelagt, det kan altså også anvendes som et offensivt våben.
Det får vi bare ikke noget at vide om, men muligheden er der, så funktionen er der jo nok også, det er bare at trykke på en knap og et bestemt land/område kan miste stort set al dataaktivitet. I en krig skulle det ikke være svært at se hvad det vil betyde.

Niels Elgaard Larsen

==
Så har vi altså 2 modstridende lovgivninger, EU's charter for menneskerettigheder og de forskellige nationale love om krav for indsamling og opbevaring af borgernes datatrafik.
==

Det han siger er, at DR Direktivet strider mod charteret (som igen svarer ret nøje til den Europæiske Menneskerettighedskonvention, EMRK). Men det er bl.a. baseret på vurderingen af proportionalisten og det at direktivet ikke kræver tilstrækkelige garantier for hvordan vores loggede data behandles og opbevares. Så denne indstilling siger ikke klart, at der ikke kunne laves et logningsdirektiv, der ikke ville stride mod charteret.

Og det følger heller ikke nødvendigvis, at alle medlemsstaternes implementering strider mod charteret.

Men indstillingen burde gøre det klart, at der er tale om overgreb mod borgernes privatliv og at det er et problem i forhold til fundamentale rettigheder.

Den danske logningsbekendgørelse kom efter direktivet, men er formelt baseret på danske lovgiving (terrorpakkerne), der kom efter 11/9 2001 og før direktivet.

Så det er meget muligt, at den danske terrorbekendtgørelse strider mod charteret og EMRK. Men i Danmark er det ikke så nemt at få domstole til at tage stilling til den slags.

Formentlig gælder denne lovtolkning mange andre steder i verden. Men overalt påstår myndigheder - i øvrigt helt uden dokumentation, at det sker i henhold til gældende love.

Og meget tyder på, at visse politikere har igangsat noget, - eller måske blot accepteret "noget" de ikke helt forstod rækkevidden af. Og at "dette noget" derefter blot er "kørt videre" i sin helt egen verden, hvor aktiviteterne er øget hastigt i takt med den hastige teknologiske udvikling.

Og meget tyder på, at det nu er embedesmænd, der kører løbet. Og at såkaldte ansvarlige politikere ikke er klart informeret, men helst heller ikke vil vide noget konkret om aktiviteterne.

Disse såkaldte "ansvarlige" politikere forsvarer sig hele tiden med, at disse "aktiviteter" er underlagt kontrolmyndighed, og fungerer inden for lovens rammer. Men samtidig har de designet denne kontrolenhev, så den netop ikke har særlig dyb viden om det.

Endelig tyder det op, at de såkaldte "ansvarlige politikere" er under et voldsomt gruppepres fra en stor og mangtfuld stats side, hvis de så meget som tvivler bare ganske lidt om "sagens" berettigelse.