Henvendelse fra IT-Politisk Foreningom L 142 (bemærkninger tilJustitsministeriets evaluering afsessionslogningen)IT-Politisk Forening har skrevet et høringssvar om udkastettil lovforslag L 142. I den forbindelse var vi ikkeopmærksom på at Justitsministeriet den 21. december2012 har udarbejdet en redegørelse om diverse spørgsmålvedrørende logningsreglerne (REU alm. del bilag 125,”Notat om overimplementering af logningsdirektivet”, ogsåoffentliggjort som bilag 2 til L 142). Redegørelsen blev ikkeudsendt til høringskredsen den 21. december 2012.I denne henvendelse til Retsudvalget vil vi gernefremsende vores bemærkninger til især Justitsministerietsevaluering af sessionslogningen i den nævnte redegørelse.Sessionslogningen er defineret i § 5 stk. 1 samt § 5 stk. 4-5i logningsbekendtgørelsen, hvor stk. 4-5 er administrativelempelser af hovedreglen i stk. 1. Sessionslogningen erikke en del af logningsdirektivet. Teleselskaberne anslår at90% af de registrerede oplysninger efterlogningsbekendtgørelsen kommer fra sessionslogningen.

EU Kommissionen. Ud af de 10 eksempler var 9telelogning. Kun et eksempel var internetlogning, meninternetlogning efter § 5 stk. 2 i logningsbekendtgørelsen,som handler om at spore kilden til en kommunikation (pågrundlag af et udefra kommende IP-adresseefterforskningsspor), altså ikke sessionslogningen.I den nye redegørelse har Justitsministeriet beskrevet treeksempler på brugen af internetlogning. Det førsteeksempel i afsnit 5.4.1 er taget fra redegørelsen i L 53bilag 8. Eksemplerne i afsnit 5.4.2 og 5.4.3 er derimod nye,og skal efter Justitsministeriets opfattelse vise politietsbrug af sessionslogningen.Det er imidlertid kun eksemplet i afsnit 5.4.3 som ersessionslogning efter § 5 stk. 1.Afsnit 5.4.2 beskriver en sag med væbnede røverier, hvorpolitiet kunne kortlægge røvernes færden vialokaliseringsoplysninger fra deres mobiltelefon.Justitsministeriet skriver i redegørelsenSessionsdata indeholder i medfør aflogningsbekendtgørelsen geografisk information, oggerningsmandens færden kan dermed kortlægges ividere omfang, end det ville have været muligt vedhjælp af historiske teleoplysninger, da telemasternekun registrerer trafik, der genereres ved aktivanvendelse af telefonen. Denne sessionslog-ning har således haft afgørende indflydelse påsagen.Den pågældende registrering har imidlertid ikke nogetmed sessionslogningen i § 5 stk. 1 at gøre.Logningsbekendtgørelsen § 5 stk. 1 kræver logning af IPadresser og portnumre, men der skelnes ikke melleminternettrafik fra faste linjer og mobiltelefoner, og der erikke noget krav om logning af lokaliseringsdata.Logningen i den beskrevne sag må være sket efter § 4 stk.1 nr. 6, hvor lokaliseringsdata (masteoplysninger) skalregistreres når der er kommunikation fra/til enmobiltelefon. Det gælder uanset om der er tale omsamtaler eller datatrafik. Det er korrekt, somJustitsministeriet påpeger, at smartphones typiskgenererer en masse ”automatisk” datatrafik, som fører til2

mange flere registreringer af lokaliseringsoplysninger, mendet har ikke noget med sessionslogningen i § 5 stk. 1 atgøre. Afsnit 5.4.2 er altså reelt telelogning, hvor politiet harbrugt masteoplysninger (svarende til sagerne i afsnit 5.3,hvor politiet har brugt masteoplysninger i mindsthalvdelen af sagerne).Tilbage er sagen i afsnit 5.4.3, som er sessionslogningefter § 5 stk. 1 i logningsbekendtgørelsen. Der er tale omen sag om netbankindbrud for 100.000 kroner, hvorpolitiet ved hjælp af sessionslogningen har kunnetudelukke en borger fra mistanke. Den konklusion kunnepolitiet utvivlsomt være kommet til ved andenpolitimæssig efterforskning.Under alle omstændigheder er vi i afsnit 5.4.3 meget langtfra terror og alvorlig voldelig kriminalitet. Da politiet selvhar udvalgt sagerne til Justitsministeriets redegørelse, mådet være rimeligt at konkludere, at der reelt ikke erefterforskningsscenarier i sager om alvorlig kriminalitet,hvor politiet har haft væsentlig nytte af sessionslogningen.I den kvalitative del af redegørelsen med PET's erfaringer(afsnit 6) er det også telelogningen som fremhæves, menssessionslogningen i ”meget begrænset omfang” har væretinddraget i forbindelse med efterforskningen hos PET.

Justitsministeriets bemærkninger om tekniske

udfordringer ved brugen af internetoplysninger

I afsnit 5 i redegørelsen kommer Justitsministeriet mednogle bemærkninger om tekniske udfordringer ved brugenaf internetlogningen.I afsnit 5.5.1.1 synes Justitsministeriet at mene, at det eret problem, at internetudbyderne kan nøjes med at loggehver 500. datapakke der indgår i en slutbrugerskommunikation. Justitsministeriet skriver på side 32-33 iredegørelsen:Problemet med logningen er, at internetudbyderne,jf. bekendtgørelsens § 5, stk. 5, foretagerregistreringen af internetkommunikation på kantentil andre net i deres netværk, dvs. lige inden deresbrugere sendes videre til de modtagende IP-3

adressers servere. Her registrerer de ioverensstemmelse med bekendtgørelsens § 5, stk.4, hver 500. pakke, der passerer serveren, men dadatatrafikken på kantserveren er genereret af flerehundrede brugeres internetkommunikation, er detvilkårligt, hvilke brugeres data der logges i hver 500.pakke. På denne måde kan manglende fund af datafra en brugers IP-adresse hverken bruges til at be-eller afkræfte, om den pågældende rent faktisk harværet aktiv på internettet i det pågældende tidsrum,og den foretagne logning er hermed somudgangspunkt i praksis uanvendelig i politietsefterforskning, når bortses fra de ’heldige’ tilfælde,hvor den pågældende brugersinternetkommunikation tilfældigvis er blevet fanget ien logget datapakke.Der skal ikke ret meget internettrafik til for at generere500 pakker, hvorefter en pakke statistisk set vil bliveregistreret efter § 5 stk. 4. I langt de fleste tilfælde vilpolitiet være ”heldig” at der sker en registrering. At derkun registreres oplysninger om hver 500. pakke kan ikkevære en reel begrænsning i forhold til at konstatere om enperson er ”aktiv på internettet”.Vi finder det også nærmest absurd, at Justitsministerietindirekte ønsker registrering af hver eneste datapakke,hvilket vil føre til skønsmæssigt mindst 400 gange såmange registreringer af borgerne (og i øvrigt være tekniskumuligt for internetudbyderne), og i samme redegørelsebeskriver politiets IT-mæssige problemer med at håndterede nuværende datamængder (afsnit 5.5.2).Bemærkningerne i afsnit 5.5.1.2 i redegørelsen må handleom sporing af kilden til en kommunikation, altså § 5 stk. 2 ilogningsbekendtgørelsen, selv om Justitsministeriet prøverat blande sessionslogningen ind i billedet. Det problemsom beskrives øverst på side 34 må være carrier-gradeNAT, hvor flere kunder deler en offentlig IP adresse (typiskfordi der er mangel på IPv4 adresser). Hvis politiet i enekstern serverlog finder en IP adresse, kan denne ikkenødvendigvis spores til en enkelt internetkunde, hvisinternetudbyderen anvender carrier-grade NAT.Logningsdirektivets artikel 5 stiller i øvrigt alene krav omregistrering af den tildelte IP adresse. Der er ikke i4

IT-Politisk Forenings konklusion

Vi vil afslutningsvist fremhæve denne bemærkning iJustitsministeriets redegørelseImplementeringen af logningen blev imidlertidgennemført på en sådan måde, at den stort set blevuanvendelig, hvilket stod klart for politiet, da manførste gang ønskede at gøre brug af sessionslogningi forbindelse med efterforskningen af en straffesag.De danske internetudbydere har implementeretsessionslogningen efter kravene i bekendtgørelsen, og denvalgte implementering er udtryk for hvad der er tekniskmuligt. Med stigningen i trafikmængderne er det ikkeblevet nemmere at lave sessionslogning i 2013sammenlignet med 2006. Samtidig er det på ingen mådeklart at Justitsministeriets ikke nærmere beskrevne”idealer” om sessionslogningen ville have gjort nogenforskel, jævnfør vores kommentarer ovenfor.Efter at have lavet en evaluering af sessionslogningen,som den med rimelighed kan implementeres i praksis, erJustitsministeriet altså kommet til den konklusion, at dener ”stort set uanvendelig for politiet”. Efter fem årssessionslogning, med en anslået udgift på et par hundredemillioner kroner, kan politiet kun fremkomme med etenkelt eksempel hvor sessionslogningen har spillet en visrolle (sagen med netbankindbrud).Den eneste logiske konsekvens af denne evaluering måvære at afskaffe sessionslogningen, som IT-PolitiskForening har anbefalet i vores høringssvar.

Eksempler på politiets brug af internetlogning

Justitsministeriets bemærkninger om tekniske

udfordringer ved brugen af internetoplysninger

IT-Politisk Forenings konklusion