masse-overvaagning

Analyse: Forsvarets Efterretningstjeneste får udvidet beføjelser til masseovervågning direkte i datacentre

Forslaget om at udvide Forsvarets Efterretningstjenestes beføjelser til direkte adgang til teleselskabernes infrastruktur og mulighed for at kræve dekryptering af kommunikation markerer et markant indgreb i både borgernes privatliv og teleselskabernes drift. Lovændringen rejser grundlæggende spørgsmål om proportionalitet, retssikkerhed og grænserne for statens adgang til masseovervågning i et demokratisk samfund. Forlaget overtræder mange lovgivninger på samme tid og er et forslag til masseovervågning. Det minder om og er identisk med Center for Cybersikkerhed version 2 uden nogen dengang politisk tog aktion. Det skriver ICARE SECURITY A/S.

Hvis lovforslaget vedtages, vil Forsvarets Efterretningstjeneste kunne installere og anvende teknisk udstyr på lokaliteter, som teleselskaberne råder over. Det indebærer, at FE får adgang til at indsamle kommunikationsdata direkte fra 4G- og 5G-nettene, herunder mulighed for at kræve, at kommunikationen dekrypteres, i det omfang teleselskaberne selv råder over krypteringsnøglerne.

Dette betyder overvågning af:

  • Internet trafik uden undtagelser
  • Mailservere (for krypterede mailservere skal udbyder tilbyde de-kryptering)
  • FTP Servere
  • Hjemmesider og data på disse f.eks. private mailservere som PHPMailer
  • Sociale medier som Facebook, X, Tiktok og andre websteder
  • Browserhistorik
  • Opfindelser, IP rettigheder som varemærker, design og patenter
  • Videoovervågning
  • Router-overvågning (der kan se personer i bygninger)
  • Overvågning af Adgangskontrol
  • Overvågning af alle VLAN lokale netværk, mobiltelefoner, PADS, computere i hjemmet og hos virksomheder

Masseovervågning er ikke lovligt

Dermed åbnes der for såkaldt bulkindhentning af kommunikationsdata i et omfang, der hidtil ikke har været muligt efter dansk ret. Ikke nok med det, så er datacentre som f.eks. DIX knudepunkter for både international og dansk trafik, hvorfor datacentre i denne vide forstand også omhandler FET, PET, Statens IT og datacentre der lover kryptering der ikke kan de-krypteres. Tillige gælder dette selvsagt overvågning af videoovervågning, TV, servere, mailservere, FTP servere, Fora og sociale medier som Facebook, Tiktok, X og andre sociale medier eller f.eks. pornosider som er nogen af de websites med flest besøgende.

  • Selve krypteringen som jo er en sikkerhed i sig selv, er en ret, men denne ret til privatliv udvides nu uden dommererkendelse, således at masseovervågning er en realitet. Dermed forsvinder retten til privatliv.
  • Privatlivsretten i EU-retten er forankret i flere bindende retskilder, som tilsammen udgør et stærkt og selvstændigt retligt værn for borgernes privatliv, kommunikation og personoplysninger. Disse regler har direkte betydning for nationale love om overvågning, logning og efterretningstjenesters adgang til data.

EU’s charter om grundlæggende rettigheder

Den mest centrale privatlivsretlige beskyttelse følger af EU’s charter om grundlæggende rettigheder, som har samme retskraft som EU-traktaterne, jf. artikel 6 i Traktaten om Den Europæiske Union.

Artikel 7
Respekt for privatliv og familieliv
Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation.
https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:12012P/TXT

Artikel 8
Beskyttelse af personoplysninger
Enhver har ret til beskyttelse af personoplysninger om vedkommende selv.
Sådanne oplysninger skal behandles loyalt, til bestemte formål og på grundlag af samtykke eller andet legitimt retsgrundlag fastsat ved lov.
Enhver har ret til adgang til indsamlede oplysninger om sig selv og til at få dem berigtiget.
Overholdelsen af disse regler kontrolleres af en uafhængig myndighed.
https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:12012P/TXT

Disse to bestemmelser udgør kernen i EU-rettens privatlivsbeskyttelse og anvendes direkte af EU-Domstolen ved prøvelse af nationale regler om masseovervågning og datalagring.

Traktaten om Den Europæiske Unions funktionsmåde

Privatlivsbeskyttelsen understøttes yderligere af artikel 16 i Traktaten om Den Europæiske Unions funktionsmåde, som giver EU kompetence til at fastsætte regler om behandling af personoplysninger.

Artikel 16, stk. 1
Enhver har ret til beskyttelse af personoplysninger om sig selv.
https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:12012E/TXT

Databeskyttelsesforordningen (GDPR)

Databeskyttelsesforordningen, forordning (EU) 2016/679, konkretiserer chartrets artikel 7 og 8 og gælder direkte i alle medlemsstater.

Centrale bestemmelser med privatlivsretlig betydning
Artikel 5 om grundprincipper for behandling af personoplysninger
Artikel 6 om lovlige behandlingsgrundlag
Artikel 32 om behandlingssikkerhed
Artikel 52 i chartret om proportionalitet og nødvendighed

GDPR kan læses her:
https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:32016R0679

ePrivacy-direktivet

Direktiv 2002/58/EF, det såkaldte ePrivacy-direktiv, beskytter fortroligheden af elektronisk kommunikation og supplerer GDPR.

Artikel 5, stk. 1
Medlemsstaterne skal sikre fortroligheden af kommunikation og dermed forbyde aflytning, overvågning og opbevaring af kommunikation uden samtykke eller klar lovhjemmel.
https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:32002L0058

Direktivet er centralt i EU-Domstolens praksis om logning og overvågning, herunder dommene Digital Rights Ireland og Tele2 Sverige.

EU-Domstolens faste praksis

EU-Domstolen har fastslået, at generel og udifferentieret overvågning og datalagring som udgangspunkt krænker chartrets artikel 7 og 8.

Centrale domme
Digital Rights Ireland, C-293/12 og C-594/12
https://curia.europa.eu/juris/document/document.jsf?docid=145562&doclang=DA

Tele2 Sverige og Watson, C-203/15 og C-698/15
https://curia.europa.eu/juris/document/document.jsf?docid=186492&doclang=DA

La Quadrature du Net, C-511/18 m.fl.
https://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=DA

Samlet juridisk kerne

EU-privatlivsretten hviler derfor primært på:

  • EU’s charter om grundlæggende rettigheder, artikel 7 og 8
  • TEUF artikel 16
  • GDPR og ePrivacy-direktivet
  • EU-Domstolens faste retspraksis

Disse retskilder er bindende for Danmark, når der handles inden for EU-rettens anvendelsesområde, og de udgør et stærkt værn mod uforholdsmæssig statslig overvågning og indgreb i borgernes privatliv.

masse-overvaagning-2

Virksomheder og private er hermed genstand for overvågning og vi ved ikke hvordan dataindsamlingen opbevares eller annvendes

Ifølge Teleindustrien, der er brancheorganisation for de danske teleselskaber, vil FE med lovændringen få adgang til at masseindhente kommunikationsdata, dog underlagt godkendelse fra Efterretningsnævnet for perioder på op til 12 måneder ad gangen. For indledende undersøgelser af kommunikationsdatas relevans vil der dog ikke være krav om forudgående tilladelse. Direktør Jakob Willer har i den forbindelse understreget, at der er tale om særdeles vidtgående beføjelser, som både påvirker teleselskabernes kommercielle vilkår og den tekniske drift af offentlige kommunikationsnet.

Et centralt element i lovforslaget er kravet om dekryptering. Kryptering er i dag et grundlæggende sikkerhedselement i næsten al elektronisk kommunikation og anvendes netop for at beskytte mod uautoriseret adgang fra tredjeparter, herunder hackere og fremmede efterretningstjenester. På mobilnettene sker kryptering som en integreret del af infrastrukturen, og det er denne form for kryptering, som teleselskaberne efter forslaget kan pålægges at ophæve for FE. Det gælder ikke såkaldt end to end-kryptering, hvor teleselskaberne ikke har adgang til nøglerne.

Dekryptering som standard

Debatten om dekryptering og adgang til kommunikation har i en årrække været international. Gentagne forsøg på at pålægge teleselskaber og teknologivirksomheder at indbygge tekniske bagdøre er blevet kritiseret, fordi sådanne løsninger også kan udnyttes af kriminelle aktører og dermed svække den generelle cybersikkerhed. I dansk ret kræver målrettet aflytning fortsat en dommerkendelse, men bulkindhentning placerer sig i et andet retligt felt, hvor kontrollen i højere grad er administrativ.

Hvordan en sådan masseovervågning, som man bl.a. kender fra Nordkorea og Kina kan undgå at overtræde mange lovgivninger samtidigt er fortsat ukendt. Man beslutter dermed en masseovervågning uden direkte at fortælle hvordan den er lovlig. Dermed overtrædes mange lovgivninger på samme tid.

I Folketinget har regeringen anført, at lovforslaget skal bringe dansk ret i overensstemmelse med Den Europæiske Menneskerettighedsdomstols praksis om efterretningstjenesters elektroniske masseindhentning. Den socialdemokratiske ordfører Bjørn Brandenborg har henvist til, at der med forslaget etableres klare kontrolmekanismer, som lever op til menneskeretlige krav. Menneskerettighedsdomstolen har i dommen Big Brother Watch m.fl. mod Storbritannien fastslået, at bulkindhentning af kommunikationsdata ikke i sig selv er forbudt, men kræver klare, præcise og effektive garantier mod misbrug. Dommen kan læses her:
https://hudoc.echr.coe.int/eng?i=001-210077

På EU-retligt niveau har EU-Domstolen imidlertid gentagne gange underkendt generel og udifferentieret lagring af trafik- og lokaliseringsdata. I Tele2 Sverige og Watson-sagen slog domstolen fast, at generel logning af alle borgeres kommunikationsdata strider mod EU-retten, jf. dom C-203/15 og C-698/15:
https://curia.europa.eu/juris/document/document.jsf?docid=186492&doclang=DA

Denne linje er senere bekræftet i La Quadrature du Net-dommen, hvor domstolen dog anerkendte snævre undtagelser af hensyn til national sikkerhed, jf. dom C-511/18 m.fl.:
https://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=DA

I Danmark har spørgsmålet om logning været genstand for betydelig retlig usikkerhed. EU-Domstolen har kendt den danske logningsordning ulovlig, mens både Højesteret og Østre Landsret har fundet, at justitsministerens administrative krav om fortsat logning ikke var ugyldige, senest bekræftet af Østre Landsrets dom af 2. juni 2021. Menneskerettighedsdomstolen afviste i september 2024 at realitetsbehandle en klage over den danske overvågningspraksis med henvisning til, at de nationale retsmidler ikke var udtømt, hvilket ikke udgør en materiel godkendelse af ordningen.

Der er ikke krav om mistanke eller sigtelse, så Skattestyrelsen og Sociale myndigheder kan få adgang

Denne retlige situation har udløst skarp kritik fra it-sikkerhedseksperter. Ifølge Ingeniørforeningen IDAs it-sikkerhedsekspert Jørn Guldberg er der tale om et politisk forløb, hvor regeringen bevidst har accepteret en procesrisiko for at få overvågningsreglerne underkendt. Han har peget på, at EU-Domstolens praksis netop har til formål at beskytte borgernes grundlæggende rettigheder mod uforholdsmæssig statslig overvågning.

Som led i lovforslaget foreslås oprettet to nye kontrolinstanser. Efterretningsnævnet skal føre forudgående kontrol med FEs bulkindhentning, mens Nævnet for Indsigtsrettigheder skal varetage efterfølgende kontrol og kunne pålægge FE at slette oplysninger, der er behandlet uden hjemmel. Flere ordførere har understreget, at sådanne kontrolmekanismer er bydende nødvendige, når der gives så omfattende beføjelser til indhentning og behandling af data.

Lovforslaget er nu sendt til videre behandling i Folketingets Forsvars-, Samfundssikkerheds- og Beredskabsudvalg, inden det skal gennem anden og tredje behandling. De politiske tilkendegivelser ved førstebehandlingen indikerer bred opbakning til at udvide Forsvarets Efterretningstjenestes beføjelser, men den videre proces vil afgøre, om de foreslåede rammer og kontrolmekanismer anses for tilstrækkelige i lyset af dansk og europæisk retspraksis.

Det skriver bl.a. DR, Ritzau, Teleindustrien i Danmark og Ingeniørforeningen IDA.

Er der ikke noget vi genkender som blev nedlagt grundet hacking?

Jo, det er korrekt, at Forsvaret tidligere har haft meget ambitiøse planer om at etablere centrale sikkerheds- og overvågningsløsninger i den civile digitale infrastruktur, herunder løsninger der i praksis fungerede som en slags national firewall, men at disse tiltag enten blev opgivet, ændret markant eller stærkt kritiseret netop på grund af sikkerhedsrisici, hacking-trusler og retlige problemer. Her er det juridisk og historisk korrekte billede i hovedtræk.

Center for Cybersikkerhed og overvågning af nettrafik

I perioden omkring 2012–2014 etablerede Forsvarets Efterretningstjeneste gennem Center for Cybersikkerhed en teknisk ordning, hvor nettrafik fra statslige myndigheder blev ført gennem centrale sensorer. Formålet var at opdage cyberangreb, malware og statslige trusler.

Denne løsning blev i praksis kritiseret for at fungere som:

  • En central overvågningsinfrastruktur
  • Et teknisk “single point of failure”
  • Et attraktivt mål for fremmede efterretningstjenester

Der blev internt og eksternt advaret om, at central opsamling af trafik skaber større risiko end decentral sikkerhed, fordi et kompromitteret system giver adgang til enorme mængder data og tillige kan staten selv dele ud af disse informationer til socialsstyrelsen, skattestyrelsen og andre kontrolmyndigheder.

Opgivelse af bred firewall-tænkning

Forsvaret og Center for Cybersikkerhed gik i de følgende år væk fra ideen om én samlet national firewall eller tilsvarende central dekrypteringsløsning. Det skete af flere grunde:

• Høj hacking- og kompromitteringsrisiko
• Manglende teknisk robusthed
• Risiko for, at løsningen selv kunne bruges til angreb
• Uforenelighed med privat kryptering og internationale standarder

Særligt efter afsløringerne fra Edward Snowden i 2013 blev det tydeligt, at centraliserede overvågningssystemer er blandt de mest attraktive mål for både statslige og kriminelle hackere.

Klassisk sikkerhedsprincip: Ingen bagdøre

Inden for it-sikkerhed gælder et helt grundlæggende princip, som også anerkendes af NATO og EU’s cybersikkerhedsorganer:

En bagdør til “de gode” er altid også en eller flere bagdøre til “de onde”.

Det var netop derfor, at både danske og internationale forsøg på at tvinge teleselskaber og tech-virksomheder til at indbygge dekrypteringsmekanismer tidligere blev opgivet. Risikoen for misbrug og systemisk svækkelse af sikkerheden blev vurderet som for høj.

Juridisk betydning i dag

Det er derfor ikke tilfældigt, at de nye lovforslag ikke taler om én national firewall, men i stedet om:

  1. Installation af udstyr hos teleselskaber
  2. Krav om dekryptering hvor teleselskabet allerede har adgang
  3. Administrativ kontrol frem for teknisk universalløsning

Men kritikken er den samme som tidligere:

Jo mere central, omfattende og teknisk indgribende løsningen er, desto større er:

  1. Hacking-risikoen
  2. Risikoen for masseovervågning
  3. Risikoen for brud på EU-chartrets artikel 7 og 8

Kort juridisk vurdering: det er ulovligt

Ja, Forsvaret har tidligere bevæget sig væk fra firewall- og central overvågningstænkning netop fordi:

  1. Systemerne var teknisk sårbare
  2. De skabte større sikkerhedsrisici end de løste
  3. De var vanskelige at forene med privatlivsret og EU-ret
  4. USA har nemt ved at læse information fordi systerme er/var amerikanske

Det er derfor også baggrunden for, at de nuværende forslag møder så markant kritik fra teleselskaber, it-sikkerhedseksperter og jurister.

Kilde: Jesper Christiansen, Advokat og Revisor Samvirket, AORS.DK, ICARE SECURITY A/S
Fotokredit: stock.adobe.com
Personer/Firmaer/Emner/#: #ForsvaretsEfterretningstjeneste, #FE, #Teleindustrien, #Teleselskaber, #Masseovervågning, #Kryptering, #Menneskerettigheder, #EUDomstolen, #Menneskerettighedsdomstolen
Copyrights: Ⓒ 2026 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.

Cybersikkerhed & Nyheder