Därför krävs nya lagar om datalagring

I slutet av förra året underkände EU-domstolen åter igen den svenska datalagringen. I februari tillsatte därför dåvarande inrikesminister Anders Ygeman en ny utredning under ledning av före detta lagmannen Sigurd Heuman. Den ska presenteras senast den nionde oktober, och det är uppgifter ur denna utredning som nu läckt ut.

Det var nätoperatören Bahnhof som gick ut med uppgifterna som sägs komma från en "källa inom statsförvaltningen".

IDG.se har fått ta del av Bahnhofs material som består av ett antal yttranden om Sigurd Heumans utredning, bland annat från Polisen och Säkerhetspolisen. Varken redaktionen eller Bahnhof har dock sett utredningen i sin helhet.

Fast telefoni ska inte omfattas

Utredaren föreslår enligt dokumenten att datalagring inte längre ska ske när det gäller telefonsamtal via ip-telefoni eller det fasta nätet. För ip-telefonin ska dessutom lagringen av ip-adresser, tidsuppgifter och utrustningsidentitet bort.

Det förslaget kritiseras av de brottsförebyggande myndigheterna som menar att det kan bli svårare att kartlägga brott.

Men datalagringen ska tillbaka

Däremot föreslås lagringen av övriga uppgifter att återinföras, fast i nytt format där olika typer av uppgifter kommer att lagras olika länge.

De flesta uppgifter ska precis som tidigare lagras i sex månader, och lokaliseringsdata ska numera bara sparas i två. Men enligt förslaget ska ip-adresser "och andra nödvändiga identifieringsuppgifter" sparas i tio månader.

Vid mobil telefoni handlar de övriga uppgifterna bland annat om imei- och imsi-nummer, det vill säga id-nummer som är unika för varje mobiltelefon respektive sim-kort.

Svårare att anonymisera nätanvändarna

För internetanvändare handlar "andra nödvändiga identifieringsuppgifter" om att identifiera vem som använt en publik ip-adress. I dag använder flera operatörer så kallad nat-teknik vilket innebär att flera nätanvändare delar på en publik ip-adress.

Enligt förslaget måste operatörerna kunna lämna ut identitet på de enskilda slutanvändarna, trots att de har samma ip-adress utåt.

– Som operatör känner jag att det här är rent fasansfullt. Istället för att lägga systemtid och utvecklingsresurser på att förbättra nätets prestanda för svenska internetanvändare så ska vi lägga krutet på att undersöka hur man bäst ska kunna avlyssna och datalagra människors kommunikation, säger Bahnhofs vd Jon Karlung till IDG.se.

Jon Karlung menar att om förslaget blir verklighet kommer operatörerna att behöva göra om sina system för att kunna leverera den trafikdata som krävs.

– De rådande lagarna tidigare var att operatörerna skulle lagra sådana uppgifter som de genererade, loggfiler och annat. Men nu måste vi specialbygga system och ändra nätet så att man ska kunna lagra trafiken där folk delar på ip-nummer. Det kommer att generera enorma datamängder och det kommer också att tvinga in trafiken till särskilda knutpunkter som man annars inte velat ha, säger han.

Förslaget får dock beröm av de brottsbekämpande myndigheterna.

"Operatörens val av teknik bör rimligen inte möjliggöra för dess kunder att i skydd av anonymitet begå brott på internet", skriver Polisen i sitt särskilda yttrande.

Vad gäller för vpn-tjänster?

När Bahnhof först gick ut med uppgifterna varnade operatören för att utredaren gick till angrepp mot vpn-tjänster, en slags anonymiseringstjänst för att dölja din ip-adress på nätet.

Bahnhof byggde påståendet på uppgifter från sin källa inom statsförvaltningen samt en formulering i ett av yttrandena där det framgår att uppgifterna som ska ingå i datalagring innefattar "första aktiveringen" av "en förbetald anonym tjänst".

Det formuleringen finns dock med även i den gamla lagstiftningen. Där gäller formuleringen kontantkort till mobiltelefoner, inte vpn-tjänster.

Det är möjligt att utredaren föreslår att samma regler ska gälla den "första aktiveringen" av "förbetalda anonyma tjänster" även vid internetanslutningar. I så fall skulle vpn-tjänster kunna ingå. Men det är inget IDG.se har kunnat uteläsa av de dokument vi fått oss tillhanda.

Vi får helt enkelt vänta in utredningen i sin helhet innan vi kan ge något svar på den frågan.

Kan försvåra för hemlig dataavläsning

I utredningen föreslås att operatörerna ska datalagra i stort samma uppgifter om internetanvändare som tidigare, med undantaget att de inte längre ska spara information om uppkopplingens kapacitet. Det innebär information om huruvida uppkopplingen är exempelvis mobil eller går via adsl eller fibernätet inte kommer att finnas med.

Säpo varnar i sitt särskilda yttrande att det här kan ge långtgående konsekvenser. Det kan nämligen sätta käppar i hjulet för det förslag om hemlig dataavläsning som väntas presenteras senare i höst. Om man inte vet hur bra uppkoppling någon har, är det svårt att säga vilka spionprogram som är lämpliga att använda för att i hemlighet lyssna av kommunikationen, menar myndigheten.

Läs också: Webbens skapare allt mer oroad för integriteten på nätet – föreslår femårsplan

Kommer EU att godkänna förslagen?

Sverige har redan fått på fingrarna av EU-domstolen för datalagringen, så varför tros de nya förslagen gå bättre hem?

Utan att ha sett hela utredningen går det inte att säga exakt vad som gjorts för att anpassa datalagringen till EU:s regler, men det finns några indikationer i de dokument IDG.se har tagit del av.

1. Lagringen är differentierad

En av sakerna som EU-domstolen slog ned på var att Sverige infört en "generell och odifferentierad" lagring av trafikuppgifter och lokaliseringsdata. I det nya förslaget ska olika typer av uppgifter lagras olika länge, det vill säga en differentiering.

2. EU-domstolen har fel

En annan tänkbar utväg är att EU-domstolen helt enkelt feltolkat Sveriges datalagring. Den fråga som EU-domstolen fick ta ställning till var om datalagring av "samtliga trafikuppgifter och lokaliseringsuppgifter för samtliga abonnenter och registrerade användare avseende samtliga elektroniska kommunikationsmedel" var laglig .

Utredaren resonerar att frågan är felställd eftersom den svenska datalagringen inte innefattar "samtliga" uppgifter. I ett av yttrandena skriver de brottsförebyggande myndigheterna att alltifrån webbtrafik till e-post och sociala medier inte omfattas av lagen. Därav är det helt enkelt fel att "samtliga" uppgifter lagras.

"För oss står det klart att EU-domstolens avgörande bygger på felaktiga antaganden om hur den rättsliga regleringen förhåller sig till den tekniska verkligheten", skriver Säpo i sitt yttrande.