Onsdag presenterte justis- og innenriksminister Morgan Johansson sammen med Sigurd Heuman det nye datalagringsdirektivet, som trer i kraft 1. desember 2018.
Det nye forslaget om datalagringsdirektivet er ment å være i samsvar med EU-direktiver og lover som Sveriges tidligere datalagringsdirektiv ble ansett å bryte (i den tidligere nevnte dommen mot Tele2). Det skiller seg på flere måter fra forrige direktiv:
- Lagringstid for abonnementsdata øker fra 6 til 10 måneder (for eksempel hvem som har hvilken IP-adresse på et bestemt tidspunkt)
- Posisjonsdata senkes fra 6 måneder til 2 måneder (f.eks. hvor en mobiltelefon ble funnet under en telefonsamtale)
- All kommunikasjon i det faste nettverket er ekskludert (dvs. anrop via hjemmetelefoni lagres ikke lenger)
- Informasjon som gjør det mulig å identifisere abonnenter bør alltid lagres i samsvar med internettilgang - uavhengig av teknologien som brukes av operatørene (gjelder ikke VPN-tjenester, men Internett-leverandører må lagre kundeinformasjon)
- Dataene skal bare lagres i Sverige
Tilgang til lokasjonsdata bør være begrenset til alvorlig kriminalitet, mens abonnementsinformasjon - som de mener er kompatibel med EU-regelverket - bare krever mistanke om kriminalitet.[1]
Det som er interessant med denne undersøkelsen er imidlertid ikke bare at bare en mistanke om kriminalitet er nødvendig for å få abonnementsinformasjon, men hva etterforskningen klassifiserer som alvorlige forbrytelser.
Det er ingen generell definisjon av en alvorlig forbrytelse innenfor EU eller svensk lov. I ulike sammenhenger, både i EU og svensk lov, forekommer imidlertid oppregninger av forbrytelser som - i oppsummeringssammenheng - skal sidestilles med alvorlige forbrytelser eller som ellers skal behandles separat. Et eksempel på slik oppregning er vedlegget til loven (2003:1156) om overgivelse fra Sverige under en europeisk arrestordre. Det vedlegget viser forbrytelser som strekker seg over en stor del av strafferommet; fra drap og voldtekt til forfalskning, piratkopiering og barnepornografi. Det er nettopp denne oppsummeringen som rådet har oppfordret medlemsstatene til å ta behørig hensyn til når de innfører det nå opphevede datalagringsdirektivet.[2]
En tolkning av det ovennevnte er at datalagringsdirektivet ville klassifisere piratkopiering som en mer alvorlig forbrytelse.
Oppbevaring i Sverige
I følge Morgan Johansson har noen internettoperatører - spesielt Bahnhof og Tele2 - nektet å samarbeide med politiet når de ber om informasjon. I Bahnhofs tilfelle har de tolket datalagringsdirektivet som et forslag som ikke trenger å bli fulgt, da det direkte bryter med tidligere EU-rettsdommer. I Tele2s tilfelle har de i stedet hevdet at abonnentinformasjonen tilhører et datterselskap og ikke er lagret i Sverige. Dermed kan de heller ikke avsløre informasjonen siden de ikke har tilgang til den.
Det nye direktivet har løst dette på to måter:
-
I løpet av etterforskningen har de mange steder understreket at lagring av abonnentinformasjon (for eksempel IP-adresser) er forenlig med EU-direktiver, ettersom EU krever at land har effektiv rettshåndhevelse. Undersøkelsens tolkning er at abonnementsdata kan lagres siden dette ikke er et brudd på personvernet ved at det er knyttet til en person og ikke til hva vedkommende gjør. Ved å gjøre dette har de bestemt at Bahnhofs beslutning om å ikke lagre dette ikke er i samsvar med svensk lov.
-
De har bestemt at alt som svenske selskap er lovpålagt å lagre om svenske statsborgere må lagres i Sverige, siden det handler om statens sikkerhet. Dette betyr at blant annet Tele2 ikke lenger kan beskytte seg med datterselskaper i andre land for å unngå utlevering av abonnementsinformasjon.
Siden statens sentrale interesser ikke dekkes av EU-lovgivningen, utgjør ikke EU-lovgivningen noe hinder for en slik ordning. I følge rapporten bør det derfor innføres et forbud mot at operatørene lagrer dataene utenfor Sverige. I denne sammenheng bør det nevnes at lagring utenfor Sverige ikke skal forekomme i det hele tatt eller bare i veldig liten grad.[3]
Hva betyr alt dette?
Hvis det er mistanke om en forbrytelse, uavhengig av straffens omfang, kan en aktor spørre hvem som hadde en IP-adresse på et bestemt tidspunkt.
Hvis forbrytelsen blir klassifisert som alvorlig - som det for eksempel er foreslått å skje med piratkopiering - kan aktor også be om å få informasjon om posisjon om denne personen.
Hvis regjeringen bestemmer seg for å følge etterforskningens forslag, tror vi på OVPN at svenskene snart vil se en betydelig økning i saker fra selskaper som Njord.
Vi synes det er vanskelig å se hvordan Bahnhof & Tele2 vil lykkes med å unngå å lagre identifiserbar informasjon om kundene, ettersom etterforskningen er veldig fokusert på å sikre at disse hullene blir lukket for internett-leverandører. Løsningen for å beskytte deres personvern på nettet gjenstår å bruke sikre VPN-tjenester med strenge policyer som ikke logger noe.
Hvordan påvirkes OVPN?
For øyeblikket påvirkes OVPN ikke i det hele tatt av datalagringsdirektivet. Det er et spesielt poeng i etterforskningen under Spesielle meninger som spesielt nevner at lagringsplikten ikke inkluderer VPN-tjenester. OVPN kan fortsette å operere uten logger.
Det kan imidlertid være verdt å nevne at rapporten anbefaler en ny undersøkelse angående forskrifter om informasjonen som VPN-leverandører kan ha å lagre. Hvis en slik undersøkelse gjøres og krever at VPN-tjenester logger informasjon i Sverige, er vi forberedt på å flytte til utlandet - tross for vårt tidligere løfte om at virksomheten alltid vil ligge i Sverige - siden brukernes integritet er i fokus for oss.