3 skal bede kunderne om lov til masseovervågning, som er standard hos TDC

Erhvervsstyrelsen pålægger teleselskabet 3 at indhente et aktivt samtykke fra kunderne til at opbevare oplysninger om, hvor de har befundet sig de seneste fire måneder. De samme data må TDC godt opbevare efter andre regler.

Kuriositeterne fortsætter med at udspille sig om den masseovervågning, som de danske teleselskaber fortsat foretager, selv om den ifølge eksperter er klart i strid med EU-retten.

Læs også: Bombe under ti års dansk telelogning: Den er klart ulovlig og skal skrottes

Teleselskaberne gemmer oplysninger om, hvilke master deres kunder kobler sig på, og dermed deres geografiske placering. Det har internetaktivisten Christian Panton betegnet som at få en GPS-chip i nakken uden at kunne sige fra. Ham vender vi tilbage til.

Først den seneste afgørelse, som Erhvervsstyrelsen har truffet. Styrelsen er myndighed, når det gælder telelovgivning.

Frist til 12. juli

Den har behandlet en klage fra en journalist på netmediet Zetland. Han har i en artikel gennem registerindsigt beskrevet, hvordan de lokationsdata, som 3 opbevarer om ham, gør det muligt at følge hans færden. Det svarer til artiklen om TDC's masseovervågning, som Version2 forinden bragte.

Læs også: TDC totalovervåger tre millioner mobilbrugeres færden

Zetland-journalisten gjorde det samme som Christian Panton: Han klagede over den omfattende registrering af, hvor han går og står. Mens Panton løb panden mod en mur, har Zetland-journalisten nu fået medhold.

3's registrering af lokationsdata er i strid med den såkaldte udbudsbekendtgørelse, som mobilselskaberne driver deres tjenester efter, fastslår Erhvervsstyrelsens afgørelse.

Læs også: Teleselskabet 3 logger konstant én million kunders færden

3 får derfor en frist frem til 12. juli til at levere en plan, der skal rette op på ulovlighederne.

3 har argumenteret med, at lokationsdata bliver gemt i cirka fire måneder, fordi de bliver brugt til 'fejlsøgning og fejlfinding, herunder klager over mobilforbindelsen fra deres kunder', skriver Erhvervsstyrelsen. Desuden er logningen 'nødvendig af hensyn til driften af netværket samt for at kunne levere lokaliseringsoplysninger til politi og redningstjenester m.v. ved henvendelser herom,' fremgår det af en skriftlig redegørelse fra selskabet.

Læs også: TDC's totalovervågning kan være ulovlig, men styrelse beskyldes for nøl

3 mener, at der er tale om en såkaldt tillægstjeneste. Ved at have tilsagn fra kunderne til sådan en tjeneste må selskabet logge flere data, lød argumentet.

Kunderne får ikke besked og kan ikke sige fra

Erhvervsstyrelsen kan imidlertid ikke se, at kunderne bliver afkrævet specifikt tilsagn til at logge lokationsdata, eller at kunderne har mulighed for specifikt at fravælge fejlretningen.

'Erhvervsstyrelsen må konstatere, at det ikke fremgår tydeligt af kontrakt eller abonnementsvilkår, at Hi3G indsamler og opbevarer lokaliseringsdata til brug for fejlsøgning i ca. fire måneder. Abonnenterne er således ikke orienteret om hverken typen af data, som Hi3G indsamler, eller om behandlingens varighed.'

Hi3G er det selskabsnavn, som 3 opererer under.

'Hi3G har ikke hverken over for abonnenten i kontrakten eller abonnementsvilkårene eller over for Erhvervsstyrelsen sandsynliggjort, at tillægstjenesten kræver, at Hi3G opbevarer de pågældende lokaliseringsdata i ca. fire måneder.'

Derfor påbyder Erhvervsstyrelsen 3 at sørge for, at kunderne ved, hvad de giver samtykke til, at de altid kan trække samtykket tilbage, og at overvågningsdata ikke opbevares længere, end fejlsøgningen tillader.

Overvågningsdata bliver opbevaret alligevel efter andre regler

Det lyder alt sammen fint i Christians Pantons ører. Alligevel sidder han tilbage med den kuriøse følelse efter sin egen sag med TDC, der opbevarer nøjagtig de samme overvågningsdata, dog kun logget hver time, ikke hver halve som 3's. Til gengæld gemmer TDC dem i et år og ikke kun fire måneder.

Læs også: Sådan foregår registreringen af danskernes mobiltelefoner

Det har Erhvervsstyrelsen ikke tænkt sig at gribe ind over for. TDC's grund til at opbevare masseovervågningsdata er nemlig en anden. Landets største teleselskab vurderer, at det er nødvendigt for at kunne leve op til et andet regelsæt, den såkaldte logningsbekendtgørelse, som justitsministeren har udstedt.

Den forpligter teleselskaberne til at udlevere den fysiske placering af alle, som modtager eller afsender et opkald, en sms eller en MMS. Da MMS sendes som data i netværket, har TDC ikke andet valg end jævnligt at registrere kundernes position jævnligt og tage udgangspunkt i den registrering.

Læs også: Erhvervsstyrelsen giver grønt lys til TDC's konstante logning af lokationsdata

Samme forklaring har de øvrige teleselskaber, herunder 3, i øvrigt givet Erhvervsstyrelsen, som har accepteret den. Blandt andet fordi logningsbekendtgørelsen alligevel er ved at blive ændret.

Absurditet

Så faktum er, at 3 ikke må gemme kundernes geografiske placering for at søge fejl, men alligevel gør det for at leve op til logningsbekendtgørelsen. Som Christian Panton siger om den nye afgørelse, når han er i sit diplomatiske hjørne:

»Den får ikke den store praktiske betydning.«

Læs også: Så let kan politiet kortlægge din færden: Mistanke om cykeltyveri er nok til at få udleveret følsomme data

Når galgenhumoren tager over, lyder det sådan:

»Jeg kan ikke lade være med at grine lidt ad den absurditet, som ligger i det.«

Alligevel glæder Christian Panton sig isoleret over den seneste afgørelse.

»Den viser, at Erhvervsstyrelsen trods alt kan slå ned på ulovligheder, når det handler om alt andet end logning,« som han siger.

Læs også: Leder: TDC’s totalovervågning udstiller tandløse data-myndigheder

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
Mogens Ritsholm

3 kan bare bruge samme forklaring som TDC og så gemme data i 1 år i stedet for 4 måneder.

Altså skal de sige, at de gemmer data af hensyn til logningsreglerne, når SMS og MMS sendes via internetforbindelsen. For det gør 3 vel også. De har i hvert fald ikke mig bekendt undsagt Teleindustriens forklaring.

Teleindustrien har i årevis hævdet, at mobilselskaberne er nødsaget til at logge alle masteoplysninger for data, fordi de ikke særskilt kan registrere master, når en SMS overføres via dataforbindelsen i stedet for den "gammeldags" særlige bærertjeneste i mobilnettene.

Efter logningsbekendtgørelsen skal en grøn SMS registreres med afsender, modtager, tidspunkt og benyttede master, mens en blå imessage overhovedet ikke skal registreres. Hvad er så begrundelsen for, at en grøn SMS, der er overført via internetforbindelsen af tekniske grunde, pludselig er årsag til at master for al datatrafik skal registreres?

I virkelighedens verden er en grøn SMS jo bare en besked til en modtager, der ikke har datadækning. Næsten alle mine SMS er blå.

Sagen er, at logningsreglerne er over 10 år gamle, og de forholder sig slet ikke til dagens virkelighed. Da reglerne blev udtænkt var der slet ikke tænkt på, at SMS kunne produceres på nye måder.

Derfor er Erhvervsstyrelsens afgørelse i sagen om TDCs logning forkert. Man kan ikke på grund af teknisk udvikling udstrække regler, der snævert og præcist definerer undtagelser fra hovedreglen om sletning. Og det kan man slet ikke, når man derved udstrækker overvågningen.

Hvis man vil udvide logningen, må justitsministeriet tage sit ansvar og få reglerne tilpasset.

Denne snigende udvidelse af overvågningen på grund af uduelighed i teleselskaberne er måske behagelig for dem, der ønsker mere overvågning.

Men det er udemokratisk - og altså også ulovligt.

Mogens Ritsholm

Fin artikel. Grav bare videre.

En enkelt kommentar:

Christian Pantons aktindsigt vedrørte en mobil, hvor han brugte VPN. En stor del af hans datatrafik gik derfor til samme IP-adresse, selv om han surfede rundt på nettet. For sådan virker VPN jo.

For en TDC-netkunde, der ikke anvendte VPN, ville registreringen af master være lige så tæt hos TDC som hos 3. Der er derfor ikke belæg for ud fra de konkrete sager om aktindsigt at konkludere, at TDC registrerede mindre end 3.

TDCs log var organiseret efter modtagere, fordi de oprindeligt var tiltænkt sessionslogning. Og så plastredes masteidentitet på i en særlig "pakke" til politiet.

Justitsministeriet forsøgte at retfærdiggøre dette i redegørelsen til Folketingets retsudvalg i december 2012. På side 30 står der:

"Sessionsdata indeholder i medfør af logningsbekendtgørelsen
geografisk information, og gerningsmandens færden
kan dermed kortlægges i videre omfang, end det ville have været muligt
ved hjælp af historiske teleoplysninger,...."

Det er en lodret løgn. Reglerne om sessionslogning indeholdt intet om masteoplysninger eller geografisk information generelt.

Da sessionslogning så blev ophævet røg dette falske figenblad. Og så kom forklaringen om, at man loggede videre af hensyn til SMS.

Igen var det en falsk forklaring. Logningsbekendtgørelsen tager slet ikke stilling til nye produktionsformer, da den snævert og præcist definerer undtagelser til hovedreglen om sletning eller anonymisering. Noget, der ikke er tænkt på i reglerne, kan derfor ikke være omfattet.

Der er ikke i gældende regler krav om, at grønne SMS via data, skal registreres. Og forklaringen om at al datatrafik så må registreres er ikke tilstrækkelig undersøgt.

De gør grin med Folkestyret og hele befolkningen for hvem sagen er for indviklet.

Skal de slippe godt fra det?

Sagen om logning er større end logning. Så grav endeligt videre.

Redegørelsen fra 2012 er her: http://www.ft.dk/samling/20121/almdel/reu/bilag/125/1200765.pdf

Mogens Ritsholm

Hvorfor kalder du dem blå og grøn? Er det noget iphone halløj?

Ja. Men jeg antager, at folk her på debatten kender begreberne, selv om de ikke bryder sig om Iphone. Og det er simple begreber til illustration af forskellen på en besked via in IT-tjeneste og en SMS overført af teleoperatørens tjeneste.

Så opfat det venligst som en generaliseret begreb, som har den fordel, at almindelige brugere af Iphone uden teknikindsigt nok også forstår det.

Mogens Ritsholm

Tak for uddybningen. Jeg har nemlig ikke hørt om den før, og bruger ikke selv iPhone


Tak i lige måde. Som du forstår, tror jeg, at vi må bruge simple billeder, hvis der skal være en chance for at nå ind til politikeres forståelse.

Det gør artiklen også. Christian Pantons aktindsigt er jo fra før sessionslogning blev ophævet. Men efter alle mellemregninger betyder det ikke det store og overskriften er derfor ok som budskab.

Anders Poulsen

Jeg er selv iPhone bruger, men det tog mig da lige lidt tid at regne ud, hvad du mente.
Til info for andre: blå sms'er er iMessage beskeder. Hvis modtageren ikke har iMessage aktiveret på mobilnummeret, eller enten modtager eller afsender ikke lige har dataforbindelse på tidspunktet, så bliver beskeden istedet sendt som almindelig (grøn) SMS.

Mogens Ritsholm

Hvis modtageren ikke har iMessage aktiveret på mobilnummeret, eller enten modtager eller afsender ikke lige har dataforbindelse på tidspunktet, så bliver beskeden istedet sendt som almindelig (grøn) SMS.

Tak.

Jeg kan ikke dy mig for at fortælle en lille oplevelse, jeg havde.

En af mine bekendte var nogle uger på Grønland for at undervise. Under opholdet anvendte han en telefon med grønlandsk nummer.

Jeg fik så en regning på flere hundrede kroner for ganske få beskeder til ham om en andens fødselsdag.

Det viste sig så, at han ikke var i datadækning, og mine beskeder var derfor oversat til SMS - overraskende mange i øvrigt - til 16 kr. pr. stk.

De var tydeligt sendt som grønne beskeder, da jeg checkede det

Anne-Marie Krogsbøll

Af artiklen fremgår:
"Da MMS sendes som data i netværket, har TDC ikke andet valg end jævnligt at registrere kundernes position jævnligt og tage udgangspunkt i den registrering."

Jeg har hverken smartphone eller kan sende/modtage MMS (benytter dog sms). Betyder det, at der ikke er hjemmel til at logge min færden, eller er forklaringen i ovenævnte sætning for forenklet?

Mogens Ritsholm

Jeg har hverken smartphone eller kan sende/modtage MMS (benytter dog sms). Betyder det, at der ikke er hjemmel til at logge min færden, eller er forklaringen i ovenævnte sætning for forenklet?


Hvis dit abonnement har datamulighed, vil du blive logget ved brug af data. Men hvis du har slået data fra eller din telefon ikke kan bruge data, vil der jo ikke være noget at logge.

Hullerne er i myndighedernes forklaringer. Som sagt er der slet ikke hjemmel til at logge ud over de afgrænsede tilfælde, der er oplistet i logningsbekendtgørelsen. I alle andre tilfælde - bortset fra data til debitering - skal personhenførbare data omgående slettes eller anonymiseres.

Og ingen tænkte på SMS/MMS via data i logningsbekendtgørelsens undtagelser fra hovedprincippet for sletning/anonymisering.

Man tænkte kun på disse tjenester afviklet via mobilnettenes bærertjenester som dengang defineret i GSM. Samtidigt vidste man, at andre beskedtjenester via data på det generelle internet ikke ville blive logget.

Justitsministeriets og erhvervsstyrelsens håndtering er et klart magtmisbrug.

Kommer til at tænke på denne filmsekvens med ordene "nobody gives a shit"

https://www.youtube.com/watch?v=FEdL1_zOyz4

Anne-Marie Krogsbøll

Tak for forklaring, Mogens Ritsholm. jeg kommer lidt til kort ift. diverse fagudtryk, men har jeg forstået det rigtigt, at sms fra en ikke-smartphone ikke nødvendigvis udgør data?

Folk forsøger jævnligt at sende MMS-er til mig. Så får jeg en fejlmeddelelse om, at nogen har forsøgt det, men at jeg ikke kan modtage MMS. Jeg går mig bekendt aldrig på nettet via min mobil, og tvivler faktisk på, at jeg har data-abonnement - men jeg har aldrig rigtigt fattet dybderne af min mobil-abonnement og dets mange tilvalgsmuligheder - har ikke haft brug for dem.

Måske skulle jeg bede CBB om udskrift af, hvad de har registreret på mig. Det er måske de bedste måde at få opklaret det på.

Jens Jönsson

De gør grin med Folkestyret og hele befolkningen for hvem sagen er for indviklet.

Jeg tror faktisk at rigtigt mange i befolkningen godt forstår det. Det er politikerne, som ikke fatter en hat.
Prøv bare at høre deres argumenter for overvågning. Det er ofte helt hen i vejret og skriger til himlen af uvidenhed.
Søren Pind er et godt eksempel på én af dem....

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017