Længe ventet EU-dom: Teleselskabers massive dataindsamling er ulovlig

Teleselskaber kan ikke tvinges til over en bred kam at indsamle oplysninger om kunders brug af tale og internet, fastslår EU-Domstolen.

En almen forpligtelse om, at teleselskaberne skal gemme oplysninger om folks brug af tale og internet, er ikke tilladt, skriver Business.dk.

Det er kun tilladt at indsamle disse oplysninger, hvis det er nødvendigt for at bekæmpe alvorlige forbrydelser med høje strafferammer - og myndighederne kan først få oplysningerne at se, når en domstol har været inde over.

Det fastslår EU's øverste juridiske myndighed, EU-Domstolen, i en længe ventet afgørelse, som udspringer af en strid mellem det svenske teleselskab Tele2 og den svenske telemyndighed Post- och Telestyrelsen.

Her har Tele2 nægtet at følge et krav fra myndighederne om stadig at gemme oplysninger om sine kunder oven på en EU-domstolsafgørelse i 2014. I kølvandet på denne afgørelse droppede daværende justitsminister Karen Hækkerup (S) den omstridte sessionslogning.

Dengang skete det dog med henvisning til, at den danske logning var ineffektiv, men ifølge en analyse fra justitsministeriet (PDF) ikke ulovlig i henhold til 'Den Europæiske Unions Charter om grundlæggende rettigheder'.

Læs også: Justitsminister: Sessionslogning virkede ikke i praksis

Business.dk oplyser, at følgende fremgår af den nye afgørelse:

»Unionsretten udgør hindringer for en generel og udifferentieret lagring af trafikoplysninger og lokationsoplysninger. Det er derimod tilladt for medlemsstaterne at kræve en målrettet lagring af sådanne oplysninger til forebyggende formål. Dette må dog udelukkende ske med det formål at bekæmpe grov kriminalitet og under forudsætningen, at lagringen af oplysningerne begrænses til det strengt nødvendige i forhold til, hvilken type af oplysninger som skal gemmes, hvilke kommunikationsmidler som er omfattet, hvilke personer der berøres, og hvor længe lagringen skal ske. De nationale myndigheders adgang til de lagrede oplysninger skal være underkastet visse vilkår, blandt andet at der sker en forudgående kontrol via en uafhængig myndighed, og at oplysningerne lagres inden for unionen.«

Siden 2014 har Tele2 hævdet, at de svenske krav til datalagring strider mod Europakonventionen for menneskerettigheder, og det bekræfter EU-Domstolen, at den gør, fordi den svenske lovgivning bredt krævede, at data blev gemt.

Teleindustrien: Vi er stadig ved at nærlæse dommen

Søren Pind (V) lagde i sin tid som justitsminister op til at genindføre massiv tele-overvågning, hvor danskernes fysiske færden blandt andet skulle logges løbende.

En logning, som TDC allerede foretager, hvilket Ingenøren og Version2 i samarbejde med internetaktivist Christian Panton har afdækket. I forhold til denne praksis tweeter Panton:

Den nye VLAK-regering vil i begyndelsen af 2017 'fremlægge nye regler om logning, der målrettet skal styrke politiets muligheder for at opklare kriminalitet, og som ikke vil pålægge telebranchen for mange byrder', hedder det i regeringsgrundlaget.

Til Business.dk siger direktør i teleoperatørernes branchefællessakb, Teleindustrien, Jakob Willer:

»Vi er stadig ved at nærlæse dommen. Jeg er meget, meget spændt på, hvordan Justitsministeriet læser og fortolker denne dom, som ser ud til at sætte begrænsninger på, hvad man kan lave af generel overvågning.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (40)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Ritsholm

Dommen siger ved første øjekast ikke helt klart, hvor grænsen går for hvad der nationalt kan kræves gemt af hensyn til opklaring af alvorlig forbrydelse. Det er lidt elastik i metermål.

Men man kan sige, at data skal være sikret mod misbrug. Noget der faktisk ikke kræves i Danmark.

Og så er kravet om brug til opklaring af alvorlig forbrydelse nok i strid med praksis for brug af editionsregler for masteoplysninger. Man kan ikke kræve personlige oplysninger udleveret efter samme retskrav som enhver anden oplysning. Men det står sådan set allerede i direktivet uden at det juridiske Danmark har reageret.

Med stor sandsynlighed vil Justitsministeriet ikke finde det nødvendigt at ændre noget - bortset fra ovennævnte udlevering efter edition og et eller andet krav om sikring mod misbrug..

Yoel Caspersen Blogger

Med stor sandsynlighed vil Justitsministeriet ikke finde det nødvendigt at ændre noget - bortset fra ovennævnte udlevering efter edition og et eller andet krav om sikring mod misbrug..

Vil det have betydning for om fx Opus Law og andre copyright trolls kan få udleveret abonnentoplysninger fra en ISP, der anvender Carrier Grade NAT, efter editionsreglerne?

Mogens Ritsholm

Muligvis. Hvis der strammes op, så udlevering kun kan ske efter indgreb i meddelelseshemmeligheden med en strafferamme op til 6 år, vil der heller ikke kunne ske udlevering efter en sådan editionskendelse.

Dog kan det hævdes, at IP-identitet egentlig ikke er trafikdata og derfor uden for direktivets virkeområde. Men der bør skaffes en hjemmel til det.

Henrik Madsen

Hvis de ikke må indsamle de her oplysninger så kan efterretningstjenesterne vel heller ikke få dem ?

Hvis det er tilfældet, så er det jo helt galt og vi vil meget hurtigt se at landet vil blive oversvømmet med terrorister, terroranslag og pædofile.

Totalovervågning af alle (Alle er jo potentielle forbrydere) er den eneste måde at forhindre ragnarok på.

Henrik Madsen

"»Vi er stadig ved at nærlæse dommen. Jeg er meget, meget spændt på, hvordan Justitsministeriet læser og fortolker denne dom, som ser ud til at sætte begrænsninger på, hvad man kan lave af generel overvågning.«"

Mit gæt er at fortolkningen bliver "Det berører ikke det vi er ved at lave, vi fortsætter ufortrødent".

Dem som vil forsøge at sige at det nok ikke er ok, vil få at vide at, hvis de er imod så må det være fordi de har noget at skjule.

Mogens Ritsholm

Man kan dele loggede teleoplysninger op i 3 typer:

  1. Oplysninger, som televirksomheder alligevel gemmer en periode, f.eks CDR om opkald til debitering og afregning, IP-adresser osv. Disse oplysninger kan dommen ikke fjerne, da det er operationelt nødvendigt at gemme dem ud fra regnskabsregler, bekæmpelse af fraud osv.

  2. Oplysninger som televirksomhederne genererer eller behandler, men ikke gemmer med mindre myndighederne stiller krav herom. Det er f.eks. oplysninger om hvem, der har ringet til dig, hvornår du er aktiv på nettet fra en fast forbindelse til nettet, CGNAT tildelinger og masteoplysninger mens du er på mobilt internet. Kan dommen berøre disse? Efter ordllyden kan de berøres, men jeg tvivler på at dette kan gennemtrumfes, hvis oplysningerne gemmes "sikkert" og kun udlveres efter retskendelse som i Danmark.

  3. Oplysninger som televirksomhederne slet ikke har i hånden på noget tidspunkt, men som de kun kan opfange ved overvågning af kundernes trafik. Den danske sessionslogning var et sådant eksempel. Jeg håber virkeligt, at dommen kan bruges til at sætte en stopper for denne type logning, der er i sagens natur er ufuldstændig og upræcis, da televirksomhederne netop ikke er part i disse oplysninger - men kun mulig betragter af dem. Men værst af alt er det uetisk at gøre televirksomheder til politiets forlængede arm ved at pådutte dem at overvåge kundernes trafik. For hvor går grænsen så?

Under alle omstændigheder vil dommen ikke fjerne teleoplysninger og politiets adgang til dem, jf. ovennævnte type 1, som vi jo også havde i 25 år inden logningsbekendtgørelsen blev indført.

Det er dog lidt bekymrende, at dommen ikke skelner mellem type 2 og 3. Det skyldes, at type 3 mig bekendt ikke hidtil har eksisteret i Sverige og UK. Her har sagsøgerne ikke været skarpe nok.

Jesper Lund

Vil det have betydning for om fx Opus Law og andre copyright trolls kan få udleveret abonnentoplysninger fra en ISP, der anvender Carrier Grade NAT, efter editionsreglerne?

Ja.

Artikel 15, stk. 1 i e-databeskyttelsesdirektivet 2002/58 har en opregning af hensyn, som kan begrunde et indgreb i retten til kommunikationshemmeligheden efter direktivet (herunder logning). Udlevering af data til civile søgsmål står ikke på den liste, og dommen siger klart at listen er udtømmende (præmis 90).

Problemet er retsplejeloven § 299, som lidt forenklet siger, at hvis teleselskabet har en oplysning liggende, som kan være af betydning for en civil retssag (endda fremsættelse af krav i forligstilbud, som formentlig aldrig kommer for retten), så kan denne oplysning udleveres efter civilretslig edition.

Men det er simpelthen i strid med EU-retten, og nok dybest set bare udtryk for at reglerne om logning er klasket oven på retsplejeloven uden at tænke nærmere over, om reglerne for adgang i retsplejeloven skal skelne mellem forskellige typer oplysninger.

Jesper Lund

Med stor sandsynlighed vil Justitsministeriet ikke finde det nødvendigt at ændre noget - bortset fra ovennævnte udlevering efter edition og et eller andet krav om sikring mod misbrug..

I forhold til dommens præmis 113-125, som omhandler adgangen til de loggede oplysninger, er de danske retsregler i retsplejelovens kapitel 71 formentlig tilstrækkelige eller tæt på at være det (kriminalitetskrav der for det meste begrænser til alvorlig kriminalitet og et krav om at indgrebet skal være af afgørende betydning for efterforskningen). De oplysninger, som i dag kan udleveres alene efter edition (masteoplysninger og data vedrørende dynamisk tildelt IP), skal dog flyttes ind under kapitel 71, og der skal lukkes for civilretslig edition til pligtloggede oplysninger (ikke mere Opus..).

Men dommen beskæftiger sig også (eller rettere: primært) med spørgsmålet om hvilke oplysninger der kan logges i første omgang.

Præmis 112, der er den afsluttende konklusion på den del af dommen:

Henset til samtlige ovenstående betragtninger skal det første spørgsmål i sag C-203/15 besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der med henblik på bekæmpelse af kriminalitet fastsætter en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation.

Her står at en pligtmæssig logning ikke kan omfatte alle personer, og præmis 104 gør det klart, at logning skal være undtagelsen, ikke hovedreglen, som det er tilfældet i dag med en lovgivning der omfatter alle abonnenter.

Præmis 108-111 åbner op for at artikel 15, stk. 1 i e-databeskyttelsesdirektivet kan bruges til en målrettet logning, som ikke omfatter alle personer. Det er afgørende at ikke alle abonnenter er med, fx den afsluttende sætning i præmis 110: "Navnlig skal sådanne betingelser i praksis være af en sådan art, at de faktisk kan afgrænse omfanget af foranstaltningen og følgelig den berørte personkreds."

Hvordan denne målrettede logning skal indrettes henstår i det uvisse. Det tager EU-domstolen ikke rigtigt stilling til, udover et par strøtanker. Men logning af alle personer er udelukket. Forslaget i afsnit 9 i Justitias analyse fra september 2014 kunne (formentlig) være en mulighed
http://justitia-int.org/wp-content/uploads/2014/09/Analyse_Revision-af-l...

Dommens præmisser om adgang til loggede oplysninger skal derfor læses som værende gældende for en målrettet logning, ikke en logning af alle personer, som ifølge dommen slet ikke må foretages.

Denne diskussion var som bekendt også fremme dengang (8. april 2014) vi fik dommen om logningsdirektivet.

Dommen om logningsdirektivet sagde (lidt forenklet), at en lovgivning om logning som

  1. Omfatter alle personer
  2. Ikke fastsætter begrænsninger i adgangen til de loggede oplysninger

ikke er begrænset til det strengt nødvendige og derfor er i strid med Charter om Grundlæggende Rettigheder (ordet "strengt nødvendig" er nøgleordet her, altså den grænse som ikke må overskrides i forhold til Charter om Grundlæggende Rettigheder).

Logningsdirektivet omfattede alle personer og havde ikke begrænsninger på adgangen til de loggede oplysninger (fordi det helt bevidst var overladt til EU-landene). Det overskrider grænsen, og direktivet blev annulleret.

Derfor kan man sige, at EU-domstolen i 2014 ikke direkte tog stilling til, om det var tilstrækkeligt for at overskride grænsen for det tilladelige at logningen omfattede alle personer, eller om begge betingelser (1+2) skulle være opfyldt.

Justitsministeriet mente pudsigt nok det sidste, fordi så kunne dansk logning fortsætte trygt og godt, mens de fleste uafhængige jurister uden for regeringsbygningerne i EU mente den første.

Den nye dom siger klart (præmis 112, sammen med de forudgående præmisser) at en logning som omfatter alle personer ikke er begrænset til det strengt nødvendige. Dermed er EU-retten til hinder for en sådan logning i national lovgivning (præmis 112). Og allerede her er grænsen for det tilladelige overskredet, og den kan ikke "reddes hjem" med krav om alvorlig kriminalitet og dommerkendelse for at få adgang til de loggede oplysninger.

Forbehold: ovenstående er i sagens natur min udlægning af dommen, som svarer til hvad der f.eks. står i denne analyse fra Access Now (skrevet af folk som jeg kender)
https://www.accessnow.org/victory-eu-court-rules-indiscriminate-data-ret...
men jeg kan naturligvis ikke vide hvad Justitsministeriet vil mene om dommen, når den dag kommer hvor ministeriet giver sin udlægning. Og det bliver sikkert først efter jul..

Jesper Lund
IT-Politisk Forening

Anne-Marie Krogsbøll

... hvis I ikke allerede har set miniserien på DR2 "USA's hemmelige overvågning". Jeg opdagede den desværre for sent, fordi den er blevet vist på et åndsvagt tidspunkt kl. 16 over 3 eftermiddage, men jeg nåede lige at optage 3. afsnit, og set fra mit amatørsynspunkt virker den rigtigt god, grundig og saglig - og rystende! Jeg bliver nødt til at undersøge, om der er andre muligheder for at se de første to afsnit.

De to første afsnit er desværre allerede væk, men 3. afsnit kan ses 14 timer endnu. Trist, at DR ikke slog lidt mere på tromme for den, for der er rigtigt mange meget spændende interviewklip med nøglepersoner i krigen mellem privacy-forkæmpere- kendte og ukendte - og NSA/Google/diverse teleselskaber.

Lovgivning er èn ting - om der er nogen, der gider overholde den - eller kæmpe for, at den bliver overholdt - er en anden ting.

https://www.dr.dk/tv/se/united-states-of-secrets-part-1-eps-1-2/-/usa-s-...

Jens Jönsson
Jan Gundtofte-Bruun

... hvis I ikke allerede har set miniserien på DR2 "USA's hemmelige overvågning". De to første afsnit er desværre allerede væk, men 3. afsnit kan ses 14 timer endnu.

Ja det kan mange af os sikkert ikke nå.

Skulle nogen ligge inde med en "vhs optagelse" af programmet, eller kan formidle anden måde at se dette public service program, så hører jeg gerne om det.

Mange tak!

Christian Nobel

Skulle nogen ligge inde med en "vhs optagelse" af programmet, eller kan formidle anden måde at se dette public service program, så hører jeg gerne om det.

OT:
Nu er det her så godt nok et amerikansk produceret program, så det er ikke til at vide hvilke rettigheder DR har til det, men det giver anledning til at komme med en kommentar dertil:

Hvorfor fjerner DR programmer som DR (og dermed alle landets licensbetalere har finansieret) har rettighederne til - ville det ikke være ret og rimeligt at de blev liggende på DR Nu til tid og evighed.

DR gemmer jo programmerne under alle omstændigheder, så hvorfor ikke gemme dem offentligt tilgængeligt.

Det er muligt at DRs rationale er fordi de synes de skal bestemme hvornår folk skal se programmerne, og for at fylde sendefladen ud med genudsendelser, men hvis de ikke har materiale nok til at fylde alle 4-5 kanaler, så må de nedlægge nogen af dem.

På en eller anden måde virker det som om at DR har lidt svært ved at føre deres public service forpligtelse ind i dette årtusinde.

Anne-Marie Krogsbøll

Ja det kan mange af os sikkert ikke nå.


Jeg er klar over det, Jan Gundtofte-Bruun - beklager. Opdagede det som sagt selv for sent. Jeg nævnte det i det fromme håb, at der måske var enkelte, der arbejdede hjemme eller er gået på tidlig juleferie. Eller kender til et andet sted, hvor man kan se serien.

Hvorfor fjerner DR programmer som DR (og dermed alle landets licensbetalere har finansieret) har rettighederne til - ville det ikke være ret og rimeligt at de blev liggende på DR Nu til tid og evighed.


Enig, Christian Nobel. Det er for surt, at nogle programmer kun er tilgængelige i en uge. Men mon det kan tænkes, at DR kun køber adgang til programmerne i en tidsafgrænset periode for at begrænse udgifterne?

Under alle omstændigheder: Denne serie burde have så almen interesse i disse sessionslogningstider, at den burde ligge om aftenen, og være tilgængelig i en længere periode. Jeg vil forsøge mig med en lille mail til DR om at genudsende serien - det hjælper sikkert ikke, men man kan jo aldrig vide - det er jo trods alt jul..

René Nielsen

Men at det er din mening og justitsministeriet kan komme til en anden ?

Jeg er enig med Jesper Lund i, at justitsministeriet ikke lader sig forstyrre af den slags detaljer som en EU dom. Logning (af samtlige danskere) vil blive genindført og man vil spise os af med en politisk sludder for en sladder om at det offentlige og især politiet er vant til at passe på fortrolige data.

Politiet har udtrykt ønske om at "kunne følge de kriminelle ud på internettet" og den politiske medicin til den sygdom hedder logning.

Jeg tror ikke, at der er mange som er imod og heller ikke EU domstolen, at politiet følger de kriminelle ud på nettet. Problemet er at den politiske medicin alene er rettet imod de raske patienter og uden virkning på de kriminelle.

Tag den seneste den kedelige episode fra Tyskland med en lastbil ind i en folkemængde. Det billede som igen tegner sig er, at politiet i forvejen havde havde gerningsmanden på radaren som potentiel terrorist.

Hvordan forestiller justitsministeriet sig dog at logning skulle være nogen som helst hjælp, hvis det samme skulle ske i Danmark?

Før du svarer så husk at logning alene er metadata og hvorimod en potentiel terrorist ville være under fuldt internet- og telefonovervågning så politiet i real-time kan læse med i hans færden, og herunder også overvåge hans kontakter.

Jesper Lund

Jesper, så for at forstå det korrekt, så mener du at dommen gør at regeringen ikke kan indføre sessionslogning jf...

Ja.

Men at det er din mening og justitsministeriet kan komme til en anden ?

Jeg er helt sikker på at de vil prøve at finde en juridisk udvej her, fordi der er bundet så meget politisk kapital i logning. Det eneste jeg siger er at jeg har meget svært ved at se hvad denne udvej skulle være, fordi dommen er så klar, men jeg kan omvendt heller ikke forudsige fremtiden og hvad Justitsministeriet vil mene om sagen. Så vi er nødt til at vente tålmodigt..

Mogens Ritsholm

Jeg er helt sikker på at de vil prøve at finde en juridisk udvej her, fordi der er bundet så meget politisk kapital i logning

Nogen gange bliver man overrasket over hvor simpelt et kritisk spørgsmål kan tackles.

I sin tid blev justitsministeren spurgt, om andre europæiske lande havde indført sessionslogning. For vi vidste jo, at det ikke forekom i andre lande.

Men svaret var ganske enkelt, at justitsministeriet ikke kendte til forholdene i andre lande. Dette selv om de som eksperter ustandseligt tog ned til møder om logning i EU. Men deres kompetence var altså afgrænset til forholdene i Danmark. Værsgo.

Så derfor vil jeg ikke blive overrasket, hvis de denne gang siger, at dommen er baseret på forholdene i Sverige og UK, og at den derfor ikke kan bruges til at bedømme forholdene i Danmark, hvor der er lagt vægt på retssikkerheden med krav om dommerkendelse, så data kun kan udleveres for specifikt mistænkte.

Jn Madsen

Den der larmende radiotavshed.

En ven og undertegnede er ved at skrue en snedig (syntes vi selv) løsning sammen.
En billigt og effektiv måde at logge kundedata på ved hotspot løsninger,- caféer, hoteller, campingpladser osv. Kunderne vil juble og købe vores geniale løsning i 1000'vis (er vi sikre på!!).

Vi skal bare lige have de helt præcise og gældende regler, meget på nettet er gamle informationer, andet er gætterier.

Nå,- man går da til hestens hoved, -dem der må kende gældende regler præcist, hvad skal logges, hvordan skal data opbevares ... en masse praktiske små ting, man er jo en lovlydig borger, der gerne vil opfylde landets love. De må da i det mindste kunne smide et link til den rette information:

Høflig forespørgende mail til Justitsministeriet .. intet svar, de bekræfter ikke engang de har modtaget forespørgslen.

Høflig forespørgende mail til PET .... intet svar, de bekræfter ikke engang de har modtaget forespørgslen. De er nok også så hemmelige at de ikke må svare.

Høflig forespørgende mail til Energi-, Forsynings- og Klimaministeriet ... de takkede for vores spørgsmål ... vi venter nu på 3' uge på et svar.

Det er sgutte nemt at være en innovativ lille selvstændig erhvervsdrivende ...

Jesper Lund

Høflig forespørgende mail til PET .... intet svar, de bekræfter ikke engang de har modtaget forespørgslen. De er nok også så hemmelige at de ikke må svare.

Jeg har set et svar på Justitsministeriet på et identisk spørgsmål om selve logningsforpligtelsen, så de svarer på henvendelser (men jeg ved ikke hvor lang tid der gik).

Ud fra det oplyste vil du være omfattet af § 5
https://www.retsinformation.dk/forms/r0710.aspx?id=2445
Husk ændringerne i juni 2014, dvs. det er kun § 5, stk. 2 og 3 i den oprindelige bekendtgørelse som er tilbage
https://www.retsinformation.dk/Forms/R0710.aspx?id=163971

Dvs. du skal registrere

1) Tildelt IP-adresse (brug DHCP-server log)
2) Tildelt brugeridentitet, fx MAC adresse
3) Start og slut på kommunikationen (fra DHCP server log)
4) Placering af din(e) access points

Opbevaring i et år.

Hvis du af en eller anden grund har brugernes navne og adresser i forbindelse med at du tilbyder internetadgang, vil disse oplysninger også være omfattet af logningsforpligtelsen. Typisk vil disse oplysninger ikke blive behandlet i udbyderens nettet, når vi taler om WiFi netværk på cafeer og hoteller.

Om tildelt IP-adresse er den private eller offentlige IP-adresse er ikke klart (heller ikke i vejledningen), men du kan logge begge for at være på den sikre side.

That's it så længe du kun tilbyder internetadgang og ikke telefoni. Sessionslogningen er ophævet, og der er ingen krav om NAT-logning.

Bemærk: det er reglerne i dag. De kan blive lavet om i 2017..

Jesper Lund

Telenor og Telia i Sverige har i dag meddelt, at de ligesom Tele2 stopper med logning og sletter eksisterende data
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6594955

Tele2's chefjurist Stefan Backman siger, at det nu er op til lovgiverne (i Sverige) at lave en målrettet logning, som er forenelig med EU-retten (artikel 15, stk. 1 i e-databeskyttelsesdirektivet 2002/58 fortolket i lys af artikel 7, 8, 11 og 52, stk. 1 i Charter om Grundlæggende rettigheder, dvs. den grundlæggede ret til privatliv, persondatabeskyttelse og ytringsfrihed).

Så det var det med logning.. (i Sverige, altså).

Jn Madsen

1) Tildelt IP-adresse (brug DHCP-server log)
2) Tildelt brugeridentitet, fx MAC adresse
3) Start og slut på kommunikationen (fra DHCP server log)
4) Placering af din(e) access points

Tak for det Jesper :-)

Så 3) start og slut,- det er fra login til logout? Det er ikke f.eks. hver TCP session? Det troede jeg faktisk som udgangspunkt. På nettet er der skrevet en del om hver 500' pakke,- det er mig der har fået noget galt i halsen der. Men den har vi klar.

2) Fedt at det "bare" kan være mac-adressen,- hvis man skal have fat i personens id,- så er tingene lidt mere bøvlet. Virtuelle mac adresser som man lige skruer sammen, og som enhver kriminel vel har lært på gangsterskolen,- det har lovgiverne nok ikke hørt om :-)

Nå, det gode er, at vores løsning kan tilpasses enhver stramning,- det
her er simpelt.

Er der krav til opbevaring af lognings-data?

Jesper Lund

Så 3) start og slut,- det er fra login til logout? Det er ikke f.eks. hver TCP session? Det troede jeg faktisk som udgangspunkt. På nettet er der skrevet en del om hver 500' pakke,- det er mig der har fået noget galt i halsen der. Men den har vi klar.

På et WiFi netværk hvor folk kommer og går har du formentlig en relativt kort DHCP lease. Så du registrerer starttidspunkt som første tildeling til en given MAC, og når denne MAC ikke optræder i DHCP renew registrerer du det som sluttidspunktet. Sådan ville jeg implementere det.

Det med TCP sessioner og hver 500. pakke er den gamle sessionslogning, som blev ophævet i juni 2014. Men selv dengang kunne WiFi netværk på cafeer o.lign. undlade sessionslogning, hvis deres upstream ISP lavede sessionslogning. De færreste cafeer har egne AS-numre og peering aftaler med andre internetudbydere.

Jesper Lund

Er der krav til opbevaring af lognings-data?

Jeg glemte den del..

Der er de almindelige krav i persondataloven. Du skal inden for rimelighedens grænser sørger for at oplysningerne ikke går tabt i de 12 måneder hvor de skal opbevares, og at uvedkommende (andre end politiet efter retskendelse) ikke får adgang til oplysningerne. Hvis andre end udbyderen af WiFi netværker opbevarer oplysningerne, skal der foreligge en databehandleraftale.

Eftersom oplysningerne er gemt i henhold til en lovmæssig forpligtelse, vil enhver anden behandling af oplysningerne end udlevering til politiet m.v. efter retskendelse (f.eks. til marketing) formentlig være i strid med persondataloven, medmindre der er et samtykke fra brugeren. Dette samtykke kan selvfølgelig være en del af aftalen for at bruge WiFi-netværket.

Et WiFi netværk på en cafe er ikke et offentligt elektronisk kommunikationsnet eller -tjeneste, så kapitel 4 i udbudsbekendtgørelsen gælder ikke
https://www.retsinformation.dk/forms/R0710.aspx?id=137773#K4

Men persondataloven giver dig reelt samme forpligtelse i denne situation.

Christian Nobel

1) Tildelt IP-adresse (brug DHCP-server log)
2) Tildelt brugeridentitet, fx MAC adresse
3) Start og slut på kommunikationen (fra DHCP server log)
4) Placering af din(e) access points

Det lyder som om du skal lave noget captive portal halløj.

Ad 3 - det giver ingen mening at tale om sessionsstart og slut for datatrafik, slet ikke hvis vi taler UDP - det er ikke som en telefonsamtale hvor røret lægges på.

Som jeg har forstået det, og som Jesper vel også siger, så kan I vel i det store hele lade være med at spekulere på sessionslogning, da ISP'en foretager kantlogning.

En anden ting var (og det ved jeg så stadig ikke om er gældende - Jesper?), at hvis man foretog sessionslogning så var der også krav om at man kunne stille med en 24/7/365 PET godkendt kontaktperson, og hvilket lille firma kan lige det?

Nu ved jeg ikke lige hvad det er for noget captive portal I er ved at genopfinde, men var det mig, så ville jeg ikke gemme noget som helst, så kommer man heller ikke på kant med persondataloven - og i det hele taget, så ville jeg også kun spekulere på evt. forhold i henhold til persondataloven, og så ville jeg overhovedet ikke overveje nogen form for logning.

For så længe det er totalt uklart, hvorfor dog i alverden gå regimets ærinde, så hellere almindelig civil ulydighed - mig bekendt er der ingen tilfælde af at undladelse af at logge har været stillet foran en domstol (sagt på gement dansk: de kan rende mig i r....).

En helt anden ting, omkring captive portal løsninger - I kan ligeså godt bare tildele en fælles adgangskode til cafeerne og hvor I ellers tror i kan komme ud med en løsning, da jeg går ud fra at jeres løsning alligevel indbefatter gratis WiFi, da tiden er løbet fra at man kan forvente at folk vil betale for WiFi.

Jn Madsen

Det lyder som om du skal lave noget captive portal halløj.

Jepper, fidusen er at kunne gøre det smart og billigt, så café'er og andre kan få en lovlig løsning meget billigt.

Vi har skruet noget software/hardware/kode/lognings-teknik sammen, captive portal, walled garden, dhcp, .... og noget hjemmelavet ... så det nærmest er plug-and-play. Billigt og nemt. Kan tilpasses nærmest enhver lovgivning.

Det kunne bare være rart med lidt klare linier fra myndighederne, men de er vist bedst til at flyve under radaren, når de bliver spurgt om noget. (men det hele er jo også meget hemmeligt, gad vide om de heller ikke er interesseret i eventuelle kommende skatteindtægter?)

Jn Madsen

da tiden er løbet fra at man kan forvente at folk vil betale for WiFi

Nemlig, der skal bare være en billig og nem løsning der virker.
Vores løsning bliver ikke meget dyrere end hvis man gik i Elgiganten og købte en skod router med skod wifi.

Men hvis al lovgivning samtidigt kan blive overholdt,- så tror jeg faktisk der er et marked. Folk vil gerne overholde loven,- gåden er bare "Hvad er loven?" .. :-)

Christian Nobel

Jepper, fidusen er at kunne gøre det smart og billigt, så café'er og andre kan få en lovlig løsning meget billigt.

Jeg tror I er kommet lidt for sent til det tog, men det må tiden så vise.

Under alle omstændigheder, når man ikke ved hvad der er lovligt eller ej, så vil jeg mene at I er på vej ind på en farlig vej - for hvis man skal rådgive sin kunde, og påstår at noget er lovligt, så skal man også være 100% sikker, og det kan være svært, når vi har at gøre med elastiklovgivning i metermål.

Du skal huske at hvis du påstår at løsningen er "lovlig", så kan det være ansvarspådragende.

Dernæst kan man diskutere med sig selv om man virkelig ønskerat gå overvågningsregimets ærinde - personlig er jeg ikke i tvivl om at det ønsker jeg ikke, og derfor ville jeg på ingen måde introducere et værktøj til det.

Vi har skruet noget software/hardware/kode/lognings-teknik sammen, captive portal, walled garden, dhcp, .... og noget hjemmelavet ... så det nærmest er plug-and-play.

Altså et program der benytter IP-tables, og så måske lidt hardware - ikke noget nyt, og med stor fare for at blive overhalet indenom af intelligente AP's.

Generelt er problemet med captive portals at kommunikationen mellem klient og AP er ukrypteret, da WiFi delen skal være åben - men hvis I har lavet et system, så I aktivt kan styre mange AP fra centralt hold, således at adgangskontrollen i virkeligheden er AP'ets accescode, så der er kryptering på forbindelsen, så er det en anden snak.

Billigt og nemt.

Hvad er billigt, og har I undersøgt om der overhovedet er nogen der vil betale for det?

Kan tilpasses nærmest enhver lovgivning.

Og så er det jeg bliver lidt bekymret, for benytter I scaremonging som forretningsmodel - for når der måske slet ikke er behov for jeres løsning, bruger i så den statssanktionerede PET intimidering til at bilde folk noget ind, som måske slet ikke holder i en retssal - husk på der (svjv) til dato ikke har været et eneste retsligt opgør mod en cafe eller lignende for manglende logning.

Det kunne bare være rart med lidt klare linier fra myndighederne, men de er vist bedst til at flyve under radaren, når de bliver spurgt om noget. (men det hele er jo også meget hemmeligt, gad vide om de heller ikke er interesseret i eventuelle kommende skatteindtægter?)

Der er ikke klare retningslinier fra myndighederne, for meget af dette er bundet op på en (halv/amputeret) bekendtgørelse, og så halvkvæde udsagn fra en hemmelig tjeneste af mere eller mindre kriminel karakter, men uden klar retslig præcedens.

Og husk også, at hvis I begiver jer ind på den vej, så skal I kunne stille med en sikkerhedsgodkendt person 24/7/365.

Du skal ikke tage det som en personlig anklage, men mere som en advarsel om at I risikerer at spilde jeres tid på noget der enten er en død sild, eller øretævernes holdeplads.

Mogens Ritsholm

Jepper, fidusen er at kunne gøre det smart og billigt, så café'er og andre kan få en lovlig løsning meget billigt.


En cafe, der på sit område stiller internetadgang til rådighed for alle sine gæster via WIFI er ikke teleudbyder. Man stiller bare sin adgang til internet til rådighed for andre ligesom en udbyder af betalingstelefoner.

Da man ikke er teleudbyder, skal man ikke logge.

I terrorpakke 2 fra 2005 var der et forslag om at forpligte netcafeer til logning. Men det er aldrig gennemført trods flere rapporter fra justitsministeriet om mulige logningskrav til ikke-teleudbydere.

Jn Madsen

Jeg tror I er kommet lidt for sent til det tog, men det må tiden så vise.

Njaa, facts er jo, at mange mindre hoteller, campingpladser, cafe'er, havne, spisesteder osv osv, ikke udbyder det, fordi eksisterende løsninger er for dyre og for bøvlede.

Jeps, vi har ikke opfundet det varme vand, vi har bare en kombination af hardware, software og kode, der gør at man overholde næsten enhver lovgivning uden de store udgifter. Fleksibilitet. Det er det der tæller, og hvad koster det?

Det er bare en sidegevinst, - vi roder med en masse andre nye løsninger. :-)

Christian Nobel

Njaa, facts er jo, at mange mindre hoteller, campingpladser, cafe'er, havne, spisesteder osv osv, ikke udbyder det, fordi eksisterende løsninger er for dyre og for bøvlede.

Og er du sikker på det har noget med adgangskontrollen at gøre, og ikke mere det at der er nogen der enten ikke vil bruge penge overhovedet på det, eller de gider ikke bøvle med WiFi.

Den store hurdle er som regel mest at få et WiFi netværk til at virke acceptabelt.

Jeps, vi har ikke opfundet det varme vand, vi har bare en kombination af hardware, software og kode, der gør at man overholde næsten enhver lovgivning uden de store udgifter.

Og hvordan hulen kan du så påstå det, når du reelt ikke aner hvordan lovgivningen er?

Fleksibilitet. Det er det der tæller, og hvad koster det?

Igen, hurdlen er WiFi delen, ikke captive portal delen.

Det er bare en sidegevinst, - vi roder med en masse andre nye løsninger. :-)

Jaja, fra at rode til at man står med noget gennemprøvet, så kunden ikke ringer og brokker sig i tide og utide er der langt.

Nå, men drag bare jeres egne erfaringer, så kan vi tales ved om et par år.

Jn Madsen

Jeg vil nu mene, at jeg efter 30 års design/implementeringer/drift på landets største ISP core netværk og kundeløsninger har lidt i bøssen at skyde med.
Års udviklingsarbejde med producenter gav også lidt indsigt.

Men indrømmet, det med logningsregler,- den har jeg ikke lide styr på :-)
Jeg foretrækker teknikken,- ikke ævlebævlet. Jo, jeg tror vi kan justere ind uanset hvad et fremtidigt logningsdirektiv kan komme med.

Log ind eller Opret konto for at kommentere