Rigspolitiet: ANPG-data skal slettes efter 30 dage - men ikke i backup-systemet

Illustration: Kwarkot / Bigstock
Rigspolitiets databeskyttelseschef afviser, at det - som tidligere omtalt af Version2 - er ulovligt at gemme personoplysninger fra automatisk nummerpladegenkendelse i mere end 30 dage. Argumentet er, at data ikke anvendes men alene gemmes i et backup-system.

Version2 skrev den 1. november, at politiet har gemt oplysninger om bilers færden i længere tid, end de må. Personoplysninger fra no-hits i politiets system for automatisk nummerpladegenkendelse (ANPG) blev nemlig gemt i op til 60 dage i et midlertidigt backup-system.

Det fremgår af et svar til Folketingets Retsudvalg, hvor Rigspolitiet oplyser Justitsministeriet om dette:

»ANPG var imidlertid i en periode fra den 5. december 2017 til den 17. juni 2018 understøttet af en midlertidig backup-funktion, grundet en systemteknisk opdatering. Denne backup-funktion blev i perioden overskrevet hver 30. dag, hvilket medførte, at data på backuppen kunne være op til 60 dage gamle.«

I bekendtgørelsen om politiets anvendelse af automatisk nummerpladegenkendelse står der:

Illustration: Retsinformation.dk

Men politiet har ikke overtrådt reglerne i bekendtgørelsen, fastslår Rigspolitiets databeskyttelseschef Christian Wiese Svanberg, som er uddannet jurist. Ifølge ham er det lovligt at opbevare data fra no-hits i backup-systemet i mere end 30 dage, så længe politiet ikke anvender de for gamle data.

»På intet tidspunkt har der været noget data, som var ældre end 30 dage, som er blevet genindlæst eller har været tilgængeligt for nogen medarbejdere,« siger han.

Læs også: Politiet har gemt ANPG-data i op til 60 dage - ANPG-lovbestemmelse siger max 30

Han understreger også, at ANPG-systemets sletterutiner ville have sørget for, at data ældre end 30 dage ikke ville blive genindlæst i systemet, hvis der havde været behov for en genopretning.

Reglerne gælder ikke for backup

Rigspolitiet oplyser i sin udtalelse til Justitsministeriet, at no-hits blev slettet i selve ANPG-systemet i rette tid, og at det derfor kun var i systemets midlertidige backup, at de blev gemt.

Christian Wiese Svanberg fortæller Version2, at det er selve driftssystemet, der er omfattet af reglerne, og at opbevaring af ANPG-data i backup-systemer ikke er reguleret med tidsbegrænsning nogen steder.

»Du har backuppen, som understøtter, og så har du driften, som er det, der er omfattet af reglerne,« siger Christian Wiese Svanberg og fortsætter:

»Hvis man skulle falde over, at vi havde brugt oplysninger ulovligt, så ville man selvfølgelig tage hånd om det. Men det er der ikke tale om her.«

»Det afgørende er, om vi i driften af ANPG-systemet har efterlevet, hvor længe data må anvendes i systemet, og det har vi. Vi har så også pligt til at have en backup, og det har vi også haft,« siger Christian Wiese Svanberg afslutningsvist.

Læs også: Rigspolitiet skruer op for automatisk nummerpladegenkendelse

Politiets ANPG-system er efter den 17. juni 2018 gået fra en backup-løsning til et redundant system, der består af to databaser, som spejles i hinanden. Personoplysningerne slettes løbende fra databaserne i takt med, at de slettes fra ANPG-systemet.

De betyder, at der fra den dato ikke har været personoplysninger fra no-hits i nogen dele af ANPG, som har været ældre end 30 dage.

Databeskyttelseschef Christian Wiese Svanberg kan ikke huske, hvordan backup-systemet var indrettet før den 5. december 2017, hvor den midlertidige backup-funktion trådte i kraft.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (36)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Schmidt

Ifølge ham er det lovligt at opbevare data fra no-hits i backup-systemet i mere end 30 dage, så længe politiet ikke anvender de for gamle data.

Hvilken lov skulle give hjemmel til det? Den citerede § 10 nævner udtrykkeligt, at data skal slettes efter 30 dage.

Heino Svendsen

Den citerede § 10 nævner udtrykkeligt, at data skal slettes efter 30 dage.

Er vi ikke ude i "administrativ sletning" her? En (meget irriterende) kammerat (jurist) ville helt sikkert anfægte definitionen af sletning:

  1. Er der tale om data slettet fra primære system og dermed ikke tilgængelig for den daglige operatør?
  2. Kræver det en "ekstra indsats" at skaffe adgang til data?

Tror desværre, at etatens jurister vil kunne dække deres bagdele ind med en jurisk definition af ordet "sletning".

Simon Mikkelsen

Er vi ikke ude i "administrativ sletning" her?

Uanset om det er lovligt, er der tale om en omgåelse. Data skal slettes efter 30 dage, både så politiet ikke kan anvende dem, inkl. politifolk der snager mere end lovligt er (hvilket er set før).

Men også hvis vi nu skulle få en ny type Hitler i regeringen. Så skal vedkommende ikke bare kunne ændre reglerne med tilbagevirkende kraft og hente data 5 år tilbage, for at finde ud af hvem han eller hun vil putte i koncentrationslejer.

Hvorfor skulle man i øvrigt opbevare de backups længere end nødvendigt? Det koster jo også penge. Har man blandet nohits sammen med en masse andet data, såsom hits og konfigurationer?

Christian Schmidt

Tror desværre, at etatens jurister vil kunne dække deres bagdele ind med en jurisk definition af ordet "sletning".


Er der love eller domme, der underbygger denne fortolkning, eller er det bare en af de ting, man gentager igen og igen, indtil det bliver sandt?

Kan erhvervsdrivende ligeledes nøjes med “administrativ sletning” (hvis det ellers er en ting), når det gælder GDPR?

Bjarne Nielsen

Er der love eller domme, der underbygger denne fortolkning ...

Det er vel bare et spørgsmål om tid. PET fik nye sletteregler, da de sagde, at de ellers gældende regler var ... hvad var formuleringen - var det: "administrativt byrdefulde"?

Og mon ikke den backup blev opdaget, da man undersøgte om der rundt omkring i krogene kunne ligge lydklip eller mails, som kunne vise sig at være belastende for ledelsen ifm. næste "Tibet"-kommision?

Søren Walther

Til jer som mener at man skal slette data fra backups efter 30 dage.

Er i helt sikre på at i mener det er en god ide?

Jeg kan forestille mig at det ville være sjovt at sidde som GDPR ansvarlig i en virksomhed og skulle overbevise sin ledelse og drift om at de skal have et miljø bygget til at kunne stage information på hvis der er en person der beder om at blive glemt, bare så man kan indlæse sin backup, slette relevant data og derefter lave en ny backup og slette den gamle.

Som jeg husker GDPR er det OK at have en procedure for hvordan men gensletter og advicerer personer der er blever "glemt" om at de har været indlæst fra backup men nu igen er slettet.

/Søren

Bjarne Nielsen

Hvis systemerne ikke kan håndtere persondata på lovlig vis, så er systemerne uegnede til at håndtere persondata.

Hvis man synes at det er besværligt at have persondata, så skulle man overveje, om man i det hele taget har brug for persondata, og i hvilket omfang.

Man kan komme langt med at skille persondata ud, og kryptere separat. Det kræver selvfølgelig systemer, som kan skille persondata ud og kryptere det.

Meget lidt af det, som kom med GDPR stiller nye krav. Men hvis man har været fløjtende ligeglad indtil da, så kan det godt være at systemerne ikke er til megen hjælp.

Stop piv og kom ind i kampen. Det kan godt være at kravene virker besværlige, men de er ikke urimelige.

Jesper Frimann

Men politiet har ikke overtrådt reglerne i bekendtgørelsen, fastslår Rigspolitiets databeskyttelseschef Christian Wiese Svanberg, som er uddannet jurist. Ifølge ham er det lovligt at opbevare data fra no-hits i backup-systemet i mere end 30 dage, så længe politiet ikke anvender de for gamle data.

»På intet tidspunkt har der været noget data, som var ældre end 30 dage, som er blevet genindlæst eller har været tilgængeligt for nogen medarbejdere,« siger han.

Det her er jo et glimrende eksempel på hvordan en DPO ikke skal fungere. Det er jo et politisk svar, som ikke har hold i lovgivningen. Det han jo prøver på at sige, er at vi har ikke gjort noget ulovligt fordi vi ikke har/har kunnet lave databehandling på data.
Men .. definitionen af Databehandling, hvad vil det sige at udføre databehandling på f.eks. personoplysninger, er beskrevet i Artikel 4.2 i GDPR og har en meget bred og vidtrækkende defintion:

behandling: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som person-oplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

Så det at tage backup, og opbevaring af data som backup er databehandling.
Længere er den såment ikke.
Det er på grænsen til en skandale, at en DPO, som jo er tænkt som en uafhænging untouchable intern vagthund, sådan spiller med på at dække over ting der ikke er ok.

// Jesper

René Nielsen

Men politiet har ikke overtrådt reglerne i bekendtgørelsen, fastslår Rigspolitiets databeskyttelseschef Christian Wiese Svanberg, som er uddannet jurist. Ifølge ham er det lovligt at opbevare data fra no-hits i backup-systemet i mere end 30 dage, så længe politiet ikke anvender de for gamle data.

Det er noget vås. Det afgørende er ikke om man læser data, men om man besidder data som er ældre end 30 dage.

Jeg synes at Version2 skulle tage fat i Rigspolitiets databeskyttelseschef Christian Wiese Svanberg og bede ham om at oplyse en henvisning til "Ugeskrifts for Retsvæsen", Karnow eller ligende hvori det fremgår at dette synespunkt er understøttet af andre jurister, domme og lignende.

Indtil da vil jeg tillade mig at betragte hans svar som når rockere plæderer deres uskyld overfor dommeren.

Heino Svendsen

Hvis der var tale om et papirarkiv hvor man fjernede papirer ældre end 30 dage og lagde i et arkivskab hvor der ikke var adgang for medarbejdere - ville man så sige at papirerne var destrueret?

Den holder ikke helt.

I dit eksempel ville man formulere, at papirerne var fjernet og gjort utilgængelige.
Man ville kunne bruge, at man havde fotokopieret/indscannet dokumenterne før destruktion og opbevarer dokumenterne på en anden lokation. Herved vil man kunne retfærdiggøre, at dokumenterne er blevet destrueret. Man har dog IKKE benyttet formuleringen "Er alle kopier af papirerne destrueret?" - kun formuleringen "Er papirerne destrueret?" (hvilket jo er rigtigt - originalerne er destrueret).

Med data er de jo slettet fra det oprindelige system efter backuppen, så der er en forskel. Det er kværulanteri på ord, som jura nu engang er.

Lidt lige som debatten omkring datatyveri: Data bliver ikke stjålet (fjernet fra én lokation og dukker op et andet sted) - det bliver kopieret. Én af grundene til, at datatyveri bliver håndteret lidt ..... af politiet.

Henrik Sørensen

Der står i den paragraf der er vist i artiklen at data skal slettes fra APNG efter 30 dage. Og det bliver de tilsyneladende.

Der står IKKE noget om backup, som er styret af andre rammer ...

... sådan er det smarte jurister omgår intentionen i loven og derfor er det ubehageligt vigtigt at man læser alle lovforslag som fanden læser bibelen og rådgiver politikerne INDEN de vedtager noget.

René Nielsen

Der står IKKE noget om backup, som er styret af andre rammer ...


Det er jeg ikke enig med dig i.

Data er data uanset om de er let læsbare eller lidt længere tid om at blive læsbare.

Men jeg har i øvrigt svært ved at se problemstillingen med backups skulle udgøre et særskildt juridisk problem eller teknisk problem.

Hvis du løbende tager backup af dagens registeringer og løbende overskriver den "nyeste 30 dage gamle" backup - hvad er det så lige som er problemet?

Jeg mener at problemet hedder "Christian Wiese Svanberg". Manden mangler jo basal IT viden, hvis han tror der er noget nyt eller særligt vanskeligt ved at lave en backupsystem som kun indeholder data som er max 30 dage gamle.

Jacob Mathiasen

Bare det at de bruger krudt, kugler og energi på at forsvare en praksis, som alle ved sine fulde fem vil vurdere er i strid med loven og ånden i loven burde være nok til at alle backups blev slettet øjeblikkeligt. Jurister har desværre udviklet sig til at være undtaget gruppen af folk ved deres fulde fem.

Hvad er formålet fra politiet med at forsvare og bibeholde denne adfærd? I hvert fald ikke nogle anerkendelsesværdige eller anstændige formål for så var de blevet anvendt i argumentationen. Tilbage står så en åbenlyst ønske om at misbruge data senere, hvis det ikke allerede foregår fordi man ikke logger adgangen til arkiveret data - eller en anden latterlig omgåelse, som politiet og den danske stat efterhånden er ved at være decideret kendt for.

Christian Schmidt

Der står i den paragraf der er vist i artiklen at data skal slettes fra APNG efter 30 dage. Og det bliver de tilsyneladende.

Der står IKKE noget om backup, som er styret af andre rammer ...


Backuppen må anses som en del af ANPG.

ANPG-bekendtgørelsen giver lovhjemmel til at behandle ANPG-oplysninger i ANPG-systemet. Der er mig bekendt ikke lovhjemmel til at behandle disse oplysninger i andre it-systemer.

“Er der love eller domme, der underbygger denne fortolkning ...”
Det er vel bare et spørgsmål om tid.


Ja, sådan går det jo ofte. Men derfor er det stadig interessant, om den nævnte backup var lovlig.

Flemming Riis

mon ikke deres outsourcing partner har smidt det i samme database som alt andet i hjørnet på en mainframe

Og den er underlagt policy X for backup og det kan det ikke afviges fra

Så mon ikke man igen har sparet på ops fordi alle penge blev brugt på management konsulenter og advokater og da drift ville have en dedikeret backup process fik de et nej

Cristian Ambæk

hvis der er en person der beder om at blive glemt, bare så man kan indlæse sin backup, slette relevant data og derefter lave en ny backup og slette den gamle.

Du kan sagtens slette data i en backup uden at skulle indlæse din backup, så dette ser jeg ikke som et teknisk problem det er bare et spørgsmål om at gøre det.

René Nielsen

Hvis der var tale om et papirarkiv hvor man fjernede papirer ældre end 30 dage og lagde i et arkivskab hvor der ikke var adgang for medarbejdere - ville man så sige at papirerne var destrueret?


Mit eksempel ville være at en rocker bliver taget med en pistol derhjemme.

Rockeren forsvarer sig med at våbenet ikke er blevet brugt - og det kan sagtens være rigtigt - at våbenet ikke er blevet brugt til kriminalitet.

Det er bare ikke relevant om våbenet er blevet brugt eller ikke, det er besiddelsen som er ulovlig.

På samme vis som at politiet uanset årsag ikke må besidde ANPG-data i længere tid end 30 dage.

Det rejser to problemer, det ene problem er at Databeskyttelseschef Christian Wiese Svanberg ingen troværdighed har tilbage efter sådan et udsagn. Han burde lagt sig fladt ned og sagt undskyld, og at han som det første havde fikset problemet.

Det andet problem, er politiet tilsyneladende ikke evner at opbevare data (på lovlig vis). Hvilke overraskelser mon ellers der er, når simple opgaver som backup (som foreskrevet i de relevante love) ikke kan håndteres?

Jan Heisterberg

Hvis man forfølger analogien, så bude det vel også for e.g. skydevåben være at krav at e.g. "ammunitionsaftryk" (på hylster, på projektil) gemmes hvis våbenet destrueres.

Eksempel: Rockeren dømmes for våbenbesidelse og våbenet konfiskeres, hvorefter det meget sandsynligt destrueres.
Nogen tid senere findes et offer med et par projektiler som eneste spor.
Hvis ikke der findes "ammunitionsaftryk" i arkivet vil det jo være umuligt at knytte mordet til et våben, og dermed måske til en gerningsmand.

Min pointe er:
- artiklen handler om sletning af data for at beskytte borgere.
- men der er jo andre data, som skal gemmes for at beskytte borgerne; jeg henviser bare til Tibet-sagen. Og gemmetiden skal vel have en relation til forbrydelsens straframme ?
- da mord ikke forældes, så ville gemmetiden for nævnte "ammunitionsaftryk" være omkring 60-100 år.

Så lad os OGSÅ fastholde en diskussion om arkiveringskrav !

Mikkel Holm

»På intet tidspunkt har der været noget data, som var ældre end 30 dage, som er blevet genindlæst eller** har været tilgængeligt for nogen medarbejdere**,« siger han.

Skal det forståes sådan at den backup ansvarlig IT-medarbejder ej heller har haft adgang til egne systemer? Så er der vel tale om en direkte løgn? Eller kan juristen sno sig ud af den udtalelse?

Henrik Sørensen

@RENE .... prøv at lægge mærke til formuleringen i lovteksten:

"Personoplysninger omfattet af § 6, stk 1 skal slettes i APNG senest 30 dage efter det tidspunkt hvor oplysningerne er indsamlet"

HVIS man i stedet havde skrevet:

"Personoplysninger omfattet af § 6, stk 1 skal slettes senest 30 dage efter det tidspunkt, hvor oplysningerne er indsamlet"

... så havde det været krystalklart at data skulle slettes og det ville være svært, at argumentere for at det ville være ok med en kopi i en backup eller i andre systemer ....

MEN det står der ikke ... i stedet for har man juridisk åbnet en kattelem ved at skrive, at oplysningerne skal slettes fra APNG ... og vupti, er det ikke præcis det der sker...? ... de bliver slettet fra APNG ... men der står jo ikke noget om andre systemer ...

... OG NEJ, jeg forsøger IKKE at tage hverken lovgivere, embedsmænd eller andre i forsvar ... jeg forsøger blot at skærpe den generelle opmærksomhed på HVOR snu embedsværket hos politi og efterretningsvæsen kan agere, for jeg har ikke fantasi til at tro at de ikke har været opmærksomme på og netop ønsket at der skulle indbygges elastik til senere fortolkning ...

Arne Jørgensen
Olav M.J. Christiansen Blogger
Henrik Madsen

Det er vel bare et spørgsmål om tid. PET fik nye sletteregler, da de sagde, at de ellers gældende regler var ... hvad var formuleringen - var det: "administrativt byrdefulde"?

Men den type formuleringer er vel også den typiske der bruges når man gerne vil gøre det nemmere for myndighederne, på bekostning af befolkningens rettigheder.

Det var som jeg husker det, samme undskyldning man brugte da man indførte administrative fartbøder.

Altså at det tog alt for mange ressourcer at bevise hvem det var der havde overtådt loven, så derfor ville man gerne have lov til at udstede bøden til ejeren af køretøjet som overtrædelsen var foregået i, snarere end lovovertræderen.

Væk fra "uskyldig indtil det modsatte er bevist" og desværre var befolkningen "for dumme" til at indse at der igen igen blev skåret en skive af spegepølsen.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder