Rigspolitiet: ANPG-data skal slettes efter 30 dage - men ikke i backup-systemet

15. november 2018 kl. 05:1036
Rigspolitiet: ANPG-data skal slettes efter 30 dage - men ikke i backup-systemet
Illustration: Kwarkot / Bigstock.
Rigspolitiets databeskyttelseschef afviser, at det - som tidligere omtalt af Version2 - er ulovligt at gemme personoplysninger fra automatisk nummerpladegenkendelse i mere end 30 dage. Argumentet er, at data ikke anvendes men alene gemmes i et backup-system.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Version2 skrev den 1. november, at politiet har gemt oplysninger om bilers færden i længere tid, end de må. Personoplysninger fra no-hits i politiets system for automatisk nummerpladegenkendelse (ANPG) blev nemlig gemt i op til 60 dage i et midlertidigt backup-system.

Det fremgår af et svar til Folketingets Retsudvalg, hvor Rigspolitiet oplyser Justitsministeriet om dette:

»ANPG var imidlertid i en periode fra den 5. december 2017 til den 17. juni 2018 understøttet af en midlertidig backup-funktion, grundet en systemteknisk opdatering. Denne backup-funktion blev i perioden overskrevet hver 30. dag, hvilket medførte, at data på backuppen kunne være op til 60 dage gamle.«

I bekendtgørelsen om politiets anvendelse af automatisk nummerpladegenkendelse står der:

Artiklen fortsætter efter annoncen

Men politiet har ikke overtrådt reglerne i bekendtgørelsen, fastslår Rigspolitiets databeskyttelseschef Christian Wiese Svanberg, som er uddannet jurist. Ifølge ham er det lovligt at opbevare data fra no-hits i backup-systemet i mere end 30 dage, så længe politiet ikke anvender de for gamle data.

»På intet tidspunkt har der været noget data, som var ældre end 30 dage, som er blevet genindlæst eller har været tilgængeligt for nogen medarbejdere,« siger han.

Han understreger også, at ANPG-systemets sletterutiner ville have sørget for, at data ældre end 30 dage ikke ville blive genindlæst i systemet, hvis der havde været behov for en genopretning.

Reglerne gælder ikke for backup

Rigspolitiet oplyser i sin udtalelse til Justitsministeriet, at no-hits blev slettet i selve ANPG-systemet i rette tid, og at det derfor kun var i systemets midlertidige backup, at de blev gemt.

Christian Wiese Svanberg fortæller Version2, at det er selve driftssystemet, der er omfattet af reglerne, og at opbevaring af ANPG-data i backup-systemer ikke er reguleret med tidsbegrænsning nogen steder.

»Du har backuppen, som understøtter, og så har du driften, som er det, der er omfattet af reglerne,« siger Christian Wiese Svanberg og fortsætter:

ANPG og no-hits

ANPG er et intelligent system med både mobile og stationære nummerpladescannere, som kan alarmere politiet, hvis et køretøj, der er registreret i politiets systemer, passerer et kamera.

Men alle nummerplader, der passerer et kamera, bliver scannet og opbevaret i op til 24 timer - og i op til 30 dage, hvis »oplysningerne er indsamlet som led i en målrettet politiindsats« - selvom de ikke er registreret i politiets systemer. De kaldes no-hits.

Mellem den 22. juli 2018 og den 21. august 2018 blev der registreret 21.670.753 no-hits i ANPG, som blev indsamlet som led i målrettede politiindsatser. Det vil sige, at der på en måned blev indsamlet over 21 mio. nummerplader (inklusiv gengangere), som politiet måtte opbevare i op til 30 dage.


»Hvis man skulle falde over, at vi havde brugt oplysninger ulovligt, så ville man selvfølgelig tage hånd om det. Men det er der ikke tale om her.«

»Det afgørende er, om vi i driften af ANPG-systemet har efterlevet, hvor længe data må anvendes i systemet, og det har vi. Vi har så også pligt til at have en backup, og det har vi også haft,« siger Christian Wiese Svanberg afslutningsvist.

Politiets ANPG-system er efter den 17. juni 2018 gået fra en backup-løsning til et redundant system, der består af to databaser, som spejles i hinanden. Personoplysningerne slettes løbende fra databaserne i takt med, at de slettes fra ANPG-systemet.

De betyder, at der fra den dato ikke har været personoplysninger fra no-hits i nogen dele af ANPG, som har været ældre end 30 dage.

Databeskyttelseschef Christian Wiese Svanberg kan ikke huske, hvordan backup-systemet var indrettet før den 5. december 2017, hvor den midlertidige backup-funktion trådte i kraft.

36 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
36
17. november 2018 kl. 15:10

Det er vel bare et spørgsmål om tid. PET fik nye sletteregler, da de sagde, at de ellers gældende regler var ... hvad var formuleringen - var det: "administrativt byrdefulde"?

Men den type formuleringer er vel også den typiske der bruges når man gerne vil gøre det nemmere for myndighederne, på bekostning af befolkningens rettigheder.

Det var som jeg husker det, samme undskyldning man brugte da man indførte administrative fartbøder.

Altså at det tog alt for mange ressourcer at bevise hvem det var der havde overtådt loven, så derfor ville man gerne have lov til at udstede bøden til ejeren af køretøjet som overtrædelsen var foregået i, snarere end lovovertræderen.

Væk fra "uskyldig indtil det modsatte er bevist" og desværre var befolkningen "for dumme" til at indse at der igen igen blev skåret en skive af spegepølsen.

31
15. november 2018 kl. 20:05

@RENE .... prøv at lægge mærke til formuleringen i lovteksten:

"Personoplysninger omfattet af § 6, stk 1 skal slettes i APNG senest 30 dage efter det tidspunkt hvor oplysningerne er indsamlet"

HVIS man i stedet havde skrevet:

"Personoplysninger omfattet af § 6, stk 1 skal slettes senest 30 dage efter det tidspunkt, hvor oplysningerne er indsamlet"

... så havde det været krystalklart at data skulle slettes og det ville være svært, at argumentere for at det ville være ok med en kopi i en backup eller i andre systemer ....

MEN det står der ikke ... i stedet for har man juridisk åbnet en kattelem ved at skrive, at oplysningerne skal slettes fra APNG ... og vupti, er det ikke præcis det der sker...? ... de bliver slettet fra APNG ... men der står jo ikke noget om andre systemer ...

... OG NEJ, jeg forsøger IKKE at tage hverken lovgivere, embedsmænd eller andre i forsvar ... jeg forsøger blot at skærpe den generelle opmærksomhed på HVOR snu embedsværket hos politi og efterretningsvæsen kan agere, for jeg har ikke fantasi til at tro at de ikke har været opmærksomme på og netop ønsket at der skulle indbygges elastik til senere fortolkning ...

30
15. november 2018 kl. 17:03

»På intet tidspunkt har der været noget data, som var ældre end 30 dage, som er blevet genindlæst eller** har været tilgængeligt for nogen medarbejdere**,« siger han.

Skal det forståes sådan at den backup ansvarlig IT-medarbejder ej heller har haft adgang til egne systemer? Så er der vel tale om en direkte løgn? Eller kan juristen sno sig ud af den udtalelse?

29
15. november 2018 kl. 16:54

Hvis man forfølger analogien, så bude det vel også for e.g. skydevåben være at krav at e.g. "ammunitionsaftryk" (på hylster, på projektil) gemmes hvis våbenet destrueres.

Eksempel: Rockeren dømmes for våbenbesidelse og våbenet konfiskeres, hvorefter det meget sandsynligt destrueres. Nogen tid senere findes et offer med et par projektiler som eneste spor. Hvis ikke der findes "ammunitionsaftryk" i arkivet vil det jo være umuligt at knytte mordet til et våben, og dermed måske til en gerningsmand.

Min pointe er:

  • artiklen handler om sletning af data for at beskytte borgere.
  • men der er jo andre data, som skal gemmes for at beskytte borgerne; jeg henviser bare til Tibet-sagen. Og gemmetiden skal vel have en relation til forbrydelsens straframme ?
  • da mord ikke forældes, så ville gemmetiden for nævnte "ammunitionsaftryk" være omkring 60-100 år.

Så lad os OGSÅ fastholde en diskussion om arkiveringskrav !

28
15. november 2018 kl. 16:19

Hvis der var tale om et papirarkiv hvor man fjernede papirer ældre end 30 dage og lagde i et arkivskab hvor der ikke var adgang for medarbejdere - ville man så sige at papirerne var destrueret?

Mit eksempel ville være at en rocker bliver taget med en pistol derhjemme.

Rockeren forsvarer sig med at våbenet ikke er blevet brugt - og det kan sagtens være rigtigt - at våbenet ikke er blevet brugt til kriminalitet.

Det er bare ikke relevant om våbenet er blevet brugt eller ikke, det er besiddelsen som er ulovlig.

På samme vis som at politiet uanset årsag ikke må besidde ANPG-data i længere tid end 30 dage.

Det rejser to problemer, det ene problem er at Databeskyttelseschef Christian Wiese Svanberg ingen troværdighed har tilbage efter sådan et udsagn. Han burde lagt sig fladt ned og sagt undskyld, og at han som det første havde fikset problemet.

Det andet problem, er politiet tilsyneladende ikke evner at opbevare data (på lovlig vis). Hvilke overraskelser mon ellers der er, når simple opgaver som backup (som foreskrevet i de relevante love) ikke kan håndteres?

26
15. november 2018 kl. 15:54

hvis der er en person der beder om at blive glemt, bare så man kan indlæse sin backup, slette relevant data og derefter lave en ny backup og slette den gamle.

Du kan sagtens slette data i en backup uden at skulle indlæse din backup, så dette ser jeg ikke som et teknisk problem det er bare et spørgsmål om at gøre det.

25
15. november 2018 kl. 15:37

mon ikke deres outsourcing partner har smidt det i samme database som alt andet i hjørnet på en mainframe

Og den er underlagt policy X for backup og det kan det ikke afviges fra

Så mon ikke man igen har sparet på ops fordi alle penge blev brugt på management konsulenter og advokater og da drift ville have en dedikeret backup process fik de et nej

24
15. november 2018 kl. 14:36

Der står i den paragraf der er vist i artiklen at data skal slettes fra APNG efter 30 dage. Og det bliver de tilsyneladende.</p>
<p>Der står IKKE noget om backup, som er styret af andre rammer ...

Backuppen må anses som en del af ANPG.

ANPG-bekendtgørelsen giver lovhjemmel til at behandle ANPG-oplysninger i ANPG-systemet. Der er mig bekendt ikke lovhjemmel til at behandle disse oplysninger i andre it-systemer.

“Er der love eller domme, der underbygger denne fortolkning ...”
Det er vel bare et spørgsmål om tid.

Ja, sådan går det jo ofte. Men derfor er det stadig interessant, om den nævnte backup var lovlig.

23
15. november 2018 kl. 13:42

Bare det at de bruger krudt, kugler og energi på at forsvare en praksis, som alle ved sine fulde fem vil vurdere er i strid med loven og ånden i loven burde være nok til at alle backups blev slettet øjeblikkeligt. Jurister har desværre udviklet sig til at være undtaget gruppen af folk ved deres fulde fem.

Hvad er formålet fra politiet med at forsvare og bibeholde denne adfærd? I hvert fald ikke nogle anerkendelsesværdige eller anstændige formål for så var de blevet anvendt i argumentationen. Tilbage står så en åbenlyst ønske om at misbruge data senere, hvis det ikke allerede foregår fordi man ikke logger adgangen til arkiveret data - eller en anden latterlig omgåelse, som politiet og den danske stat efterhånden er ved at være decideret kendt for.

22
15. november 2018 kl. 13:38

Der står IKKE noget om backup, som er styret af andre rammer ...

Det er jeg ikke enig med dig i.

Data er data uanset om de er let læsbare eller lidt længere tid om at blive læsbare.

Men jeg har i øvrigt svært ved at se problemstillingen med backups skulle udgøre et særskildt juridisk problem eller teknisk problem.

Hvis du løbende tager backup af dagens registeringer og løbende overskriver den "nyeste 30 dage gamle" backup - hvad er det så lige som er problemet?

Jeg mener at problemet hedder "Christian Wiese Svanberg". Manden mangler jo basal IT viden, hvis han tror der er noget nyt eller særligt vanskeligt ved at lave en backupsystem som kun indeholder data som er max 30 dage gamle.

21
15. november 2018 kl. 13:06

Der står i den paragraf der er vist i artiklen at data skal slettes fra APNG efter 30 dage. Og det bliver de tilsyneladende.

Der står IKKE noget om backup, som er styret af andre rammer ...

... sådan er det smarte jurister omgår intentionen i loven og derfor er det ubehageligt vigtigt at man læser alle lovforslag som fanden læser bibelen og rådgiver politikerne INDEN de vedtager noget.

18
15. november 2018 kl. 11:52

Hvad skulle formålet være?

I stedet for at gå rundt og slette data her og der, så er det nok at slette nøglen. Det kan være mange gange nemmere.

Det har så også den effekt, at det er sværere for data, f.eks. på gamle medier, at komme på afveje.

Ingen nøgle, ingen data.

17
15. november 2018 kl. 11:30

Hvis der var tale om et papirarkiv hvor man fjernede papirer ældre end 30 dage og lagde i et arkivskab hvor der ikke var adgang for medarbejdere - ville man så sige at papirerne var destrueret?

Den holder ikke helt.

I dit eksempel ville man formulere, at papirerne var fjernet og gjort utilgængelige.
Man ville kunne bruge, at man havde fotokopieret/indscannet dokumenterne før destruktion og opbevarer dokumenterne på en anden lokation. Herved vil man kunne retfærdiggøre, at dokumenterne er blevet destrueret. Man har dog IKKE benyttet formuleringen "Er alle kopier af papirerne destrueret?" - kun formuleringen "Er papirerne destrueret?" (hvilket jo er rigtigt - originalerne er destrueret).

Med data er de jo slettet fra det oprindelige system efter backuppen, så der er en forskel. Det er kværulanteri på ord, som jura nu engang er.

Lidt lige som debatten omkring datatyveri: Data bliver ikke stjålet (fjernet fra én lokation og dukker op et andet sted) - det bliver kopieret. Én af grundene til, at datatyveri bliver håndteret lidt ..... af politiet.

14
15. november 2018 kl. 11:06

HVIS backup ikke skal læses ind igen, så er der ingen grund til at lave backuppen, det er SPILD af borgernes SKATTEKRONER.

hvor dumme tror i borgerne er !!!!!!!!!

13
15. november 2018 kl. 11:05

Bullshit!

Hvis der var tale om et papirarkiv hvor man fjernede papirer ældre end 30 dage og lagde i et arkivskab hvor der ikke var adgang for medarbejdere - ville man så sige at papirerne var destrueret?

Næppe...

12
15. november 2018 kl. 10:25

Men politiet har ikke overtrådt reglerne i bekendtgørelsen, fastslår Rigspolitiets databeskyttelseschef Christian Wiese Svanberg, som er uddannet jurist. Ifølge ham er det lovligt at opbevare data fra no-hits i backup-systemet i mere end 30 dage, så længe politiet ikke anvender de for gamle data.

Det er noget vås. Det afgørende er ikke om man læser data, men om man besidder data som er ældre end 30 dage.

Jeg synes at Version2 skulle tage fat i Rigspolitiets databeskyttelseschef Christian Wiese Svanberg og bede ham om at oplyse en henvisning til "Ugeskrifts for Retsvæsen", Karnow eller ligende hvori det fremgår at dette synespunkt er understøttet af andre jurister, domme og lignende.

Indtil da vil jeg tillade mig at betragte hans svar som når rockere plæderer deres uskyld overfor dommeren.

11
15. november 2018 kl. 10:11

Men politiet har ikke overtrådt reglerne i bekendtgørelsen, fastslår Rigspolitiets databeskyttelseschef Christian Wiese Svanberg, som er uddannet jurist. Ifølge ham er det lovligt at opbevare data fra no-hits i backup-systemet i mere end 30 dage, så længe politiet ikke anvender de for gamle data.</p>
<p>»På intet tidspunkt har der været noget data, som var ældre end 30 dage, som er blevet genindlæst eller har været tilgængeligt for nogen medarbejdere,« siger han.</p>
<p>

Det her er jo et glimrende eksempel på hvordan en DPO ikke skal fungere. Det er jo et politisk svar, som ikke har hold i lovgivningen. Det han jo prøver på at sige, er at vi har ikke gjort noget ulovligt fordi vi ikke har/har kunnet lave databehandling på data. Men .. definitionen af Databehandling, hvad vil det sige at udføre databehandling på f.eks. personoplysninger, er beskrevet i Artikel 4.2 i GDPR og har en meget bred og vidtrækkende defintion:

behandling: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som person-oplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

Så det at tage backup, og opbevaring af data som backup er databehandling. Længere er den såment ikke. Det er på grænsen til en skandale, at en DPO, som jo er tænkt som en uafhænging untouchable intern vagthund, sådan spiller med på at dække over ting der ikke er ok.

// Jesper

10
15. november 2018 kl. 09:53

Læs lige, hvad du har skrevet, og overvej om det giver mening. Her giver det ingen mening:

bygget til at kunne stage information på hvis der er en person der beder om at blive glemt

9
15. november 2018 kl. 09:41

Hvis systemerne ikke kan håndtere persondata på lovlig vis, så er systemerne uegnede til at håndtere persondata.

Hvis man synes at det er besværligt at have persondata, så skulle man overveje, om man i det hele taget har brug for persondata, og i hvilket omfang.

Man kan komme langt med at skille persondata ud, og kryptere separat. Det kræver selvfølgelig systemer, som kan skille persondata ud og kryptere det.

Meget lidt af det, som kom med GDPR stiller nye krav. Men hvis man har været fløjtende ligeglad indtil da, så kan det godt være at systemerne ikke er til megen hjælp.

Stop piv og kom ind i kampen. Det kan godt være at kravene virker besværlige, men de er ikke urimelige.

8
15. november 2018 kl. 09:23

Til jer som mener at man skal slette data fra backups efter 30 dage.

Er i helt sikre på at i mener det er en god ide?

Jeg kan forestille mig at det ville være sjovt at sidde som GDPR ansvarlig i en virksomhed og skulle overbevise sin ledelse og drift om at de skal have et miljø bygget til at kunne stage information på hvis der er en person der beder om at blive glemt, bare så man kan indlæse sin backup, slette relevant data og derefter lave en ny backup og slette den gamle.

Som jeg husker GDPR er det OK at have en procedure for hvordan men gensletter og advicerer personer der er blever "glemt" om at de har været indlæst fra backup men nu igen er slettet.

/Søren

7
15. november 2018 kl. 08:56

Databeskyttelseschef Christian Wiese Svanberg kan ikke huske, hvordan backup-systemet var indrettet før den 5. december 2017, hvor den midlertidige backup-funktion trådte i kraft.

Mon det ikke er en sag for Rigsrevisionen

6
15. november 2018 kl. 08:29

Er der love eller domme, der underbygger denne fortolkning ...

Det er vel bare et spørgsmål om tid. PET fik nye sletteregler, da de sagde, at de ellers gældende regler var ... hvad var formuleringen - var det: "administrativt byrdefulde"?

Og mon ikke den backup blev opdaget, da man undersøgte om der rundt omkring i krogene kunne ligge lydklip eller mails, som kunne vise sig at være belastende for ledelsen ifm. næste "Tibet"-kommision?

3
15. november 2018 kl. 08:06

Er vi ikke ude i "administrativ sletning" her?

Uanset om det er lovligt, er der tale om en omgåelse. Data skal slettes efter 30 dage, både så politiet ikke kan anvende dem, inkl. politifolk der snager mere end lovligt er (hvilket er set før).

Men også hvis vi nu skulle få en ny type Hitler i regeringen. Så skal vedkommende ikke bare kunne ændre reglerne med tilbagevirkende kraft og hente data 5 år tilbage, for at finde ud af hvem han eller hun vil putte i koncentrationslejer.

Hvorfor skulle man i øvrigt opbevare de backups længere end nødvendigt? Det koster jo også penge. Har man blandet nohits sammen med en masse andet data, såsom hits og konfigurationer?

2
15. november 2018 kl. 07:44

Den citerede § 10 nævner udtrykkeligt, at data skal slettes efter 30 dage.

Er vi ikke ude i "administrativ sletning" her? En (meget irriterende) kammerat (jurist) ville helt sikkert anfægte definitionen af sletning:

  1. Er der tale om data slettet fra primære system og dermed ikke tilgængelig for den daglige operatør?
  2. Kræver det en "ekstra indsats" at skaffe adgang til data?

Tror desværre, at etatens jurister vil kunne dække deres bagdele ind med en jurisk definition af ordet "sletning".

1
15. november 2018 kl. 07:39

Ifølge ham er det lovligt at opbevare data fra no-hits i backup-systemet i mere end 30 dage, så længe politiet ikke anvender de for gamle data.

Hvilken lov skulle give hjemmel til det? Den citerede § 10 nævner udtrykkeligt, at data skal slettes efter 30 dage.