TDC sælger data om mobilbrugernes færden til østjysk turistorganisation

Opfølgning på NRK-historien:https://www.nrk.no/norge/strava-avsloringen_-forsvaret-kontakter-alle-norske-styrkesjefer-i-utlandet-1.13895557

kan du på Strava kort se hvilken soldat det er der har løbet ruten ?

Jeg er blevet gjort opmærksom på, at NRK har identificeret ikke mindre end 18 personer fra en række lande, herunder Danmark, som har opholdt sig på militære baser i Irak og Afghanistan .

De kunnet fastslå at mindst tre af disse havde en militær baggrund. Og en af dem har de endda snakket med.

Her brugte man dog ikke kun kortet, det skete ved at kombinere med andre data, som Strava har offentliggjort sammen med kortet.

kan du på Strava kort se hvilken soldat det er der har løbet ruten ?

Der er eksempler på ruter med kun en person, som starter i ved en bolig, som udpeger vedkommende unikt.

Jeg er ikke sikker på, at det var en soldat, men der er også eksempel på, at man har stedfæstet en navngiven amerikansk major medens han var udstationeret i Afghanistan. Her brugte man dog ikke kun kortet, det skete ved at kombinere med andre data, som Strava har offentliggjort sammen med kortet.

Så selv anonymiserede data kan personificeres

kan du på Strava kort se hvilken soldat det er der har løbet ruten ?

Mener trafiktælling/smart trafik i Aarhus er nede på 4 timer, for at undgå at det kan bruges til at identificere den enkelte bilist.

Jeg er den eneste på min arbejdsplads, som kører fra mit hjem og derind. Det tager ikke fire timer; ikke engang i myldretiden.

Og kører der ikke nogen fra mit hjem og til min arbejdsplads på en arbejdsdag, så kan du udlede, at jeg enten er syg eller holder fri den dag. Endnu mere interessant er det så, hvis det på nogle af de dage (og kun de dage) bliver erstattet af en kørsels et andet sted fra. For så har jeg ikke sovet hjemme.

Er der dage, hvor kørslen fra min arbejdsplads og til min hjem sker med en omvej fordi et sted med et indkøbscenter inkl. et passende ophold, så ved du også, hvor jeg handler ind. Og hvornår. Og hvor længe.

Hvad nu hvis der én person der har været i Moesgaard, Aros og Hvide Sande samme dag, og én der har været i Moesgaard, Aros, Hvide Sande og hos den luder Povl har fortalt sin kone han i hvert fald aldrig mere vil besøge, og Povls kone tilfældigvis kan huske den dag hun og Povl besøgte Moesgaard, Aros og Hvide Sande på samme dag?

Strava har lige udgivet et kort med brugerns løberuter. Dette har afsløret en masse information, herunder hemmelige amerikanske militærbaser.

Så selv anonymiserede data kan personificeres. Man kan vel se på de data hvor jeg bor (indenfor en radius), hvor jeg arbejder, hvor jeg handler og hvornår, min tur til sportsklubben, evt løbetur (hvis jeg havde telefon med).

Smid et kamera op et sted, og man begynder at kunne korrelere ansigter/nummerplader, og dermed gøre data personhenførbare.

For at lave det anonymt, så må pseudonymiseringen skifte nøgle ofte, så man eksempelvis ikke kan tracke en bruger mere end få timer, inden vedkommende får et nyt unikt ID. Mener trafiktælling/smart trafik i Aarhus er nede på 4 timer, for at undgå at det kan bruges til at identificere den enkelte bilist.

Hvis man bruger samme model her, så er det vel ikke brugbart ?

Jeg mangler info om hvor jeg kan lave opt-out.

Jeg vil også gerne vide om jeg kan få en liste af psedonymiserede telefoner der bevæger sig fra den nærliggende byggeplad til vores kvarter, hvor der er kommet en indbrudsbølge. Så kunne vi have bevis til politiet om mistanken.

Hvis du får af vide af 100 Roaming Kunder har bevæget sig fra punkt A til B, hvordan vil du så finde tilbage til navne på disse 100 personer ?

Ser frem til din forklaring, som jeg er sikker på vil være spændende

I øvrigt havde samme TDC fingrene lidt for dybt i samme kagedåse allerede for nogle år siden: https://www.version2.dk/artikel/mobiltrafik-afsloerer-koebenhavnernes-julerejser-75888

I den første kommentar i debatten fra dengang finder vi bl.a. en Jesper Lund i julehumør med flg. bemærkning:

Men det er jul.. og jeg regner med at TDC holder disse analyser inden for egne døre og har checket at det er inden for rammerne af udbudsbekendtgørelsen :)

Den gang var det "bare" et presse-gimmick. Denne gang er der tale om salg af data.

Ja, samtykket skal være frivilligt, og det særskilte samtykke skal kunne trækkes tilbage til enhver tid uden at det berører din primære aftale om en telekommunikationstjeneste.

Tak for det. Jeg må have overset Hi3G sagen. Det er godt at se, at reglerne er på plads, og at de bliver håndhævet - det sidste har det på mange områder desværre ligget tungt med, og det hjælper ikke noget, at have gode regler, hvis det er risikofrit at ignorere dem.

"Når man tæller solgte mælk mv. i Netto kan man tilsvarende ikke se, hvem der købte sodavand i en Netto og mælk i en anden"

Men man kan vælge af gå ud fra af hvis folk skal have både mælk og sodavand så vil de købe beggge i samme netto

af bruge beralingstransaktioner via betalingskort, vil kun vise hvilken beløb der er købt for ikke hvilkent produkt der købt, så det vil ikke være brugbart

Hvis man har brugt for af vide hvem der har kørt længere end fra A til B, må man jo stille sine opservationspunkter relevante steder

Syntes du får vrævlet meget rundt uden rent faktisk af komme frem til hvad det rent faktisk er du rent faktisk vil sige.

hvad du vil sige ?

Ja, samtykket skal være frivilligt, og det særskilte samtykke skal kunne trækkes tilbage til enhver tid uden at det berører din primære aftale om en telekommunikationstjeneste.

Det gør det vel mindre sandsynligt, at der foreligger tilsagn.

Roamede kunder får en midlertid identitet under deres roaming. Men jeg er enig i, at CDR mv. for disse også må opfattes for personhenførbare data. For det er det jo via tabellen overtildelte identiteter (gæsteregisteret).

Har man gjort sig nogen tanker om, hvorvidt dette samtykke de facto ender med at en forudsætning istedet for et tilvalg, og om hvordan man i givet fald vil imødegå det? Der er som oftest ikke ligefrem tale om noget ligeværdigt magtforhold.

Ja, samtykket skal være frivilligt, og det særskilte samtykke skal kunne trækkes tilbage til enhver tid uden at det berører din primære aftale om en telekommunikationstjeneste.

Det gælder også i dag med hensyn til tillægstjenester. Se for eksempel den nylige afgørelse vedr. Hi3G som havde en lidt for kreativ indsamling af lokationsoplysninger i form af en tillægstjeneste, som alle abonnenterne pudsigt nok havde "fået" uden at være klar over, at det var en tillægstjeneste.. Sagen vedr. Hi3G har været dækket i medierne, inklusive Version2.

... Kommissionens forslag kræver som sagt samtykke.

Har man gjort sig nogen tanker om, hvorvidt dette samtykke de facto ender med at en forudsætning istedet for et tilvalg, og om hvordan man i givet fald vil imødegå det? Der er som oftest ikke ligefrem tale om noget ligeværdigt magtforhold.

Hvor står det i aftalevilkårene at TDC må overvåge kundernes færden og sælge de data de genererer?

Det er ret ligegyldigt hvad der står i aftalevilkårene.

Gældende lov forbyder ganske enkelt TDC at behandle personhenførbare trafikdata og lokationseringsdata til dette formål. Det er i dag muligt at give samtykke til tillægstjenester, som kræver behandling af personhenførbare trafikdata og lokaliseringsdata, men tillægstjenester skal være noget som kommer abonnenten til gavn. Det kunne for eksempel være en service, som baseret på din lokation fortæller dig om hvilke restauranter der er i området. Du kan faktisk ikke p.t. donere dine data til TDC, selv hvis du ville.

Efter Kommissionens forslag til en ny e-privacy forordning, der skal erstatte det nuværende direktiv 2002/58, vil en behandling af lokationsoplysninger ala det beskrevne være tilladt, men KUN for de abonnenter som har givet samtykke. Se denne slide fra Kommissionens præsentation af forslaget (bemærk: "new business opportunity", det er ikke muligt i dag). Men det er ikke gældende lov, og Kommissionens forslag kræver som sagt samtykke.

Udsagnet om at man kan følge turister, der både er i Østjylland og senere ved Vestkysten må på samme måde nødvendigvis betyde, at man samler turisternes CDR mv. og derefter analyserer disse. Så er det i sin natur personlige data, selv om man kan anonymisere dem ved videregivelse.

Jeg er meget enig i den udlægning af hvad TDC antageligt har gjort (baseret på beskrivelserne i artiklen).

Det betyder imidlertid, at TDC behandler personhenførbare (ikke-anonymiserede) trafikdata og lokaliseringsdata, som ikke er trafikdata, til et formål, som ikke findes på den udtømmende liste af tilladte formål i udbudsbekendtgørelsens §§ 23-24.

Det forhold at TDC efterfølgende anonymiserer oplysningerne fuldstændigt (hvis det er muligt), eller eventuelt kun præsenterer (sælger) dem i aggregreret form, ændrer ikke ved at der tidligere er foregået en behandling af personoplysninger, som udbudskendtgørelsen baseret på direktiv 2002/58 ikke tillader.

Jesper Lund Formand, IT-Politisk Forening

Hvor står det i aftalevilkårene at TDC må overvåge kundernes færden og sælge de data de genererer?

Som mobilkunde køber og betaler jeg i dyre domme for en serviceydelse fra TDC. Jeg betaler ikke for at de skal overvåge min færden og sælge mine data bag min ryg.

" Det fungerer, som hvis man tæller biler, der kører på vejene. Eller at man med en lagerstatistik kan se, hvor meget mælk der bliver solgt i den enkelte butik,« siger Marina Lønning, koncerndirektør i TDC Erhverv."

Når man tæller biler, der kører forbi, kan man ikke rigtigt udpege hvem der både besøger fregatten Jylland ved Ebeltoft og Himmelbjerget. Dette uanset at man tæller løs mange steder. Det er sådan trafikovervågning via mobil i storbyer fungerer. Med differentielle data fra radiostrækningerne og erfaringsmæssige data om bevægelser i området, kan man få et godt samlet overblik over trafikken. Men ikke præcist hvor mange, der er kørt en længere strækning fra A til B.

Når man tæller solgte mælk mv. i Netto kan man tilsvarende ikke se, hvem der købte sodavand i en Netto og mælk i en anden. Det kan man kun, hvis man går ind i beralingstransaktioner via betalingskort og altså som udgangspunkt registrerer og sammenholder personlige data.

Udsagnet om at man kan følge turister, der både er i Østjylland og senere ved Vestkysten må på samme måde nødvendigvis betyde, at man samler turisternes CDR mv. og derefter analyserer disse. Så er det i sin natur personlige data, selv om man kan anonymisere dem ved videregivelse.

Så udtalelserne i artiklen forekommer lidt selvmodsigende.

"Det fungerer, som hvis man tæller biler, der kører på vejene. "

Nej def fungere mere fintmasket, end hvis du have nummerplade læsere, ved alle museer, forlystelser, og ved samtlige indfaldsveje, og motorvej i hele landet.

Det lyder godt.

Kunne TDC ikke lige lade 2-3 dages data falde i samme format som det videregives, så et par ægsperter kan tage et kig.

Der er ofte overraskende stort sammenfald med "110% sikkert anonymiseret" og "det kunne sagtens af-anonymiseres", hvor dem der i stedet forklarer hvordan de har anonymiseret, og erkender at alt er muligt, typisk har været bedre til opgaven.

Hvorfor ikke bare købe data fra SoMe, så du også kan få alder, køn etc. med? Hvis man alligevel vil lave skræddersyede tilbud, så gå da all the way. Er jo ikke fordi det ene er mere privacy invasive end andre, og lur mig om ikke Facebook kan lave et lige så anonym og ikke person-henførbart udtræk som TDC.