Telenor tavs om sms-skandale: Her er det, vi ved indtil videre

Går ud fra at Erhversstyrelsen anmelder sagen videre til Datatilsynet, da der åbenbart er tale om et klart brud på GDPR loven? Eller Hvordan? Uacceptabelt og foruroligende at både Telenor og direktøren for Teleindustrien, Jacob Willer, forsøger at mørklægge sagen i stedet for at fortælle åbent at man har kvajet sig, og tager konsekvenserne.

Det er ganske enkelt rigtigt dårlig moral de har udvist, efter fejlen er det ikke én fejl mere!

Men bevidste informerede handlinger, beslutninger. Så selskabet har bevist ud over enhver tvivl hvor de står rent moralsk.

Der bliver jeg ikke kunde igen.

Uacceptabelt og foruroligende at både Telenor og direktøren for Teleindustrien, Jacob Willer, forsøger at mørklægge sagen i stedet for at fortælle åbent at man har kvajet sig, og tager konsekvenserne.

Ja, det bør jo være en skærpende omstændighed, når/hvis Datatilsynet skal svinge kniven over Telenor på et tidspunkt. :)

Men det er vel ikke kun Telenors egne kunders, som er berørt af dette her? Hvis jeg har sms'et med en Telenor-kunde, er min korrespondance jo også omfattet af "lækket"?

Set udefra er det “helt ude skoven” overhoved at opbevare den slags data i meget over 24 timer.

Det er muligt at teknikere mener at det er rart med lokalitetsoplysninger for alle abonnenter i en lang periode, men problemet er slipper de data ud til de forkerte, så er de økonomiske konsekvenser betydelige iht. GDPR.

Det er nok også den reelle årsag til at ingen rigtig har lyst til at forklarer hvad som er sket - fordi man ved godt at dette her kan gå hen og blive rigtigt dyrt (i bøder).

Jeg tror at teleselskaberne lige nu seriøst overvejer om det er økonomisk forsvarligt at opsamle den slags data og især i lyset af, at det ikke er et lovkrav. Den værdi de data for selskabet skal jo opvejes imod de gigant bøder som kan komme den anden vej - hvis dataene uretmæssigt slipper ud.

bør ikke sendes som email eller SMS. Hér duer (måske) kun brev eller fastnettelefon, sådan som tingene administreres, eller rettere ikke administreres nu, privat såvel som offentligt.

Sørgeligt.

Den værdi de data for selskabet skal jo opvejes imod de gigant bøder som kan komme den anden vej

Hvilke gigantbøder? :-)

For nuværende er der vist større fare for at blive ramt af et meteoritnedslag end af en GDPR-bøde.

Jeg ser ikke det store problem i det her, hvis politiet modtager mere information end de skal bruge kan de jo vælge af se bort fra det ekstra data, eller helt undlage af modtage data fra telefor

For nuværende er der vist større fare for at blive ramt af et meteoritnedslag end af en GDPR-bøde.

Jeg er ikke helt sikker på, at IDdesign A/S er enig med dig i den påstand. ;-)

(https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/jun/moebe...)

Går ud fra at Erhversstyrelsen anmelder sagen videre til Datatilsynet, da der åbenbart er tale om et klart brud på GDPR loven

jeg ser ingen problemer, og er ganske sikker på af der er undtagelser i GDPR der tillader af der udveklsels data med politiet

jeg ser ingen problemer, og er ganske sikker på af der er undtagelser i GDPR der tillader af der udveklsels data med politiet

Udvekslingen med politiet har intet med sagen at gøre! Signaleringsdata skal (læs: MÅ) overhovedet ikke gemmes i ufiltreret stand.

Hvis man har telenor, bør man bruge retten til indsigt, og specifikt spørge ind til denne sag. under https://www.telenor.dk/andet/privacyregler/ kan man se hvordan (står ret langt nede).

Jeg er ikke helt sikker på, at IDdesign A/S er enig med dig i den påstand. ;-)

Fair nok. Datatilsynet har trods indstillet til GDPR-bøder i to sager, som nu afventer politiets og domstolenes behandling, siden GDPR trådte i kraft 25. maj 2018. Det bliver spændende at se, om retten er enig i Datatilsynets forslag til bødestørrelse.

Hvis man erstatter “meteoritnedslag” med “lynnedslag”, skulle jeg vist være på den sikre side :-)

Men min pointe var seriøst ment: Sandsynligheden for at blive idømt en bøde er ikke særlig stor, sammenlignet med så mange andre ulykker/ubehageligheder/udfordringer, der kan ramme en virksomhed. Dette er baseret på en formodning om, at der findes et stort mørketal.

Men ok, retssystemets møller maler langsomt, så man bør nok væbne sig med tålmodighed, inden man konkluderer for meget. Vi vil givetvis se flere bøder, når flere sager kommer gennem systemet.

Du har ret, så længe vi snakker SMS og ukrypteret email. Men ved at benytte såkaldt S/MIME (kryptering via certifikat) er mailen sikret end-to-end, og så kan man roligt gi' den gas med konfidentiel information i sine mails.

For nuværende er der vist større fare for at blive ramt af et meteoritnedslag end af en GDPR-bøde.

jeg medgiver at de store bøder mangler endnu at blive givet, men at satse hele butikken på at der ikke bliver givet bøder, lyder ikke som en strategi som forfremmer idemanden.

Efterfølgende har Telenors Presseafdeling henvendt sig til Version2 og forklaret, at der nærmere er tale om en misforståelse fra Erhvervsstyrelsens side. For afsender- og modtagernumre indsamles som udgangspunkt sammen, og hvis politiet beder om indsigt i Telenors signaleringsdata, beder de om indsigt i begge dele.

Hvis der er nogen som har misforstået noget, er det Telenor!

Det som politiet beder om (og kan bede om) med editionskendelse for "signalleringsdata" er lokationsoplysninger (i telefonens idle mode) for enten en bestemt mobiltelefon eller alle mobiltelefoner i et bestemt område ("mastesug"). Se afsnit 2 i dette Deloitte notat om anvendelse af historiske teledata i straffesager.

Der kan ikke med en editionskendelse (retsplejelovens § 804) udleveres oplysninger om hvilke andre numre en mobiltelefon har kommunikeret med. Det kræver en kendelse efter retsplejelovens kapitel 71 (indgreb i meddelelseshemmeligheden), hvor der er langt strengere krav (fx krav om 6 års strafferamme som udgangspunkt, mens editionskendelser kan bruges på alle lovovertrædelser undergivet offentlig påtale).

Hvis politiet kommer med en editionskendelse, kan Telenor udlevere lokationsoplysninger, herunder de lokationsoplysninger som findes i signalleringsdata. Det er muligt at det kræver at Telenor filtererer lidt i de data, som er gemt som "signalleringsdata" inden de videregives til politiet.

Hvis Telenor udleverer "det hele" inklusive oplysninger om modtagernumre på en editionskendelse, er der tale om en ulovlig behandling af personoplysninger hos Telenor (editionskendelsen giver kun Telenor lov til at behandle og videregive lokationsoplysninger til politiet) og et databrud, som skal indberettes til Erhvervsstyrelsen og Datatilsynet.

Hvis Telenor vil undgå disse problemer, er der en meget nem løsning: lad være med at gemme signalleringsdata. Når TDC kan drive et mobilnet uden at gemme signalleringsdata, kan Telenor vel også.

Det som Telenor gør er i øvrigt ulovligt efter eprivacy-reglerne (ingen af betingelserne i udbudsbekendtgørelsens §§ 23-24 er opfyldt for Telenors lagring af signaleringsdata om alle abonnenter). Det er præcist samme problemstilling som masteoplysninger for datatrafik hos TDC, hvilket ophørte i oktober 2018 takket være Christians Pantons mangeårige kamp for at få denne ulovlige overvågning stoppet.

Jesper Lund IT-Politisk Forening

P.S. IT-Politisk Forening har siden 2017 (efter Tele2-dommen) gjort Justitsministeriet opmærksom på, at det ikke er foreneligt med EU-retten, at der kan udleveres masteoplysninger fra logning alene på grundlag af en editionskendelse. Men det er en anden diskussion.

Jeg bruger et system hvor jeg har én unik e-mail for hver sted jeg opretter en bruger. Så kan jeg altid se hvor spammere har min mail fra og kan nemt blokere det. På et tidspunkt begyndte jeg at modtage spam på min unikke telenor mail og kontaktede Telenor. Jeg blev kontaktet af en fra deres sikkerhedsafdeling(?) men udover at han gerne ville se hvad jeg havde modtaget hørte jeg aldrig mere og efterfølgende mails fra mig bliver ikke svaret på.

Det korte af det lange er at Telenor enten er blevet hacket eller har fået solgt sine kunders e-mail adresser på anden måde og nægter at tale om det.

Jeg er ikke længere Telenor kunde.

Når TDC kan drive et mobilnet uden at gemme signalleringsdata, kan Telenor vel også.

Telenor har fælles net med Telia. Det kan jo have noget med det at gøre, hvis de f.eks. bruger logningen til afregning for netelementer. Men det er rent gætteri.

Påstanden om, at politiet ikke kan få en editionskendelse, der dækker andet end masteoplysninger, er jeg ikke helt sikker på. Desværre er det aldrig endeligt fastslået, at teleoplysninger ikke kan udleveres efter edition, hvis det også er omfattet af indgreb i meddelelseshemmeligheden som teleoplysninger.

Et tidligere ministersvar sagde, at man kunne bruge såvel edition som indgreb i meddelelseshemmeligheden, men at det ikke betød noget, da retten ville anvende samme kriterier for kendelsen. Og denne sidste forudsætning er vist ikke opfyldt i praksis.

Jeg skal også gøre opmærksom på Tvind-sagen, hvor indholdet af Tvind-ledelsens mails blev udleveret efter en editionskendelse fra Tele2. Kunne dette principielt ikke også ske med SMS, som er lagret i signaleringen.

Men ellers er jeg enig i dit indlæg.

Det spørgsmål, som jeg omtalte er spørgsmål 8 , hvor svar er afgivet16. november 2006.(L63).

Jeg har ikke kendskab til, at retstilstanden er præciseret efterfølgende af domstole eller lovgiver.

her er spørgsmålet og Helge Sanders svar:

Spørgsmål 8

Når det fremgår af bemærkningerne til lovforslaget, at politiet kan få adgang til de oplysninger, som udbyderne registrerer og opbevarer i medfør af reglerne om edition i retsplejelovens kapitel 74, vil ministeren så oplyse, om der er foretaget ændringer i retsplejeloven, så oplysninger om teletrafik, herunder f.eks. oplysninger om hvem, der ringer til hvem, nu kan udleveres efter de meget mere lempelige regler om edition og i givet fald oplyse, hvad denne ændring går ud på, og hvornår den er foretaget?

Svar

Jeg har til brug for besvarelsen af spørgsmålet om, hvorvidt der er foretaget ændringer i retsplejelovens regler om edition, indhentet en udtalelse fra Justitsministeriet, der har oplyst følgende:

”I retspraksis var det tidligere uafklaret, om politiets adgang til at indhente lagrede teleoplysninger skulle behandles efter reglerne om indgreb i meddelelseshemmeligheden eller efter de væsentligt lempeligere regler om edition.

I to afgørelser gengivet i Ugeskrift for Retsvæsen 1993, side 1, og 1995, side 374, fastslog Højesteret, at retten kun kan give telefonselskaber pålæg om edition med hensyn til teleoplysninger, hvis betingelserne i retsplejelovens § 781 om indgreb i meddelelseshemmeligheden også er opfyldt.

Denne retstilstand indebærer, at både de materielle betingelser for indgreb i meddelelseshemmeligheden og de proceduremæssige krav til edition skal være opfyldt, før retten kan afsige kendelse om adgang til lagrede teleoplysninger.

Der er ikke foretaget ændringer i bestemmelserne i retsplejelovens kapitel 74 om beslaglæggelse og edition for så vidt angår oplysninger om teletrafik.”

Jeg kan henholde mig hertil.

Så vidt jeg husker er der en senere højesteretsdom, som tillader, at masteoplysninger udleveres alene efter en editionskendelse med basiskravene for en sådan kendelse.

Det er egentlig i strid med nævnte ministersvar og lovgiver har aldrig fulgt op på dette, som de bør gøre når en dom er i strid med loven. Så må loven præciseres enten på den ene eller den anden måde.

Men det ændrer ikke det forhold, at politiet på den ene eller den anden måde altid har adgang til lagrede personlige oplysninger uanset om de er gemt lovligt eller ulovligt. Og de kan selvfølgelig også få adgang til alle personlige oplysninger i den gemte signalering, herunder også indholdet af SMS. Hvad domstolen så vil bruge af betingelser for en sådan kendelse er et andet spørgsmål.

Det centrale i denne sag er, at Telenor ulovligt gemmer de personlige oplysninger, idet kun en lille del af dem følger af logningspligten, nemlig de trafikdata og lokaliseringsoplysninger, der er direkte knyttet til kommunikation via SMS eller telefonsamtaler via mobiltjenesterne SMS og telefoni.

Så vidt jeg husker er der en senere højesteretsdom, som tillader, at masteoplysninger udleveres alene efter en editionskendelse med basiskravene for en sådan kendelse.

Korrekt, U2009.2610H.

I U2017.1934Ø (som jeg ikke har adgang til) er et teleselskab pålagt at udlevere signalleringsdata efter editionsreglerne i overensstemmelse med Højesterets kendelse i U2009.2610H. Det forhold at der er tale om en Østre Landsret sag, må betyde at en af parterne (teleselskabet eller politiet) har kæret byrettens kendelse.

Når der er tale om signalleringsdata, kan editionsreglerne tilsyneladende anvendes på mastesug, hvor der arbitrært udleveres oplysninger om alle abonnenter i et bestemt område. Altså uden at kravene for udvidet teleoplysning (de strengeste krav for at udlevere teleoplysninger i kapitel 71) er opfyldt.

Det er ret vildt, hvis politiet kan få udleveret oplysninger om en masse mennesker, der tilfældigvis har været i et område, i banale sager som simpelt tyveri af en taske.

Jeg skal understrege at kilden til denne fortolkning af retsplejeloven alene fremgår af Deloitte notatet om anvendelse af historiske teleoplysninger (teledata) i straffesager.

Lokalisering af enheder i et afgrænset geografisk område.

Teledata kan anvendes til at belyse hvilke enheder, der har været i et givent område på et givent tidspunkt, eller i et givent tidsinterval (mastesug). Dette kan opgøres med en vis præcision, men er forbundet med en række usikkerheder, jf. afsnit 3.

Teleoplysninger om lokalisering af enheder i et afgrænset geografisk område har betegnelserne ’udvidet teleoplysning’, når der er tale om mobilenheder i aktiv brug til tale, sms og mms og indhentes med hjemmel i retsplejelovens § 780, stk. 1, nr. 4, henholdsvis ’signaleringsdata’, når der er tale om enheder, som ikke er i aktiv brug, og indhentes med hjemmel i retsplejelovens § 804, stk. 1. ’Signaleringsdata’ er ikke er omfattet af logningsbekendtgørelsen.

(min fremhævning i Deloitte notatet)

Men når det i løbet af et par måneder kan "lykkedes" Telenor at lave en datalæk til politiet med SMS-indhold for 1000 abonnenter, må der være tale om udleveringer af typen "mastesug" i nogle af tilfældene. Det kan næppe være kendelser rettet mod en enkelt abonnent i alle tilfælde.

Korrekt, U2009.2610H.

Tak

Udvidet teleoplysning blev indført t retsplejeloven i 2001

se http://webarkiv.ft.dk/Samling/20001/lovforslag_som_fremsat/L194.htm

Og se alle overvejelser om brug af edition i bemærkningerne, hvor det afvises. Søg f.eks. på "edition" i det fremlagte forslag.

Men 3 år efter opdagede jeg, at man stadig udlevererde udvidet teleoplysning (mastesug) efter edition, fordi denne praksis var påbegyndt inden 2001-loven. Og det fortsatte man med - også efter lovændringerne med logning i 2006.

Vi spurgte justitsministeriet, og de tilkendegav, at de fortsat ville lade politiet bruge edition ved udvidet teleoplysning.

Men tilbage til sagen med Telenor.

Hvorfor beder politiet om mastesug i lagret signaldata, når de kan bede om det i loggede teleoplysninger, der tilmed lagres i et år?

Svaret kan kun være, at de gennem de lagrede signaldata kan få flere oplysninger.

Og er der flere oplysninger via signaldata, må disse nødvendigvis være ulovligt gemt.

Game over

Hvorfor beder politiet om mastesug i lagret signaldata, når de kan bede om det i loggede teleoplysninger, der tilmed lagres i et år?

Det er et godt spørgsmål. Sammenlignet med de lokationsoplysninger, som gemmes efter logningsbekendtgørelsen, er der tre begrænsninger ved signalleringsdata: 1. Kun tre af fire udbydere kan levere disse data (side 69 i Rigsadvokatens og Rigspolitiets redegørelse om teledataskandalen). Så vidt jeg er orienteret, er det TDC som mangler her. Hvis det er korrekt, er det en ret stor del af de potentielle abonnenter som vil mangle i et mastesug. 2. Lokation er på cellegruppeniveauniveau, ikke transmissionscelle som ved trafikdata (logningsbekendtgørelsen). Måske mindre væsentligt for mastesug. 3. Væsentligt kortere opbevaringsperiode.

Jeg kan umiddelbart se to fordele for politiet 1. Der registreres oplysninger om inaktive telefoner (idle mode). Brugen af teleselskabernes egne voice og messaging (sms) tjenester er faldende pga. OTT-tjenester (formentlig), og der er ingen logningspligt for datatrafik. 2. Mastesug er tilgængelig i alle sager, uden at kravene til udvidet teleoplysning i § 780, stk. 1, nr. 4 skal være opfyldt.

Hvor er det sørgeligt med Politikens dækning. De har alle fakta på bordet og så misforstår de det alligevel totalt.

https://politiken.dk/indland/art7632753/Telenor-har-systematisk-givet-po...

Jeg bliver af og til ringet op af Politikens journalister. Og de har næsten altid en primitiv tilgang til problematikken i stedet for en søgende intellektuel attitude - stik imod de idealer, som Politiken prøveri øvrigt at stå for.

Tak, til Jesper og Mogens for den præcise gennemgang af den noget uklare juridiske situation!

Men er forklaringen ikke bare at en del teleselskaber gemmer signalleringsdata med henblik på analyse af kundeadfærd m.m. ... Når så politiet henvender sig, udleveres hele klumpen af data af en person der ikke har den ringeste kendskab til detaljerne i det som Jesper og Mogens drøfter.

Mon ikke Telenor fortsætter med at gemme udvidede signalleringsdata fordi de synes det er vigtigt for dem? Og så får Willer jo ret i at han ikke kan garantere at fejludlevering til politiet ikke sker igen ...

Såvidt jeg kan se, er hverken GDPR eller databeskyttelsesloven til hinder for at Telenor bliver ved at indsamle signaleringsdata med henblik på statistiske formål (læs markedsanalyse) eller direkte markedsføring.

Du skal se i par. 23 i udbudsbekendtgørelsen, der gennemfører en tilsvarende bestemmelse i et særdirektiv.

https://www.retsinformation.dk/Forms/R0710.aspx?id=137773