Total forvirring om regler for at logge wifi-brugernes identitet

25. juni 2014 kl. 06:2928
Version2 har forsøgt at opklare, om logningsreglerne virkelig betød, at Folkemødet på Bornholm skulle logge og registrere gæsternes identitet, før de måtte bruge det trådløse internet. Men svar i alle retninger har blot ført til endnu mere forvirring.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er nærmest umuligt at gennemskue, hvad logningsbekendtgørelsen betyder i praksis, hvis man driver et åbent wifi-netværk – selv 6 år og 9 måneder efter, at reglerne trådte i kraft.

Sådan må konklusionen lyde, efter at Version2 i en uges tid nu har forsøgt at finde ud af, hvordan reglerne er, oven på historien om Folkemødet på Bornholm, hvor it-chef Claus Munk fra Bornholms Regionskommune forsøgte at gøre alting helt korrekt ved at spørge flere myndigheder til råds.

Version2 har undervejs kontaktet blandt andet Rigspolitiet, Justitsministeriet og Erhvervsstyrelsen, som også var de myndigheder, Claus Munk havde spurgt. I første omgang var Rigspolitiet en blindgyde, fordi den person, Claus Munk havde talt med, var bortrejst hele ugen, og politiets presseafdeling ikke kunne finde en anden.

Senere blev henvendelsen til Justitsministeriet dog sendt videre ad andre og mere officielle kanaler til en hos Rigspolitiet, som kunne komme med en melding. Og konklusionen var, at det var en misforståelse, da deltagerne på Folkemødet på Bornholm blev bedt om at logge på det trådløse internet med enten NemID eller ved at opgive telefonnummer.

Artiklen fortsætter efter annoncen

De danske logningsregler kræver nemlig kun, at en kommerciel udbyder af et wifi-hotspot logger de informationer om brugerne, som i forvejen bliver skabt i systemet, eller som bliver gemt af udbyderen af egen drift, for eksempel for at kræve betaling for brugen.

Meldingen skete med udgangspunkt i et notat fra Justitsministeriet fra 2011 – som Jesper Lund fra IT-Politisk Forening havde henvist til – hvor den svært tilgængelige lovtekst blev konkretiseret netop i forhold til gratis wifi-netværk.

»Hvis vi havde fået en formel henvendelse om den konkrete situation fra Folkemødet på Bornholm, havde vi på det foreliggende grundlag svaret, at der ikke var pligt til at logge brugeridentiteten i deres tilfælde, idet vi ville have vurderet, at Bornholms Regionskommune var en udbyder på ikkekommercielt grundlag, der stillede et ikkekommercielt hotspot til rådighed. Af notatet fremgår det ret klart, at der ikke stilles krav til logning af identiteten på brugerne i disse tilfælde,« sagde Kate Jacquerot, politiassessor hos Rigspolitiet, Nationalt Cybercrime Center, til Version2.

Meldingen fra Rigspolitiet kan dog kun bruges om lige præcis Folkemødet på Bornholm og ikke alle mulige andre, som også tilbyder kunder eller gæster gratis adgang til internet via wifi.

»Det er ikke en helt enkel vurdering. Så man kan ikke bruge den konkrete vurdering for Folkemødet på Bornholm til ret mange andre situationer,« siger Kate Jaquerot til Version2.

Meldingen om, at Folkemødet ikke er en kommerciel udbyder, strider dog imod, hvad Erhvervsstyrelsen har oplyst til Folkemødet og til Version2. Og det er afgørende i denne situation, om Folkemødet var en ikkekommerciel eller kommerciel udbyder.

Ifølge reglerne er det nemlig kun teleudbydere med ’kommercielt formål’, som er underlagt logningsbekendtgørelsen, men også gratis wifi kan være kommercielt. Definitionen omfatter nemlig også for eksempel en café, der stiller gratis wifi til rådighed for gæsterne i håb om at få flere kunder. Det fortalte Jakob Levring fra Erhvervsstyrelsen, da Version2 fik fat i ham. Umiddelbart ville han også putte Roskilde Festival i samme kategori samt altså Folkemødet, som citerede ham i en pressemeddelelse for den vurdering.

Læs også Erhvervsstyrelsens vejledning

Når Folkemødet i Rigspolitiets øjne ikke var en kommerciel udbyder, står spørgsmålet tilbage, hvad for eksempel en café med åbent wifi helt præcist skal logge for ikke at overtræde reglerne. Det spørgsmål kan Version2 dog ikke få svar på hos Rigspolitiet i første omgang. Det kræver et nyt – skriftligt – spørgsmål, som skal sendes til Justitsministeriet, som så kan sende til Rigspolitiet, som så sendte et skriftligt svar med henvisning til loven: at man skal overholde § 5, stk. 2 og 3 i logningsbekendtgørelsen.

Endnu en henvendelse, med ønske om konkretisering, er nu under behandling hos Rigspolitiet.

Caféer køber logning fra teleselskaberne

Hos IT-Politisk Forening er næstformand Jesper Lund dog klar i mælet efter at have fulgt diskussioner og officielle udmeldinger om reglerne tæt i mange år. Man skal som kommerciel udbyder logge MAC-adressen på udstyret og gemme det i et år, hvis man ikke i forvejen beder brugerne om yderligere information, for eksempel for at kunne opkræve betaling fra dem.

De krav har brancheforeningen Horesta også brugt meget tid på at undersøge og fortælle medlemmerne om, fortæller Horestas formand, Jens Zimmer Christensen, til Version2.

»Man skal kunne identificere dem, der logger sig ind, med en MAC-adresse eller en IP-adresse – eller have dem til at identificere sig. Og jeg kan i sagens natur ikke svare på, i hvilket omfang det bliver overholdt. Det må være myndighedernes opgave at holde øje med det,« siger han.

I praksis er den realistiske løsning for de fleste caféer, restauranter og andre i branchen – bortset fra hoteller, hvor der gælder særlige krav – at købe en færdig løsning fra en internetudbyder. Det koster ekstra, men så bliver hele opgaven med logningen også flyttet væk fra caféejeren, der normalt ikke har forudsætninger for at sikre korrekt logning og opbevaring af den slags data.

»Man tegner en aftale med en internetudbyder om, at de logger det, som loven kræver, og får dem til at skrive under på det. Det er dog stadig caféen eller restauranten, som har det juridiske ansvar,« forklarer Jens Zimmer Christensen.

Manden, der uforvarende blev centrum for de mange fortolkninger af reglerne, it-chef Claus Munk fra Bornholm Regionskommune, er i dag bare endnu mere forvirret end før, fortæller han Version2, da han får resultatet af jagten på en forklaring.

»Det gør det jo simpelthen umuligt for sådan en som mig at finde ud af, hvad jeg skal. Jeg er mere forvirret nu, end da jeg begyndte,« siger han.

Han håber på, at de ansvarlige myndigheder kan tale sammen og blive enige om, hvordan reglerne skal fortolkes, og så forfatte en vejledning, der er til at forstå for ikkejurister.

»Der skal være noget på skrift, som ikke kan misforstås. Det er jo ganske få parametre, der kan vægte ja eller nej, og teknikken er vel den samme for alle i forhold til, hvad man kan logge. Så jeg forstår ikke, at det skal være så komplekst,« siger han.

Efter én uges jagt på klar besked om reglerne er der altså stadig tvivl om, hvordan gratis wifi på et folkemøde, arrangeret af en kommune, placerer sig juridisk i logningsreglerne. Og det har vist sig ret kompliceret at få bare generelle svar fra Justitsministeriet eller Rigspolitiet om fortolkningen og den praktiske udmøntning af reglerne i andre tilfælde. Version2 fortsætter med opklaringen af reglerne. Det må være på høje tid, når nu de har været gældende lov siden 2007.

28 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
21
25. juni 2014 kl. 12:27

Jeg havde nok bare brugt mobildata isteddet.

16
25. juni 2014 kl. 11:27

For mig at se har logning skabt en masse bureaukrati og udgifter for samfundet, som er spildt. Der er jo alligevel ikke ressourcer til at administrere og kontrollere. Og hvad nytte gør logningen? Myndighederne forlanger den kun, fordi det kan lade sig gøre og de fleste udgifter betales af andre. Hvis man vil vide alt hvad mennesker fortæller hinanden, så skal der en mikrofon op i alle lygtepæle, biler, busser, toge, fly og alle private og offentlige lokaler. Ovenover skov og strand skal der hænge en drone eller ballon, som opsnapper al talekommunikation og samtidigt skygger for solen. Sikke et samfund! Men der er den fordel at man kan give objektive bøder, når folk bander eller siger ukvemsord!! Det vil give så godt at alle skatter kunne afskaffes!

10
25. juni 2014 kl. 10:29

Logningsreglerne forbyder ikke nogen form for teleudbud. Heller kke udbud, hvor kunden er anonym.

Men hvis man er udbyder skal man logge bestemte oplysninger, der eventuelt behandles eller genereres som led i tjenesten.

Man skal spørge Justitsministeriet, der har udstedt reglerne. Så får man også nævnte svar.

Man er kun underlagt logningsreglerne, hvis man er udbyder. Hvorvidt man er udbyder afgøres af Erhvervsstyrelsen. Det er her ikke afgørende, om det er kommercielt eller ej.

Man kan altså ikke slippe for at være udbyder med mange kunder blot fordi det er gratis.

Der er tale om en EU-defintion, som man ikke kan skalte og valte med i danske regler.

Men nogen forvirres nk af, at andre lande kun forpligter offentlige udbydere til logning - ligesom i direktivet, mens vi i Danmark forpligter alle udbydere. Men det er der ikke så mange, der har opdaget.

11
25. juni 2014 kl. 10:38

Hvis det er så enkelt, hvad skal et hotel så i henhold til de 3 scenarier jeg opstillede?

6
25. juni 2014 kl. 09:48

Som jeg læser det, så anses et hotel altid som en kommerciel udbyder, da internet anses som en del af deres markedsføring (i modsætning til for eksempel en café?). Jeg er klar over hvordan den juridiske sondring er, men har svært ved at se, at den har relevans i virkeligheden.

4
25. juni 2014 kl. 09:44

"I praksis er den realistiske løsning for de fleste caféer, restauranter og andre i branchen – bortset fra hoteller, hvor der gælder særlige krav"

Er der nogen der kan fortælle helt præcist hvilke krav det er der stilles til hoteller, for ved læsning af bekendtgørelsen bliver man faktisk ikke ret meget klogere, og der står ikke eksplicit hvordan hoteller skal gebærde sig.

Så er der nogen (Mogens Ritsholm?) som på forståeligt dansk kan redegøre for hvad hotellet som absolut mininum i følge loven (og ikke politiet eller PETs fortolkninger, der jo ikke altid er i overensstemmelse med lovgivningen!) er forpligtet til at gemme, hvis hotellet:

  1. Ønsker at sælge adgang til en periode.

  2. Giver gratis adgang til netværket, men med login.

  3. Giver åben adgang til netværket, uden login.

7
25. juni 2014 kl. 09:49

Min formulering dækkede mest over, at mange hoteller også har telefonlinjer til gæsterne, som de skal logge. Det betyder, at de selv skal have noget udstyr ind for at klare den opgave, som altså ikke bare kan outsources til teleselskab.

vh. Jesper, Version2

9
25. juni 2014 kl. 10:00

Min formulering dækkede mest over, at mange hoteller også har telefonlinjer til gæsterne, som de skal logge. Det betyder, at de selv skal have noget udstyr ind for at klare den opgave, som altså ikke bare kan outsources til teleselskab.

Telefoni er vel trivielt, da hotellet jo skal have afregning for hver eneste samtale, og dermed af faktureringsgrunde har alle oplysninger om hver eneste kald, dets længde og dets destination.

Men det gælder vel kun for udadgående, så hvad med opkald til hotellet?

Nu var det så mere data jeg spurgte til, for bekendtgørelsen tåger jo også rundt mellem telefoni og data, så totalbilledet bliver det rene mudder.

Tilbage står man med en bekendtgørelse, hvor alle fortolker at man tror man skal dit og dat, hvorfor jeg efterlyser præcis hvilke krav der stilles til hotellet (på hotellets adresse, ikke hvad ISP'en gør hos sig).

3
25. juni 2014 kl. 09:40

"Jeg kunne godt tænke mig at vide, nøjagtigt hvad de forventer at kunne logge så ? For kunden til Internetudbyderen vil med stor sandsynlighed få tildelt én offentlig IP-adresse. WIFI brugerne vil være bag NAT og have private IP-adresser"

Kan man forestille sig, at den kundeplacerede router sende oplysninger om hvem der er på deres LAN til en central lognings-server?

12
25. juni 2014 kl. 10:41

Re: "Jeg kunne godt tænke mig at</p>
<p>Kan man forestille sig, at den kundeplacerede router sende oplysninger om hvem der er på deres LAN til en central lognings-server?</p>
<p>Man kan forestille sig så meget, men lige det stunt er ikke normalt, med mindre routeren også fungerer som valideringsserver.

Udfordringen er jo at det lige pludseligt bliver ravende dyrt at tilbyde noget så simpelt som Internet adgang. Og det er bare fordi man ønsker at logge at Hr. Nielsen surfer porno en aften på hotelværelset.

Når man laver sådanne love, så sætter man ikke tingene i perspektiv. Hvis man skal fange terrorister, så kan man være ganske sikker på at de ved hvordan logning på mange måder omgås. Men så hellere lave en lov der generer flere millioner mennesker, for at måske få en meget minimal chance for at fange en formodet terrorist.

Man mangler vitterligt at nogen inde på borgen får sat tingene i perspektiv...

14
25. juni 2014 kl. 10:57

Hvis man skal fange terrorister, så kan man være ganske sikker på at de ved hvordan logning på mange måder omgås.

Man kan også spørge sig selv, hvor mange terrorister indlogerer sig overhovedet på et hotel?

Det er fuldstændig ude af proportioner, men viser jo i al sin absurditet hvor langt de syge djØFFERe i centralmagten er fra den virkelige verden.

I øvrigt læste jeg for noget tid siden at CIA (i virkeligheden en selvmodsigelse, for I'et står for intelligence) fuldstændig blev taget på sengen da de opdagede at Al Quida havde afholdt et stormøde i Sydyemen uden de vidste noget.

Hvordan, hvorfor, jo de har bare droppet enhver form for elektronisk kontakt, men sørger udelukkende at gøre tingene på helt gammel maner - så det eneste man opnår ved alt terrorhalløjet er at terrorisere befolkningen, de intelligente terrorister er jo bedøvende ligeglade, udover at de er glade for at have opnået at alle går rundt i angst - ikke kun for fjender, men i højere grad for "venner".

15
25. juni 2014 kl. 11:22

Man kan også spørge sig selv, hvor mange terrorister indlogerer sig overhovedet på et hotel?</p>
<p>Det er fuldstændig ude af proportioner, men viser jo i al sin absurditet hvor langt de syge djØFFERe i centralmagten er fra den virkelige verden.

Lige præcist den del af logningsbekendtgørelsen er faktisk noget der er blevet brugt ganske flittigt. Det forholder sig nok i virkeligheden sådan at kriminelle i større udstrækning indlogerer sig på et hotel el. lign. end at de køber et hus eller lejlighed og erhverver en fast internet forbindelse. Ud af de cirka 10 forespørgsler jeg har fået de sidste år er rundt halvdelen på hotelkunder. Der er ikke noget større teknisk problem ved at registrere identiteten på en bruger, og omkostningen ret beskeden. Rigtigt mange af de mere seriøse udbydere og hoteller opdager ret hurtigt, at en form for bruger login er nødvendig for at sikre at netværket bliver benyttet af deres kunder og ikke af tilfældigt forbipasserende, så der er ikke nødvendigvis nogen større konflikt mellem loven og god service. Der findes derudover en del udbydere der har haft stor gavn af at kunne identificerer brugere der driver Torrents eller sender spam-mail via deres netværk.

17
25. juni 2014 kl. 11:32

Det forholder sig nok i virkeligheden sådan at kriminelle i større udstrækning indlogerer sig på et hotel el. lign. end at de køber et hus eller lejlighed og erhverver en fast internet forbindelse.

Nu var hele bevæggrunden til at indføre dette cirkus altså terror, men det er klart at det misbruges til at lave en gråzoneglidning over til almindelig kriminalitetsbekæmpelse.

Og selvfølgelig er der mange kriminelle der benytter sig af hoteller, der er sikkert rigtig mange fra direktionsgangene og politikere mv., men nu taler vi altså terrorister (altså dem med bomber og den slags, ikke vennerne fra Engsoc et al som terroriserer en hel befolkning), og hvor mange af dem benytter hoteller?

Det har tidligere været fremme at der ikke er fanget en eneste terrorist som resultat af logningsbekendtgørelsen.

19
25. juni 2014 kl. 11:58

Det har tidligere været fremme at der ikke er fanget en eneste terrorist som resultat af logningsbekendtgørelsen.

Jeg tror der blev peget på at sessionlogning ikke havde haft den store anvendelse. Jeg tvivler på at politiet nogensinde sætter navn på det redskab der fører til opklaring hvis de kan undgå det. Det forholder sig derimod bevisligt sådan, at en stor del af terror finansieres ved økonomisk kriminalitet, så indirekte gør det en forskel om disse sager opklares. Danmark er i forvejen ikke synderligt godt rustet mod kriminalitet på nettet. I øvrigt er bekæmpelse af særlig grov kriminalitet også en af begrundelserne for indførsel af EU data retention directive/logningsbekendgørelsen

23
25. juni 2014 kl. 13:10
25
25. juni 2014 kl. 16:40

Jow, det er det jo blevet. Først var det for at bekæmpe terrorisme...

Ahh, ordet terror er nævnt i EU direktivet, men dets formål er følgende: is Directive aims to harmonise Member States’ provisions concerning the obligations of the providers of publicly available electronic communications services or of public communications networks with respect to the retention of certain data which are generated or processed by them, in order to ensure that the data are available for the purpose of the investigation, detection and prosecution of serious crime, as defined by each Member State in its national law.

20
25. juni 2014 kl. 12:16

Det forholder sig derimod bevisligt sådan, at en stor del af terror finansieres ved økonomisk kriminalitet, så indirekte gør det en forskel om disse sager opklares.

Nu ved vi godt at du som en bedre O'Brien tilbeder teleskærmen og nysprog, men det med at det forholder sig "bevisligt sådan, at en stor del af terror finansieres ved økonomisk kriminalitet" er da et argument opfundet til formålet.

Ja en meget, meget, meget lille del af økonomisk kriminalitet financierer terror, men hovedparten er berigelseskriminalitet - heraf rigtig meget på første klasse, som aldrig bliver undersøgt.

26
25. juni 2014 kl. 16:56

Ja en meget, meget, meget lille del af økonomisk kriminalitet financierer terror, men hovedparten er berigelseskriminalitet - heraf rigtig meget på første klasse, som aldrig bliver undersøgt.

Nu skrev jeg at en stor del af terror blev finansieret ved økonomisk kriminalitet, og ikke andelen af økonomisk kriminalitet som finansierede terror. Jeg mener at kunne huske at 1. donationer 2. drugs 3. økonomisk kriminalitet, men begge de to første er ofte en tur gennem hvidvaskning, som vel også er en form for økonomisk kriminalitet.

Men for at vende tilbage til emnet vedr user identification så står der følgende i direktivet: (a) data necessary to trace and identify the source of a communication: (2) concerning Internet access, Internet e-mail and Internet telephony: (i) the user ID(s) allocated; (ii) the user ID and telephone number allocated to any communication entering the public telephone network; (iii) the name and address of the subscriber or registered user to whom an Internet Protocol (IP) address, user ID or telephone number was allocated at the time of the communication. (b) data necessary to identify the destination of a communication: (2) concerning Internet e-mail and Internet telephony: (i) the user ID or telephone number of the intended recipient(s) of an Internet telephony call; (ii) the name(s) and address(es) of the subscriber(s) or registered user(s) and user ID of the intended recipi- ent of the communication.

Så den danske lovgivning var nok tættere på sandheden end de andre EU lande, hvis man nærlæser teksten, så både den med MAC nummer og og "åbne" ikke kommercielle netværk er en opblødning i forhold til direktivet.

2
25. juni 2014 kl. 09:30

»Man tegner en aftale med en internetudbyder om, at de logger det, som loven kræver, og får dem til at skrive under på det. Det er dog stadig caféen eller restauranten, som har det juridiske ansvar,« forklarer Jens Zimmer Christensen.

Jeg kunne godt tænke mig at vide, nøjagtigt hvad de forventer at kunne logge så ? For kunden til Internetudbyderen vil med stor sandsynlighed få tildelt én offentlig IP-adresse. WIFI brugerne vil være bag NAT og have private IP-adresser. Dem kan teleselskabet jo ikke se og i øvrigt, så bliver de private IP-adresser, de samme adresser jo sikkert (gen)brugt til mange devices i løbet af kort tid i f.eks. en Café. Hvis Internetudbyderen har én offentlig IP-adresse at logge trafik fra, så bliver det noget op af bakke at finde ud af hvem der gemte sig bag trafikken på et givent tidspunkt.

Logningshelvedet er på ingen måder gennemtænkt, hvordan det skal kunne gennemføres teknisk. Små Café ejere osv. der ønsker at tilbyde gratis WIFI til kunderne bliver gidsler i dette spil.

1
25. juni 2014 kl. 08:01

...betyder vel også at WiFi og LAN logning ikke længere er relevant ?