bloghoved ole tange

Elmålersagaen - kapitel 2: Ikke længere bare teori

I forbindelse med min artikel om spionerende elmålere skrev jeg til mit netselskab (Radius), om vi ikke kunne lave en aftale om, at jeg ikke fik spionerende elmåler mod at jeg til gengæld kun indgik fastprisaftaler (altså samme pris per kWh - uanset tidspunkt).

Den mulighed syntes Radius ikke om. De mente til gengæld:

Da de forskellige elleverandører har forskellige priser, og disse ændrer sig løbende, ville det ikke kunne lade sig gøre at konstruere en elmåler, der ud over at måle elforbruget, også tæller kroner og ører.

og det svarer de selv efter at jeg havde sendt dem et link til Microsofts løsning. Skal vi gætte på, at de hverken har læst eller forstået løsningen?

Artikel 25 i GDPR siger, at man skal bruge dataminimering og privalivsbeskyttende teknologier, når man kan, så hvis der findes en måde, hvorpå man kan løse samme problem (e.g. opkrævning af betaling for el) uden at invadere borgerens privatliv (e.g. uden at samle kWh-forbrug ind for hver time), så skal man benytte sig af dette. Hvis du ikke vil læse Microsoft løsning, er min simple løsning her:

El-måleren har 4 konti:
• Forbrug af el i kWh
• Forbrug af el i kr (afhænger af elleverandørens pris)
• Forbrug af transport i kWh
• Forbrug af transport i kr (afhænger af netselskabets pris)
Disse data sendes krypteret hver time fra elmåleren til netselskabet. Kun elmåleren, borgeren og en dommer kan dekryptere disse.
Hver måned sendes månedssummen for hver af de 4 konti (altså det samlede antal kWh, men ikke splittet op time for time, og det totale forbrug i kr for denne måned) til netselskabet hhv. elleverandøren (via Energinet Danmarks datahub). Månedssummerne kan dekrypteres af netselskabet og el-leverandøren. Disse kan bruges til kontrol og fakturering.
Netselskabet sætter målere op "tæt" på husstanden (for hver gade eller hver opgang), så de kan lave kapacitetplanlægning og kontrol hen til denne måler. Da denne måler dækker flere husstande er målinger herfra ikke persondata.
Netselskabet rapporterer timeprisen fra el-leverandøren og for transport til elmåleren, så den kan lave ovenstående udregning.

Vi har derefter haft en smule korrespondance, hvor jeg prøver at få dem til at forstå, at Radius skal overholde GDPR, og de stædigt holder fast i at de faktisk overholder GDPR. For lidt over et år siden sendte de så et papirbrev om, at de gerne ville skifte min måler. Naiv som jeg jo er, tænkte jeg, at de endelig har forstået, at de skal overholde GDPR, og at den måler, som de vil sætte op, har privatlivsbeskyttelse ala Microsofts løsning.

Men ak. Måleren havde ikke en sådan privatlivsbeskyttelse, og Radius ville stadig ikke anerkende, at GDPR stiller det som krav. Jeg tilbød endda, at de kunne få en dommer eller Datatilsynet til at sige god for, at den overholder GDPR, og at jeg i så fald ville bestille en tid til udskiftning af måleren. Men nej: Det ønskede de heller ikke. Og så bestilte jeg ikke en tid til udskifting af måler.

Men Radius giver ikke op. Det skyldes nok primært, at der er en lov, der siger, at de skal have skiftet alle til fjernaflæste elmålere inden 2020-12-31. Så nu har jeg fået et fint brev om, at de vil tiltvinge sig adgang med fogedens hjælp.

Det bliver der nu ikke noget af: Hvis der er en dommer, der siger, at Radius skal have adgang, så får de naturligvis det. Men lige nu ser det ser ud til, at det bliver en fogedretsdommer, der skal afgøre, om Radius' måler lever op til GDPR.

Radius henviser til Elforsyningsloven, der henviser til nogle forskrifter, og hævder, at forskrifterne er del af loven og dermed undtaget fra GDPR (Jvnf. artikel 6.1.c).

Jeg hævder omvendt, at forskrifterne jo kan ændres uden at ændre loven, og derfor ikke er en del af loven, og derfor ikke undtaget fra GDPR, samt at artikel 25 sammen med min (eller Microsofts) løsning viser, at forskrifterne ikke overholder kravet om dataminimering og privatlivsbeskyttelse.

Datatilsynet sparker til hjørne

For at få en afklaring har jeg startet en sag hos Datatilsynet: Er forskrifterne underlagt GDPR eller er de en del af loven og skal jeg blot give adgang til at få skiftet måleren?

De har lige sendt et svar: De vil ikke træffe en afgørelse på en sag, hvor der endnu ikke er data registeret.

Jeg kan formelt godt følge Datatilsynets argumentation: Der er jo ikke sket nogen registrering endnu. Men hvis jeg sammenligner med afpresning, så er truslen i sig selv nok til at det er ulovligt; derfor finder jeg det noget underligt, hvis man først kan træffe en afgørelse, når skaden er sket (altså når måleren er skiftet).

Jeg er lidt nervøs for, at hvis jeg accepterer udskiftning af måleren og først herefter sender samme klage, at de vil afvise sagen fordi jeg har accepteret registreringen, idet jeg har accepteret at få skiftet måleren. Så damned if you do and damned if you don’t.

Derfor tænker jeg, det er smart, hvis afsenderne på en opdateret klage inkluderer både folk, som har fået en fjernaflæst måler, og folk, som ikke har fået en fjernaflæst måler.

Derfor kære læser: Vil du være medafsender på klagen?

Indtil nu har jeg finansieret sagen – der er allerede gået to-cifret antal advokattimer på den, og uden den sparring ville jeg være faldet i endnu flere af snublehullerne undervejs. Hvis du vil være med til at finansiere, så drop mig lige en mail (ota@prosa.dk). Så må vi finde ud af, hvordan vi nemmest kan gøre det, og respektere indsamlingsloven og lign.

Min retshjælpsforsikring dækker ikke: Den kræver, at jeg selv kører sagen ved Datatilsynet først, før den dækker. Og denne sag er simpelthen alt for kompleks til, at jeg ville kunne gøre det kompetent, og derfor ville jeg formodentlig tabe på en teknikalitet uden at vi får prøvet det centrale spørgsmål i sagen.

Hvorfor er sagen vigtig?

Mit elforbrug er på ingen måde de mest følsomme informationer om mig, men andres elforbrug bliver brugt i mod dem, og det synes jeg egentlig ikke er rimeligt. Her er tale om en klar formålsforskydning: Data er indsamlet til eet formål, men bliver nu brugt til et andet. Det sker uden at vi har haft en offentlig debat, om det er rimeligt, og uden at borgerne kan vælge fra. Hvis jeg får medhold, så er der en chance for, at sagen kan skabe præcedens for andre sager om formålsforskydning og dataminimering, og dermed indirekte skabe finansiering til at udvikle flere privaby-by-design løsninger, og dermed skabe et mere frit samfund for os alle.

Mine jurist-venner mener også sagen er interessant, men de går mere op i de juridiske finesser om forskrifterne kan betragtes som del af loven, og om artikel 25 er opfyldt med min løsning.

Men skriv lige hvis du være medafsender på klagen eller vil være med til at finansiere den: ota@prosa.dk

Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Børge Svingalius

Skidegodt at du tager kampen - stor respekt! Jeg har sendt dig en mail, jeg vil meget gerne være med som afsender, og jeg vil også meget gerne opfordre andre til det. Midlerne er det desværre småt med, for ellers var jeg klar med en saltvandsindsprøjtning også.

Politikerne (de fleste af dem) har (for længst) krydset stregen og spiller mod befolkningen i stort set alle tilfælde hvor privatlivets fred er en faktor, med alle mulige og umulige argumenter for hvorfor det er så helvedes vigtigt at de hver time kan se hvad jeg bruger i el, hvor min bil har kørt, eller hvad jeg har købt - alt imens rigtige banditter svindler selvsamme stat for milliarder, og alt imens selvsamme stat på allerfornemmeste vis pisser skattekroner ud i rendestenen via ren og skær inkompetence. Jeg har lavet en lille huskeregel, hvis man bliver i tvivl om hvad statens holdning er; de 4 P'er.

Politikerne Pisser På Privatlivet

Beklager de... grafiske vendinger, men det her er fandeme den moderne udgave af "you can't fight city hall", hvor almindelige menneskers rettigheder bliver kørt over af en rådden kultur.

Apropos rådden kultur, hvad fanden skal vi med Datatilsynet, når der er et klokkeklart eksempel på lige præcis den type opgave de er sat i verden for at håndtere, og de så kaster håndklædet i ringen inden kampen overhovedet er kommet igang?

Mht. 'the fine print', så er der jo en del information... Kan du pege på i forskrifterne hvor skatten er begravet, ift. at skulle afmåle så finmasket?

  • 32
  • 0
#4 Ole Tange Blogger

Kan du pege på i forskrifterne hvor skatten er begravet, ift. at skulle afmåle så finmasket?

Da strømpriserne varierer time for time, så er det nødvendigt at lave en måling hver time. Det er Radius og jeg enige om. Vi er endda enige om, at det kan være med til at fremskynde den grønne omstilling, hvis folk flytter mere af deres elforbrug til om natten. Jeg vil naturligvis argumentere for, at min løsning er bedre, for hvis min elmåler ved hvad timeprisen er lige nu (og måske et par timer frem) så kan den fortælle det til min opvaskemaskine og bede den gå i gang, når prisen er lavest.

Radius og jeg er ikke enige om, hvorvidt Radius har behov for at kunne dekryptere timemålingerne.

Det væsentlige er dog, at detaljerne om timemålingerne ikke beskrives i loven, men i forskrifterne (som kan ændres uden at lave en lovændring).

Med andre ord: Det kræver ikke en lovændring at implementere min løsning. Havde det krævet en lovændring, så ville man kunne argumentere for, at det falder ind under GDPR §6.1.c.

  • 11
  • 0
#6 Simon Rigét

medmindre der er undtagelsesbestemmelser.

Uden at kende direktivet, tror jeg du har en god sag.

Jeg kan godt forstå at det irritere Radius, og alle dem der gerne vil levere en masse gode featurs. Men de må bringes til at forstå, at vi ikke har grund til at have tillid til dem, og til dels myndighederne, som forvaltere af vores, i dette tilfælfe meget personfølsomme data.

Dette er en vigtig principielt sag at få afgjort. Tak for det.

  • 11
  • 0
#8 Ole Tange Blogger

Uden at kende direktivet, tror jeg du har en god sag.

Radius har bl.a. nævnt, at udvekslingen af data skal leve op til EU-direktiver uden at pege på præcis hvilke. Da EU-direktiver ikke står over dansk lov, er jeg gået ud fra, at direktiverne er blevet indarbejdet i dansk lov, og heri har jeg ikke kunnet finde noget, som min løsning ikke lever op til.

GDPR er ikke et direktiv. R'et står for Regulation, og er dermed en forordning. Den står over dansk lov.

Men GDPR har i artikel 6.1.c en hook ind i dansk lov, så Danmark kan lave en lov, som påtvinger at skulle opbevare flere data i længere tid end det, som GDPR tilsiger. Det kan f.eks. være regnskabsloven.

  • 10
  • 0
#9 Børge Svingalius

Jeps, den sag blev også dækket af Version2: https://www.version2.dk/artikel/nyt-lovforslag-it-kriminalitet-politiet-...

Hvis man læser høringssvarene til lovforslaget vil man næsten udelukkende se at fornuftige og kompetente personer, der har forstand på det her, stærkt advarer mod lovgivningen. Men selv hvis eksperterne ikke havde givet deres besyv med, burde det vække langt mere opsigt og få sindende i kog for dem der bare har lidt respekt for ting som retssikkerhed og privatlivets fred. Det er uproportionelt som det meste andet, de finder på, på Borgen. Og at der er flertal for det i Folketinget, er for mig at se det mest skræmmende! Hvordan kan de der repræsenterer demokratiet ikke se at det er problematisk???

Vi skal blive ved med at råbe højt og klart, og være de irriterende typer der læser det med småt og råber vagt i gevær - og jo større presset bliver, jo mere skal vi yde modstand. Og så skal der stiftes et nyt parti der kæmper for borgernes rettigheder, for frihed til folket (og ikke den slags frihed som Nick har desillusioneret sig frem til).

  • 7
  • 0
#10 Simon Rigét

. Da EU-direktiver ikke står over dansk lov, er jeg gået ud fra, at direktiverne er blevet indarbejdet i dansk lov,

"Skulle der opstå konflikt mellem EU’s lovgivning og den danske lovgivning, står EU-loven over den danske. EU’s lovgivning har forrang i medlemslandene." ...

https://www.eu.dk/da/danmark-i-eu/eu-ret-i-danmark

  • 3
  • 1
#11 Morten Jensen

"Skulle der opstå konflikt mellem EU’s lovgivning og den danske lovgivning, står EU-loven over den danske. EU’s lovgivning har forrang i medlemslandene." ...

Man skelner svjv mellem EU-direktiver og -forordninger.

Fra https://www.eu.dk/da/danmark-i-eu/eu-ret-i-danmark/fra-eu-regler-til-dan...

En forordning er en bindende retsakt, der gælder direkte i medlemslandene. Det betyder, at EU har besluttet, hvordan de danske domstole og myndigheder skal anvende forordningen.

Sådan er det ikke med direktiver. Direktiver er retsakter, der fastlægger et fælles mål, der skal nås i alle EU’s medlemslande. Det er op til landene selv at bestemme, hvordan de vil gennemføre direktivet og opnå målet. Landene skal oftest gennemføre direktivet inden for to-tre år.

Ole Tange er opmærksom på denne forskel i sit udsagn: (Bemærk: Jeg har fremhævet nogle ord/sætninger)

Radius har bl.a. nævnt, at udvekslingen af data skal leve op til EU-direktiver uden at pege på præcis hvilke. Da EU-direktiver ikke står over dansk lov, er jeg gået ud fra, at direktiverne er blevet indarbejdet i dansk lov, og heri har jeg ikke kunnet finde noget, som min løsning ikke lever op til.

GDPR er ikke et direktiv. R'et står for Regulation, og er dermed en forordning. Den står over dansk lov.

.... så I har egentligt ret begge to, men dét du påpeger er ikke relevant for Ole's udsagn.

  • 6
  • 0
#12 Knud Larsen

Der er pligt til at implementere direktivet. Vi oplever dog at nogle lovgivere går amok og indsætter strengere regler end direktivet lægger op til, så direktivet er minimums krav. Jeg forstår ikke henvisningne til forskrifter - det er ikke lov, som jeg opfatter det. Lovens hierarki: Loven, bekendgørelser, cirkulærer, retsafgørelser, heri indgår ikke forskrifter, der som jeg opfatter det er tekniske og som forsøger at forklare en måde at implementere noget på. Nå vi har dette hierarki oplever man, at borgeren bliver undergravet/snigløbet af sådanne som paragrafer som at det affgøres af ministeren = ren gummi paragraf, eller at man indsætter en ændring på 7,8 km i en bekendtgørelse og hævder at loven bestemmer som det skete med mink sagen. I loven var der ikke en sådan afstand overhovedet, der skelnes kun mellem raske og syge besætninger. Så de rer almulig grund til at være på vagt!

  • 0
  • 0
#15 Povl H. Pedersen

Der er lovkrav om timeaflæsning, i praksis er det hvert kvarter.

Staten ønsker at flytte dit forbrug, så fastprisaftaler er af det onde.

Forvent at det reguleres på et eller andet tidspunkt. Det rammer mig at du lægger forbrug i den dyre periode, så bliver min pris dyrere. Har hørt flere der kører fuld skrue på elbilksopladning i spidsperioder og om dagen fordi de har fast pris. Det koster hele samfundet penge.

NetTarif er IKKE fast pris. I kogespidsen er den op til 75 øre, andre steder er den i off-peak 13 øre.

Min elmåler har haft nogle udfald i aflæsningen, varighed op til et par dage. Her valgte mit netselskab så at fordele mit forbrug jævnt over døgnet. Dette er ikke optimalt, da priserne svinger, og da jeg oplader bil om natten, så blev mit billige forbrug flyttet til om dagen. Og min solcelleproduktion om dagen blev også solgt til nattakst.

Kontaktede mit netselskab, og de har så lavet det om, så de for hver borger bruger en historisk beregnet profil så de kan fordele forbrug så det passer bedre med det reelle forbrug.

  • 1
  • 1
#16 Ole Tange Blogger

NetTarif er IKKE fast pris. I kogespidsen er den op til 75 øre, andre steder er den i off-peak 13 øre.

Netop derfor burde samfundet også kræve af netselskabet/elleverandøren, at forbrugeren automatisk får tilsendt prisen på forhånd, så forbrugerens vaskemaskine/bilopladning automatisk kan sættes igang, når prisen er lav.

Der skal så laves en standard for, hvordan et device kan spørge elmåleren om den nuværende pris. Men dette kan næppe være sværere at lave end ethernet over elledninger.

Alt i alt er din kommentar vand på min mølle: Vi kan få en bedre udnyttelse af elnettet og samtidigt en bedre privatlivsbeskyttelse.

  • 6
  • 0
#17 Baldur Norddahl

Der er pligt til at implementere direktivet.

Bemærk at en af de første paragrafer i GDPR siger at en part må gemme og opsamle oplysninger som der er krævet af øvrig lovgivning. Hvis det er lov i Danmark, og det ved jeg ikke om det er, at elselskaberne skal opsamle målinger hver time, så kan man ikke udfordre dette med GDPR.

Anderledes forholder det sig hvis det er elselskaberne der af egen drift har fundet på at ville opsamle timeregistreringer. Hvis det ikke er noget lovgiverne har tvunget dem til. I det tilfælde er det meget muligt at GDPR kan bruges.

Man skal bare være opmærksom på, at såfremt det er et stort ønske fra de danske myndigheder, så kan de bare gøre det til lov og så er GDPR automatisk ude.

  • 3
  • 0
#19 Baldur Norddahl

Så vidst jeg ved er det Elforsyningsloven der gør at de er pålagt at skal lave timeaflæste målinger: https://www.retsinformation.dk/eli/ft/201112L00176

Der er her:

https://www.retsinformation.dk/eli/lta/2019/75

Bekendtgørelse om fjernaflæste elmålere og måling af elektricitet i slutforbruget

§ 2. Netvirksomhederne skal sikre, at der inden den 31. december 2020 er idriftsat fjernaflæste elmålere hos alle slutbrugere.

§ 4. En fjernaflæst elmåler skal kunne

1) registrere aftag og levering af elektricitet i det kollektive elforsyningsnet særskilt og med en registrering hvert 15. minut eller med kortere intervaller, ... lagre målte data til brug for forbrugsafregning.

§6 Stk. 2. Målte data skal til enhver tid kunne indhentes fra den fjernaflæste elmåler af netvirksomheden.

Artikel 6 af GDPR siger følgende:

https://gdpr-info.eu/art-6-gdpr/

  1. Processing shall be lawful only if and to the extent that at least one of the following applies:

c) processing is necessary for compliance with a legal obligation to which the controller is subject;

  1. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by:

Union law; or Member State law to which the controller is subject.

Konklusionen er at elseskabet ikke alene må, men skal, senest pr. 31. december 2020, indhente kvartersaflæste målinger jævnfør bekendtgørelsen, og at GDPR angiver at det er "lawful" at følge "Member State law" som gælder for elselskabet.

  • 5
  • 0
#20 Baldur Norddahl

Jeg glemte denne:

§ 8. Netvirksomhederne indsender timemålte forbrugsdata til datahubben fra de af netvirksomhedernes slutbrugere, hvor der er idriftsat fjernaflæste elmålere, når der i forskrifter udstedt af Energinet er indført en model for timeafregning af alle slutbrugere.

Jeg ved ikke om Energinet har indført en sådan model, men forudsat at de har, så er det ikke muligt at efterkomme §8 med den metode, som Ole beskriver.

  • 1
  • 1
#21 Baldur Norddahl

Artikel 25 i GDPR siger, at man skal bruge dataminimering og privalivsbeskyttende teknologier, når man kan, så hvis der findes en måde, hvorpå man kan løse samme problem (e.g. opkrævning af betaling for el) uden at invadere borgerens privatliv (e.g. uden at samle kWh-forbrug ind for hver time), så skal man benytte sig af dette.

Artikel 25 taler om "the controller", dvs. databehandleren. Databehandleren skal bruge dataminimering. Men databehandleren er Radius og de skal opfylde loven under hensynstagende til principperne i artikel 25. Det kan de ikke ved at lave en helt anden model end det lovgivningen kræver.

Derimod er Energinet dem der laver designet, jævnfør paragraf 8 om en "model" som Energinet skal beskrive i nogle forskrifter. Og Energinet driver datahubben og bliver derfor også databehandler efter deres egen model. Energinet må dermed være underlagt principperne i artikel 25.

Uagtet at målerne ikke kan ændres, da de er lavet så de opfylder bekendtgørelsen, så kan Energinet godt lave en model, hvor elselskabet ikke gemmer data unødigt og kun i summeret form. De kan eksempelvis summere data for alle slutbrugere, der har valgt samme elleverandør, før data sendes til datahubben og derefter slette originaldata med det samme.

  • 5
  • 1
#22 Henrik Møller Jørgensen

Det er mig bekendt helt almindelig praksis, at når tilsynet har godkendt en forskrift,så har den retskraft. Så som anført ovenfor af Baldur synes der ikke at være en sag

Hvad angår variable tariffer, så breder de sig. Lige nu er ca. halvdelen af forbrugerne ramt. Typisk er tariffen ca tredobbelt kl 17-20 oktober til marts inklusive, og du kan se det af tarifbladet fra dit elnetselskab. Tariffer fastholdes normalt et kalenderår ad gangen.

Jeg har selv været med til at indføre variable tariffer. Hvis elbilejeres adfærd bliver at lade med 22 kW når de kommer hjem fra arbejde skal elnetselskaberne investere unødigt,og det vil ramme alle elforbrugere.

  • 1
  • 0
#25 Leif Neland

1) registrere aftag og levering af elektricitet i det kollektive elforsyningsnet særskilt og med en registrering hvert 15. minut eller med kortere intervaller, ... lagre målte data til brug for forbrugsafregning.

Det nævner jo ikke at data skal sendes. Det kan gemmes lokalt, og elskabet kan sende en prisliste for timepriserne i de enkelte perioder og bede måleren regne totalen ud.

  • 1
  • 0
Log ind eller Opret konto for at kommentere