I forbindelse med min artikel om spionerende elmålere skrev jeg til mit netselskab (Radius), om vi ikke kunne lave en aftale om, at jeg ikke fik spionerende elmåler mod at jeg til gengæld kun indgik fastprisaftaler (altså samme pris per kWh - uanset tidspunkt).
Den mulighed syntes Radius ikke om. De mente til gengæld:
> Da de forskellige elleverandører har forskellige priser, og disse ændrer sig løbende, ville det ikke kunne lade sig gøre at konstruere en elmåler, der ud over at måle elforbruget, også tæller kroner og ører.
og det svarer de selv efter at jeg havde sendt dem et link til Microsofts løsning. Skal vi gætte på, at de hverken har læst eller forstået løsningen?
Artikel 25 i GDPR siger, at man skal bruge dataminimering og privalivsbeskyttende teknologier, når man kan, så hvis der findes en måde, hvorpå man kan løse samme problem (e.g. opkrævning af betaling for el) uden at invadere borgerens privatliv (e.g. uden at samle kWh-forbrug ind for hver time), så skal man benytte sig af dette. Hvis du ikke vil læse Microsoft løsning, er min simple løsning her:
> El-måleren har 4 konti:
> • Forbrug af el i kWh
> • Forbrug af el i kr (afhænger af elleverandørens pris)
> • Forbrug af transport i kWh
> • Forbrug af transport i kr (afhænger af netselskabets pris)
> Disse data sendes krypteret hver time fra elmåleren til netselskabet. Kun elmåleren, borgeren og en dommer kan dekryptere disse.
> Hver måned sendes månedssummen for hver af de 4 konti (altså det samlede antal kWh, men ikke splittet op time for time, og det totale forbrug i kr for denne måned) til netselskabet hhv. elleverandøren (via Energinet Danmarks datahub). Månedssummerne kan dekrypteres af netselskabet og el-leverandøren. Disse kan bruges til kontrol og fakturering.
> Netselskabet sætter målere op "tæt" på husstanden (for hver gade eller hver opgang), så de kan lave kapacitetplanlægning og kontrol hen til denne måler. Da denne måler dækker flere husstande er målinger herfra ikke persondata.
> Netselskabet rapporterer timeprisen fra el-leverandøren og for transport til elmåleren, så den kan lave ovenstående udregning.
Vi har derefter haft en smule korrespondance, hvor jeg prøver at få dem til at forstå, at Radius skal overholde GDPR, og de stædigt holder fast i at de faktisk overholder GDPR. For lidt over et år siden sendte de så et papirbrev om, at de gerne ville skifte min måler. Naiv som jeg jo er, tænkte jeg, at de endelig har forstået, at de skal overholde GDPR, og at den måler, som de vil sætte op, har privatlivsbeskyttelse ala Microsofts løsning.
Men ak. Måleren havde ikke en sådan privatlivsbeskyttelse, og Radius ville stadig ikke anerkende, at GDPR stiller det som krav. Jeg tilbød endda, at de kunne få en dommer eller Datatilsynet til at sige god for, at den overholder GDPR, og at jeg i så fald ville bestille en tid til udskiftning af måleren. Men nej: Det ønskede de heller ikke. Og så bestilte jeg ikke en tid til udskifting af måler.
Men Radius giver ikke op. Det skyldes nok primært, at der er en lov, der siger, at de skal have skiftet alle til fjernaflæste elmålere inden 2020-12-31. Så nu har jeg fået et fint brev om, at de vil tiltvinge sig adgang med fogedens hjælp.
Det bliver der nu ikke noget af: Hvis der er en dommer, der siger, at Radius skal have adgang, så får de naturligvis det. Men lige nu ser det ser ud til, at det bliver en fogedretsdommer, der skal afgøre, om Radius' måler lever op til GDPR.
Radius henviser til Elforsyningsloven, der henviser til nogle forskrifter, og hævder, at forskrifterne er del af loven og dermed undtaget fra GDPR (Jvnf. artikel 6.1.c).
Jeg hævder omvendt, at forskrifterne jo kan ændres uden at ændre loven, og derfor ikke er en del af loven, og derfor ikke undtaget fra GDPR, samt at artikel 25 sammen med min (eller Microsofts) løsning viser, at forskrifterne ikke overholder kravet om dataminimering og privatlivsbeskyttelse.
Datatilsynet sparker til hjørne
For at få en afklaring har jeg startet en sag hos Datatilsynet: Er forskrifterne underlagt GDPR eller er de en del af loven og skal jeg blot give adgang til at få skiftet måleren?
De har lige sendt et svar: De vil ikke træffe en afgørelse på en sag, hvor der endnu ikke er data registeret.
Jeg kan formelt godt følge Datatilsynets argumentation: Der er jo ikke sket nogen registrering endnu. Men hvis jeg sammenligner med afpresning, så er truslen i sig selv nok til at det er ulovligt; derfor finder jeg det noget underligt, hvis man først kan træffe en afgørelse, når skaden er sket (altså når måleren er skiftet).
Jeg er lidt nervøs for, at hvis jeg accepterer udskiftning af måleren og først herefter sender samme klage, at de vil afvise sagen fordi jeg har accepteret registreringen, idet jeg har accepteret at få skiftet måleren. Så damned if you do and damned if you don’t.
Derfor tænker jeg, det er smart, hvis afsenderne på en opdateret klage inkluderer både folk, som har fået en fjernaflæst måler, og folk, som ikke har fået en fjernaflæst måler.
Derfor kære læser: Vil du være medafsender på klagen?
Indtil nu har jeg finansieret sagen – der er allerede gået to-cifret antal advokattimer på den, og uden den sparring ville jeg være faldet i endnu flere af snublehullerne undervejs. Hvis du vil være med til at finansiere, så drop mig lige en mail (ota@prosa.dk). Så må vi finde ud af, hvordan vi nemmest kan gøre det, og respektere indsamlingsloven og lign.
Min retshjælpsforsikring dækker ikke: Den kræver, at jeg selv kører sagen ved Datatilsynet først, før den dækker. Og denne sag er simpelthen alt for kompleks til, at jeg ville kunne gøre det kompetent, og derfor ville jeg formodentlig tabe på en teknikalitet uden at vi får prøvet det centrale spørgsmål i sagen.
Hvorfor er sagen vigtig?
Mit elforbrug er på ingen måde de mest følsomme informationer om mig, men andres elforbrug bliver brugt i mod dem, og det synes jeg egentlig ikke er rimeligt. Her er tale om en klar formålsforskydning: Data er indsamlet til eet formål, men bliver nu brugt til et andet. Det sker uden at vi har haft en offentlig debat, om det er rimeligt, og uden at borgerne kan vælge fra. Hvis jeg får medhold, så er der en chance for, at sagen kan skabe præcedens for andre sager om formålsforskydning og dataminimering, og dermed indirekte skabe finansiering til at udvikle flere privaby-by-design løsninger, og dermed skabe et mere frit samfund for os alle.
Mine jurist-venner mener også sagen er interessant, men de går mere op i de juridiske finesser om forskrifterne kan betragtes som del af loven, og om artikel 25 er opfyldt med min løsning.
Men skriv lige hvis du være medafsender på klagen eller vil være med til at finansiere den: ota@prosa.dk

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.