(Elmålersagaen - kapitel 8. Læs sagaens del 1, del 2, del 3, del 4, del 5, del 6 og del 7).

Radius har svaret på den fælles klage hos Datatilsynet: De mener ikke, at min målerløsning lever op til lovgivningen. De citerer en række paragraffer og forskrifterne.

Det ser ud til at min målerløsning bliver central, hvis vi fører en civil sag. Derfor har jeg minutiøst gennemgået de nævnte paragraffer og set, om min løsning lever op til dem. Der var et par svage punkter: F.eks. dækker den ikke egenproducenter (folk med solceller) og beskrev heller ikke, hvordan priserne kunne distribueres ud via broadcast i det meshnetværk, som elmålerne laver. Så jeg har lavet en opdateret løsning, som jeg fra nu af vil kalde OT2.

OT’s løsning 2 (OT2)

Baggrund

Hovedideen er, at netselskabet sender prisen, der så ganges med det aktuelle forbrug på elmåleren og summen af disse rapporteres ind for hver faktura (f.eks. en gang om måneden).

Målet er at løse flg. problemer:

• Indkøbsprisen for el-handelsselskabet (også kaldet elleverandøren) varierer
• Indkøbsprisen af transport varierer (måske i fremtiden)
• Salgsprisen per kWh varierer - og kan ikke nødvendigvis udregnes ud fra købsprisen
• Netbalanceringen har behov for real-time data til at afgøre, om der skal tændes for endnu et kraftværk
• Kapacitetsplanlægning og kvalitetskontrol (incl. drift og vedligehold) har behov for data.
• Borgeren skal kunne se sit eget timeforbrug - også via en app
• En dommer skal kunne få adgang til enhvers timeforbrug
• At leve op til kravet om dataminimering i GDPR artikel 5 og 25, og kravet om privatlivsbeskyttelse by default i artikel 25, herunder for data, der kan bruges til at udlede GDPR artikel 9-oplysninger
• At leve op til menneskerettighedernes krav om proportionalitet
• På sigt: Hjælpe den grønne omstilling ved at gøre det muligt at lave automatik i hjemmet, der flytter strømforbruget

Løsningen skal være så simpel, at man kan forklare den til ikke-teknikere. Der kan med andre ord sagtens være bedre tekniske løsninger, der bare ikke er så nemme at forklare.

Selve løsningen

Den lokale måling

El-måleren har 5 konti:

• Forbrug af el i kWh
• Total indkøbspris fra elleverandør til kunde
• Total salgspris fra elleverandør til kunde
• Total indkøbspris af eltransport fra netselskab til kunde
• Total salgspris fra netselskab til kunde

Egenproducenter (folk med solceller) udstyres med nogle ekstra konti:

• Produktion i kWh
• Total salgspris fra kunde til elleverandøren
• Total indkøbspris af eltransport fra kunde til netselskab

De målte data skal i krypteret form til enhver tid kunne indhentes fra den fjernaflæste elmåler af netvirksomheden - typisk 1-4 gange i timen. De indsendes til datahubben. Kun elmåleren, borgeren og en dommer kan dekryptere disse. Denne form for kryptering kalder vi for egenkryptering: Det er kryptering fra sig selv til sig selv – præcis som man også kan sende en krypteret backup til en onlinetjeneste, der ikke kan dekryptere backuppen.

Borgeren kan bruge de egenkrypterede data hos datahubben til at se sit forbrug time for time, så han kan lave fine grafer over timeforbruget. Data hentes fra datahubben. Dekrypteringen kan f.eks. ske i borgerens aflæsningsapp. Dekrypteringsnøglen fås fra elmåleren. Dommeren kan åbne de krypterede aflæsninger fra datahubben, hvis der er mistanke om kriminalitet eller en borger flytter midt i måneden uden at aflæse.

1-4 gange i timen rapporterer netselskabet indkøbs- og salgspris for hhv. netselskab, elleverandør og producent til elmåleren, så den kan lave ovenstående udregning.

Hver måned sendes månedssummen for hver konto (altså det samlede antal kWh, men ikke splittet op time for time, og den total indkøbspris og salgspris for elleverandør, den total indkøbspris og salgspris for netselskab, den totale produktion og salgspris for producent) til netselskabet hhv. elleverandøren (via Energinet Danmarks datahub). Månedssummerne kan dekrypteres af netselskabet og el-leverandøren. Disse kan bruges til kontrol og fakturering.

Balancering, kapacitetsplanlægning, kontrol og kvalitetssikring

Netselskabet sætter målere op "tæt" på husstanden (f.eks. for hver gade, hver opgang eller hver transformatorstation), så de kan lave netbalancering, kapacitetsplanlægning og kontrol hen til denne måler. Da denne måler dækker flere husstande er målinger herfra ikke persondata, og netselskabet kan frit aflæse denne så tit de ønsker.

Hent Profilanalysen og årets ranglister

Profilanalysen 2023

Alarmer om forsyningsafbrud kan ske på samme måde, som det sker i dag, og på forespørgsel fra netvirksomheden kan målersystemet overføre afbrudsdata. Så hvis der mangler spænding eller registreres en over/underspænding, 0-fejl eller registreres fejl på måleren selv, så kan disse sendes.

Distribution af strømprisen

Elhandelsselskaberne har typisk ikke forskellige priser fra enkeltkunde til enkeltkunde. De har grupper af kunder, der køber et givent produkt til samme pris.

Lad os antage, at der findes 10 elhandelsselskaber, som hver har 10 forskellige produkter - i alt 100 priser. I virkeligheden er der nærmere 50 elhandelsselskaber, men princippet er det samme.

Netselskabet kan så nøjes med at sende de samme 100 priser til alle elmålere, og elmåleren for en kunde, som har produkt 7 hos elhandelsselskab 4, kan så blot bruge pris nummer 7 i gruppe 4 eller pris nummer 47 ud af de 100.

Sponseret indhold

Webinar: Det er ikke nok at sikkerhedskopiere din data

It-sikkerhed

Ved at udsende samtlige 100 priser til alle elmålere, så udgør disse lister over priser ikke persondata, og de kan principielt sendes ukrypteret.

Da målerne er i et mesh-netværk, så er ret billigt at sende præcis den samme information til alle elmålere (man kalder det for broadcast).

Kun ved skift af elhandelsselskab skal elmåleren informeres om det nye elhandelsselskab (så den f.eks. ikke længere bruger pris nummer 47, men i stedet prisen for produkt 2 fra elhandelsselskab nummer 3, altså pris nummer 32 ud af de 100).

Hvis man ønsker, kan skift af elhandelsselskab også ske krypteret: Data sendes fra elhandelsselskabet via datahubben men krypteret med elmålerens nøgle, så kun elmåleren kan se dette. Derved får netselskabet heller ikke adgang til den personoplysning.

Automatiseret flytning af forbrug - den grønne omstilling

Vi ved at mennesker er vanedyr: Der skal utroligt meget til at ændre folks vaner. Hvis den grønne omstilling skal lykkes, så skal vi finde løsninger, der gør det nemt at være med. Det kan f.eks. ske gennem at lave automatiske løsninger, der kan flytte forbruget til perioder, hvor produktionen er grønnest.

Ved at sørge for, at elmåleren kender prisen nu (og gerne nogle timer frem) kan man på sigt udvikle et lokalnet (måske ala netværk over strømledninger?) som kan distribuere elprisen fra elmåleren til alle apparater i hjemmet, så disse automatisk kan tænde og bruge den grønne strøm. F.eks. vil man kunne opsætte sin opvaskemaskine, vaskemaskine, varmepumpe eller elbil til altid at finde det bedste tidspunkt at bruge strøm inden for de næste 12 timer, når man trykker “start”.

De relevante paragraffer

De interessante paragraffer er:

• Elforsyningsloven §22: OT2 lever op til paragraffen.
• Målerbekendtgørelse (MBKG) §2: OT2 lever op til paragraffen.
• MBKG §4. stk. 1: OT2 lever op til paragraffen.
• MBKG §4 stk 2: OT2 lever op til paragraffen.
• MBKG §4 stk 3: OT2 lever op til paragraffen.
• MBKG §5: OT2 lever op til paragraffen. Data bliver i OT2 egen-krypteret i stedet for transportkrypteret, som det sker i dag.
• MKKG §6: OT2 lever op til paragraffen.
• MBKG §7. OT2 ændrer ikke måden dette sker på.
• MBKG §8. OT2 sender egen-krypterede data til Datahub, og lever derfor op til paragraffen.
• Forskrift D1's §11: OT2 giver mulighed for at hjemtage egen-krypterede 15/60 værdier, og lever derfor op til paragraffen.
• Forskrift D1's §2: OT2 lever op til alle punkter undtagen pkt 2, hvor det kun er månedssummen, der kan kontrolleres.

De fleste lever OT2 indlysende op til. Nogle kræver en ekstra forklaring.

Krav om privatlivsbeskyttelse og dataminimering

Min sag drejer sig i høj grad om GDPR artikel 5:

Personal data shall be: [...] (c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’); [...] (e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; [...] (‘storage limitation’);

og artikel 25:

1 Taking into account the state of the art, [...] the controller shall, [...] at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

2 The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. [...]

Egen-kryptering og transportkryptering vurderer jeg er inkluderet i "state of the art technical measures", og dataminimering nævnes eksplicit.

Transportkryptering og egen-kryptering (MBKG §5 og §8, forskrift D1 §11)

Krypteret backup bliver normalt krypteret på klienten før den sendes til en backuptjeneste. Backuptjenesten har ikke nøglen til at låse data op. Det har kun klienten. Det kalder jeg egen-kryptering (andre vil kalde det client-side-kryptering eller end-to-end, men disse kan misforståes som at den ene ende er borgeren og den anden ende er Datahubben - og det er det jo netop ikke. Det er kryptering "fra mig selv til mig selv").

Transportkryptering er når data er krypteret mellem klient og server - f.eks. når du benytter https.

Målerbekendtgørelsen siger ikke, at data skal transportkrypteres ved indsamling. At man skal gøre det alligevel, skyldes GDPR artikel 25.1: Du skal implementere databeskyttelse, når du kan.

På samme måde gælder det for egen-krypteringen (altså at data krypteres med en nøgle, som kun elmåler/borger/dommer har), som bruges i OT2.

Målerbekendtgørelsen siger ikke, at data skal egen-krypteres ved indsamling. At man skal gøre det alligevel, skyldes GDPR artikel 25.1: Du skal implementere databeskyttelse, når du kan. Her er det uklart hvad Radius mener, men de implementerer det i hvert fald ikke.

Med andre ord: Hvis man mener, at transportkrypteringen er et krav, som ikke kan fraviges i forskrifterne pga. GDPR, så må det samme gælde for egen-kryptering.

I Målerbekendtgørelsen står:

§ 6. Stk. 2. Målte data skal til enhver tid kunne indhentes fra den fjernaflæste elmåler af netvirksomheden.

§ 8. Netvirksomhederne indsender timemålte forbrugsdata til datahubben fra de af netvirksomhedernes slutbrugere, hvor der er idriftsat fjernaflæste elmålere, når der i forskrifter udstedt af Energinet er indført en model for timeafregning af alle slutbrugere.

Bekendtgørelsen kræver altså ikke egen-kryptering (ligesom den heller ikke kræver transportkryptering), men forbyder det heller ikke: Der er ikke krav i bekendtgørelsen om, at netvirksomheden eller datahubben skal kunne dekryptere de timemålte forbrugsdata, hvis modellen for timeafregning ikke kræver dette (som f.eks. min model ovenfor). De krypterede datapakker skal dog indsamles i datahubben for at både borger og dommer kan hente dem herfra og dekryptere dem.

Kontrol (forskrift D1 §2)

Forskrift D1 handler om at kontrollere målingerne (alternativt estimere dem) og kontrollere, at Datahub har de samme data, som man har indsamlet. Igen står her ikke, at disse data ikke må være egen-krypterede, og kontrollen af de egen-kryptedere data er således blot at sikre, at der er en komplet backup af disse hos Datahub.

OT2 giver mulighed for at målerne bliver foretaget og hjemtaget. Men estimering kan kun kunne ske på månedssummerne. Man vil heller ikke kunne kontrollere rigtigheden af de enkelte målinger, men kan dog kontrollere månedssummerne.

Dermed kan OT2 delvist opfylde §2 punkt 1, men ikke opfylde §2 punkt 2.

Dette er i sig selv ikke overraskende: Vi har fra første færd anerkendt, at OT2 kan kræve en ændring af forskrifterne.

Er forskrifter del af loven?

Det er ret centralt for min sag, at data faktisk er omfattet af GDPR og ikke undtaget fra GDPR på en eller anden måde.

GDPR artikel 6 1.c siger:

Processing shall be lawful only if and to the extent that at least one of the following applies: ... (c) processing is necessary for compliance with a legal obligation to which the controller is subject;

Der er bred enighed om, at hvis det står i loven (herunder Elforsyningsloven og Målerbekendtgørelsen), så udgør det en "legal obligation", idet disse kun kan ændres af Folketinget. Men det er mindre sandsynligt, at forskrifterne (som kan ændres af embedsmænd) udgør en "legal obligation".

Dette er ret centralt i min sag, for hvis forskrifterne er en "legal obligation", så falder mit argument om, at behandlingen ikke er i overensstemmelse med GDPR (idet de er undtaget jvnf. artikel 6.1.c); men jeg er endnu ikke stødt i een jurist, der var overbevist om, at forskrifterne kan betragtes som sådan, mens jeg har mødt flere, der vurderer, at de ikke er en "legal obligation".

Hvis forskrifterne betragtes som en "legal obligation", så vil embedsmænd kunne ændre forskrifterne til også at sige: "Det er ikke nødvendigt at transportkryptere" eller på anden måde rent administrativt udhule hele GDPR, så længe de ikke direkte overtræder en lov, og det har næppe været meningen med GDPR 6.1.c. Det er mere sandsynligt, at GDPR 6.1.c er indført for at Folketinget kan vedtage undtagelser.

Men vi ved ikke, om forskrifterne i denne sammenhæng er en "legal obligation". Der er ikke nogen domme, som viser dette.

Krav om dataminimering

Både artikel 5 og 25 taler om dataminimering. Så hvis man kan fuldføre sin opgave med færre data, så skal man gøre det. I min sag er det naturligvis at kunne udskrive en retvisende regning, foretage kontrol af forbruget og sikre forsyningssikkerhed gennem balancering.

Min løsning er et eksempel på, at man kan fuldføre opgaven med færre data. Dermed ikke sagt, at man partout skal vælge min løsning, men man kan næppe lovligt vælge en løsning, der stiller borgeren ringere.

Sagen hos Datatilsynet

Datatilsynet har fået PhD-afhandlingen, og jeg har fremhævet de steder:

• hvor Datatilsynets egne høringssvar beder om at man får tænkt privatlivsbeskyttelse ind
• hvor EDPS (Det europæiske datatilsyn) udtaler sig
• hvor EU-domstolens domme og det franske datatilsyns afgørelser er omtalt
• samt hvor det sandsynliggøres, at man kan aflede religion ud fra målerdata

Efter at jeg nu selv har fået skiftet måler, så har jeg bedt om at være hovedklager.

Processen for en klage hos Datatilsynet er, at en klage sendes til kommentering hos indklagede, og indklagedes svar sendes til kommentering hos klager, hvorefter Datatilsynet træffer en afgørelse. De kan vælge at lade Datarådet træffe afgørelse, hvis sagen er principiel. Og mon ikke denne sag kunne vise sig at være principiel?

Min kommentering bliver med andre ord ikke sendt til Radius, og jeg har åbenbart kun 2 skud "i bøssen", så endnu engang er jeg glad for, at jeg har taget professionelle med på råd, for ellers havde jeg nok fjumret så meget, at jeg havde tabt på en teknikalitet: Jeg accepterer, hvis jeg taber, men det skal altså ikke være på en teknikalitet.

Datatilsynet har en vejledningspligt, men den gælder alene for generelle spørgsmål - ikke konkrete sager, så her ville der heller ikke være hjælp at hente.

Den civile sag

Fogedsagen fortalte os intet om, hvorvidt målerens dataindsamling er lovlig: Dommeren kikkede ikke på hverken menneskerettigheder og detaljerne i GDPR - og det var heller aldrig forventningen.

Og netop fordi jeg efter dommen har fået skiftet måler, er vi nok nødt til at afvente Datatilsynets afgørelse, før vi kører en civil sag. Min retshjælpsforsikring stiller som krav, at man har udtømt andre klagemuligheder, før man fører en sag. Det havde jeg jo, før måleren blev skiftet. Men fordi måleren er skiftet, kan jeg nu pludselig klage til Datatilsynet, og derfor vil jeg ikke blive overrasket, hvis retshjælpsforsikringen kun vil dække omkostninger efter Datatilsynet har afgjort sagen.

Hvis Datatilsynets afgørelse klart går mig imod, så er der næppe grund til at føre en sag. Jeg har også hele tiden sagt til Radius, at hvis Datatilsynet mener, at målerens dataindsamling er lovlig, så er det godt nok til mig.

Så kun hvis afgørelsen er uklar eller jeg får medhold, ser jeg en grund til at føre en sag.

Afgørelsen kan formodentlig også gøre det mere klart, om Radius eller Energinet eller Radius+Energinet er den rette part at sagsøge.

Hvad tror jeg er sket

Jeg tror, jeg har fundet en bug.

Jeg tror, at de, der har lavet forskrifterne, ikke har været opmærksomme på, at man kunne lave en løsning, der gav en højere beskyttelse af borgeren og samtidigt gav mulighed for korrekt afregning og netbalancering; og at de derfor alene har kikket på transportkryptering. Måske har de blot kopieret eksisterende løsninger.

Jeg tror, at de, der har lavet forskrifterne, ikke har været opmærksomme på, at målerdata kan afsløre religion, og at man på grund af menneskerettighederne er nødt til at foretage en afvejning af, om indgrebet i privatlivet er proportionalt med den (uvisse) grønne fordel. Hvis loven havde gjort skiftet til fjernaflæst måler valgfrit, så ville der ikke være grund til at foretage den afvejning.

Jeg tror, at de simpelthen var uopmærksomme på den del af dataindsamlingen, da GDPR trådte i kraft, og idag har de noget kode, der virker, som man nødigt vil pille ved.

Så jeg tror, at jeg har fundet en bug, som nemt kunne have været fikset tidligere, men som nu er ret bøvlet at få rettet.

Økonomi

Jeg må igen takke for de mange donationer. De dækker en del af regningen på omkring 60.000 kr. Regningen stammer fra forarbejderne fra før fogedsagen og udarbejdelse af klagen og det seneste svar til Datatilsynet, og retshjælpsforsikringen kommer aldrig til at dække den del. Retssikkerhedsmæssigt synes jeg principielt, at det er ret træls at have den regning: Jeg kommer igennem med hjælp fra jer og (i værste fald) et lån i lejligheden; men den almindelige dansker, der ikke har råd til advokat, ville godt nok nemt kunne snuble i systemet og tabe på tekniske point. Jeg så nok gerne, at retshjælpsforsikringen kunne understøtte i klager til instanser som Datatilsynet.

Donationer er stadig meget velkomne på: Broager Sparekasse reg 9797 konto 01325671 eller via MobilePay til 60666699 (se flere donationsmåder).