Logningsbekendtgørelsen: Hvordan ser teledata ud idag?

Er det korrekt opfattet at det man ser/læser i krimier, hvor sim-kortet skiftes dagligt, er spild af tid, fordi man til enhver tid blot kan spore på IMEI?

For ca. 10 år siden, faldt jeg over at jeg kunne se alle de IMEIs der havde været knyttet til mit mobil nummer (mens det havde været hos Telenor/Sonofon). Så der kunne jeg se alle mine mobiler fra 1998-2011. Så tænker det er gemt et eller andet sted.

Du har ret der er ingen grund til at skifte sim-kort med mindre det er løbet tør for taletid.

Hvis IMEI er knyttet til dig ved køb er der ingen grund til at benytte taletidskort (hvis du er menneskerettighedforkæmper, journalist, politisk engageret, har en holdning og bor i et autoritært styre). Taletidskort alene giver beskyttelse mod voldlig hustruer, folk der er forfulgte af bander eller rockere, job som direktør eller politiker og lignende hvor man ikke vil kontaktes af tilfældige fremmede der har det med at finde frem til ens faste nummer.

Jeg gætter dog på at et OS som Graphene har en randomizer til IMEI som der eks. vis er til MAC adresser, uden at have tjekket op på det ellers køber man sin telefon kontant over DBA.

Og hvis vores overvågning-er-friheds-minister en dag får held med at forbyde taltidskort og kontanter, hvilket nok vil ramme typer som Slette-Mette (folk med dårlige intensioner). Så vil langt hovedparten være almindelige mænd og kvinder på flugt fra ubehagelige typer eller folk som har et reelt behov for en anonym linje. Min anbefaling til dem vil være at man køber sit taletidskort i Padborg (hvis vi skulle komme så vidt).

Ifm. Slette-Mette skandalen, så siges det i medierne i dag at politiet ikke kan genskabe SMS'erne i hendes mobiltelefon.

Men så var det jeg km til at tænke på at de da har indført vild kontroversiel telelognings lov i Danmark og der eer da noget med at al data gemmes i 5 år jf. denne lov ikke?

Så

1. Hvorfor kan politiet så ikke nemt genskabe sms'erne blot ved at bede teleselskaberne om en eksport?

2. Hvorfor taler medierne slet ikke om denne helt oplagte mulighed?

3. Hvorfor er der ikke SMS-indhold med i det du har fået fra Telenor?

Hvis du ikke har fået selve SMS'erne fra Telenor, kan du så kontakte dem og spørge om de ikke også har dette indhold? Og for 5 år jf. den nyere telelogningslov?

Er det korrekt opfattet at det man ser/læser i krimier, hvor sim-kortet skiftes dagligt, er spild af tid, fordi man til enhver tid blot kan spore på IMEI?

Jeg ved ikke om det gemmes, men se IMEI-nummeret som telefonens MAC-adresse, og SIM-kortet som indeholdende din PGP-key som du tager med mellem de forskellige computere du bruger, men kortet altid skal ringe-hjem (registrere sig på nettet) for at at virke.

Der kunne vel sendes en besked til PET/FET lige så snart simkortet blev sat i og telefonen registrerede sig, at nu sad der et simkort med tlfnr 555-1212 i den mistænktes telefon, der er i nærheden af masten på Gåserødvej 4, kvadrant NNØ.

Næh. Hvis PET/FET har god nok adgang til det net som telefonen kobler sig på burde det ikke være noget problem. Problemet er bare at de andre udbydere måske har en anden antenn-position. Det hjælper jo ikke meget at få TDC til at kigge efter telefonen hvis der puttes en Telia-kort i telefonen.

Og FBI har vel intet problem med at kunne lave en trigger på hvis en telefon skifter simkort mere end x gange på y dage.

Næh. Teknisk set skulle der vel ikke være noget problem. De skal bare ha adgang til alle de net som telefonen kan benytte sig af. Hvis du skulle gøre det i fx Padborg, ville det kræve adgang til både de danske og tyske net. Du ved jo ikke hvilket net SIM-kortet kunne bruge. Lang fra grænserne ville de danske netværk selvfølge være nok ;-)

/Henning

Er det korrekt opfattet at det man ser/læser i krimier, hvor sim-kortet skiftes dagligt, er spild af tid, fordi man til enhver tid blot kan spore på IMEI?

Der kunne vel sendes en besked til PET/FET lige så snart simkortet blev sat i og telefonen registrerede sig, at nu sad der et simkort med tlfnr 555-1212 i den mistænktes telefon, der er i nærheden af masten på Gåserødvej 4, kvadrant NNØ.

Og FBI har vel intet problem med at kunne lave en trigger på hvis en telefon skifter simkort mere end x gange på y dage.

Sorry, men bump!

Jeg vil faktisk gerne have lidt input til hvordan der kan være forskel på Oles situation og min - og hvis teleselskab der rent faktisk agerer rigtigt...

Det er så mastedatabsen - en den er det ikke sikkert at Teleselskabet udleverer til private - det kunne være forretningshemmeligheder</p>
<p>Politiet har sikkert en kopi, som opdatres når basisstationer oprettes eller nedlægges

Helt hemmelig er den nu ikke, den findes her

Jeg henviste til GDPR art. 13+14 og ikke til logningsbekendtgørelsen.

Det interessante er hvilken hjemmel til opbevaring, Telenor mener der er. For det de kalder session start er formentlig åbning af en transportforbindelse til TCP/IP . Hvilken paragraf i logningsbekendtgørelsen og hvilket rationale ligger bag denne logning. Som tidligere sag,t tror jeg måske, at det er logning af CGNAT, selv om de ikke præcist har oplyst det. Alternativt er det den gamle fuphistorie om nødvendigheden af at gemme alle sessioner, fordi nogle af dem kan være overførsel af SMS, hvor der jo er krav om at registrere og gemme mast.

Denne logning var klar til at blive bortdømt, men blev opretholdt, fordi JMIN forberedete nye regler i dialog med branchen. Men så kom den første dom og standsede forarbejdet.

Efterfølgende har teleselskaberne fortsat denne "sessionslogning" i årevis uden et værdigt retsgrundlag.

De burde få en kæmpe bøde.

Når nu hovedreglen er, at det skal slettes fra dine personhenførbare oplysninger, er det også besynderligt, at Telenor ikke klart belyser hjemmelsgrundlaget for at opbevare det, når de udleverer dine registreringer.

Ros til dig for at prøve at belyse hvad de har gemt for dig.

Men ligesom Christian Pantons udlevering for nogel år siden er det helt nytteløst - og potentielt skadeligt - hvis man ikke følger det til dørs og får belyst logningsmekanismen og hjemmelsgrundlaget.

For så bidrager det bare til en uendelig diskussion på et uafklaret grundlag..

Det kan meget vel skyldes at du har bedt om data gemt efter logningsbekendtgørelsen og ikke alle data.

Jeg henviste til GDPR art. 13+14 og ikke til logningsbekendtgørelsen.

Det kan være, men så mangler der stadig længde- og breddegrad for masten.</p>
<p>

Politiet har sikkert en kopi, som opdatres når basisstationer oprettes eller nedlægges

Umiddelbart ser det ud til at du kun har modtaget data for 1) og 2), som er rodet lidt sammen i Telenors systemer (så meget at Telenor ikke overholder slettekrav), men ikke 3) der formentlig er et separat system hos Telenor.

Det er vel stort set umuligt for forbruger at se om udbyderen overholder slettekrav såfremt de bare ikke ved en fejl kommer til at udlevere mere end de må have.

I øvrigt et godt indlæg., det er rart at se og hvad de rent faktisk har logget om folk.. Men er der nogen måde at verificere det på? Måske man skulle prøve det samme ved TDC og 3 for at se om data ligner hinanden.

Tak for indlægget Ole. Altid godt at se mere præcist hvad det faktisk er, vi/nogle så tit opponerer imod. Diskussionerne kan godt blive ret abstrakte når værdierne er meget ideologiske, tror jeg. Det gør heller ikke noget, sådan i det brede perspektiv men "devil's in the details som man siger".

Man kan selvfølgelig spekulere i om de har en "curated" liste til kunder, og en med flere oplysninget til Politiet --- men det kræver man har en liste!

Jeg forhørte mig hos min internetudbyder, Stofa, for at få dem til at stoppe logningen, da den er i strid med EU-retten, men de henviste til at de stadig lovpligtigt skal logge og henviste i øvrigt til dommen fra Østre Landsret fra for nylig.

Så bad jeg dem om at udlevere det data de var lovpligtet til at logge med henvisning til GDPRs retten til indsigt, men de mente at det ikke kunne lade sig gøre uden en dommerkendelse.

Er der nogen der ved om der er forskel på om det er mobil eller bredbånd eller om der er forskel på teleselskabernes... forståelse af loven?

Mastedata går kun et år tilbage.</p>
<p>Jeg havde forventet langt flere datapings, og jeg er positivt overrasket over, at de ikke registerer masteoplysninger for data-sessioner. Hvis du sidder med viden om teledata, passer det så virkelig, at datapings ikke bliver registeret med masteoplysninger?

Har du overset en datafil med meget detaljerede masteoplysninger ala start-slut på dine datasessioner (kaldet "prober" i Jakob Willers spande) og omkring 14-dages opbevaringsperiode?

Hvis den ikke er der, har du ikke fået det hele udleveret.

Teledata 101

Trafik- og lokaliseringsdata gemmes primært af disse tre årsager, som har forskellige lovbestemte frister for sletning

1. Afregning af abonnent (indtil regningen ikke længere kan bestrides; det er IKKE tre år)
2. Krav om logning aka logningsbekendtgørelse (et år, det står i RPL § 786, stk. 4)
3. Prober aka fejlretning m.v. (hvor alle mobilselskaber på magisk vis mener at data slettes efter 14 dage)

Nogle oplysninger kan optræde både under 1) og 2), fx udgående opkald og SMS'er (hvis du rent faktisk faktureres for hvert enkelt SMS, som enkelte abonnenter stadig gør). Men når Telenor har en indgående SMS for 2018, er der tale om en oplysning som kun falder under 2), og som skulle være slettet efter et år. Det skulle dine udgående opkald i 2018 også, men af andre årsager.

Yes.. it's complicated.

Umiddelbart ser det ud til at du kun har modtaget data for 1) og 2), som er rodet lidt sammen i Telenors systemer (så meget at Telenor ikke overholder slettekrav), men ikke 3) der formentlig er et separat system hos Telenor.

Det kan meget vel skyldes at du har bedt om data gemt efter logningsbekendtgørelsen og ikke alle data.

I min optik er GDPR temmelig ligegyldigt i denne sag, efter som brugen af trafikdata og lokaliseringsdata er reguleret af et direktiv udmøntet i dansk lovgivning. Alle personhenførbare oplysninger skal slettes eller annonymiseres efter disse regler, medmindre det kræves gemt efter lognings- eller regnskabsregler.</p>
<p>Så disse regler har forrang efter lex specialis princippet, da de jo er skrappere end GDPR.

Sig det til Justitsministeriet, please!

(Meget enig: GDPR § 6 er ikke relevant for teleselskaber, fordi der er mere specifikke regler i 2002/58, men andre dele af GDPR er).

Det er muligt, at jeg læser det forkert, men kunne adresserne ikke være en præcis angivelse af, hvor masten befinder sig, snarere end et forsøg på at gætte hvor Ole befinder sig?

Det kan være, men så mangler der stadig længde- og breddegrad for masten.

...hvis de der IP adresser er mastepingene så afslører de nok, IP adressen er den IP som din enhed har fået og så er det bare at se i en anden log (den IMEI har gået den IP adresse) - disse er naturligvis cirkulære men man kan jo sørge for at et IMEI altid får en bestemt IP... hvis man nu skal spore nogen.

Teleselskaberne logger i øvrigt også IMEI og SIM-kortets "fysiske" nummer - for at afsløre SIM fusk. En jeg kender skulle passe Sonofons anlæg til overvågning af det - det krævede på det tidspunkt Sikkerhedsgodkendelse fra PET.

IMEI er de nødt til at holde øje med for ellers vil man ikke kunne spærre en stjålen enhed.

SIM-kortets fysiske nummer bruges til at afsløre clonede SIM-kort.

Sikkerhedsstyrelsen har så rettet henvendelse til Banggood, som fjerner klingerne fra deres side, men efterfølgende mener retten på Frederiksberg at Banggood alligevel skal straffes yderligere, selv om de har fjernet de farlige varer fra hylderne.

Det er ikke en korrekt gengivelse af sagen. Det var tredje gang på få måneder og man antager derfor at varen kommer tilbage igen. Hvis Banggood kan vise at de har implementeret effektive kontroller der forhindrer en gentagelse, så har de ret til at få fjernet blokeringen. Angiveligt er Banggood igang med dette, så mon ikke de kan få ophævet blokeringen snart.

Man kan ikke gemme ikke-debiterbare personoplysninger med henvisning til regnskabsbekendtgørelsen. Det er en skrøne. Det er logningsreglerne, der kræver "gratis" opkaldsdata for telefoni gemt i 1 år.

det er helt i trå med regnskab principper da 0 kr også skal bogføres og skal gennems i 5år jf skatteloven

I min optik er GDPR temmelig ligegyldigt i denne sag, efter som brugen af trafikdata og lokaliseringsdata er reguleret af et direktiv udmøntet i dansk lovgivning. Alle personhenførbare oplysninger skal slettes eller annonymiseres efter disse regler, medmindre det kræves gemt efter lognings- eller regnskabsregler.

Så disse regler har forrang efter lex specialis princippet, da de jo er skrappere end GDPR.

Du kryber uden om spørgsmålet, som først og fremmest er, om det skal gemmes 1 år efter logningsbekendtgørelsen. Og hvad er i så fald den nærmere forklaring. En overgang var forklaringen, at SMS kunne sendes via IP. Og derfor måtte man logge al aktivitet på IP for at finde et sted, hvor SMS er overført. Men så skal man jo ikke gemme resten? Hvad er forklaringen nu?

Så hvad er det, og hvad er grundlaget?

Mener du dermed, at Telenor ikke må logge "2/3G Data Session Start" i det de efter GDPR alene må logge det, som de har behov for, og at de næppe har behov for dette et år tilbage?

Du nævner data-ping. Hvad er det, og hvor i log.bek. er kravet om at gemme det? Måske mener du de updates, som nettet initierer efter lang tids inaktivitet. De skal bare sikre at mobilen stadig er tændt i det senest registrede area (dækker store områder). Det skal ikke logges efter bekendtgørelsen.

På din tur til københavn registreres åbenbart din aktivitet og placering via mast, når du foretager dig noget på internet. Hvor i logningsbekendtgørelsen er det krævet?

Jeg gætter på, at der tale om registrering af IP og portnr ved brug af CGNAT. Men det er jo ikke direkte krævet i logningsbekendtgørelsen. Så hvad er det, og hvad er grundlaget?

Udover krævet logning efter log.bek. har der indfundet sig en praksis, hvor teleselskaberne gemmer al signalering ca. 3 mdr. og på anfordring stiller oplysninger herfra til rådighed for politiet efter editionskendelse. Politiet får dog ikke B-numre, som jo er et indgreb i kommunikationshemmeligheden efter retsplejeloven. Det er rene oplysninger om din placering ikke. Det er disse signaleringsoplysninger, som Telia har haft vrøvl med politiet om.

I sagens natur kan du ikke se disse meget specifikke oplysninger hos Telenor. For de kan jo først findes efter en kørsel med specifik søgning i signaleringsdata. Der er måske tale om op til tusinder af oplysninger for din mobil pr. dag.

Der er mildt sagt rod med telelogning. Både hos politiet, teleselskaberne og kritikkerne. Det er den egentlige skandale, og misforståelser af data er bare et resultat heraf.

Man foranlediges til at tro at der er et formål med at gøre det bøvlet. Det koster jo teleselskabet blod, sved og tårer at skulle behandle din henvendelse.

Ja og nej. 7z-filen smager altså af at være automatisk genereret, og er den det, så burde det ikke være voldsomt svært gøre det muligt at sende en magisk SMS. For at forhindre SS7-spoofing, så kunne det være et krav, at SMS'en skal sendes, mens man er på operatørens eget net.

Dine fremviste data indeholder ikke længdegrad eller breddegrad, med derimod en estimering af hvor du har befundet dig

Politiet dummede sig og indlæste data omvendt så længdegrad blev breddegrad og omvendt. Dine fremviste data indeholder ikke længdegrad eller breddegrad, med derimod en estimering af hvor du har befundet dig, dvs. at teleselskabet ikke levere rådata, men bearbejdet data.

Det må Jens også have bemærket.

Baangood.com, som er en kinesisk handelsplatform, har byretten på Frederiksberg beordret til at skulle være DNS blokeret (det er jo åhh så effektivt), fordi de har solgt nogle selvmordsklinger til græstrimmere, som Sikkerhedsstyrelsen (meget berettiget) anser for værende farlige, og ikke i overensstemmelse med EU krav.

Sikkerhedsstyrelsen har så rettet henvendelse til Banggood, som fjerner klingerne fra deres side, men efterfølgende mener retten på Frederiksberg at Banggood alligevel skal straffes yderligere, selv om de har fjernet de farlige varer fra hylderne.

Jeg vil ikke ind i en principiel diskussion om køb som så i Kina, men er stærkt bekymret over at vi nu er så langt nede ad børnepornofilterglidebanen, at det misbruges til decideret handelsblokering og protektionisme.

Hvordan kan denne censur stiltiende accepteres.

Det er noget bøvlet, for man skal både bruge NemID, SMS og fysisk underskrift. Man tænker, at det kunne gøres mere smooth ved blot at man fra sin telefon kunne sende en magisk SMS

Man foranlediges til at tro at der er et formål med at gøre det bøvlet. Det koster jo teleselskabet blod, sved og tårer at skulle behandle din henvendelse.