Boder og fadsølsanlæg er pakket sammen efter utallige politiske debatter på Folkemødet på Bornholm, men ét spørgsmål hænger stadig i luften: Var det en overfortolkning af logningsreglerne, da arrangørerne krævede login med NemID eller telefonnummer af alle, der ville bruge wifi-netværket?
Nej, siger it-chefen hos Bornholms Regionskommune, Claus Munk, efter at han både har talt med Erhvervsstyrelsen, Justitsministeriet og Rigspolitiet. Tilbagemeldingen har været, at det ganske rigtigt er et krav at logge, hvilke personer der har brugt netværket.
»Vi tolker ikke selv på reglerne, men forholder os til de tilbagemeldinger, vi får. Og torsdag fik jeg svar fra Rigspolitiet, som fortalte, at vi skal kunne aflevere oplysninger om brugernes identitet, hvis politiet beder om det. De mente, at vi præcist opfylder det, som de forventer af en udbyder,« siger han til Version2.
Amnesty International og andre var ude med kritik af Folkemødets krav om registrering af folks identitet, og derfor brugte Claus Munk nogle kræfter på at undersøge reglerne ved at ringe til de ansvarlige myndigheder.
»Det er ikke, fordi vi ønsker at logge, men vi skal overholde lovgivningen. Så jeg gjorde alt, hvad jeg kunne, for at finde ud af, hvilket regelsæt der er gældende,« siger it-chefen.
I første omgang fik han slået fast hos Erhvervsstyrelsen, at selvom adgangen til det trådløse netværk var gratis, var kommunen og Folkemødet i lovens forstand en teleudbyder, fordi netadgang indgik i en større pakke med kommercielt grundlag. Med andre ord vil et gratis wifi-hotspot altså typisk være underlagt logningsreglerne, hvis der står en professionel organisation bag, mens en privatpersons eller frivillig forenings åbne netværk ikke er det.
Dernæst var spørgsmålet, hvad der så mere præcist skal logges, og her henviste Justitsministeriet til Rigspolitiet, som altså bekræftede, at man som udbyder af wifi-netværk skal kende brugernes identitet. Og at det i øvrigt ikke ændrer noget, at Justitsministeriet for nylig valgte at ophæve sessionslogningen. Der blev henvist til logningsbekendtgørelsens paragraf 5 stk. 2.
Notat ‘frikender’ åbne wifi-netværk
Men hos IT-Politisk Forening mener næstformand Jesper Lund, at det er en helt forkert tolkning af reglerne. Tilbage i 2011 blev det oven i købet slået fast i et notat fra Justitsministeriet, at man med den slags åbne wifi-netværk ikke skal logge brugernes identitet, med mindre man i forvejen gør det for eksempel for at kunne sende regninger ud til dem.
»Som udbyder skal du gemme de oplysninger, du i forvejen gemmer i systemerne. Og hvis du tilbyder anonym adgang, er det kun MAC-adresse, du får og skal gemme, og den kan i praksis ikke bruges til noget,« siger han til Version2.
MAC-adressen er bundet til netværkshardwaren i computeren eller telefonen, der logger på et netværk, så en sammenligning af mange logninger vil i teorien kunne vise, om det samme hardware har været brugt forskellige steder.
I notatet, som netop handler om muligheden for regler om at registrere alle brugere af åbne wifi-netværk, står der således:
»I praksis vil udbydere af internetadgang på eksempelvis internetcaféer eller via hotspots imidlertid sjældent have behov for at generere eller behandle oplysninger om identiteten på brugerne i deres net, hvilket betyder, at sådanne oplysninger som udgangspunkt ikke bliver registreret og opbevaret.«
Som det første i logningsbekendtgørelsen står der nemlig, at teleudbyderne generelt kun skal logge oplysninger, som i forvejen passerer gennem deres systemer. Og dermed kan man ikke kræve, at en udbyder skal have ekstra bøvl med registrering og logning af nye oplysninger.
»Det er nogle regler, som er svære at forstå. Det giver jo heller ikke nogen mening kun at logge MAC-adressen, og så begynder man måske at tolke mere ind i reglerne, end der i realiteten står,« siger Jesper Lund.
Hvis den fortolkning af reglerne, som it-chefen for Folkemødet har fået oplyst af Rigspolitiet, er gældende i dag, vil det have store konsekvenser. Så vil alle trådløse netværk drevet af kommercielle og professionelle aktører nemlig være underlagt samme krav om at registrere folks identitet, fra Roskilde Festival til den lille café.
Men reglerne har jo været der siden 2007, så hvordan har Bornholms Regionskommune gjort ved tidligere folkemøder?
»Det første år søgte og fik vi dispensation fra IT- og Telestyrelsen, for der var ikke software tilgængeligt, som understøttede det. Sidste år skulle man logge på med adgangskode med det software, vi købte til formålet, men systemet var først helt klar her i 2014,« siger Claus Munk, der både kender til kommuner, som logger på samme måde som på Bornholm, og til kommuner, der ikke gør det.
Version2 forsøger at få en kommentar fra Rigspolitiet og opklare, hvilke regler der gælder. Medarbejderen, som Claus Munk talte med, kan først træffes mandag den 23. juni.
Leave a Reply