Vild forvirring om regler for at logge wifi-brugernes identitet

Det er nærmest umuligt at gennemskue, hvad logningsbekendtgørelsen betyder i praksis, hvis man driver et åbent wifi-netværk – selv 6 år og 9 måneder efter, at reglerne trådte i kraft.

Sådan må konklusionen lyde, efter Version2 i en uges tid nu har forsøgt at finde ud af, hvordan reglerne er, oven på historien om Folkemødet på Bornholm, hvor it-chef Claus Munk fra Bornholms Regionskommune forsøgte at gøre alting helt korrekt ved at spørge flere myndigheder til råds.

Læs også: Folkemøde-deltagere skal afgive telefonnummer eller NemID for internetadgang

Læs også: It-chef for Folkemødet: Politiet fortalte, at vi skulle logge wifi-brugerne

Version2 har undervejs kontaktet blandt andet Rigspolitiet, Justitsministeriet og Erhvervsstyrelsen, som også var de myndigheder, Claus Munk havde spurgt. I første omgang var Rigspolitiet en blindgyde, fordi den person, Claus Munk havde talt med, var bortrejst hele ugen, og politiets presseafdelingen ikke kunne finde en anden.

Senere blev henvendelsen til Justitsministeriet dog sendt videre ad andre og mere officielle kanaler til en hos Rigspolitiet, som kunne komme med en melding. Og konklusionen var, at det var en misforståelse, da deltagerne på Folkemødet på Bornholm blev bedt om at logge på det trådløse internet med enten NemID eller ved at opgive telefonnummer.

De danske logningsregler kræver nemlig kun, at en kommerciel udbyder af et wifi-hotspot logger de informationer om brugerne, som i forvejen bliver skabt i systemet eller som bliver gemt af udbyderen af egen drift, for eksempel for at kræve betaling for brugen.

Meldingen skete med udgangspunkt i et notat fra Justitsministeriet fra 2011 – som Jesper Lund fra IT-Politisk Forening havde henvist til – hvor den svært tilgængelige lovtekst blev konkretiseret netop i forhold til gratis wifi-netværk.

»Hvis vi havde fået en formel henvendelse om den konkrete situation fra Folkemødet på Bornholm, havde vi på det foreliggende grundlag svaret, at der ikke var pligt til at logge brugeridentiteten i deres tilfælde, idet vi ville have vurderet, at Bornholms Regionskommune var en udbyder på ikke-kommercielt grundlag, der stillede et ikke-kommercielt hotspot til rådighed. Af notatet fremgår det ret klart, at der ikke stilles krav til logning af identiteten på brugerne i disse tilfælde,« sagde Kate Jacquerot, politiassessor hos Rigspolitiet, Nationalt Cybercrime Center, til Version2.

Meldingen fra Rigspolitiet kan dog kun bruges om lige præcist Folkemødet på Bornholm og ikke alle mulige andre, som også tilbyder kunder eller gæster gratis adgang til internet via wifi.

»Det er ikke en helt enkel vurdering. Så man kan ikke bruge den konkrete vurdering for Folkemødet på Bornholm til ret mange andre situationer,« siger Kate Jaquerot til Version2.

Meldingen om, at Folkemødet ikke er en kommerciel udbyder, strider dog imod hvad Erhvervsstyrelsen har oplyst til Folkemødet og til Version2. Og det er afgørende i denne situation, om Folkemødet var en ikke-kommerciel eller kommerciel udbyder.

Ifølge reglerne er det nemlig kun teleudbydere med ’kommercielt formål’, som er underlagt logningsbekendtgørelsen, men også gratis wifi kan være kommercielt. Definitionen omfatter nemlig også for eksempel en café, der stiller gratis wifi til rådighed for gæsterne, i håb om at få flere kunder. Det fortalte Jakob Levring fra Erhvervsstyrelsen, da Version2 fik fat i ham. Umiddelbart ville han også putte Roskilde Festival i samme kategori, samt altså Folkemødet, som citerede ham i en pressemeddelelse for den vurdering.

Læs også Erhvervsstyrelsens vejledning

Når Folkemødet i Rigspolitiets øjne ikke var en kommerciel udbyder, står spørgsmålet tilbage, hvad for eksempel en café med åbent wifi helt præcist skal logge, for ikke at overtræde reglerne. Det spørgsmål kan Version2 dog ikke få svar på hos Rigspolitiet i første omgang. Det kræver et nyt – skriftligt – spørgsmål, som skal sendes til Justitsministeriet, som så kan sende til Rigspolitiet, som så sendte et skriftligt svar med henvisning til loven: At man skal overholde § 5, stk. 2 og 3 i logningsbekendtgørelsen.

Endnu en henvendelse, med ønske om konkretisering, er nu under behandling hos Rigspolitiet.

Caféer køber logning fra teleselskaberne

Hos IT-Politisk Forening er næstformand Jesper Lund dog klar i mælet, efter at have fulgt diskussioner og officielle udmeldinger om reglerne tæt i mange år. Man skal som kommerciel udbyder logge MAC-adressen på udstyret og gemme det i et år, hvis man ikke i forvejen beder brugerne om yderligere information, for eksempel for at kunne opkræve betaling fra dem.

De krav har brancheforeningen Horesta også brugt meget tid på at undersøge og fortælle medlemmerne om, fortæller Horestas formand Jens Zimmer Christensen til Version2.

»Man skal kunne identificere dem, der logger sig ind, med en MAC-adresse eller en IP-adresse – eller have dem til at identificere sig. Og jeg kan i sagens natur ikke svare på, i hvilket omfang det bliver overholdt. Det må være myndighedernes opgave at holde øje med det,« siger han.

I praksis er den realistiske løsning for de fleste caféer, restauranter og andre i branchen – bortset fra hoteller, hvor der gælder særlige krav – at købe en færdig løsning fra en internetudbyder. Det koster ekstra, men så bliver hele opgaven med logningen også flyttet væk fra café-ejeren, der normalt ikke har forudsætninger for at sikre korrekt logning og opbevaring af den slags data.

»Man tegner en aftale med en internetudbyder om, at de logger det, som loven kræver, og får dem til at skrive under på det. Det er dog stadig caféen eller restauranten, som har det juridiske ansvar,« forklarer Jens Zimmer Christensen.

Manden, der uforvarende blev centrum for de mange fortolkninger af reglerne, it-chef Claus Munk fra Bornholm Regionskommune, er i dag bare endnu mere forvirret end før, fortæller han Version2, da han får resultatet af jagten på en forklaring.

»Det gør det jo simpelthen umuligt for sådan en som mig at finde ud af, hvad jeg skal. Jeg er mere forvirret nu, end da jeg begyndte,« siger han.

Han håber på, at de ansvarlige myndigheder kan tale sammen og blive enige om, hvordan reglerne skal fortolkes. Og så forfatte en vejledning, der er til at forstå for ikke-jurister.

»Der skal være noget på skrift, som ikke kan misforstås. Det er jo ganske få parametre, der kan vægte ja eller nej, og teknikken er vel den samme for alle, i forhold til hvad man kan logge. Så jeg forstår ikke, at det skal være så komplekst,« siger han.

Læs også: Folkemøde-it-chef: Helt umuligt at finde ud af, hvad man skal logge

Efter én uges jagt på klar besked om reglerne, er der altså stadig tvivl om, hvordan gratis wifi på et Folkemøde, arrangeret af en kommune, placerer sig juridisk i logningsreglerne. Og det har vist sig ret kompliceret at få bare generelle svar fra Justitsministeriet eller Rigspolitiet om fortolkningen og den praktiske udmøntning af reglerne i andre tilfælde. Version2 fortsætter med opklaringen af reglerne. Det må være på høje tid, når nu de har været gældende lov siden 2007.

Læs også: Vildledte Justitsministeriet om internetlogning? Se de kreative svar

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>