TELEKOM

DLD-rot i Drammen

Datatilsynet reagerte på «tjuvstart».

Bragernes torg i Drammen sentrum er blant områdene som byr på gratis, trådløst internett. Kommunen er nå i tvil om de kan registrere brukernes trafikkdata eller ikke.
Bragernes torg i Drammen sentrum er blant områdene som byr på gratis, trådløst internett. Kommunen er nå i tvil om de kan registrere brukernes trafikkdata eller ikke. Bilde: Kjetil Lenes - CC
7. mars 2012 - 15:02

Drammen har i flere år spandert gratis trådløst nett ved Bragernes torg i sentrum av byen. Nylig ble tilbudet utvidet til Strømsø torg foran jernbanestasjonen og i byparken.

Samtidig innførte de logging av trafikkdata.

Et oppslag i papiravisen Drammens tidende fredag vekket oppsikt. Der hevdet IT-driftsavdelingen at tilbudet «tilfredstiller datalagringsdirektivets krav til logging av internettbruk».

Fryktet DLD-tjuvstart

Dette fikk personvernmyndighetene til å frykte at kommunen hadde tjuvstartet datalagringsdirektivet (DLD). De tok derfor kontakt med kommunen, som straks valgte å skru av registreringen.

Poenget er at det per i dag ikke finnes noe lagringskrav. DLD-kravene, lovhjemmel og forskrift er ikke ferdig utformet, og trer uansett ikke i kraft før 1. juli. (Se også: Full forvirring om DLD).

- Vi fryktet i verste fall at Drammen lagret all trafikkdata i seks måneder ut ifra en tolkning av datalagringsdirektivet, sier Datatilsynets rådgiver Marius Engh Pellerud til digi.no.

Det viste seg at saken var en misforståelse, som trolig har bakgrunn i feilaktig informasjon fra leverandøren av registreringssystemet, Sky Labs og deres produkt Sky ID.

- Løsningen sørger for autentisering og kontroll over brukerne, for eksempel via SMS. Hensikten er blant annet å kunne avdekke misbruk, sier daglig leder i Sky Labs, Thomas Jelle.

Selskapet, som er spunnet ut av NTNU og Trådløse Trondheim, har presentert overvåkningsverktøyet sitt slik på egne nettsider:

15. september 2007 ble det i EU vedtatt en ny lov for elektronisk kommunikasjon, EUs datalagringsdirektiv. I korte trekk sier loven at kommunikasjonstilbydere må vite identiteten til alle sine brukere av kommunikasjonsnett og logge all trafikk, med formål å oppdage og oppklare alvorlig kriminalitet.

EUs datalagringsdirektiv gjelder for alle tilbydere av tele- og datatjenester. Direktivet ble besluttet innført i Norsk lov av Stortinget og vil gjelde fra 01.01.2012.

En løsning hvor man har helt åpne nettverk eller felles brukernavn og passord for gjester vil ikke være godkjent i henhold til direktivet. Har dere ikke kvalifiserte prosedyrer for sjekking av identitet til den dere utesteder brukernavn og passord til, vil heller ikke denne løsningen være godkjent.

Sky ID utfører forsvarlig logging av datatrafikk i nettverket og lagrer denne i henhold til aktuelle forskrifter. Denne informasjonen vil etter utløpt periode bli slettet.

I teksten er det svært mange feil. For det første blir ikke DLD innført før 1. juli. I tillegg er det ennå ikke klart hvilke aktører som vil få lagringsplikt.

- Dette er nok utdaterte opplysninger. Hvis det som står i vårt produktark er uklart må vi åpenbart utbedre det. Men vi er tydelig med kundene om hva som eventuelt vil skje når DLD blir innført, sier Thomas Jelle.

- Vi snakker altså ikke om tjuvstarting av direktivet. Det var en blanding av en misforståelse fra Drammen sin side og unøyaktighet i produktbladet om tjenesten Sky ID. Leverandøren av produktet har opplysinger om DLD som er villende, sier Pellerud i Datatilsynet.

Driftsavdelingen oppfatter ikke at de har misforstått noe, og understreker at de vet at DLD ennå ikke er innført i norsk lov.

- Dette burde kommet tydeligere frem i artikkelen. Det burde stått at den aktuelle tjenesten er forberedt for å oppfylle DLDs bestemmelser om lagring av trafikkdata dersom vi skulle bli omfattet av disse. At vi kan ha uttalt oss til Drammens tidende på en slik måte at saken fikk den ordlyd den fikk må vi bare ta på vår kappe, sier daglig leder Arne Hvidsten i Drammensregionen IKT til digi.no.

Han forteller at de logger aktivitet i nettverket av hensyn til administrasjon av løsningen, og for å håndtere eventuelle sikkerhetsbrudd. Ikke for å overvåke enkeltbrukere.

- Disse loggene lagres rutinemessig i tre uker, og slettes såfremt de ikke er nødvendige å etter nevnte behov. Dette er samme praksis som vi følger når det gjelder trafikk i interne nett, og det er noe vi mener vi har full anledning til med hjemmel i personopplysningsforskriftens paragraf 7-11, sier Hvidsten.

Drammensregionen IKT har ennå ikke skrudd på registreringen av trafikkdata i det trådløse nettet de tilbyr i sentrum.

- Vi har så langt ikke skrudd den på igjen. Vi har rettet en henvendelse til Datatilsynet og bedt dem om en oppklarende tilbakemelding. Denne har vi så langt ikke mottatt svar på, forteller Hvidsten.

Drammens tidende trykket lørdag en rettelse, etter at Datatilsynet reagerte. <i>Bilde: Drammens tidende</i>
Drammens tidende trykket lørdag en rettelse, etter at Datatilsynet reagerte. Bilde: Drammens tidende

Dette er Sky ID

Leverandøren av Sky ID sitter på en løsning som i teorien kan bli mer etterspurt når DLD blir innført. Per i dag har de rundt 10 kunder. Ifølge dem selv har de ingen direkte konkurrenter som leverer det samme i Nord-Europa.

- Vi venter ingen bonanza, men vet at en del aktører kommer til å bli berørt, sier Thomas Jelle i Sky Labs.

Sky ID er teknologi som er utviklet ved NTNU, og har bakgrunn i prosjektet med opprettelsen av Trådløse Tronheim tilbake i 2006.

- Vi bygde et nett som var åpent i store deler av Trondheim sentrum. Da var det viktig for oss å ha kontroll med hvem som brukt nettet, og for å kunne spore opp eventuelt misbruk, sier Jelle.

Etter å ha skapt systemet for brukerhåndtering kom det forespørsler fra kommuner og andre aktører som var interessert i det samme. Etter å ha fått støtte også fra Innovasjon Norge ble tjenesten kommersialisert.

- Løsningen gjør at IT-avdelingen får oversikt over brukerne i nettverket, og med statsitikk som gjør at de kan bruke dette proaktivt i en driftssituasjon. Kundene våre bestiller dette som en tjeneste, enten det er gratis tilgang til trådløse nett med SMS-registering, eller via oppslag i en bedriftsdatabase eller med kredittkort. Den samme tjenesten kan benyttes også i kablede nett, sier Sky Labs-sjefen til digi.no.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.