Erhvervsudvalget 2019-20
ERU Alm.del Bilag 250
Offentligt
2181392_0001.png
24. april 2020
/allvil, ningus, chtoch
Sag 2020-2309
Notat vedrørende teleselskabers udlevering af oplysninger til politiet
på baggrund af retskendelser
Baggrund
Erhvervsstyrelsen modtog i sommeren 2019 en indberetning om et sikkerheds-
brud fra teleselskabet Telenor, der ved en fejl havde medsendt SMS-indhold i
forbindelse med, at selskabet leverede datasæt til politiet på baggrund af rets-
kendelser. Fejlen blev rettet hos Telenor, og Erhvervsstyrelsen afsluttede sagen.
Sagen blev imidlertid omtalt i medierne i løbet af januar og februar 2020. I den
forbindelse blev Erhvervsstyrelsen gjort opmærksom på, at Telenor
ifølge
Rigspolitiet
fortsat oversendte for meget information som en del af de data,
der oversendes efter politiets anmodning.
Erhvervsstyrelsen har endvidere i januar og februar 2020 modtaget indberet-
ninger om brud på persondatasikkerheden fra yderligere to selskaber
TDC og
Hi3G
i forbindelse med behandling af oplysninger på baggrund af retskendel-
ser fra politiet. Herudover er styrelsen også blevet bekendt med, at Telia mu-
ligvis, ligesom de øvrige selskaber, har udfordringer med denne problematik.
Der er således tale om tre særskilte sagsområder:
1. Telenors sag om udlevering af SMS-indhold
2. Telenors sag om udlevering af (for mange) oplysninger til politiet
3. Øvrige sager om udlevering af oplysninger til politiet
Sagerne drejer sig i alle tilfælde om, at selskaberne på baggrund af retskendel-
ser har udleveret datasæt til politiet, som ifølge Rigspolitiet indeholder flere op-
lysninger, end politiet har anmodet om. Der er dog tale om separate sager, hvor
det konkrete indhold og sagsforløbet er forskelligt, hvorfor der redegøres for
dem enkeltvis nedenfor.
ERHVERVSS TYRELSE N
Dahlerups Pakhus
Langelinie Allé 17
2100 København Ø
Tlf.
35 29 10 00
CVR-nr 10 15 08 17
E-post [email protected]
www.erst.dk
ERHVERVSMINISTERIET
Ad 1. Telenors sag om udlevering af SMS-indhold
Sagen kort
Denne sag handler om, at Telenor ved en fejl og uden at vide det oversendte
SMS-indhold til politiet i flere tilfælde. Dataudleveringen skete på baggrund af
en retskendelse, men politiet havde kun anmodet om udlevering af oplysninger
om, hvilke mobiltelefoner der havde befundet sig på et bestemt sted i et be-
 ERU, Alm.del - 2019-20 - Bilag 250: Orientering om Erhvervsstyrelsens redegørelse af Telenor-sagen, fra erhvervsministeren
2/7
stemt tidsrum
og altså ikke SMS-indhold. Fejlen var sket i Telenors it-
systemer, der bruges til eksport af datasæt til politiet. Telenor rettede efterføl-
gende fejlen og indførte passende foranstaltninger, hvorfor Erhvervsstyrelsen
har afsluttet sagen.
Sagens forløb og indhold
Erhvervsstyrelsen modtog den 7. juni 2019 en indberetning fra Telenor om, at
politiet havde modtaget SMS-indhold i de datasæt, som Telenor havde over-
sendt til politiet, når politiet på baggrund af retskendelser havde anmodet om
udlevering af data. Det fremgik af sagen, at SMS-indholdet ikke var synligt for
Telenor, og at Telenor ikke vidste, at SMS-indholdet var synligt for politiet.
Det fremgik desuden af sagen, at fejlen var sket i de systemer, som anvendes til
at eksportere datasæt til politiet.
Telenor oplyste i forbindelse med indberetningen, at Rigspolitiet første gang
henvendte sig til Telenor i marts 2019 omkring sagen. Telenor kunne ikke se
fejlen i deres systemer, da Telenor sletter det udleverede data efter oversendel-
se til politiet. Telenor oplyste endvidere i sagen, at Rigspolitiet den 28. maj
2019 igen gjorde Telenor opmærksom på, at Telenor fortsat udleverede SMS-
indhold til politiet. I begge tilfælde anmodede Telenor politiet om et eksempel
på et datasæt med henblik på at kunne foretage en fejlsøgning.
Den 6. juni 2019 modtog Telenor efter det oplyste et eksempel fra politiet på et
udleveret datasæt, hvorpå selskabet konstaterede fejlen, der havde forårsaget
sikkerhedsbruddet. I den forbindelse har Telenor over for Erhvervsstyrelsen op-
lyst, at indholdet af en sms er en del af den data, som selskabet rutinemæssigt
bruger til fejlretning i netværket. Telenor har endvidere oplyst, at de ikke selv
på noget tidspunkt har teknisk mulighed for at se indholdet af sms’er,
idet
SMS-indholdet er maskeret med stjerner i Telenors fejlretningssystemer. De
omtalte fejl er således ifølge Telenor sket ved eksporten af data fra Telenor til
politiet, idet SMS-indholdet her er blevet synligt for politiet i stedet for at være
maskeret med stjerner.
Da fejlen var blevet identificeret iværksatte Telenor straks fejlretning, og ind-
førte en procedure for at tjekke og slette eventuel SMS-indhold manuelt indtil
fejlretning i de tekniske systemer var gennemført. Telenor oplyste, at fejlen i de
tekniske systemer blev endeligt rettet den 20. juni 2019.
Det bemærkes, at teleselskaberne lovligt opbevarer bestemte typer af data i op
til 14 dage i forbindelse med fejlretning i mobilnettet, idet det er nødvendigt for
selskaberne at opbevare sådanne data, hvis abonnenter eller brugere henvender
sig vedrørende fejl knyttet til brugen af et mobilabonnement.
Erhvervsstyrelsens behandling af sagen
I forlængelse af Telenors indberetning af ovenstående sikkerhedsbrud sikrede
Erhvervsstyrelsen sig, at selskabet havde stoppet de pågældende sikkerheds-
brud, og at Telenor tog de fornødne skridt til, at det ikke kunne ske igen. Såle-
des konstaterede styrelsen, at Telenor allerede ved indberetningen var bekendt
med, hvilken fejl der havde forårsaget sikkerhedsbruddet, ligesom Telenor
 ERU, Alm.del - 2019-20 - Bilag 250: Orientering om Erhvervsstyrelsens redegørelse af Telenor-sagen, fra erhvervsministeren
3/7
samtidig fastsatte procedurer, der herefter forhindrede lignende hændelser i at
forekomme fremadrettet. De SMS-data, som var blevet udleveret til Rigspoliti-
et, blev slettet hos Telenor umiddelbart efter fremsendelse, hvilket er normal
procedure.
På baggrund af Erhvervsstyrelsens løbende dialog med Telenor og selskabets
implementerede foranstaltninger som følge af hændelsen, konkluderede Er-
hvervsstyrelsen, at der ikke var grundlag for at indgive politianmeldelse af Te-
lenor i anledning af denne sag.
Erhvervsstyrelsen afsluttede således sagen, idet Telenors foranstaltninger blev
vurderet passende.
Spørgsmålet om underretning af de berørte borgere
Efter en konkret vurdering vurderede Erhvervsstyrelsen endvidere, at der ikke
efter telelovgivningen var grundlag for at pålægge Telenor pligt til at underrette
de berørte abonnenter eller personer om bruddet. Styrelsen anbefalede dog Te-
lenor at kontakte Rigspolitiet for at drøfte spørgsmålet om underretning.
I forbindelse med medieomtalen af den konkrete sag i januar og februar 2020
blev der udtrykt kritik af, at de borgere, hvis oplysninger ved en fejl var blevet
udleveret til politiet, ikke var blevet underrettet om hændelsen. På den bag-
grund foretog Erhvervsstyrelsen på ny en grundig juridisk vurdering af
spørgsmålet om underretningspligt. Det er fortsat Erhvervsstyrelsens konklusi-
on, at der ikke er belæg for at påbyde Telenor en pligtmæssig underretning af
de berørte personer, idet:
den lovlige fremsendelse af oplysningerne sker til brug for Rigspoliti-
ets efterforskning af strafbare forhold,
at visse af disse personer ikke nødvendigvis er eller må være vidende
om, at der pågår politimæssig efterforskning mod dem,
at videregivelsen er sket efter anmodning på baggrund af en retsken-
delse, og at der således ikke er tale om et ubevidst læk eller utilsigtet
videregivelse til offentligheden eller en anden utilsigtet adressat fx en
privat fysisk eller juridisk person eller fremmed magt, ligesom der ikke
er risiko for, at bruddet kan medføre identitetstyveri eller svig, fysisk
skade, psykologisk forstyrrelse, tort eller skade af omdømme.
Ad 2. Telenors sag om udlevering af (for mange) oplysninger til poli-
tiet
Sagen kort
Denne sag handler om, at Telenor muligvis har sendt for mange oplysninger
om de omfattede telefoner til politiet i forbindelse med en retskendelse om ud-
levering af såkaldt ”signaleringsdata”.
I det datasæt, som Telenor har udleveret
til politiet, fremgår bl.a. information om, hvorvidt der er sket kommunikation
til og fra de pågældende telefonnumre
altså om en telefon bliver anvendt til at
afsende eller modtage et opkald eller sms. Efter Erhvervsstyrelsens forståelse
mener politiet, at denne oplysning er for meget information i forhold til de op-
lysninger, som retskendelserne pålægger teleselskaberne at udlevere. Sagen
bunder muligvis i manglende klarhed og enighed om, hvad der ligger i netop
 ERU, Alm.del - 2019-20 - Bilag 250: Orientering om Erhvervsstyrelsens redegørelse af Telenor-sagen, fra erhvervsministeren
4/7
begrebet signaleringsdata. Sagen er ikke afsluttet og er fortsat ved at blive be-
lyst.
Sagens forløb og indhold
Erhvervsstyrelsen blev i slutningen af januar 2020 via medierne gjort opmærk-
som på, at Telenor har oversendt for mange oplysninger til politiet som en del
af de signaleringsdata, der oversendes efter politiets anmodning.
Erhvervsstyrelsen anmodede på den baggrund den 28. januar 2020 Telenor om
enten at indberette et sikkerhedsbrud eller redegøre for, hvorfor der ikke er tale
om oversendelse af for meget information til politiet og dermed et sikkerheds-
brud.
Erhvervsstyrelsen modtog en redegørelse fra Telenor den 29. januar 2020,
hvoraf det fremgår, at selskabet udleverer oplysninger til politiet på baggrund
af en retskendelse, som lyder på udlevering af signaleringsdata. Det fremgår af
Telenors redegørelse, at information om, hvorvidt et givet telefonnummer er
afsendende eller modtagende part, er en integreret del af signaleringsdata. Te-
lenor mener på den baggrund, at selskabet har udleveret information til politiet
i overensstemmelse med den anmodning og kendelse, som Telenor har modta-
get om udlevering af signaleringsdata. Det har Telenor ifølge deres oplysninger
i øvrigt svaret politiet ved mail af 8. august 2019. Telenor mener derfor ikke, at
der er sket et brud på persondatasikkerheden i den pågældende sag.
Telenor præsenterede på et møde den 4. februar en supplerende redegørelse
vedrørende de verserende sager. På mødet oplyste Telenor, at Rigspolitiet kon-
taktede selskabet den 28. maj 2019 og underrettede selskabet om, at Rigspoliti-
et kan se SMS-indhold (jf. ovenstående sag). Det blev også i denne samtale
nævnt, at Rigspolitiet modtager mere data, end de har behov for, når de modta-
ger signaleringsdata. Telenor oplyser, at de på daværende tidspunkt antog, at
omtalen af ”mere data, end de har behov for”
henviste til SMS-indhold.
Telenor oplyste endvidere om, at Rigspolitiet vendte tilbage til Telenor primo-
august for at præcisere, at de
med ”mere data, end de har behov for”
mener B-
numre. Telenor oplyste desuden at de i forbindelse med deres svar til politiet
den 8. august 2019 (jf. ovenfor), anmoder politiet om at præcisere, hvilken in-
formation de reelt har brug for, når de anmoder om signaleringsdata.
Telenor oplyste desuden, at selskabet i mangel af input fra politiet i februar
2020 har sammensat et datasæt, som er selskabets bud på, hvad politiet reelt ef-
terspørger, når de anmoder om signaleringsdata. Telenor oplyste videre, at de
vil sende en skrivelse til politiet omkring det nye datasæt og bede om deres
kommentarer.
Af den supplerende redegørelse fra Telenor fremgår det, at Telenor på bag-
grund af en fornyet vurdering formoder, at politiet ønsker information om hvil-
ke telefonnumre, der har været til stede på et givet tidspunkt på et givent områ-
de, men uden information om, hvorvidt der er sket kommunikation til og fra de
 ERU, Alm.del - 2019-20 - Bilag 250: Orientering om Erhvervsstyrelsens redegørelse af Telenor-sagen, fra erhvervsministeren
5/7
pågældende telefonnumre. Telenor oplyser, at de derfor fremadrettet vil levere
nye datasæt uden den pågældende information.
Erhvervsstyrelsen har onsdag den 26. februar 2020 modtaget Rigspolitiets be-
mærkninger til Telenors redegørelse. Af Rigspolitiets bemærkninger fremgår,
at man vil drøfte spørgsmålet om fortolkningen af retsplejelovens regler om ud-
levering (edition) i et telebrancheforum
herunder særligt med fokus på for-
tolkningen af begrebet ”signaleringsdata”.
Rigspolitiet har i øvrigt gennemgået
relevante regler i retsplejeloven samt henvist til retspraksis omkring disse reg-
ler.
Erhvervsstyrelsens behandling af sagen
Erhvervsstyrelsen har stillet en række supplerende spørgsmål til Telenor mhp.
yderligere at oplyse sagen
bl.a. på baggrund af Rigspolitiets bemærkninger.
Erhvervsstyrelsen har således endnu ikke truffet afgørelse om, hvorvidt denne
hændelse udgør et sikkerhedsbrud efter telelovens regler.
Ad 3. Øvrige sager om udlevering af oplysninger til politiet
Udover de to ovenstående sager har Erhvervsstyrelsen i januar og februar 2020
modtaget indberetninger om brud på persondatasikkerheden fra yderligere to
selskaber
TDC og Hi3G
i forbindelse med behandling af oplysninger på
baggrund af retskendelser fra politiet. Herudover er styrelsen også blevet be-
kendt med, at Telia muligvis, ligesom de øvrige selskaber, har udfordringer
med denne problematik.
Der tegner sig således et generelt billede af, at der er en række udfordringer
vedr. teleselskabernes udlevering af data til politiet. Det er Erhvervsstyrelsens
umiddelbare vurdering, at udfordringerne bl.a. bunder i, at der ikke er enighed
om fortolkningen af de begreber, der anvendes i forbindelse med retskendelser
om udlevering af oplysninger fra teleselskaberne til politiet.
Erhvervsstyrelsens gennemførelse af emnebaseret tilsyn
Erhvervsstyrelsen har på baggrund af de omtalte sager iværksat et
såkaldt ’em-
nebaseret tilsyn’ vedrørende teleselskabernes (Hi3G, TDC, Telenor, Telia) ud-
levering af oplysninger til politiet på baggrund af retskendelser fra politiet.
Tilsynet vil fokusere på teleselskabernes tekniske og organisatoriske foranstalt-
ninger ved udlevering af teleoplysninger til politiet som følge af retskendelser,
herunder procedurer og risici ved udtræk, indholdsmæssig vurdering af udtræk
og hvordan data oversendes til politiet. Erhvervsstyrelsen modtog i uge 12 tele-
selskabernes redegørelse, og redegørelserne er fulgt op af møder med de enkel-
te selskaber. Møderækken blev afsluttet i uge 17.
Overordnet set viser tilsynet, at teleselskaberne har en række foranstaltninger
på plads for at imødegå, at der sker fejl i forbindelse med håndteringen af poli-
tiets anmodninger om udlevering af data. Foranstaltninger vedrører bl.a. perso-
nale, procedurer for søgning i diverse systemer, sikring og oversendelse af ud-
træk, slettepolitik samt kontrol af kendelser.
 ERU, Alm.del - 2019-20 - Bilag 250: Orientering om Erhvervsstyrelsens redegørelse af Telenor-sagen, fra erhvervsministeren
6/7
Erhvervsstyrelsen er nu ved at vurdere, hvorvidt sagerne skal forfølges yderli-
gere.
 ERU, Alm.del - 2019-20 - Bilag 250: Orientering om Erhvervsstyrelsens redegørelse af Telenor-sagen, fra erhvervsministeren
7/7
Bilag: Erhvervsstyrelsens rolle som uafhængig myndighed
Erhvervsstyrelsen påser, som uafhængig tilsynsmyndighed, at teleselskaberne
overholder krav i telelovgivningen, der skal sikre kundernes og andres person-
datasikkerhed i forbindelse med deres telefoni-tjenester.
Det følger af telelovgivningen, at teleselskaberne har ansvaret for løbende at
træffe passende og tekniske og organisatoriske foranstaltninger for at imødegå,
at der sker brud på persondatasikkerheden, og at teleselskaberne indberetter
brud på persondatasikkerheden til Erhvervsstyrelsen, hvis det alligevel sker.
Herudover påser Erhvervsstyrelsen også telelovens bestemmelser om, at tele-
selskaber ikke uberettiget må videregive oplysninger om andres (abonnenters
mv.) brug af deres tjenester eller indholdet af brugen af tjenesten. Bestemmel-
sen må forstås som en strafsanktioneret tavshedspligt for teleselskaberne og
dets ansatte i forhold til meddelelseshemmeligheden.
Ved indberetningen af et sikkerhedsbrud fører Erhvervsstyrelsen tilsyn med,
om sikkerhedsbruddet er stoppet, således at følgerne deraf minimeres, ligesom
det vurderes, hvorvidt teleselskaberne skal pålægges en pligt til at foretage un-
derretning af de berørte personer, såfremt teleselskaberne ikke har underrettet
de berørte personer. Forudsætningerne for, at Erhvervsstyrelsen pålægger sel-
skaber at underrette, er at et brud ”kan forventes at krænke
personoplysninger
eller privatlivets fred” for en abonnent eller anden person. Der er altså ikke un-
derretningspligt for ethvert brud.
I forbindelse med Erhvervsstyrelsens vurdering af underretning, er der opstillet
en række forhold, der skal tages hensyn til i denne vurdering
herunder karak-
teren af indholdet, sandsynlige følger af bruddet (herunder identitetstyveri eller
svig) og om oplysningerne er i en uautoriseret tredjemands besiddelse.
Slutteligt er formålet med tilsynet at påse, at teleselskaberne, hvis det er nød-
vendigt og relevant, træffer passende foranstaltninger for at hindre at lignende
tilfælde finder sted igen.
I tilfælde af teleselskabers brud på persondatasikkerheden, har Erhvervsstyrel-
sen følgende sanktionsmuligheder:
Erhvervsstyrelsen kan meddele påbud
fx om at selskabet skal gen-
nemføre bestemte foranstaltninger
Et evt. påbud kan følges op med tvangsbøder, hvis et eventuelt påbud
ikke efterkommes.
Erhvervsstyrelsen kan indgive politianmeldelse ud fra en konkret vur-
dering af sagens omstændigheder