Retsudvalget 2019-20
REU Alm.del
Offentligt
2220576_0001.png
24. april 2020
/allvil, ningus, chtoch
Sag 2020-2309
Notat vedrørende teleselskabers udlevering af oplysninger til politiet
på baggrund af retskendelser
Baggrund
Erhvervsstyrelsen modtog i sommeren 2019 en indberetning om et sikkerheds-
brud fra teleselskabet Telenor, der ved en fejl havde medsendt SMS-indhold i
forbindelse med, at selskabet leverede datasæt til politiet på baggrund af retsken-
delser. Fejlen blev rettet hos Telenor, og Erhvervsstyrelsen afsluttede sagen.
Sagen blev imidlertid omtalt i medierne i løbet af januar og februar 2020. I den
forbindelse blev Erhvervsstyrelsen gjort opmærksom på, at Telenor
ifølge
Rigspolitiet
fortsat oversendte for meget information som en del af de data, der
oversendes efter politiets anmodning.
Erhvervsstyrelsen har endvidere i januar og februar 2020 modtaget indberetnin-
ger om brud på persondatasikkerheden fra yderligere to selskaber
TDC og
Hi3G
i forbindelse med behandling af oplysninger på baggrund af retskendel-
ser fra politiet. Herudover er styrelsen også blevet bekendt med, at Telia mulig-
vis, ligesom de øvrige selskaber, har udfordringer med denne problematik.
Der er således tale om tre særskilte sagsområder:
1. Telenors sag om udlevering af SMS-indhold
2. Telenors sag om udlevering af (for mange) oplysninger til politiet
3. Øvrige sager om udlevering af oplysninger til politiet
Sagerne drejer sig i alle tilfælde om, at selskaberne på baggrund af retskendelser
har udleveret datasæt til politiet, som ifølge Rigspolitiet indeholder flere oplys-
ninger, end politiet har anmodet om. Der er dog tale om separate sager, hvor det
konkrete indhold og sagsforløbet er forskelligt, hvorfor der redegøres for dem
enkeltvis nedenfor.
ERHVERVSSTY RELSEN
Dahlerups Pakhus
Langelinie Allé 17
2100 København Ø
Tlf.
35 29 10 00
CVR-nr 10 15 08 17
E-post [email protected]
www.erst.dk
ERHVERVSMINISTERIET
Ad 1. Telenors sag om udlevering af SMS-indhold
Sagen kort
Denne sag handler om, at Telenor ved en fejl og uden at vide det oversendte
SMS-indhold til politiet i flere tilfælde. Dataudleveringen skete på baggrund af
en retskendelse, men politiet havde kun anmodet om udlevering af oplysninger
om, hvilke mobiltelefoner der havde befundet sig på et bestemt sted i et bestemt
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 762: Spm. om de personer der uberettiget har fået udleveret indholdet af sms’er til politiet, er blevet orienteret herom, til erhvervsministeren
2/6
tidsrum
og altså ikke SMS-indhold. Fejlen var sket i Telenors it-systemer, der
bruges til eksport af datasæt til politiet. Telenor rettede efterfølgende fejlen og
indførte passende foranstaltninger, hvorfor Erhvervsstyrelsen har afsluttet sagen.
Sagens forløb og indhold
Erhvervsstyrelsen modtog den 7. juni 2019 en indberetning fra Telenor om, at
politiet havde modtaget SMS-indhold i de datasæt, som Telenor havde oversendt
til politiet, når politiet på baggrund af retskendelser havde anmodet om udleve-
ring af data. Det fremgik af sagen, at SMS-indholdet ikke var synligt for Telenor,
og at Telenor ikke vidste, at SMS-indholdet var synligt for politiet. Det fremgik
desuden af sagen, at fejlen var sket i de systemer, som anvendes til at eksportere
datasæt til politiet.
Telenor oplyste i forbindelse med indberetningen, at Rigspolitiet første gang
henvendte sig til Telenor i marts 2019 omkring sagen. Telenor kunne ikke se
fejlen i deres systemer, da Telenor sletter det udleverede data efter oversendelse
til politiet. Telenor oplyste endvidere i sagen, at Rigspolitiet den 28. maj 2019
igen gjorde Telenor opmærksom på, at Telenor fortsat udleverede SMS-indhold
til politiet. I begge tilfælde anmodede Telenor politiet om et eksempel på et da-
tasæt med henblik på at kunne foretage en fejlsøgning.
Den 6. juni 2019 modtog Telenor efter det oplyste et eksempel fra politiet på et
udleveret datasæt, hvorpå selskabet konstaterede fejlen, der havde forårsaget sik-
kerhedsbruddet. I den forbindelse har Telenor over for Erhvervsstyrelsen oplyst,
at indholdet af en sms er en del af den data, som selskabet rutinemæssigt bruger
til fejlretning i netværket. Telenor har endvidere oplyst, at de ikke selv på noget
tidspunkt har teknisk mulighed for at se indholdet af sms’er,
idet
SMS-indholdet
er maskeret med stjerner i Telenors fejlretningssystemer. De omtalte fejl er såle-
des ifølge Telenor sket ved eksporten af data fra Telenor til politiet, idet SMS-
indholdet her er blevet synligt for politiet i stedet for at være maskeret med stjer-
ner.
Da fejlen var blevet identificeret iværksatte Telenor straks fejlretning, og ind-
førte en procedure for at tjekke og slette eventuel SMS-indhold manuelt indtil
fejlretning i de tekniske systemer var gennemført. Telenor oplyste, at fejlen i de
tekniske systemer blev endeligt rettet den 20. juni 2019.
Det bemærkes, at teleselskaberne lovligt opbevarer bestemte typer af data i op
til 14 dage i forbindelse med fejlretning i mobilnettet, idet det er nødvendigt for
selskaberne at opbevare sådanne data, hvis abonnenter eller brugere henvender
sig vedrørende fejl knyttet til brugen af et mobilabonnement.
Erhvervsstyrelsens behandling af sagen
I forlængelse af Telenors indberetning af ovenstående sikkerhedsbrud sikrede
Erhvervsstyrelsen sig, at selskabet havde stoppet de pågældende sikkerhedsbrud,
og at Telenor tog de fornødne skridt til, at det ikke kunne ske igen. Således kon-
staterede styrelsen, at Telenor allerede ved indberetningen var bekendt med,
hvilken fejl der havde forårsaget sikkerhedsbruddet, ligesom Telenor samtidig
fastsatte procedurer, der herefter forhindrede lignende hændelser i at forekomme
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 762: Spm. om de personer der uberettiget har fået udleveret indholdet af sms’er til politiet, er blevet orienteret herom, til erhvervsministeren
3/6
fremadrettet. De SMS-data, som var blevet udleveret til Rigspolitiet, blev slettet
hos Telenor umiddelbart efter fremsendelse, hvilket er normal procedure.
På baggrund af Erhvervsstyrelsens løbende dialog med Telenor og selskabets
implementerede foranstaltninger som følge af hændelsen, konkluderede Er-
hvervsstyrelsen, at der ikke var grundlag for at indgive politianmeldelse af Tele-
nor i anledning af denne sag.
Erhvervsstyrelsen afsluttede således sagen, idet Telenors foranstaltninger blev
vurderet passende.
Spørgsmålet om underretning af de berørte borgere
Efter en konkret vurdering vurderede Erhvervsstyrelsen endvidere, at der ikke
efter telelovgivningen var grundlag for at pålægge Telenor pligt til at underrette
de berørte abonnenter eller personer om bruddet. Styrelsen anbefalede dog Tele-
nor at kontakte Rigspolitiet for at drøfte spørgsmålet om underretning.
I forbindelse med medieomtalen af den konkrete sag i januar og februar 2020
blev der udtrykt kritik af, at de borgere, hvis oplysninger ved en fejl var blevet
udleveret til politiet, ikke var blevet underrettet om hændelsen. På den baggrund
foretog Erhvervsstyrelsen på ny en grundig juridisk vurdering af spørgsmålet om
underretningspligt. Det er fortsat Erhvervsstyrelsens konklusion, at der ikke er
belæg for at påbyde Telenor en pligtmæssig underretning af de berørte personer,
idet:
den lovlige fremsendelse af oplysningerne sker til brug for Rigspolitiets
efterforskning af strafbare forhold,
at visse af disse personer ikke nødvendigvis er eller må være vidende
om, at der pågår politimæssig efterforskning mod dem,
at videregivelsen er sket efter anmodning på baggrund af en retsken-
delse, og at der således ikke er tale om et ubevidst læk eller utilsigtet
videregivelse til offentligheden eller en anden utilsigtet adressat fx en
privat fysisk eller juridisk person eller fremmed magt, ligesom der ikke
er risiko for, at bruddet kan medføre identitetstyveri eller svig, fysisk
skade, psykologisk forstyrrelse, tort eller skade af omdømme.
Ad 2. Telenors sag om udlevering af (for mange) oplysninger til poli-
tiet
Sagen kort
Denne sag handler om, at Telenor muligvis har sendt for mange oplysninger om
de omfattede telefoner til politiet i forbindelse med en retskendelse om udleve-
ring af såkaldt ”signaleringsdata”.
I det datasæt, som Telenor har udleveret til
politiet, fremgår bl.a. information om, hvorvidt der er sket kommunikation til og
fra de pågældende telefonnumre
altså om en telefon bliver anvendt til at af-
sende eller modtage et opkald eller sms. Efter Erhvervsstyrelsens forståelse me-
ner politiet, at denne oplysning er for meget information i forhold til de oplys-
ninger, som retskendelserne pålægger teleselskaberne at udlevere. Sagen bunder
muligvis i manglende klarhed og enighed om, hvad der ligger i netop begrebet
signaleringsdata. Sagen er ikke afsluttet og er fortsat ved at blive belyst.
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 762: Spm. om de personer der uberettiget har fået udleveret indholdet af sms’er til politiet, er blevet orienteret herom, til erhvervsministeren
4/6
Sagens forløb og indhold
Erhvervsstyrelsen blev i slutningen af januar 2020 via medierne gjort opmærk-
som på, at Telenor har oversendt for mange oplysninger til politiet som en del af
de signaleringsdata, der oversendes efter politiets anmodning.
Erhvervsstyrelsen anmodede på den baggrund den 28. januar 2020 Telenor om
enten at indberette et sikkerhedsbrud eller redegøre for, hvorfor der ikke er tale
om oversendelse af for meget information til politiet og dermed et sikkerheds-
brud.
Erhvervsstyrelsen modtog en redegørelse fra Telenor den 29. januar 2020, hvoraf
det fremgår, at selskabet udleverer oplysninger til politiet på baggrund af en rets-
kendelse, som lyder på udlevering af signaleringsdata. Det fremgår af Telenors
redegørelse, at information om, hvorvidt et givet telefonnummer er afsendende
eller modtagende part, er en integreret del af signaleringsdata. Telenor mener på
den baggrund, at selskabet har udleveret information til politiet i overensstem-
melse med den anmodning og kendelse, som Telenor har modtaget om udleve-
ring af signaleringsdata. Det har Telenor ifølge deres oplysninger i øvrigt svaret
politiet ved mail af 8. august 2019. Telenor mener derfor ikke, at der er sket et
brud på persondatasikkerheden i den pågældende sag.
Telenor præsenterede på et møde den 4. februar en supplerende redegørelse ved-
rørende de verserende sager. På mødet oplyste Telenor, at Rigspolitiet kontak-
tede selskabet den 28. maj 2019 og underrettede selskabet om, at Rigspolitiet kan
se SMS-indhold (jf. ovenstående sag). Det blev også i denne samtale nævnt, at
Rigspolitiet modtager mere data, end de har behov for, når de modtager signale-
ringsdata. Telenor oplyser, at de på daværende tidspunkt antog, at omtalen af
”mere data, end de har behov for”
henviste til SMS-indhold.
Telenor oplyste endvidere om, at Rigspolitiet vendte tilbage til Telenor primo-
august for at præcisere, at de
med ”mere data, end de har behov for”
mener B-
numre. Telenor oplyste desuden at de i forbindelse med deres svar til politiet den
8. august 2019 (jf. ovenfor), anmoder politiet om at præcisere, hvilken informa-
tion de reelt har brug for, når de anmoder om signaleringsdata.
Telenor oplyste desuden, at selskabet i mangel af input fra politiet i februar 2020
har sammensat et datasæt, som er selskabets bud på, hvad politiet reelt efterspør-
ger, når de anmoder om signaleringsdata. Telenor oplyste videre, at de vil sende
en skrivelse til politiet omkring det nye datasæt og bede om deres kommentarer.
Af den supplerende redegørelse fra Telenor fremgår det, at Telenor på baggrund
af en fornyet vurdering formoder, at politiet ønsker information om hvilke tele-
fonnumre, der har været til stede på et givet tidspunkt på et givent område, men
uden information om, hvorvidt der er sket kommunikation til og fra de pågæl-
dende telefonnumre. Telenor oplyser, at de derfor fremadrettet vil levere nye da-
tasæt uden den pågældende information.
Erhvervsstyrelsen har onsdag den 26. februar 2020 modtaget Rigspolitiets be-
mærkninger til Telenors redegørelse. Af Rigspolitiets bemærkninger fremgår, at
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 762: Spm. om de personer der uberettiget har fået udleveret indholdet af sms’er til politiet, er blevet orienteret herom, til erhvervsministeren
5/6
man vil drøfte spørgsmålet om fortolkningen af retsplejelovens regler om udle-
vering (edition) i et telebrancheforum
herunder særligt med fokus på fortolk-
ningen af begrebet ”signaleringsdata”.
Rigspolitiet har i øvrigt gennemgået rele-
vante regler i retsplejeloven samt henvist til retspraksis omkring disse regler.
Erhvervsstyrelsens behandling af sagen
Erhvervsstyrelsen har stillet en række supplerende spørgsmål til Telenor mhp.
yderligere at oplyse sagen
bl.a. på baggrund af Rigspolitiets bemærkninger.
Erhvervsstyrelsen har således endnu ikke truffet afgørelse om, hvorvidt denne
hændelse udgør et sikkerhedsbrud efter telelovens regler.
Ad 3. Øvrige sager om udlevering af oplysninger til politiet
Udover de to ovenstående sager har Erhvervsstyrelsen i januar og februar 2020
modtaget indberetninger om brud på persondatasikkerheden fra yderligere to sel-
skaber
TDC og Hi3G
i forbindelse med behandling af oplysninger på bag-
grund af retskendelser fra politiet. Herudover er styrelsen også blevet bekendt
med, at Telia muligvis, ligesom de øvrige selskaber, har udfordringer med denne
problematik.
Der tegner sig således et generelt billede af, at der er en række udfordringer vedr.
teleselskabernes udlevering af data til politiet. Det er Erhvervsstyrelsens umid-
delbare vurdering, at udfordringerne bl.a. bunder i, at der ikke er enighed om
fortolkningen af de begreber, der anvendes i forbindelse med retskendelser om
udlevering af oplysninger fra teleselskaberne til politiet.
Erhvervsstyrelsens gennemførelse af emnebaseret tilsyn
Erhvervsstyrelsen har på baggrund af de omtalte sager iværksat et
såkaldt ’em-
nebaseret tilsyn’ vedrørende teleselskabernes (Hi3G, TDC, Telenor, Telia) udle-
vering af oplysninger til politiet på baggrund af retskendelser fra politiet.
Tilsynet vil fokusere på teleselskabernes tekniske og organisatoriske foranstalt-
ninger ved udlevering af teleoplysninger til politiet som følge af retskendelser,
herunder procedurer og risici ved udtræk, indholdsmæssig vurdering af udtræk
og hvordan data oversendes til politiet. Erhvervsstyrelsen modtog i uge 12 tele-
selskabernes redegørelse, og redegørelserne er fulgt op af møder med de enkelte
selskaber. Møderækken blev afsluttet i uge 17.
Overordnet set viser tilsynet, at teleselskaberne har en række foranstaltninger på
plads for at imødegå, at der sker fejl i forbindelse med håndteringen af politiets
anmodninger om udlevering af data. Foranstaltninger vedrører bl.a. personale,
procedurer for søgning i diverse systemer, sikring og oversendelse af udtræk,
slettepolitik samt kontrol af kendelser.
Erhvervsstyrelsen er nu ved at vurdere, hvorvidt sagerne skal forfølges yderli-
gere.
Bilag: Erhvervsstyrelsens rolle som uafhængig myndighed
Erhvervsstyrelsen påser, som uafhængig tilsynsmyndighed, at teleselskaberne
overholder krav i telelovgivningen, der skal sikre kundernes og andres person-
datasikkerhed i forbindelse med deres telefoni-tjenester.
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 762: Spm. om de personer der uberettiget har fået udleveret indholdet af sms’er til politiet, er blevet orienteret herom, til erhvervsministeren
6/6
Det følger af telelovgivningen, at teleselskaberne har ansvaret for løbende at
træffe passende og tekniske og organisatoriske foranstaltninger for at imødegå,
at der sker brud på persondatasikkerheden, og at teleselskaberne indberetter brud
på persondatasikkerheden til Erhvervsstyrelsen, hvis det alligevel sker.
Herudover påser Erhvervsstyrelsen også telelovens bestemmelser om, at telesel-
skaber ikke uberettiget må videregive oplysninger om andres (abonnenters mv.)
brug af deres tjenester eller indholdet af brugen af tjenesten. Bestemmelsen må
forstås som en strafsanktioneret tavshedspligt for teleselskaberne og dets ansatte
i forhold til meddelelseshemmeligheden.
Ved indberetningen af et sikkerhedsbrud fører Erhvervsstyrelsen tilsyn med, om
sikkerhedsbruddet er stoppet, således at følgerne deraf minimeres, ligesom det
vurderes, hvorvidt teleselskaberne skal pålægges en pligt til at foretage underret-
ning af de berørte personer, såfremt teleselskaberne ikke har underrettet de be-
rørte personer. Forudsætningerne for, at Erhvervsstyrelsen pålægger selskaber at
underrette, er at et brud ”kan forventes at krænke
personoplysninger eller privat-
livets fred” for en abonnent eller anden person. Der er altså ikke underretnings-
pligt for ethvert brud.
I forbindelse med Erhvervsstyrelsens vurdering af underretning, er der opstillet
en række forhold, der skal tages hensyn til i denne vurdering
herunder karak-
teren af indholdet, sandsynlige følger af bruddet (herunder identitetstyveri eller
svig) og om oplysningerne er i en uautoriseret tredjemands besiddelse.
Slutteligt er formålet med tilsynet at påse, at teleselskaberne, hvis det er nødven-
digt og relevant, træffer passende foranstaltninger for at hindre at lignende til-
fælde finder sted igen.
I tilfælde af teleselskabers brud på persondatasikkerheden, har Erhvervsstyrelsen
følgende sanktionsmuligheder:
Erhvervsstyrelsen kan meddele påbud
fx om at selskabet skal gennem-
føre bestemte foranstaltninger
Et evt. påbud kan følges op med tvangsbøder, hvis et eventuelt påbud
ikke efterkommes.
Erhvervsstyrelsen kan indgive politianmeldelse ud fra en konkret vurde-
ring af sagens omstændigheder