KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Klima-, Energi- og Forsyningsudvalget 2022-23 (2. samling)
KEF Alm.del Bilag 293
Offentligt

Folketingets Udvalg for Digitalisering og It

Frederiksberg, 2023-05-15

Elmålerdata indsamles i strid med loven

Vi er stødt på en bekymrende opdagelse: Den måde, vi indsamler elmålerdata på, er i strid

med loven.

Det er uklart for os, hvordan vi skal agere på den opdagelse, og vi beder derfor Folketingets

Digitaliseringsudvalg om råd.

Med venlig hilsen

Ole Tange

Forbruger med fjernaflæst elmåler

Christian Wadskov

Forbruger med fjernaflæst elmåler

John Plate

Forbruger med fjernaflæst elmåler

Mikkel Morgen Mark

Forbruger med fjernaflæst elmåler

Hans Schou

Forbruger med fjernaflæst elmåler

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Resume

Problemet består i, at der i de særlige bemærkninger til Elforsyningsloven står, at

dataindsamlingen skal leve op til privacy-by-design. Privacy-by-design er ikke et tilfældigt

udtryk, men klart defineret. Man kan således ikke kalde hvad som helst for privacy-by-design,

ligesom man ikke kan kalde al frugt for økologisk.

Men de forskrifter, som elmålerdata indsamles efter, lever ikke op til privacy-by-design.

Det giver god mening, at man har stillet krav om privacy-by-design, for de data, der

indsamles i dag, røber bl.a. religion, hvis man fejrer ramadan, og artikel 9 i Den Europæiske

Menneskerets Konvention gør det klart, at man har ret til at praktisere sin religion uden

offentlige myndigheder kan se med over skulderen.

Det virker som en fejl, at kravet om privacy-by-design ikke er kommet med i

kravspecifikationen til dataindsamlingssystemet. Heldigvis kræver det kun en softwarerettelse

at fikse problemet.

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Baggrund

1 Privacy by design

Privacy-by-design er et fast defineret begreb.

På den måde minder det lidt om:

•

økologi: man kan kalde alle frugter bæredygtige, men økologiske skal opfylde faste

krav

advokat: enhver kan kalde sig sagfører, men hvis man vil kalde sig advokat, skal man

opfylde faste krav

kvadrat: enhver kan tegne et rektangel, men kalder man det for et kvadrat, så skal det

opfylde faste krav

Privacy by design is based on seven "foundational principles":

◦

Proactive not reactive; preventive not remedial

◦

Privacy as the default setting

◦

Privacy embedded into design

◦

Full functionality – positive-sum, not zero-sum

◦

End-to-end security – full lifecycle protection

◦

Visibility and transparency – keep it open

◦

Respect for user privacy – keep it user-centric

Man kan kalde alt for privatlivsbeskyttelse, men kalder man noget for privacy-by-design, så

skal det leve op til disse principper.

For privacy-by-design defineres principperne af Cavoukian

2 Forskrifter for elmålere

Forskrifterne, som angiver hvordan elmålerdata indsamles, er D1

. Kort fortalt sendes

timeforbruget i kWh til Energinets Datahub. Det vil sige, at for hver eneste time kan man se,

hvad forbruget i kWh har været for en husstand.

2.1 Lov om elforsyning (indførelse af datahubben)

Ved Elforsyningslovens ændringer har såvel Ministeriet som Folketinget selv karakteriseret

måleroplysninger som

følsomme,

ligesom Folketinget og Ministeren i sin fremsættelse

eksplicit har pålagt aktører at iagttage privacy-by-design, bl.a. ved ændringen af

Elforsyningsloven i 2015.

https://iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf

https://energinet.dk/regler/el/elmarked/

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Elforsyningslovens ændring i 2015 (Lov nr 577 af 04/05/2015 om ændring af lov om

elforsyning (Justering og udskydelse af engrosmodellen og udskydelse af leveringspligten)

)

regulerede en række forhold og ændringer i opgaver mellem elhandelsvirksomhederne og

netvirksomhederne, om bl.a. indrapportering af aftagere mv.

Herunder blev bl.a. ændret i Elforsyningslovens §72c. Og i den forbindelse blev føjet et stk 2

til §72c med følgende ordlyd:

Stk. 2. Elhandelsvirksomheden indberetter data til datahubben vedrørende

identifikation af forbrugeren på et givent aftagenummer, som

elhandelsvirksomheden har indgået aftale med.

Af de særlige bemærkninger til §72c stk. 2 i lovforslaget (L 151 FT 2014-15,fremsat 25.

februar 2015 af klima-, energi- og bygningsministeren, “Forslag til lov om ændring af lov om

elforsyning”) fremgår bl.a. :

Med bestemmelsen i stk. 2 foreslås det, at elhandelsvirksomhederne overtager

ansvaret for at indberette identifikation af forbrugeren på et givent aftagenummer,

som elhandelsvirksomheden har indgået aftale med, til datahubben.

Netvirksomhederne har i dag denne opgave, men da forbrugerne efter april 2016

alene vil have aftale med elhandelsvirksomhederne om det løbende forbrug, vil

kun elhandelsvirksomhederne kunne varetage opgaven. Der vil være en

overgangsfase mellem netvirksomhedernes registrering og

elhandelsvirksomhedernes registrering, som vil blive styret af Energinet.dk’s

forskrifter efter § 28, stk. 2, nr. 12, der bliver nr. 13, jf. lovforslagets § 1, nr. 10.

Udformningen af forskrifterne for datahubben vil ske i overensstemmelse med

persondataloven

og i respekt for principperne om »privacy by design«,

således at

der bl.a. træffes

de fornødne tekniske og organisatoriske

sikkerhedsforanstaltninger eller foranstaltninger til sikring af følsomme

personoplysninger.

Det forhold, at elhandelsvirksomheden varetager indberetning

af forbrugerens identitet på hvert enkelt aftagenummer, hindrer ikke, at

netvirksomhederne kan anvende informationen fra datahubben om forbrugerens

identitet. Det vil f.eks. være nødvendigt, når netvirksomheden skal udsende

aflæsningskort, eller indkalde til valg til forbrugerrepræsentationen. Indhentning

af personoplysninger fra datahubben skal ske inden for rammerne af

persondataloven.

(Vores fremhævning)

Således pålægges Energinet i sin fastlæggelse af forskrifter at iagttage privacy-by-design – et

allerede da anerkendt og anvendt databeskyttelsesprincip - også inden GDPR fik virkning

2018-05-25.

Datatilsynets høringssvar af 2014-12-05 gør specifikt opmærksom på netop den bemærkning.

Det er således tydeligt, at der faktisk

menes

privacy-by-design i loven og ikke blot

privatlivsbeskyttelse.

3 Privacy by design og forskrifterne

Vi har rådført os med 4 eksperter i privatlivsteknologier, og spurgt om de mener, at de

nuværende forskrifter lever op til privacy-by-design.

https://www.retsinformation.dk/eli/lta/2015/577

https://www.retsinformation.dk/eli/ft/201412L00151

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Eksperterne er:

•

Carsten Baum

PhD, Adjunkt i Cybersecurity Engineering, DTU <[email protected]>

Stephan Engberg

Ekspert i digital sikkerhed og zero-knowledge kryptering, Priway

<[email protected]>

Bernardo Machado David

PhD, Associate Professor, Computer Science, ITU <[email protected]>

Diego F. Aranha

PhD, Associate Professor, Computer Science, Aarhus University

<[email protected]>

•

De er alle enige om, at forskrifterne ikke lever op til privacy-by-design.

Det design, som bruges idag, har ingen sikring, hvis der sker et datalæk fra datahubben –

f.eks. fra en ansat med adgang til data, som bl.a. kendes fra Se- og Hør-skandalen

, og det er

derfor svært at se, at

”It anticipates and prevents privacy invasive events before they happen.”

Faktisk er det modsatte tilfældet.

Dermed lever forskrifterne ikke op til privacy-by-design og dermed lever de ikke op til de

særlige bemærkninger til §72c stk. 2, og dermed lever de ikke op til loven.

Eksperterne er alle villige til at stille sig til rådighed for Digitaliseringsudvalget, hvis det

ønskes.

4 En alternativ løsning

Nu kunne grunden til at man ikke har implementeret privacy-by-design jo være, at det teknisk

er umuligt at lave.

For at illustrere at det ikke er tilfældet har vi som amatører lavet en designskitse. Den

illustrerer, hvordan et muligt design kunne se ud i grove træk. Det er alene tænkt som en eye-

opener, der er nemt at forstå – et design i praksis bør udarbejdes med eksperter i design af

sådanne systemer, f.eks. eksperterne omtalt i 3 (Privacy by design og forskrifterne).

Løsningen er beskrevet i 9 (Designskitse).

5 En svipser

Vi tror, at vi har opdaget en fejl.

I IT-sprog ville vi kalde det en bug, og bugs skal rettes.

Vi ser ikke noget, der tyder på, at dette er sket med ond vilje, men alene at man er kommet til

at glemme at få kravet om privacy-by-design med i kravspecifikationen.

Heldigvis ser det ud til at en løsning relativt nemt kan laves: Man skal blot ændre softwaren.

De fleste fjernaflæste elmålere kan man fjernstyre og opgradere softwaren i. Så en ændring af

softwaren kræver hverken teknikerbesøg eller udskiftning af elmåleren, og kan formodentlig

gøres uden ulempe for borgeren.

https://da.wikipedia.org/wiki/Se_og_H%C3%B8r-sagen

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

6 Vigtigheden af privatlivsbeskyttelse

Det er ret overraskende, hvor meget man kan se

ud af elmålerdata.

Jens Hjort Schwee (<[email protected]> -

Energinet) præsenterede denne graf på ADD-

konferencen 2023-02-02.

Grafen viser elforbruget for et boligområde med

mange indvandrere på fire mandage: 2021-04-

05, 2021-04-12, 2021-04-19, 2021-04-28.

Alene ud fra et simpelt kik på grafen er det

tydeligt, at forbruget er markant anderledes de

tre sidste mandage (orange, grøn og rød) i

forhold til den første (blå).

Ramadanen startede 2021-04-12 og sluttede 2021-05-12, og ser man et forskudt

elforbrugsmønster, der præcis falder sammen med ramadan, så er det ikke urimeligt at antage,

at man fejrer ramadan i husstanden, og dermed kan man se husstandens religion.

Jens Hjort Schwee præsenterede på samme konference, at han med simpel statistik (altså ikke

komplekse analyser) kunne udlede:

•

Hvornår står husstanden op om morgenen

Hvor meget ferie husstanden holder

Hvor meget hjemmearbejde de har

Hvor meget går husstanden i bad (under visse omstændigheder)

Hvad familiens ca. indkomst er

Visse sundhedsinformationer (f.eks. begyndende demens)

Om familien har en elbil eller en hybridbil

Hvor langt el/hybridbilen kører dagligt

Om alle arbejder i husstanden

Om der er børn i husstanden

De fleste af disse oplysninger er ikke artikel 9-oplysninger, men giver dog et godt billede af,

at det ikke er uvæsentlige ting man kan udlede af en families elforbrug.

Han mener desuden, at man med bedre analyser kan finde langt flere oplysninger, og referer

her til et irsk studie

Tilsvarende observationer gør Lisa Hjerrild i sin PhD-afhandling:

Retlige rammer for

fjernaflæste elmålere

Netop derfor bør vi tage privatlivsbeskyttelsen seriøst, og det er formodentlig den type

overvejelser, der har ligget til grund for kravet om privacy-by-design i de særlige

bemærkninger til loven.

https://www.sciencedirect.com/science/article/pii/S0957178722001102

https://www.jurabibliotek.dk/display/book/9788771987966/book-part-9788771987966-sec17.xml

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

7 Ændring af softwaren i stedet for ændring af

loven

I princippet kunne man blot ændre loven, så den var i overensstemmelse med den ulovlige

praksis.

Men for det første vil det være i strid med menneskerettighedernes artikel 9:

ARTICLE 9

Freedom of thought, conscience and religion

1. Everyone has the right to freedom of thought, conscience and religion;

this

right includes freedom to

change his religion or belief and freedom, either alone

or in community with others and

public or

private, to manifest his religion

belief,

worship, teaching,

practice and observance.

idet man jo netop ikke kan praktisere sin religion i privat fortrolighed, hvis ens elmåler

rapporterer om det. Hvis der ikke havde været et alternativ, så kunne man måske forsvare det,

men det er der her – og det kræver kun en softwareændring.

For det andet giver det en usund praksis, hvor vi tilretter lovgivning til en ulovlig praksis -

bl.a. omtalt i 10 (Kommentar i Berlingske).

For det tredje vil det sætte en ret ubehagelige præcedens, at IT-folk på forventet efterbevilling

kan lave softwaren, som de har lyst uden respekt for politikernes beslutning.

8 Overtrædelse af GDPR

Det er muligvis en overtrædelse af GDPR, men det er ikke det, som vores opdagelse går på.

Den går alene på de særlige bemærkninger om krav om privacy-by-design. En henvisning til

GDPR vil derfor være misforstået.

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

9 Designskitse

9.1 Baggrund

Hovedideen er, at netselskabet sender prisen for den seneste time, der så ganges med det

aktuelle forbrug på elmåleren og summen af disse rapporteres ind for hver faktura (f.eks. en

gang om måneden).

Målet er at løse flg. problemer:

•

Indkøbsprisen for el-handelsselskabet (også kaldet elleverandøren) varierer

Indkøbsprisen af transport varierer (måske i fremtiden)

Salgsprisen per kWh varierer - og kan ikke nødvendigvis udregnes ud fra købsprisen

Netbalanceringen har behov for real-time data til at afgøre, om der skal tændes for

endnu et kraftværk

Kapacitetsplanlægning og kvalitetskontrol (incl. drift og vedligehold) har behov for

data.

Borgeren skal kunne se sit eget timeforbrug - også via en app

En dommer skal kunne få adgang til enhvers timeforbrug

At leve op til kravet om dataminimering i GDPR artikel 5 og 25, og kravet om

privatlivsbeskyttelse by default i artikel 25, herunder for data, der kan bruges til at

udlede GDPR artikel 9-oplysninger

At leve op til menneskerettighedernes krav om proportionalitet

På sigt: Hjælpe den grønne omstilling ved at gøre det muligt at lave automatik i

hjemmet, der flytter strømforbruget

•

Løsningen skal være så simpel, at man kan forklare den til ikke-teknikere. Der kan med andre

ord sagtens være bedre tekniske løsninger, der bare ikke er så nemme at forklare.

9.2 Selve løsningen

9.2.1 Den lokale måling

El-måleren har 5 konti:

•

Forbrug af el i kWh

Total indkøbspris fra elleverandør til kunde

Total salgspris fra elleverandør til kunde

Total indkøbspris af eltransport fra netselskab til kunde

Total salgspris fra netselskab til kunde

Produktion i kWh

Total salgspris fra kunde til elleverandøren

Total indkøbspris af eltransport fra kunde til netselskab

Egenproducenter (folk med solceller) udstyres med nogle ekstra konti:

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

De målte data skal i krypteret form til enhver tid kunne indhentes fra den fjernaflæste elmåler

af netvirksomheden - typisk 1-4 gange i timen. De indsendes til datahubben. Kun elmåleren,

borgeren og en dommer kan dekryptere disse. Denne form for kryptering kalder vi for

egenkryptering: Det er kryptering fra sig selv til sig selv – præcis som man også kan sende en

krypteret backup til en onlinetjeneste, der ikke kan dekryptere backuppen.

Borgeren kan bruge de egenkrypterede data hos datahubben til at se sit forbrug time for time,

så han kan lave fine grafer over timeforbruget. Data hentes fra datahubben. Dekrypteringen

kan f.eks. ske i borgerens aflæsningsapp. Dekrypteringsnøglen fås fra elmåleren. Dommeren

kan åbne de krypterede aflæsninger fra datahubben, hvis der er mistanke om kriminalitet eller

en borger flytter midt i måneden uden at aflæse.

1-4 gange i timen rapporterer netselskabet indkøbs- og salgspris for hhv. netselskab,

elleverandør og producent til elmåleren, så den kan lave ovenstående udregning.

Hver måned sendes månedssummen for hver konto (altså det samlede antal kWh, men ikke

splittet op time for time, og den total indkøbspris og salgspris for elleverandør, den total

indkøbspris og salgspris for netselskab, den totale produktion og salgspris for producent) til

netselskabet hhv. elleverandøren (via Energinet Danmarks datahub). Månedssummerne kan

dekrypteres af netselskabet og el-leverandøren. Disse kan bruges til kontrol og fakturering.

9.2.2 Balancering, kapacitetsplanlægning, kontrol og

kvalitetssikring

Netselskabet sætter målere op "tæt" på husstanden (f.eks. for hver gade, hver opgang eller

hver transformatorstation), så de kan lave netbalancering, kapacitetsplanlægning og kontrol

hen til denne måler. Da denne måler dækker flere husstande er målinger herfra ikke

persondata, og netselskabet kan frit aflæse denne så tit de ønsker.

Alarmer om forsyningsafbrud kan ske på samme måde, som det sker i dag, og på forespørgsel

fra netvirksomheden kan målersystemet overføre afbrudsdata. Så hvis der mangler spænding

eller registreres en over/underspænding, 0-fejl eller registreres fejl på måleren selv, så kan

disse sendes.

9.2.2.1 Kontrol

af hustandsmålinger

Her er to simple eksempler på, hvordan man kunne lave en kontrol, der sikrer mod fejl og

snyd på husstandsmåleren. Igen er det værd at understrege, at dette

kun

er ment som en eye-

opener. Hvis man ønsker et design, der lever op til alle kravene i loven er man nødt til at

indhente ekspertviden på området og forberede sig på, at designet bliver langt sværere at

forstå.

9.2.2.1.1 Gademåler får alle data og laver kontrol

Antag, at vi har et højhus med n målere og en fælles elmåler ved gaden. Fællesmåleren måler

det totale forbrug for hele højhuset for hver time.

Nu vil vi gerne vide, om summen af de individuelle elmålere i højhuset er det samme som

totalen, som gademåleren har målt. Hvis summen er det samme som totalen, er det rimeligt at

antage, at alle målere fungerer korrekt. Hvis de ikke er ens, er det rimeligt at antage at mindst

een elmåler måler forkert.

Hver time sender de n målere deres forbrug til gademåleren. Gademåleren lægger forbruget

sammen for de n målere og sammenholder det med det totale forbrug for højhuset.

Hvis det matcher, antages det at målingerne er korrekte og de slettes fra gademåleren.

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Hvis det ikke matcher, antages det at der er fejl i målingerne, og der rejses derfor en alarm, og

målingerne gives videre til netselskabet.

Denne model lever ikke op til privacy-by-design, men giver dog en bedre

privatlivsbeskyttelse end det nuværende system.

9.2.2.1.2 Gademåler laver kontrol, men på en privatlivsbeskyttende måde

En lidt mere kompleks løsning kan give en privatlivsbeskyttelse, så gademåleren kan lave

kontrollen, men uden at have de individuelle målinger.

Antag igen, at vi har et højhus med n målere og en fælles elmåler ved gaden. Fællesmåleren

måler det totale forbrug for hele højhuset for hver time.

Nu vil vi gerne vide, om summen af de individuelle elmålere i huset er det samme som

totalen, som gademåleren har målt. Hvis summen er det samme som totalen, er det rimeligt at

antage, at alle målere fungerer korrekt. Hvis de ikke er ens, er det rimeligt at antage at mindst

een elmåler måler forkert.

Vi ønsker samtidigt, at ingen elmåler (heller ikke gademåleren) kender andre målinger end sin

egen.

Det kan gøres på følgende måde:

Gademåleren finder på et stort tilfældigt tal, som den giver til måler 1. Tallet skal være mindst

100 gange større end det totale forbrug.

Måler nr 1 finder også på et stort tilfældigt tal, lægger sit forbrug til det og til tallet fra

gademåleren. Så sendes det videre til måler 2, som også finder på et stort tilfældigt tal, lægger

sit forbrug til det og til tallet modtaget fra måler 1. Så sendes det videre til måler 3, som også

finder på et stort tilfældigt tal, lægger sit forbrug til det og til tallet modtaget fra måler 2, og

sender det videre til måler 4. Sådan fortsættes videresendelse indtil vi når måler n.

Den sidste måler sender resultatet til måler 1, som nu trækker sit hemmelige tal fra summen.

Den sendes videre til måler 2, som nu trækker sit hemmelige tal fra summen. Den sendes

videre til måler 3, som nu trækker sit hemmelige tal fra summen. Sådan fortsættes

videresendelse indtil vi når måler n.

Til slut sendes tallet til gademåleren, som trækker sit hemmelige tal fra summen, og tilbage er

summen af målinger fra måler 1..n. Men uden at nogen af målerne kender til andre målinger

end sin egen.

Hvis det ikke matcher med den måling, som gademåleren selv har lavet for hele højhuset, så

er der noget galt, og der rejses en alarm.

Ved den alarm får netselskabet en retskendelse, hvor en dommer så åbner for de individuelle

målinger fra hustandsmålerne, som jo sendes til Datahubben krypteret på en sådan måde, at

kun elmåleren selv, borgeren og en dommer kan åbne krypteringen.

Derved har vi sikret, at netselskabet kan kontrollere, at målingerne er korrekte, og

netselskabet får kun adgang til de individuelle målinger, når de kan se, at der er noget galt.

Under normal drift gives borgerne derfor en højere privatlivsbeskyttelse.

9.2.2.1.3 Gennemregning af eksempel

Her er et simpelt gennemregnet eksempel. Farverne indikerer hvordan data sendes rundt

mellem målerne.

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Simpelt eksempel – urealistiske tal

Runde 1

Runde 2

Måle- Indkommende Hemmeligt

Indkommende Fratrukket

Måler

data tal

valgt tal

Sum

Sendes til sum

hemmeligt tal Sendes til

Gademåler

10000

10000 Måler 1

10025

Måler 1

10000

200000

210007 Måler 2

543210025

543010025 Måler 2

Måler 2

210007

3000000

3210016 Måler 3

543010025

540010025 Måler 3

Måler 3

3210016 40000000 43210022 Måler 4

540010025

500010025 Måler 4

Måler 4

43210022 500000000 543210025 Måler 1

500010025

10025 Gademåler

Simpelt eksempel – realistiske tal

Runde 1

Runde 2

Måle Indkommende Hemmeligt

Indkommende Fratrukket

Måler

data tal

valgt tal

Sum

Sendes til sum

hemmeligt tal Sendes til

Gademåler

18312749 18312749 Måler 1

18312774

Måler 1

18312749 59182634 77495390 Måler 2

225953086

166770452 Måler 2

Måler 2

77495390 29236432 106731831 Måler 3

166770452

137534020 Måler 3

Måler 3

106731831 91873423 198605260 Måler 4

137534020

45660597 Måler 4

Måler 4

198605260 27347823 225953086 Måler 1

45660597

18312774 Gademåler

Nedenfor illustreres samme flow i et diagram, som måske er nemmere at forstå, og herefter er

et eksempel, hvor måler 2 måler forkert.

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Flow for urealistiske tal

Runde 1

Gade

Måling

Hemmeligt

Måler 1

Måling

Fra Gade

Hemmeligt

Sum

Runde 2

10000

200000

210007

Fra måler 4

Hemmeligt

Differens

543210025

200000

543010025

Måler 2

Måling

Fra Måler 1

Hemmeligt

Sum

Måler 3

Måling

Fra Måler 2

Hemmeligt

Sum

Måler 4

Måling

Fra Måler 3

Hemmeligt

Sum

Gade

Måling

Hemmeligt

210007

3000000

3210016

Fra Måler 1

Hemmeligt

Differens

543010025

3000000

540010025

3210016

40000000

43210022

Fra Måler 2

Hemmeligt

Differens

540010025

40000000

500010025

43210022

500000000

543210025

Fra Måler 3

Hemmeligt

Differens

500010025

500000000

10025

10000

Fra måler 4

Hemmeligt

Differens

10025

10000

Kontrol

Målingerne er korrekte: 25 = 25

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Flow for urealistiske tal – fejl i måler 2

Runde 1

Gade

Måling

Hemmeligt

Måler 1

Måling

Fra Gade

Hemmeligt

Sum

Runde 2

10000

200000

210007

Fra måler 4

Hemmeligt

Differens

543210033

200000

543010033

Måler 2

Måling

Fra Måler 1

Hemmeligt

Sum

Måler 3

Måling

Fra Måler 2

Hemmeligt

Sum

Måler 4

Måling

Fra Måler 3

Hemmeligt

Sum

Gade

Måling

Hemmeligt

210007

3000000

3210024

Fra Måler 1

Hemmeligt

Differens

543010033

3000000

540010033

3210024

40000000

43210030

Fra Måler 2

Hemmeligt

Differens

540010033

40000000

500010033

43210030

500000000

543210033

Fra Måler 3

Hemmeligt

Differens

500010033

500000000

10033

10000

Fra måler 4

Hemmeligt

Differens

10033

10000

Kontrol

Der er sket en fejl: 25 ≠ 33

Hvis Måler 2 måler forkert, så vil summen ikke passe og Gademåleren vil kunne se, at

summen adskilder sig fra det, som den har målt leveret. Derfor rejser den en alarm, så en

dommer kan åbne for de krypterede måledata fra Måler 1-4.

9.2.2.2 Distribution af strømprisen

Elhandelsselskaberne har typisk ikke forskellige priser fra enkeltkunde til enkeltkunde. De har

grupper af kunder, der køber et givent produkt til samme pris.

Lad os antage, at der findes 10 elhandelsselskaber, som hver har 10 forskellige produkter - i

alt 100 priser. I virkeligheden er der nærmere 50 elhandelsselskaber, men princippet er det

samme.

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Netselskabet kan så nøjes med at sende

de samme

100 priser til

alle

elmålere, og elmåleren

for en kunde, som har produkt 7 hos elhandelsselskab 4, kan så blot bruge pris nummer 7 i

gruppe 4 eller pris nummer 47 ud af de 100.

Ved at udsende samtlige 100 priser til alle elmålere, så udgør disse lister over priser ikke

persondata, og de kan principielt sendes ukrypteret.

Da målerne er i et mesh-netværk, så er ret billigt at sende præcis den samme information til

alle elmålere (man kalder det for broadcast).

Kun ved skift af elhandelsselskab skal elmåleren informeres om det nye elhandelsselskab (så

den f.eks. ikke længere bruger pris nummer 47, men i stedet prisen for produkt 2 fra

elhandelsselskab nummer 3, altså pris nummer 32 ud af de 100).

Hvis man ønsker, kan skift af elhandelsselskab også ske krypteret: Data sendes fra

elhandelsselskabet via datahubben men krypteret med elmålerens nøgle, så kun elmåleren kan

se dette. Derved får netselskabet heller ikke adgang til den personoplysning.

9.2.2.3 Automatiseret flytning af forbrug - den grønne omstilling

Vi ved at mennesker er vanedyr: Der skal utroligt meget til at ændre folks vaner. Hvis den

grønne omstilling skal lykkes, så skal vi finde løsninger, der gør det nemt at være med. Det

kan f.eks. ske gennem at lave automatiske løsninger, der kan flytte forbruget til perioder, hvor

produktionen er grønnest.

Ved at sørge for, at elmåleren kender prisen nu (og gerne nogle timer frem) kan man på sigt

udvikle et lokalnet (måske ala netværk over strømledninger?) som kan distribuere elprisen fra

elmåleren til alle apparater i hjemmet, så disse automatisk kan tænde og bruge den grønne

strøm. F.eks. vil man kunne opsætte sin opvaskemaskine, vaskemaskine, varmepumpe eller

elbil til altid at finde det bedste tidspunkt at bruge strøm inden for de næste 12 timer, når man

trykker “start”.

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

10 Kommentar i Berlingske

Rasmus Grønved Nielsen, dr.jur. og lektor i forvaltningsret, Københavns Universitet har

skrevet nedenstående kommentar: “Offentlig digitalisering kan lede til et tilfældighedernes

tyranni”.

Publiceret 2023-05-08 kl. 11.00 på https://www.berlingske.dk/kommentarer/offentlig-

digitalisering-kan-lede-til-et-tilfaeldighedernes-tyranni

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Offentlig digitalisering kan lede til et

tilfældighedernes tyranni

Faktum er, at hvis et it-system er ulovligt, så vil det ofte være både nemmere og billigere at ændre lovgivningen end it-

systemet. I stor skala er det et demokratisk problem. Ingen politikere går til valg på at ville fratage borgere deres

klageadgang eller andre rettigheder. Alligevel lægger mange politikere stemmer til sådanne forringelser for at bane vejen

for de offentlige it-systemer.

Mandag d. 08. maj 2023, kl. 11.00

Rasmus Grønved Nielsen, dr.jur. og lektor i forvaltningsret, Københavns Universitet

På det seneste har en række medier, herunder

navnlig DR,

dækket en ny bølge af problemer, som omgærder det nye

ejendomsvurderingssystem, der har været undervejs i snart ti år.

Den data, som ejendomsvurderingerne er baseret på, er så fejlbehæftet, at det

allerede forsinkede projekt

risikerer

at blive udskudt igen. Det er imidlertid en politisk prioritet at få systemet søsat. Med henblik på at fremskynde

idriftsættelsen har politikerne valgt midlertidig at suspendere klageadgangen for borgere, som mener at have modtaget

en fejlagtig vurdering.

Det er hverken første eller sidste gang, at de folkevalgte ændrer de sædvanlige regler og gør indhug i borgernes

rettigheder for at tækkes den offentlige it. Som andet eksempel kan nævnes håndteringen af

det kuldsejlede

inddrivelsessystem EFI,

der involverede flere vidtgående lovindgreb.

Digitaliseringen rummer i rigt mål et potentiale både for effektiviseringer og bedre service for borgerne. Der er derfor al

mulig grund til at hilse de offentlige it-løsninger velkommen. Men der er også grund til at være på vagt over for

konsekvenserne – særligt under en flertalsregering.

I en ideel retsstat er det den lovgivende magt, som udstikker de generelle rammer for samfundslivet, og det er den

udøvende magts opgave at forestå den konkrete implementering heraf.

Naturligvis er den udøvende magt, forvaltningen, bundet af lovgivningen – også når den volder besvær. Det hindrer

naturligvis ikke, at man søger at få lovgivningen ændret, eksempelvis hvis den bliver utidssvarende.

Den omtalte håndtering af offentlige it-systemer adskiller sig herfra. Lovændringerne er hverken drevet af genuine

politiske ønsker eller problemer i den daglige administration. Lovændringerne skyldes tekniske udfordringer forbundet

med at udvikle og drive lovmedholdelige offentlige it-systemer.

Faktum er, at hvis et it-system er ulovligt, så vil det ofte være både nemmere og billigere at ændre lovgivningen end it-

systemet. I stor skala er det et demokratisk problem. Ingen politikere går til valg på at ville fratage borgere deres

klageadgang eller andre rettigheder. Alligevel lægger mange politikere stemmer til sådanne forringelser for at bane vejen

for de offentlige it-systemer.

KEF, Alm.del - 2022-23 (2. samling) - Bilag 293: Henvendelse af 16/5-23 fra Ole Tange vedr. indsamling af elmålerdata

Dette bør vække bekymring. For hvem er det egentlig, der bestemmer, hvordan fremtidens offentlige sektor ser ud? De

folkevalgte eller de offentlige it-systemer?

Det bliver ikke bedre af den omstændighed, at it-fejlene naturligvis aldrig er intenderede. De beror ofte på en række

tekniske forhold, som kan være meget vanskelige at forudse og håndtere. Resultatet er nærmest uforståelig

knopskudslovgivning.

Sat på spidsen ser vi altså frem mod et slags tilfældighedernes tyranni. Hvis hvert offentligt it-system skal ledsages af sin

egen skræddersyede lovgivning, der løbende tilpasses systemernes behov, kan det føre til en fragmentering af den

regelbaserede samfundsorden. De regler og rettigheder, der normalt danner en fast ramme om forvaltningens

interaktion med borgerne, forvitres og forskydes i forskellige retninger. Det er et retssikkerhedsmæssigt problem.

Dernæst er det en kendsgerning, at det normalt er private it-leverandører, som udgør den tekniske drivkraft i

udviklingen og driften af offentlige it-løsninger. Disse private virksomheder har i realiteten en betydelig indflydelse på,

hvordan lovgivningen og administrationen på en række områder ser ud. Implikationerne heraf er vanskelige begribe.

Bekymringerne deler jeg ikke, fordi jeg er teknologiforskrækket. Tværtimod. Jeg frygter, at vi ender med at smide barnet

ud med badevandet.

Politikerne er ikke i tilstrækkeligt omfang opmærksomme på de enorme konsekvenser, den offentlige digitalisering kan

få for vores demokratiske retsstat. Men før eller siden går det op for borgerne. Vi ser allerede spæde tegn på folkelig

modstand mod ejendomsvurderingssystemet.

Hvis vi gerne vil nyde godt af de muligheder, som digitaliseringen åbner for, bliver vi nødt til at sikre en bred folkelig

opbakning både nu og på sigt. Det er politikernes opgave.

Man kunne eventuelt lade sig inspirere af den opfordring, som en række techeksperter for nylig fremsatte, om at pausere

udviklingen af visse typer af ai-teknologi, kunstig intelligens.

Las os holde ét års digitalt cølibat i det offentlige! Ét år hvor man ikke søsætter nye offentlige it-projekter. Og lad os i

stedet bruge tiden og ressourcerne på at få kulegravet nogle af de mest fundamentale problemstillinger fra tværfaglige

perspektiver for at skabe grundlaget for en bæredygtig offentlig digitalisering.

Rasmus Grønved Nielsen er dr.jur. og lektor i forvaltningsret ved Københavns Universitet