Forside
Tilsyn
Persondatasikkerhed på teleområdet

Tilsyn med persondatasikkerhed på teleområdet

Digitaliseringsstyrelsen fører tilsyn med reglerne om persondatasikkerhed i den elektroniske kommunikationssektor. Reglerne gælder for alle udbydere af offentlige elektroniske kommunikationstjenester og nummeruafhængige interpersonelle kommunikationstjenester.

Formålet med Digitaliseringsstyrelsen tilsyn, er at sikre, at udbydere af elektroniske kommunikationstjenester behandler deres kunders persondata i overensstemmelse med reglerne. I det øjemed fører Digitaliseringsstyrelsen tilsyn med brud på persondatasikkerheden, der sker i forbindelse med selskabers udbud af elektroniske kommunikationstjenester. Det inkluderer bl.a. at undersøge de indberettede brud og vurdere selskabernes sikkerhedsforanstaltninger.

Andre forhold vedr. disse selskabers behandling af persondata ligger under Datatilsynets tilsyn med GDPR og de generelle databeskyttelsesregler.

Her kan du læse Digitaliseringsstyrelsen årsberetninger samt vigtige afgørelser og vurderinger på området.

Politianmeldelse af OiSTER

Digitaliseringsstyrelsen blev den 26. juni 2024 opmærksom på, at der var sket et brud på persondatasikkerheden hos OiSTER, som berørte 246.748 af OiSTERs brugere. Bruddet, som fandt sted i forbindelse med en omfattende IT-opdatering, medførte, at brugere med udeladt navn og kontaktoplysninger fik deres oplysninger offentliggjort på hjemmesiden 118.dk. Oplysningerne lå offentligt tilgængelig i tre dage. OiSTER blev gjort opmærksom på bruddet fra en række af de berørte brugere, hvis oplysninger pludselig lå offentlig tilgængelige.

Digitaliseringsstyrelsen har været i dialog med OiSTER, som har redegjort for sagen. Selskabet har blandt andet forklaret, at de forud for IT-opdateringen havde testet for fejl, og at testen forløb uden problemer. IT-opgraderingen medførte dog, at selskabets almindelige proces med at sende en fil med nummeroplysningsdata til 118.dk ikke blev genereret som vanligt. Herved fik selskabet sendt en fil, der også indeholdt oplysninger på de brugere, der havde ønsket disse udeladt.

OiSTER har oplyst, at de for at forhindre lignende hændelser i fremtiden har implementeret yderligere kontrol i forbindelse med systemopdateringer. Denne kontrol inkluderer en intern test i produktion, hvor en fil sammenlignes før og efter opdateringen, inden den sendes til 118.dk. Herved vil det blive opdaget, hvis oplysninger der førhen var udeladte, ikke længere er markeret som sådan.

Digitaliseringsstyrelsen har som følge af persondatasikkerhedsbruddet vurderet, at OiSTER forud for bruddet ikke havde overholdt sine forpligtelser om at træffe passende tekniske og organisatoriske foranstaltninger for at sikre persondatasikkerheden, jf. § 3 i persondatasikkerhedsbekendtgørelsen. Det er desuden styrelsens vurdering, at OiSTER ikke har overholdt sin forpligtelse om at holde udeladte oplysninger hemmelige, jf. § 31, stk. 4 i teleloven.

Digitaliseringsstyrelsen finder efter en konkret vurdering, at bruddet er af en sådan karakter, at selskabet skal politianmeldes. Styrelsen har lagt vægt på, at der er tale om en sag med et væsentligt antal berørte brugere, ligesom der er tale om oplysninger, som i lovgivningen er særskilt undtaget fra offentliggørelse af hensyn til brugerens privatliv og i visse tilfælde sikkerhed, såfremt årsagen til hemmeligt nummer er risiko for chikane eller forfølgelse.

Vurderingen er desuden baseret på, at brugernes oplysninger var tilgængelige i tre dage, og at OiSTERS egne tekniske og organisatoriske foranstaltninger ikke identificerede bruddet.

FAQ

Digitaliseringsstyrelsen kan politianmelde for brud på persondatasikkerheden, hvis udbydere af offentlige elektroniske kommunikationstjenester ikke løbende træffer passende tekniske og organisatoriske foranstaltninger for at beskytte deres brugeres data. Ligeså kan Digitaliseringsstyrelsen politianmelde en udbyder, hvis det vurderes, at udbydere ved offentliggørelse af de hemmelige/udeladte nummeroplysningsdata i perioden ikke har overholdt deres forpligtelse i teleloven.

OiSTER offentliggjorde i juni 2024 246.748 brugeres udeladte navne og kontaktinformationer på 118.dk i en periode på tre døgn, uden at selskabet selv opdagede bruddet. Digitaliseringsstyrelsen vurderer derfor, at virksomheden ikke har haft implementeret tilstrækkelige sikkerhedsforanstaltninger for at imødegå risikoen for dette. Selskabet har endvidere ikke overholdt deres forpligtigelse til at beskytte udeladte nummeroplysninger. Digitaliseringsstyrelsen har derfor politianmeldt selskabet.
Digitaliseringsstyrelsen behandler alle de indberetninger om brud på persondatasikkerheden i den elektroniske kommunikationssektor, som styrelsen modtager. Et tilsyn afsluttes først, når det er styrelsens vurdering, at udbyderen har stoppet bruddet og har indført passende tekniske og organisatoriske foranstaltninger, så et lignende brud ikke sker igen.

I den aktuelle sag har Digitaliseringsstyrelsen vurderet, at bruddet var af en så alvorlig karakter, at det var nødvendigt at politianmelde.
Digitaliseringsstyrelsen vurderer, at der er tale om et meget alvorligt brud henset til antallet af berørte sammenholdt med det faktum, at flere af de berørte kan have tungtvejende grunde til at ønske udeladt nummeroplysninger fx for at undgå stalking eller chikane.
OiSTER har informeret Digitaliseringsstyrelsen om, at selskabet har implementeret daglige kontroller, som sikrer, at der ikke bliver offentliggjort telefonnr. mv. på kunder, der har ønsket disse udeladt. Det er således styrelsens vurdering, at OiSTER har indført en passende løsning for at undgå lignende brud fremadrettet.
Digitaliseringsstyrelsen har politianmeldt selskabet mhp. bødestraf. Selskabet risikerer hermed en bøde for overtrædelsen af reglerne, hvilket overordnet set skal sikre et incitament hos udbyderne til at efterleve reglerne til gavn for brugerne.

Styrelsen har ikke mulighed for at beslutte, om der skal udbetales kompensation til de berørte, da dette ligger uden for styrelsens kompetence. Eventuelle kompensationskrav er de berørte selv ansvarlige for at rette mod selskabet.

Afgørelser og vurderinger

Erhvervsstyrelsen blev i slutningen af januar 2020 via medierne gjort opmærksom på, at Telenor tilsyneladende har oversendt for mange oplysninger i form af modpartsnumre til politiet som en del af de data, der oversendes efter politiets anmodning og på baggrund af retskendelser.

Telenor har redegjort for sagen, herunder at selskabet har udleveret oplysninger til politiet i overensstemmelse med den kendelse, de har modtaget fra politiet. Erhvervsstyrelsen har foretaget en vurdering af, om der er sket brud på persondatasikkerheden i forbindelse med Telenors udlevering af oplysninger til politiet.

Erhvervsstyrelsen træffer hermed afgørelse i medfør af telelovens1 § 20 om, at Telenor har oversendt for mange oplysninger til politiet som en del af de signaleringsdata, der oversendes efter politiets anmodning, og at denne oversendelse dermed udgør et brud på persondatasikkerheden, jf. bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

På baggrund af Telenors redegørelser, og idet Telenor nu har omlagt proceduren for udtræk af data til politiet, og at bruddet dermed ifølge Telenor er stoppet, samt på baggrund af, at det er Erhvervsstyrelsens forståelse, at ordlyden af kendelser nu er ændret, og Telenor derfor ikke udleverer modpartsnumre, medmindre dette fremgår af kendelsen, foretager styrelsen sig på det foreliggende grundlag ikke yderligere i den konkrete sag.

Læs 'Afgørelse i Telenors sag om udlevering af modpartsnumre til politiet på baggrund af retskendelser' (pdf)
Erhvervsstyrelsen blev i februar 2020 via Rigspolitiet bekendt med, at Telia på baggrund af kendelser har udleveret mere data til politiet end hvad kendelserne fordrede. Oplysningerne fra Rigspolitiet gav i første omgang Erhvervsstyrelsen anledning til at anmode Telia om at redegøre for sagen med henblik på at identificere, hvorvidt der er sket et brud på persondatasikkerheden i forbindelse med udleveringen.

Telia har redegjort for sagen, herunder at det er selskabets opfattelse, at udleveringen af oplysningerne er sket i overensstemmelse med politiets kendelse. Erhvervsstyrelsen har foretaget en vurdering af, om der er sket brud på persondatasikkerheden i forbindelse med Telias udlevering af oplysninger til politiet.

Erhvervsstyrelsen træffer hermed afgørelse i medfør af telelovens1 § 20 om, at Telia har oversendt for mange oplysninger til politiet som en del af de signaleringsdata, der oversendes efter politiets anmodning, og at denne oversendelse dermed udgør et brud på persondatasikkerheden, jf. bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

På baggrund af Telias redegørelser, og idet det er Erhvervsstyrelsens forståelse, at ordlyden af kendelserne nu er ændret, og Telia derfor ikke udleverer modpartsnumre, medmindre dette fremgår af kendelsen, foretager styrelsen sig på det foreliggende grundlag ikke yderligere i den konkrete sag.

Læs 'Afgørelse i Telias sag om udlevering af modpartsnumre til politiet på baggrund af retskendelser' (pdf)
Statens Serum Institut (SSI) anmodede i forbindelse med instituttets arbejde med COVID-19 fire teleselskaber om adgang til teledatasæt i aggregeret og fuldt anonymiseret format. Erhvervsstyrelsen har i forlængelse af SSI's anmodning til de fire teleselskaber modtaget redegørelser fra selskaberne omkring deres behandling af teledata, herunder beskrivelser af deres anonymiseringsmetoder.

SSI har i den forbindelse bedt Erhvervsstyrelsen om en udtalelse omkring styrelsens overordnede vurdering af selskabernes anonymiseringsmodeller.

Erhvervsstyrelsen har på baggrund af de konkrete beskrivelser fra de enkelte teleselskaber foretaget en vurdering af, hvorvidt selskabets metode for anonymisering i det konkrete tilfælde kan anses for at opfylde kravene til tilstrækkelig anonymisering.

Erhvervsstyrelsens vurdering er bl.a. sket ud fra en vægtning af en række faktorer herunder:

Den anvendte anonymiseringsmetode med brug af
kryptering og
aggregering af datasæt under anvendelse af blandt andet K-værdier (et begreb, der bruges til at beskrive en teknik, der skjuler individers identitet i en gruppe af personer på et vist niveau).
Generalisering i øvrigt med henblik på udlevering, herunder at de datasæt der udleveres til SSI aggregeres til postnummerniveau i et givet tidsinterval
På baggrund af en samlet vurdering af ovenstående har Erhvervsstyrelsen således vurderet, at de af selskaberne oplyste metoder til anonymisering af det data, der udleveres fra teleselskaberne til SSI's prognoser i forbindelse med bekæmpelse af COVID-19, i det konkrete tilfælde sikrer, at data er anonymiseret således, at en efterfølgende identifikation af en fysisk bruger ikke er mulig.

Styrelsen har således vurderet, at teleselskabernes behandling, herunder anonymisering, af trafik- og lokaliseringsdata ikke sker i strid med udbudsbekendtgørelsens §§ 23 og 24

Læs om Erhvervsstyrelsens udtalelse til Statens Serum Institut om Erhvervsstyrelsens vurdering af teleselskabernes anonymisering af teledata til brug for COVID-19 (PDF)
I januar 2018 bad Erhvervsstyrelsen om en redegørelse fra TDC om selskabets praksis for behandling af selskabets trafik- og lokaliseringsdata i forbindelse med et samarbejde med Visti Århus, der ønsker at få viden om turismeadfærd under besøg i Aarhus - fx viden om, hvor turisterne kommer fra, hvor længe de bliver i området, og hvilke byer de ellers besøger.

Behandling af trafik- og lokaliseringsdata er reguleret i telelovgivningen. De nærmere regler følger af §§ 23 og 24 i bekendtgørelse nr. 715 af 23. juni 2011 om udbud af elektroniske kommunikationsnet og –tjenester (udbudsbekendtgørelsen). Efter udbudsbekendtgørelsens § 23, stk. 1, skal teleselskaber sikre, at trafikdata slettes eller anonymiseres, når de ikke længere er nødvendige for fremføring af kommunikation.

Udbudsbekendtgørelsens indeholder følgende undtagelser til denne hovedregel:
Trafikdata må behandles og opbevares med henblik på debitering af abonnenter og afregning for samtrafik, jf. § 23, stk. 2.
Trafikdata må behandles for at markedsføre elektroniske kommunikationstjenester eller levere tillægstjenester, forudsat at den abonnent eller bruger, som data vedrører, har givet samtykke hertil, jf. § 23, stk. 3.
Trafikdata må behandles og opbevares, hvis det er hjemlet i retsplejelovens § 786, stk. 4, eller regler fastsat i medfør heraf, jf. § 23, stk. 1, in fine.

Efter udbudsbekendtgørelsens § 24, stk. 1, må teleselskaberne ligeledes kun behandle lokaliseringsdata (der ikke samtidig er trafikdata), når de er anonymiseret, eller hvis selskabet forud for behandlingen har indhentet samtykke hos abonnenten eller brugeren.

På baggrund af de oplysninger, Erhvervsstyrelsen har modtaget fra TDC om selskabets anonymiseringsmetode i det konkrete tilfælde, er det Erhvervsstyrelsens vurdering, at den omhandlede metode til anonymisering sikrer, at den trafik- og lokaliseringsdata fra TDC´s mobil-netværk, der anvendes til brug for ”Visit Aarhus Pilot”- Projektet, er anonymiseret, således at en efterfølgende identifikation af en fysisk bruger ikke er mulig, uanset hvor brugeren er bosiddende.

Erhvervsstyrelsen har i vurderingen lagt vægt på, at TDC har oplyst, at de pågældende data anonymiseres umiddelbart fra opsamlingsøjeblikket.
Herudover har Erhvervsstyrelsen lagt vægt på, at TDC har oplyst, at den anvendte anonymiseringsmetode og proces af de anonymiserede rådata selv med hjælp af andre datakilder, som man med rimelighed kan bringe i anvendelse, reelt ikke gør en efterfølgende identifikation af en fysisk bruger mulig.

Det er således Erhvervsstyrelsens samlede vurdering, at den af TDC anvendte metode til anonymisering behandling af trafik- og lokaliseringsdata i dette konkrete tilfælde sikrer, at der ikke sker behandling af trafik- eller lokaliseringsdata i strid med udbudsbekendtgørelsens §§ 23 og 24.

Erhvervsstyrelsen har i den offentliggjorte vurdering fjernet udvalgte tekstpassager, idet disse omhandler TDC´s tekniske indretninger eller forretningsforhold, som det er af væsentlig økonomisk betydning for TDC ikke bliver offentliggjort.

Læs Erhvervsstyrelsens vurdering af TDC´s behandling af trafik- og lokaliseringsdata i 'Visit Aarhus Pilot' (pdf)
I januar 2017 rejste Erhvervsstyrelsen en tilsynssag over for Hi3G om selskabets behandling og opbevaring af lokaliseringsdata til fejlsøgning. HI3G indsamler og opbevarer i fire måneder data om dato, klokkeslæt og gadenavne samt telemast og kompasretning, som ikke er relateret til, at kunden har anvendt sin telefon til opkald, sms eller anden brug.

De pågældende data er omfattet af reglerne i bekendtgørelse om udbud af elektroniske kommunikationsnet eller –tjenester (udbudsbekendtgørelsen) om indsamling og opbevaring af trafik- og lokaliseringsdata og skal derfor som udgangspunkt slettes eller anonymiseres, så snart de ikke længere er nødvendige for at kunne fremføre kommunikation. Data må dog blandt andet behandles for at kunne levere tillægstjenester, forudsat at abonnenten har givet samtykke hertil, og at abonnenten er oplyst om, hvordan og hvor længe selskabet anvender de pågældende oplysninger, samt at de alene anvendes i det tidsrum, som tjenesten nødvendiggør det.

I sagen har Erhvervsstyrelsen vurderet, at Hi3G har handlet i strid med udbudsbekendtgørelsen, fordi Hi3G ikke over for selskabets kunder har oplyst, at fejlsøgning er en tillægstjeneste, hvortil selskabet indsamler og opbevarer lokaliseringsdata, herunder hvilke data selskabets specifikt indsamler, og hvor lang tid selskabet opbevarer de pågældende data. Abonnenterne oplyses heller ikke om muligheden for at trække et afgivet samtykke til anvendelsen af data tilbage, og Hi3G har ikke sandsynliggjort, at det er nødvendigt at opbevare data i fire måneder.

Hi3G har derfor fået et påbud om at rette op på de pågældende forhold og skal senest den 12. juli 2017 redegøre for, hvordan selskabet har efterlevet påbuddet.

Efter anmodning har Hi3G fået fristudsættelse på levering af redegørelsen til den 11. august 2017.

Hi3G har ved brev af 11. august 2017 oplyst at, selskabet har taget Erhvervsstyrelsens afgørelse til efterretning. I brevet oplyser Hi3G bl.a., at selskabet er ophørt med at behandle lokaliseringsdata til brug for fejlsøgning i forbindelse med tillægstjenesten fejlsøgning. Fremover vil Hi3G’s kunder kun kunne gøre brug af tillægstjenesten fejlsøgning efter udtrykkeligt at have givet sit samtykke til, at Hi3G må behandle lokaliseringsdata med henblik på fejlsøgning.

Læs Erhvervsstyrelsens afgørelse om Hi3G Denmarks ApS’ behandling og opbevaring af lokaliseringsdata til fejlsøgning (pdf)
I februar 2016 rejste Erhvervsstyrelsen en tilsynssag over for TDC om selskabets behandling og opbevaring (logning) af lokaliseringsdata for MMS og anden mobildatatrafik.

Efter telelovningen skal teleselskaberne slette eller anonymisere trafik- og lokaliseringsdata, medmindre de har pligt til at gemme dem efter logningsreglerne. De fremgår udtrykkeligt af logningsreglerne, at teleselskaberne skal logge lokaliseringsdata vedr. MMS-trafik. TDC’s eksisterende tekniske systemer gør det imidlertid ikke muligt at adskille lokaliseringsdata for MMS-trafik fra lokaliseringsdata for anden mobildatatrafik.

På baggrund af de oplysninger, der foreligger i sagen, er det Erhvervsstyrelsens vurdering, at det ikke vil være proportionalt at kræve, at TDC skal ændre selskabets systemer, således at selskabet kan adskille de omhandlede data.

Justitsministeriet har i forbindelse med sagen bl.a. udtalt, at logningsbekendtgørelsens bestemmelse om at logge lokationsoplysninger ved MMS-trafik også gælder, hvis de konkrete systemer, udbyderne anvender, er indrettet således, at der i tilknytning til logning af MMS-trafik også logges visse yderligere lokationsdata ved mobildatatrafik.

Det er på den baggrund Erhvervsstyrelsens vurdering, at det ikke er i strid med telelovgivningen, at TDC ikke sletter eller anonymiserer lokaliseringsdata for anden mobildatatrafik end MMS, når de ikke længere er nødvendige for fremføring af kommunikation, idet kravet herom ikke gælder, hvis der er tale om data, der er omfattet af logningsforpligtelserne.

Læs Erhvervsstyrelsens vurdering af TDC A/S’ behandling og opbevaring af lokaliseringsdata vedrørende mobildatatrafik (pdf)

Tilsyn med persondatasikkerhed på teleområdet

Politianmeldelse af OiSTER

FAQ

Afgørelser og vurderinger

Lovgrundlag

Årsberetninger

Digitaliseringsstyrelsen

Genveje

Ofte besøgte sider

Digitaliseringsministeriet

Tilsyn med persondatasikkerhed på teleområdet

Politianmeldelse af OiSTER

FAQ

Hvorfor politianmelder Digitaliseringsstyrelsen OiSTER?

Hvorfor er det Digitaliseringsstyrelsen (og fx ikke Datatilsynet), der anmelder OiSTER til politiet?

Hvad omfatter Digitaliseringsstyrelsens tilsyn?

Hvor alvorligt vurderes det aktuelle brud at være?

Hvad har styrelsen lagt vægt på ift. vurderingen af, at der er indført ”passende tekniske og organisatoriske foranstaltninger”?

Hvilken konsekvenser har en politianmeldelse for de personer, der er blevet berørt af bruddet, og kan de berørte forvente en kompensation?

Afgørelser og vurderinger

7. maj 2020: Telenor

7. maj 2020: Telia

17. april 2020: Udtalelse til Statens Serum Institut

19. april 2018: TDC/Visit Aarhus Pilot

15. juni 2017: Hi3G Denmark ApS

24. maj 2017: TDC

Lovgrundlag

Årsberetninger

Digitaliseringsstyrelsen

Genveje

Ofte besøgte sider

Digitaliseringsministeriet