Udbredt system til trafikovervågning er ulovligt

En række kommuner laver intelligent trafikovervågning ved at aflæse de unikke MAC-adresser fra smartphones. Men metoden er ulovlig uden samtykke, oplyser Erhvervsstyrelsen.

Intelligente trafikstyringssystemer er i høj kurs hos kommuner, der implementerer systemer til at forhindre trafikknuder og guide bilister til den hurtigste vej gennem byen. Trafikken overvåges ved at opsnappe MAC-adresser fra bilisternes smartphones gennem enten Bluetooth eller wifi-signal. Flere af landets største kommuner har købt stort ind af disse systemer. Nu viser det sig, at overvågningsmetoden er ulovlig. Det oplyser Erhvervsstyrelsen.

At indsamle den unikke MAC-adresse falder nemlig ind under det direktiv, der i folkemunde har fået navnet cookie-direktivet, hvis effekt bedst kendes fra de adskillige pop-ups, der advarer hjemmesidebrugere om, at en given side anvender cookies. Men direktivet har i virkeligheden en langt bredere vingefang end den populære titel antyder. Og det indbefatter også brug af MAC-adresser, forklarer Brian Wessel, der er kontorchef i Erhvervsstyrelsen.

»Som al anden device fingerprinting er det omfattet af direktivet. Derfor er det de samme regler som gælder. Du må indsamle MAC-adressen, hvis det er nødvendigt for at udføre den service, som brugeren beder om. Hvis du derudover bruger det til andre formål, så skal bede om kundens accept,« siger Brian Wessel til Version2.

Der er undtagelser, men de er snævre, lyder det fra kontorchefen.

»Hvis det går ud over, hvad der er nødvendigt, og hvad brugeren har bedt om, så er det omfattet. Og det gør det jo her. I sådanne tilfælde kræver direktivet, at man skal indhente brugernes samtykke.«

Når brugerne i det her tilfælde er utallige billister på en ringvej, så er det svært at se, hvordan samtykke kan indhentes.

Kommuner vidste ikke, det var mod loven

Systemer, der indsamler de unikke MAC-adresser er blandt andet implementeret i Aarhus og Aalborg. Ingen af disse kommuner var klar over, at systemet strider med loven, da Version2 henvendte sig.

Michael Kirkfeldt, der er stadsingeniør i Aalborg Kommune, fortæller, at man ikke har været opmærksom på den del af lovgivningen.

»Lovgivningsmæssigt var jeg af den overbevisning, at det må være leverandørerne, der har styr på det,« forklarer han.

I begge kommuner understreger man, at teknikken ikke gemmer en læsbar MAC-adresse, og at man derfor på ingen måde kan bruge teknologien til at identificerer en bestemt bilist. Den opsnappede værdi hashes og re-hashes, og fordi rehash-værdien ændres med jævne mellemrum, kan man heller identificerere folk på baggrund af rejsemønstre.

Projektleder i Aarhus Kommune, Michael Bloksgaard, tegner det samme billede som kollegaen i det nordjyske.

»Vi har ikke været bevidst om det. Vi har været inde og se på persondataloven og sikret med dobbeltkryptering, at vi ikke kunne finde en MAC-adresse i systemet. Det har været det vigtige for os. Nu må vi finde ud af, hvad der er op og ned i det, og så må vi tage den der fra,« siger Michael Bloksgaard.

Systemet er originalt blevet anvendt til at overvåge trængsel i lufthavne, men er blevet en udbredt metode til at gøre trafikstyringen intelligent. I byer som København, Køge, Randers, Roskilde og Slagelse er der installeret sensorer, som opsnapper den unikke MAC-adresse fra bilisternes telefoner. Og i Aarhus vil man meget nødig droppe systemet nu, fortæller Michael Bloksgaard.

»Der er ingen tvivl om, vi ville være kede af at stoppe projektet. Der ligger nogle gode data, som borgerne kan være helt trygge ved, at lade os indsamle. Vi vil gerne vise trafikanterne, hvor lang rejsetid de kan forvente, hvilken rute der er bedst at tage, samt hvilket tidspunkt, som er godt at rejse på. Det kan vi ikke uden de her data.«

IT-Politisk Forening: Data bør anonymiseres på brugersiden

Næstformand i IT-Politisk Forening, Jesper Lund, mener også, at det må være en formildende omstændighed, at kommunernes system ikke kan holde øje med en bestemt billist kørselsvaner. Ikke desto mindre er det en beslutning, der burde ligge i brugerens hænder, mener Jesper Lund.

»Det er uden for min kontrol, hvad der sker med min MAC-addresse, efter den er blevet registreret. Det er ikke super problematisk, hvis hash-algoritmen bliver udskiftet efter en dag, men det har jeg ikke nogen sikkerhed for,« siger han.

Som systemet fungerer, bliver den unikke adresse anonymiseret efter at data er registeret. I stedet så Jesper Lund gerne, at data var anonymiseret allerede, når den forlader billistens telefon.

»Jeg har ikke nogen gavn af, at rende rundt med et device, der gør det muligt at spore mig. Det ville være langt bedre, hvis de her adresser var forskellige fra gang til gang, Så kunne jeg tage kontrol over det,« siger Jesper Lund og henviser til Apples iOS7, der netop lader brugeren have en ikke-fast MAC-adresse.

Overtrædelserne er dog ikke noget, der i denne omgang får Erhversstyrelsen til at rykke ud, fortæller Brian Wessel.

»I vores håndhævelse har vi fokus på, hvor indgribende det er. Hvis det er tracking på tværs, hvor du holder øje med det samme udstyr over tid, så er det meget indgribende. Hvis du bruger det til at få et øjebliksbillede over, hvor mange bilister der er et givent sted, så er det mindre indgribende,« siger Brian Wessel og tilføjer:

»Derfor vil vi først og fremmest have fokus på, om indsamlet data bliver anvendt på en måde, der er indgribende over for privatlivet, og om det bliver givet videre til tredjeparter.«