AIS, nå definert som personopplysning.

[Midtpinne]

Jeg har ikke tenk på det tidligere, men for meg er det ganske klart at i mange tilfeller vil en AIS-posisjon være en personopplysning.

 

Man kan ikke si at siden man har installert AIS har man akseptert og godkjent publisering av posisjonen sin. Personlig ville jeg godkjent en slik publisering. Jeg publiserte tross alt posisjonen min via OnCourse på MarineTraffic før jeg fikk meg AIS.

 

Det er helt klart at dersom det blir aksept for at en AIS-posisjon er en personopplysning vil det være problematisk for tjenester som AISHub/Vesselfinder og Marinetraffic. I alle fall for klasse B AIS.

Redigert 30.Juni.2020 av Midtpinne (see edit history)

[SamH]

Midtpinne skrev 7 minutter siden:

Jeg har ikke tenk på det tidligere, men for meg er det ganske klart at i mange tilfeller vil en AIS-posisjon være en personopplysning.

Helt på linje med deg der. Til tross for at en del av det daglige, vel ihvertfall ukentlig,  for meg er nettopp sletting av persondata, frivillig avleverte sådanne,  og kjapp vurdering av lovmessighet for eventuell fortsatt lagring, tok dette meg litt på senga.  
Jeg har i tillegg også videreformidlet andres posisjoner til Marinetraffic over et par år, og kjenner at dette brenner litt i baken nå.
 

[Midtpinne]

SamH skrev 29 minutter siden:

Jeg har i tillegg også videreformidlet andres posisjoner til Marinetraffic over et par år, og kjenner at dette brenner litt i baken nå.
 

 

Jeg gjør også det. Men her bryter vi nok to regelverk når jeg tenker på det.

 

1. Dersom du har en AIS-sender har du antagelig MMSI-nummer og dermed et SRC-sertifikat der du har underskrevet på at alt du får formidlet via VHF er taushetsbelagt. AIS går på VHF bandet.

2. GDPR.

[Gunga Din]

Jo, men du trenger ikke ett SRC for att decode AIS-signaler....til det trenger du en reciever med decoder.....de er lisensfrie

[SamH]

Ikke uenig. Men GDPR er virkelig det som bekymrer.

Småbrudd på LRC og  mitt gamle generelle radiosertifikat kan alltids hevdes å ha blitt mottatt av ikkekonsesjonsbelagte mottagere, og har ikke det potensielle riset som brudd på GDPR kan ha. 

[SamH]

Gunga slo meg på målstreken :)

[Midtpinne]

Gunga Din skrev 11 minutter siden:

Jo, men du trenger ikke ett SRC for att decode AIS-signaler....til det trenger du en reciever med decoder.....de er lisensfrie

 

SamH skrev 10 minutter siden:

Ikke uenig. Men GDPR er virkelig det som bekymrer.

Småbrudd på LRC og  mitt gamle generelle radiosertifikat kan alltids hevdes å ha blitt mottatt av ikkekonsesjonsbelagte mottagere, og har ikke det potensielle riset som brudd på GDPR kan ha. 

 

Ja, helt enig, og jeg videreformidlet AIS-posisjoner før jeg tok SRC. Men fra den dagen jeg tok SRC hadde jeg strengt tatt ikke lov. Det er ikke utstyret det kommer an på, det er frekvensene. Jeg tenke faktisk på det når jeg tok SRC.

[SamH]

Tja. Om jeg bare repeterer data mottat på TCP så er ikke taushetsplikt en issue i det hele.

Vi har fort vekk distribuert AIS-data i havna over WiFi, or not ;) 

Men det er ikke tema her, greia er at  utverden henter oss inn. Og vi må følge med på hva slags ansvar vi roter oss bort i.

Redigert 30.Juni.2020 av SamH
unpleasant typos (see edit history)

[Arne2]

4 hours ago, SamH said:

Ignoransen er fantastisk. Skulle ikke tro det var mulig.

 

Tja, har brukt en del timer på å utrede den praktiske anvendelsen GDPR og mange diskusjoner med Datatisynet om saken men de prinsippene som de snakket mye om, det er egenlig det som står kort oppsummert her:

 "identifisering av at tiltenkt lagring og behandling av personopplysninger samsvarer med lovens grunnkrav, se artikkel 5 og 6 i personvernforordningen. Det legges spesielt vekt på saklig behov og konkret definering av formål, herunder at opplysningene som lagres samsvarer med formålet."

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet-internkontroll/etablere-internkontroll/internkontrollens-struktur/

Når kravet til "saklig behov" og "konkret definering av formål" er oppfylt, så kan det nok bære være mulig å samle inn og bruke personopplysninger. En annen side ved saken, det er jo om det i tillegg finnes en avtale der den som gir fra seg opplysningene samtykker til en bestemt bruk av opplysningene.

[Popeye70]

1 hour ago, Arne2 said:

En annen side ved saken, det er jo om det i tillegg finnes en avtale der den som gir fra seg opplysningene samtykker til en bestemt bruk av opplysningene.

 

Når man installerer en AIS transciever samtykker man IKKE til at posisjonsdata skal kunne videreformidles til tjenester som Marine Traffic. Etter GDPR skal i så fall et slikt samtykke være opt-in, det skal kunne dokumenteres og trekkes tilbake. Marine Traffic har ingen metode for å etterleve dette, så vidt jeg vet.

 

Det eneste man i praksis samtykker til ved installasjon av AIS er at mottakere innen "hørbar" distanse skal kunne plukke opp den informasjonen som sendes ut via AIS. Det er jo hele poenget med AIS. Marine Traffic er en tredjepart, og brukere av AIS har ingen mulighet til å samtykke (eller ikke samtykke) til at M.T. skal behandle den AIS-informasjonen man sender ut. Og der ligger problemet for Marine Traffic sin del.

[Lanber]

For svarte, hele vitsen med AIS er jo å kringkaste hvor du er og hva du gjør så andre kan se deg!

 

Ikke om jeg skrur av!

[Chiefengineer]

Lanber skrev 1 time siden:

For svarte, hele vitsen med AIS er jo å kringkaste hvor du er og hva du gjør så andre kan se deg!

 

Ikke om jeg skrur av!

 

Synes som at dette har gått hus forbi hos enkelte.

 

Flightradar fungerer forøvrig på samme prinsipp. Her blir det mye å opponere mot både i lufta og på sjøen.

[Arne2]

Grunnprinsippet i GDPR er jo ikke at det er forbudt å lagre og bruke persondata, men at det skal finnes "et saklig behov" og "konkret definering av formål", med andre ord det skal være behov for data og man skal ikke lagre flere data enn nødvendig.

Det blir jo lagret og brukt persondata i en lang rekke sammenhenger, for eksempel telefonkatalogen, Brønnøysundregistrene, forskjellige kunderegistere, osv, osv. 

Det å bruke nødvendige persondata til en sikkerhetsrelatert tjeneste som AIS rapporteringen vil nok uansett falle innenfor det som man kan bruke persondata til.

Og så er det jo den problemstillingen at når man frivillig instalerer en tranciever så er jo hele formålet med installasjonen å fortelle hvor båten din er.

Det gode med å spå om framtiden, det er at fasit følger. Jeg vil vel ikke akkurat forvente at det blir forbudt å bruke AIS tjenester internasjonalt, på grunn av at noen hos Fiskeridepartementet i Norge mener at AIS data i noen sammenhenger kan oppfattes som persondata. Saken hos Fiskeridepartementet vil være helt uten betydning i den sammenheng.

Redigert 1.Juli.2020 av Arne2 (see edit history)

[Grand Banks jr]

@Lanber, man skrur på AIS for å kringkaste hvor man er her og nå - for båter i nærheten og for redningssentralen. Men ikke for at en tredjepart skal lagre all informasjon om din båt, inkludert hvor man er (med navn) og heller ikke historisk hvor du har vært.

 

Det er dette som lovverket regulerer og som nå er prøvd i retten. 

 

Den tiltenkte funksjonen til AIS er ivaretatt.

[Popeye70]

38 minutes ago, Grand Banks jr said:

@Lanber, man skrur på AIS for å kringkaste hvor man er her og nå - for båter i nærheten og for redningssentralen. Men ikke for at en tredjepart skal lagre all informasjon om din båt, inkludert hvor man er (med navn) og heller ikke historisk hvor du har vært.

 

Det er dette som lovverket regulerer og som nå er prøvd i retten. 

 

Den tiltenkte funksjonen til AIS er ivaretatt.

 

Nettopp! Det var det jeg prøvde å forklare i min forrige post, men det var tungvint forklart.

[rdalen]

Grand Banks jr skrev for 1 time siden:

Det er dette som lovverket regulerer og som nå er prøvd i retten. 

 

Det er vel ikke prøvet i retten? Det er en vurdering foretatt av Nærings- og Fiskeridepartementet  - som eventuelt kan prøves rettslig,  hvis noen ønsker det.

 

Men min erfaring er at mange tolker GDPR alt for strengt og prinsippielt (mens mange også gir blaffen av uvitenhet). Det er som Arne2 skriver, mye som er tillatt, og de praktiske konsekvensene og forståelsen av GDPR-reglene er noe aktører og personvernmyndigheter prøver å tilpasse hele tiden. Det er ikke meningen GDPR skal legge lokk på all fornuftig og samfunnsnyttig bruk av persondata.

 

I dette tilfellet har departementet fastslått at disse dataene ikke kan brukes som grunnlag for å ilegge bot, og at det i dette tilfellet ikke oppfyller kravet om saklig behov og konkret definering av formål.  Departementet har ikke vurdert bruk av dataene opp mot andre tjenester/områder. Og heller ikke personvernsspørsmål knyttet til andre fartøyer, for eksempel fritidsfartøyer, som ikke nødvendigvis føres av eieren.

 

Her velger jeg å låne øre til Arne2 som åpenbart jobber med disse tingene . (muligens er han jurist?)

Redigert 1.Juli.2020 av rdalen (see edit history)

[Barbaria]

Kan man ikke bare endre navn i AIS oppsettet til «Sailboat» eller noe annet som ikke kan spores til person.

Et problem er at folk tar bilder av båten å legger ut på Marinetraffic. Hvordan får man tatt de bort derfra?

[Grand Banks jr]

@rdalen, du har rett. Jeg mikset saker. Denne saken er ikke prøver for retten. Jeg mikset med en annen sak der ting var kjørt til Høyesterett for prinsipiell avklaring. 

 

Enig i at GDPR ofte tolkes for drygt. Og at mange av uvitenhet bryter denne hele tiden.

 

Akkurat denne saken er interessant mtp hva tredjeparter kan tillate seg å gjøre med AIS dataene som samles inn. Selv om saken konkret ikke handler om det. Men det at AIS kan tolkes som personopplysninger medbringer en del spørsmål. 

[rdalen]

Grand Banks jr skrev 6 minutter siden:

Men det at AIS kan tolkes som personopplysninger medbringer en del spørsmål. 

 Det er jeg enig i, men det krever en avklaring utover denne konkrete saken, og at den ikke uten videre kan tas til inntekt for at publisering på MarineTraffic er forbudt.

Det kan ikke trekkes bastante slutninger på bakgrunn av det departementet har gjort, og heller ikke på ens egen personlige (amatørmessige) vurdering av hva som er rett og galt. Her må det jus til, og den er ofte ikke så rett frem som mange later til å tro.

 

Noen her virker skråsikre, og det er som regel ikke bra. 

Jeg får si som min sønn som er jurist: "Assumtions are the mother of all fuckups"

[Grand Banks jr]

Ja, i Norge er det vel Datatilsynet først og deretter rettssystemet som har myndighet til å skape presedens. 

 

Det som avgjøres her lokalt (Norge) gir ikke automatisk samme avgjørelse i EU. 

 

Poenget mitt over var å tydeliggjøre at AIS i seg selv ikke vil kunne miste sin funksjon som følge av denne lokale saken, men situasjonen kan være annerledes for Marinetraffic og tilsvarende tredjepersoner. Dette er per nå ikke avklart. 

[Gunga Din]

rdalen skrev 12 minutter siden:

 

Jeg får si som min sønn som er jurist: "Assumtions are the mother of all fuckups"

 

 

vi hadde en gammel erfaren advokat i ett selskap jeg jobbet tidigere, han sa alltid 

 

det gjeller ikke att ha rett....uten att få rett i domstolen !

[Lars H.]

[SamH]

Så var MT-basestasjon #3428 historie, og Grenland/Bamble er uten klasse B dekning på Marinetraffic igjen.

[S/Y Emma]

Kan noen forklare problemstillingen?

[Popeye70]

8 hours ago, S/Y Emma said:

Kan noen forklare problemstillingen?

AIS kan potensielt identifisere enkeltpersoner, typisk i de tilfeller hvor en enkeltmannsbedrift har AIS ombord av sikkerhetsgrunner. Vet man at fiskebåten «Nordlys» var på en gitt posisjon til et gitt tidspunkt så vet man også at Arne Hansen var der fordi han alltid er eneste mann ombord. Og da snakker vi om personidentifiserende informasjon, hvis posisjon + båtnavn også identifiserer en person.

 

Det er det første «problemet», men så kan man jo si at Arne Hansen har samtykket til at

båtens (og dermed hans) posisjon, kurs og fart blir kringkastet til båtene i nærområdet. Og det er jo AIS sitt funksjonsområde - man kan se hvor båtene rundt egen båt befinner seg, i hvilken retning og med hvilken fart båtene beveger seg. På den måten øker sikkerheten - risikoen for bl.a. kollisjoner reduseres. Men her snakker vi om sanntidsinformasjon distribuert i et begrenset område - informasjonen bæres over kortdistansemediet VHF, tross alt.

 

Neste problem da er hvordan tjenester som Marine Traffic tar tilgjengelig AIS-informasjon og akkumulerer og presentere dette, uten at brukerne (de som får sin posisjon vist) har samtykket til dette. Hvis først en entydig posisjon identifiserer en person, så er det lett å se at Marine Traffic videredistribuere personidentifikasjon, og det skjer uten at brukerne har samtykket, og uten at de kan trekke dette samtykket. Via Marine Traffic kan man også søke i historiske posisjoner og se f.eks. hvordan Bastøyfergene eller min båt har beveget seg i et predefinert tidsrom. Så ikke bare vet resten av verden at Arne Hansen stoppet innom Engelsviken på vei hjem, de vet også at

han var der i to timer. Og gitt nok tid kan man kanskje forutse hvor han skal være i morgen, basert på data samlet inn av en tredjepart som ikke Arne hadde akseptert at skulle ha denne informasjonen.

 

GDPR sier i klartekst at alle de som får sine data behandlet har rett til å å få se all informasjon som databehandler (Marine Traffic i dette tilfellet) har lagret om en selv. Man kan også kreve å få se alle historiske data som er lagret om en selv, man kan kreve å få det slettet, man kan be om å få se se det registrerte samtykket som man har gitt til Marine Traffic, det samtykket som gir disse lov til å samle inn og lagre denne informasjonen.

 

Så hvis jeg ber Marine Traffic om å få se «mappa mi», inkludert en bekreftelse på samtykket til at Marine Traffic kan samle inn og lagre denne informasjonen, så må de etterfølge denne henvendelsen, og de har i utgangspunktet 30 dager på seg til å levere dette fra seg. Jeg kan også be om at all informasjon om meg skal slette, og da må M.T. gjøre dette. Det er GDPR som gir meg disse rettighetene, og bedrifter som har kunder i GDPR-området må etterleve disse rettighetene mine.