Till att börja med så är det fullkomligt möjligt att AllTele inte sparar användaruppgifter historiskt rent generellt sett, åtminstone inte i de fall där kunderna har dynamiskt tilldelade IP-nummer. Jag har dock haft ett statiskt IP-nummer sedan jag blev kund hos AllTele, vilket i princip sett innebär att man har historiken klar för sig. I den förra posten beskrev jag hur jag försökte få klarhet i några frågor jag hade och hur det sedan resulterade i att jag fick mina användaruppgifter mailade till mig.

Det var förmodligen den delen som egentligen upprörde mig. Jag hade nämligen inte tillhandahållit särskilt mycket information som kunde säkerställa att det verkligen var jag som var den som ville ha ut min egen information. Visst, jag hade angett mitt namn och personnummer, men de kan vem som helst ta reda på. Jag hade också angett vilken nätleverantör jag hade, men det hade också gått att lista ut relativt lätt utifrån öppet tillgängliga personuppgifter. Jag frågade ifall de behövde mitt kundnummer, men istället för att den jag hade kontakt med på AllTeles kundservice bad om att få mitt kundnummer så skickades i stället mina fullständiga IP-uppgifter ut till den e-postadress jag angett.

Detta gjorde mig både upprörd och bekymrad, eftersom det enligt mig tyder på rejält bristande rutiner vad gällde hanteringen och policyn kring hur man skall handskas med sådana uppgifter.

Dessa IP-uppgifter kan mycket väl ha hämtas fram ur ögonblicksdata hos dem, det vill säga att de såg i sitt system vilket IP-nummer jag hade just då. Det behöver inte på något sätt ha varit lagrat i någon form av historisk logg. Tråkigt nog gjorde min upprördhet att jag blev lite väl ivrig och missade att beskriva detta.

Idag fick jag en mycket trevlig kommentar från Ola Norberg, AllTeles VD, som på ett vänligt sätt bemötte det jag skrivit. Det trevliga bemötandet är också anledningen till att jag skriver detta. Trevligt kundbemötande är nämligen något som skall premieras på alla sätt.

Jag valde att uppdatera min gamla post så att den bättre stämmer överens med roten till min dåvarande upprördhet. Gamla bitar är överstrukna, jag har även märkt upp mina tillägg.

I telefonkontakt jag hade med AllTele i lördags fick jag även berättat för mig att vid det tillfälle jag fick uppgifterna mailade till mig så skall det endast ha funnits en strikt policy kring hantering av kunduppgifter och IPRED, men att det redan samma dag gick ut en uppdaterad policy som skärpte upp hanteringen av kunduppgifter även vid supportärenden.

Stämmer detta är det självklart jättebra!

Jag vill även att denna rättelse/kommentar skall nå ut till samma ställen min förra post gjorde (Har du som läser detta använt min förra post som källa hoppas jag att du kan uppdatera din post med det nya läget. Har du spridit den förra posten vidare, sprid även denna vidare):

• Computer Sweden: Tele2 skrotar användaruppgifter
• IT24: De tjänar på Ipred-lagen
• ComputerSweden: Ingen plikt att spara uppgifter
• även SvD och DN nämner att AllTele raderar användaruppgifterna

Några av alla de bloggar som skriver om AllTeles uttalande: Allt om IT, The Blackjacker, Åsiktskanonen nämner i förbigående AllTeles yttrande, Jinge tar upp ett citat från Aftonbladet.

Taggar: alltele, integritet, internet

Uppdatering 2009-05-04: Läs tillägget i slutet av posten, jag har även strukit över de delar som därmed inte stämmer fullt ut.

Under hela min tid här i Linköping har jag haft AllTele som internetleverantör, tjänsten i sig har i regel fungerat bra och det enda skälet att jag inte bytt till Banhof är nog att jag varit lat. Nu blir det nog ändring på det. Skälet är enkelt. AllTele ljuger och bluffar.

Efter att IPRED-lagen klubbades igenom och den fällande domen kring The Pirate Bay-målet kom till allmän kännedom har internetleverantör efter internetleverantör gått ut med uppgifterna om att de minsann inte kommer att lämna ut några användaruppgifter, i många fall påstås det även att de uppgifterna inte ens sparas och därför helt enkelt inte kan lämnas ut.

Det låter ju jättebra.

Jag kontaktade AllTele för att få rätsida på de funderingar jag hade, för de mail jag sett mina kompisar få från dem lämnade lite frågetecken hos mig. Det jag fick fram går att sammanfatta i en mening:

AllTele sparar visst på användaruppgifter, och nog lämnar de ut dem utan större bekymmer med!

AllTele har handskats ganska rejält oförsiktigt med mina användaruppgifter (ersätter ovanstående rad)

Nog för att sammanfattningar kan vara trevliga, nedan finns en lite mer mustigare beskrivning över vad som hände. Jag kontaktade alltså AllTele och min kärnfråga var följande:

Lagrar ni på något sätt information som gör att jag går att identifiera för utomstående part?

Vad är er policy för samarbete med utomstående part vad gäller utlämnande av uppgifter som kan peka ut mig som individ? Vad krävs för att ni skall göra något sådant?

De svarade luddigt med:

Vårt policy för samarbete med utomstående part är AllTele lämnar inte ut några uppgifter baseradt på krav enligt Ipred lagen.

Vi hoppas att detta är utvecklande nog för din del.

Detta hade med största sannoliket varit alldeles strålande utvecklande nog för vilken vanlig användare som helst, men personligen tyckte jag att jag inte hade fått svar på min fråga… Efter att ha påpekat det för dem via deras sjukt osmidiga supportsystem (hallå AllTele, vanlig mailsupport är att rekommendera) så fick jag ett svar där ett internt mail var infogat, i det kunde man läsa:

AllTele har i ledningsgruppen beslutat att följa samma linje som Bahnhof deklarerade under gårdagen och INTE spara och därigenom INTE lämna ut kunduppgifter. Det finns i dag ingen tvingande lag att operatören skall spara dessa uppgifter och vi kommer från o med i dag att radera samtliga DHCP-adressuppgifter ur våra system.

Avslutningen på den sista meningen fick mig att höja lite på ögonbrynen, ”skyddet” gällde alltså bara de som får sitt IP-nummer via DHCP. Det är inget de kommunicerat ut. Visst, förmodligen har majoriteten av deras kunder dynamisk tilldelning via DHCP, men jag är en av många som inte har det.

När jag då påtalade för dem att jag inte har dynamiskt IP-nummer och därför undrade hur deras skydd egentligen är tänkt att fungera för min del var det korta svaret:

AllTele lämnar inte ut några kunduppgifter baserat på IP-adress. Det spelar ingen roll om man har DHCP eller statisk IP-adress.

Inte ett ord som på något vis berör biten om att det uppenbarligen är så att de sparar på uppgifterna trots allt.

Det här fick mig även att bli frestad att testa att se hur svårt det skulle vara att få ut mina egna uppgifter från dem…

Jag startar ett nytt supportärende och inleder det med följande:

Hej,
min router hemma har lägligt nog bestämt sig för att radera samtliga inställningar, däribland det fasta IP jag blivit tilldelat när jag startade mitt abonnemang hos er.

Jag undrar om de kan maila uppgifterna till mig. Måste även påpeka att jag inte ger dem mitt kundnummer. De får mitt namn, min e-postadress  (som inte är den de har i sitt system) samt mitt personnummer (som vem som helst kan kolla upp på mindre än 30 sekunder).

Någon på AllTele svarar med ett kort

Du har DHCP så jag kan tyvärr inte skicka några uppgifter till dig.

Okej, det gick inte på första försöket…

Nej, inte enligt de uppgifter jag fått från er sedan tidigare. DHCP används vid dynamisk tilldelning. När jag anslöt mig fick jag uppgifter om att ange ett fast IP (vilket är det totalt motsatta mot DHCP). Hjälper ett kundnummer?

Här ger jag dem till och med en uttrycklig chans att be om mitt kundnummer (vilket trots allt hade höjt säkerheten en hel del). Jag bifogar inte heller här mitt kundnummer. Mailadressen är så klart inte heller denna gång den de har i sitt system.

Svaret kom blixtsnabbt denna gång:

IP [mitt IP-nummer] Nätmask [min nätmask] Gateway [min gateway] DNS 1 [min primära DNS] DNS 2 [min sekundära DNS].

Mailet avslutades med vänliga hälsningar från en signatur jag inte tänker hänga ut. Fullständiga användaruppgifter med andra ord. Bevisligen sparade. Bevisligen utlämnade.

Åter igen: Jag lämnade inte mitt kundnummer, mailen jag angav är inte den de har i sitt system och ingen som helst säker identifiering av mig gjordes. Vem som helst skulle kunna ha gjort detta.

Detta gör i mina ögon AllTele till lögnare som tar sin chans att med halvsanningar försöka plocka åt sig lite hjältegloria. (Kommentar till överstrykningen: Yikes, jag ska andas lite innan jag skriver sådana här poster…)

Visst, okej… De lämnade inte ut uppgifter med mitt IP-nummer som enda identifierare här, men det är ändå så att de lämnade ut mina uppgifter till en för dem helt okänd person som inte identifierat sig med kundnummer och där e-postadressen inte stämmer överens med den som registrerats i deras system. Jag undrar vad de då gör om en instans som har lagligt stöd kommer och vill ha ut uppgifter… Jag menar, uppgifterna finns ju bevisligen där.

Tillägg 2009-05-04: Uppgifterna kan mycket väl vara hämtade ur ögonblicksdata de har, den behöver inte arkiveras. Men sparad är den ändå ur strikt bemärkelse.

Jag är nu helt bestämd att överge AllTele. Jag kan inte rekommendera dem till vänner och bekanta heller. Helt enkelt därför att sanningen inte serverades men också mycket för att de har visat hur oförsiktigt de handskas med mina kunduppgifter. Mitt tips är att du tar ett rejält snack med din internetleverantör för att reda ut hur det egentligen ligger till.

Mer läsning:

• Läs den fullständiga mailväxlingen på Gate 303: AllTele behåller användaruppgifter
• Computer Sweden: Tele2 skrotar användaruppgifter
• IT24: De tjänar på Ipred-lagen
• ComputerSweden: Ingen plikt att spara uppgifter
• även SvD och DN nämner att AllTele raderar användaruppgifterna

Några av alla de bloggar som skriver om AllTeles PR-jippo: Allt om IT, The Blackjacker litar på AllTele, Åsiktskanonen nämner i förbigående AllTeles yttrande, Jinge tar upp ett citat från Aftonbladet där AllTele påstås förstöra kunduppgifterna.

Taggar: alltele, användaruppgifter, integritet, internet, IPRED