Privacy på internet

BLOG: Privacy på internettet er meget oppe i tiden. Emnet blev derfor også debatteret på konferencen "Internettets Fremtid", som Videnskabsministeriet netop har afholdt. Her er mit oplæg fra konferencen.
Skrevet i It-sikkerhed


Af Lena Andersen Send e-mail
Publiceret d. 8. oktober 2009 kl. 09.15 | Antal kommentarer (22)
Send Tip en ven Print Udskriv


 
ANNONCE:
Persondataloven er en vigtig lov at være opmærksom på, når vi snakker om databeskyttelse og privacy. Lovens område er nemlig bredt - det drejer sig om al "behandling af personoplysninger". Og så er loven teknologineutral og anvendelig på mangt og meget - også, når behandling af personoplysninger sker på internettet.

Loven indeholder nogle principper, som har bestået deres prøve og vist sig anvendelige. Men der er brug for, at lovgivningen til stadighed er effektiv, og derfor har kommissionen et arbejde i gang med at se det direktiv, som de europæiske databeskyttelseslove bygger på, efter i sømmene. Mit personlige bud på et område, de kommer til at kigge på, er anmeldelsesordningerne. Det er forskelligt, hvor meget de dataansvarlige rundt omkring i de enkelte EU-lande skal anmelde til deres nationale datatilsyn. Nogle lande har i høj grad benyttet adgangen til at lave undtagelser til anmeldelsespligten, andre ikke. Kun nogle af landene har gjort brug af direktivets mulighed for "data protection officials" - eller "personuppgiftsombud", som de kaldes i Sverige, eller "personvernombud" i Norge - som alternativ til anmeldelsespligt. Det er altså personer med særligt ansvar for beskyttelse af personoplysninger - tilknyttet de enkelte virksomheder eller myndigheder. De lande, der har sådanne ordninger, har rapporteret meget positivt om effekten af dette.

Arbejdet med revision af direktivet kan jo godt gå hen og tage noget tid, og foreløbigt løber kommissionens høring indtil årets udgang.

Men vi står heldigvis ikke stille, mens kommissionen arbejder med direktivet. Vi bruger de regler, som vi har, på mange nye områder. Vi er i det danske datatilsyn lidt stolte af, at vi har fundet det muligt at stille krav om, at de dataansvarlige skal give information til de borgere, som ulykkeligvis bliver ramt af ulovlige offentliggørelser på internet og andre sikkerhedsbrister. Regler om notifikation ved sikkerhedsbrister er noget, som også er under overvejelse på EU-plan. Vi er allerede i gang.

Også sociale netværk skal overholde loven. Virksomheder, der driver den slags tjenester, og de brugere, der offentliggør oplysninger om andre personer, er underlagt de regler, der gælder. Vi har nogle gode anbefalinger på Datatilsynets hjemmeside, som vi har lavet sammen med vores internationale kollegaer - noget af det er faktisk stærkere end anbefalinger, nemlig krav efter loven.

Lovens område er det, som de dataansvarlige - myndigheder, virksomheder, organisationer eller personer - gør med andres personoplysninger. Hvad vi hver især gør med vores egne oplysninger, er ikke reguleret. Med andre ord forpligter loven os ikke til at beskytte vores eget privatliv. Der er også undtagelser til loven, når der er tale om medierne og kunstnerisk virksomhed. Og ytringsfriheden står stærkt - vi kan selvfølgelig ikke med persondataloven i hånden forhindre borgerne i at sige deres mening.

Børn og unge: Vær opmærksom på, at forskellige initiativer til beskyttelse af de unge ofte handler om andet end privacy og personoplysninger. Faktisk medfører de initiativer tit mindre privatliv. F.eks. når man for at skabe et sik-kert site logger indholdet af chatten.

Privacy trusler på nettet? Myndigheder, virksomheder, voksne, børn. Alle bruger nettet, og der er risiko for krænkelse af personers ret til beskyttelse af personoplysninger og privatliv.

Men det skal også siges, at når vi ser sager, hvor det virkeligt er gået galt, og mange personers oplysninger og privatliv er blevet udsat - ja så er det, når myndighederne har sjusket. Enten de er kommet til at smide oplysninger på nettet. Eller de har lavet selvbetjenings-løsninger, hvor virksomheder går ind og tager oplysninger, som ikke kommer dem ved.

Facebook interesserer mange, så lad mig bare lige hurtigt fortælle:
Vi deltager i datatilsynenes fælles arbejdsgruppe på EU-plan. Det er den såkaldte artikel 29-gruppe. Og den gruppe har en dialog med Facebook og andre sociale netværk. Arbejdsgruppen har afgivet en udtalelse og planlægger at følge op ved at invitere nogle af de sociale netværk til en høring i gruppen. Vi samarbejder også med datatilsynene uden for EU, og der har vores canadiske kollegaer været tidligt ude og har opnået gode resultater, som jeg håber vil komme os alle til gode. Og vi har også i det danske tilsyn sager med forskellige sociale netværk og også med Facebook. Vi forventer at have en fortsat dialog med Facebook både om de spørgsmål, som vi allerede har rejst, og de spørgsmål, som måtte opstå fremover.

Kommentarer til blogindlæg



Stephan Engberg (nedlagt brugerprofil)
Suk
14. oktober 2009 kl. 00.44
Anmeld Besvar

frederik kortbæk
Jeg vil rose datatilsynets aktive og konstruktive tilgang til privacy og vil i relation til opdatering af EU´s datadirektiv gerne lægge op til en fælles dansk udtalelse.
Jeg har på Dansk Privacy Netværks´s blog kommenteret Rand Europe rapporten og har i den forbindelse bl.a. netop anbefalet indførelsen af en persondataansvarlig person i virksomheder og organisationer af en vis størrelse og som skal gennemgå et særligt kursus/uddannelse i databeskyttelse og privacy.

Som kick-off for en konstruktiv dialog og for at stimulere debatten har jeg også peget på, at Datatilsynet arrangerer en workshop for organisationer, myndigheder, eksperter osv.

Tjek: http://danskprivacynet.wordpress.com/ (...)

16. oktober 2009 kl. 16.02
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Dobbelt suk
20. oktober 2009 kl. 10.57
Anmeld Besvar

frederik kortbæk
Stephan Engberg skrev:
Dobbelt suk


Ikke så pessimistisk. Op med humøret, Stephan. Min erfaring fortæller mig, at tingene ganske vist aldrig bliver så gode, som man kan håbe, men heller ikke så slemme, som man kan frygte. Og er livet ikke meget bedre at leve som optimist ? :)

20. oktober 2009 kl. 12.13
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
frederik kortbæk skrev:
Ikke så pessimistisk. Op med humøret, Stephan. Min erfaring fortæller mig, at tingene ganske vist aldrig bliver så gode, som man kan håbe, men heller ikke så slemme, som man kan frygte. Og er livet ikke meget bedre at leve som optimist ? :)


Det er andres rettigheder, risici og økonomi, du omgås så let.

Erfaringerne siger os klart at de sidste 15-20 år har været en lang glidebane mod det rene overvågnings- og magtmisbrug bistået af et desideret inkompetent Datatilsyn som intet har gjort for at leve op til deres ansvar.

Det har ikke en brik at gøre med humør - men at processerne klart ikke fungerer. Det er utilstedeligt at man kan stille sig op og agere så lalleglad og inkompetent som Datatilsynet gør her og generelt har gjort på det seneste.

Datatilsynet forsøger at genoprette deres smadrede image ved at tage småsager op, mens hele deres ansvarsområde bryder sammen om ørene på dem.

Hvor er f.eks. Datatilsynet når systematiske og grove overgreb som "Adgang til Data" eller de mange afledte overgreb iværksættes?
http://www.e.gov.dk/ (...)
20. oktober 2009 kl. 14.21
Anmeld Besvar

frederik kortbæk
Stephan Engberg skrev:
Det er andres rettigheder, risici og økonomi, du omgås så let.

Erfaringerne siger os klart at de sidste 15-20 år har været en lang glidebane mod det rene overvågnings- og magtmisbrug bistået af et desideret inkompetent Datatilsyn som intet har gjort for at leve op til deres ansvar.

Det har ikke en brik at gøre med humør - men at processerne klart ikke fungerer. Det er utilstedeligt at man kan stille sig op og agere så lalleglad og inkompetent som Datatilsynet gør her og generelt har gjort på det seneste.

Datatilsynet forsøger at genoprette deres smadrede image ved at tage småsager op, mens hele deres ansvarsområde bryder sammen om ørene på dem.

Hvor er f.eks. Datatilsynet når systematiske og grove overgreb som "Adgang til Data" eller de mange afledte overgreb iværksættes?
http://www.e.gov.dk/ (...)


Stephan, du har sikkert en grund til at udtale dig som du gør. men det er jo meget direkte og i manges øjne sikkert også provokerende.
Jeg medgiver genre, at jeg tror på at de små skridt tæller, når retningen er udpeget.
Det foreslås jo netop i Rand rapporten at styrke enkelte landes datatilsyn og f.eks. der indgås et mere formaliseret samarbejde med interesseorganisationer og fagbrancher. Envidere at indsatsen for mere information og uddannelse forbedres. Det er bare det jeg forholder mig konrekt til.

20. oktober 2009 kl. 22.04
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Der er intet provokerende ved at sige at Datatilsynet systematisk har svigtet og fortsat svigter sin opgave. Det er en direkte og uforbeholden kritik om forvaltningssvigt.

Som det er i dag er det min opfattelse at borgernes rettigheder ville være bedre tjent med en nedlæggelse af Datatilsynet og overflytning af opgaven til domstolene - det er ikke en god løsning, men det kan ikke blive værre og jeg ser ingen former for tegn på "små skridt".


Datatilsynet har f.eks. dokumenteret deres svigt indenfor Digital Forvaltning, hvor der stort set er solgt ud på alle hylder uden så meget som et principielt pip fra Datatilsynet. Senest med striben af desideret inkompetente afgørelser på biometri-området, godkendelse af Dokumentboks og da de stak hovedet i jorden og ikke blankt afviste Nemid som er det rene overgreb - frygten for at få skåret budgetterne er ikke legitim grund for at misforvalte sit ansvar.

Proportionalitetsprincippet, notificering af overgreb og afpresningssamtykke misbruges nærmest systematisk som sureaugatesikkerhed og pseudolegitimering uden nogen form for dokumentation af at man har overholdt f.eks. Pgf. 5, stk 3 og stk 5. i Persondataloven og slet ikke det grundliggende og bindende EU-Direktiv
https://www.retsinformation.dk/ (...)

Der er simpelthen behov for en grundliggende reform af håndtering af hele sikkerhedsområdet - startende med Datatilsynet.


Så nej, jeg provokerer ikke, det opgav jeg for flere år siden - jeg konstaterer og undres over at nogen kan "rose Datatilsynets aktive og konstruktive tilgang til privacy".

Ingen har respekt for Datatilsynets afgørelse for alle ved at de godkender hvad som helst. De pippede lidt for et par år siden om det åbenlyst uforsvarlige ved Borger.dk og Sundhed.dk, men så blev de skåret i budgetterne og siden har ingen hørt noget sagligt fra den kant - det er blankogodkendelser på samlebånd iblandet lidt kancellisprog for i det mindste at fremstå som om man varetager en opgave.

Problemet er bedst dokumenteret ved måden Datatilsynet velvilligt lod sig misbruge af VTU til at forsøge at legitimere NemId med tilbagevirkende kraft. Svaret er et kunststykke i bureaukratisk ansvarsforflygtigelse som undlod at tage ansvaar for godkendelse men samtidig lod VTU påstår at NemId på nogen måde er "godkendt".
21. oktober 2009 kl. 08.56
Anmeld Besvar

frederik kortbæk
Stephan Engberg skrev:
Der er intet provokerende ved at sige at Datatilsynet systematisk har svigtet og fortsat svigter sin opgave. Det er en direkte og uforbeholden kritik om forvaltningssvigt.

Som det er i dag er det min opfattelse at borgernes rettigheder ville være bedre tjent med en nedlæggelse af Datatilsynet og overflytning af opgaven til domstolene - det er ikke en god løsning, men det kan ikke blive værre og jeg ser ingen former for tegn på "små skridt".


Datatilsynet har f.eks. dokumenteret deres svigt indenfor Digital Forvaltning, hvor der stort set er solgt ud på alle hylder uden så meget som et principielt pip fra Datatilsynet. Senest med striben af desideret inkompetente afgørelser på biometri-området, godkendelse af Dokumentboks og da de stak hovedet i jorden og ikke blankt afviste Nemid som er det rene overgreb - frygten for at få skåret budgetterne er ikke legitim grund for at misforvalte sit ansvar.

Proportionalitetsprincippet, notificering af overgreb og afpresningssamtykke misbruges nærmest systematisk som sureaugatesikkerhed og pseudolegitimering uden nogen form for dokumentation af at man har overholdt f.eks. Pgf. 5, stk 3 og stk 5. i Persondataloven og slet ikke det grundliggende og bindende EU-Direktiv
https://www.retsinformation.dk/ (...)

Der er simpelthen behov for en grundliggende reform af håndtering af hele sikkerhedsområdet - startende med Datatilsynet.


Så nej, jeg provokerer ikke, det opgav jeg for flere år siden - jeg konstaterer og undres over at nogen kan "rose Datatilsynets aktive og konstruktive tilgang til privacy".

Ingen har respekt for Datatilsynets afgørelse for alle ved at de godkender hvad som helst. De pippede lidt for et par år siden om det åbenlyst uforsvarlige ved Borger.dk og Sundhed.dk, men så blev de skåret i budgetterne og siden har ingen hørt noget sagligt fra den kant - det er blankogodkendelser på samlebånd iblandet lidt kancellisprog for i det mindste at fremstå som om man varetager en opgave.

Problemet er bedst dokumenteret ved måden Datatilsynet velvilligt lod sig misbruge af VTU til at forsøge at legitimere NemId med tilbagevirkende kraft. Svaret er et kunststykke i bureaukratisk ansvarsforflygtigelse som undlod at tage ansvaar for godkendelse men samtidig lod VTU påstår at NemId på nogen måde er "godkendt".


Så nej, jeg provokerer ikke, det opgav jeg for flere år siden - jeg konstaterer og undres over at nogen kan "rose Datatilsynets aktive og konstruktive tilgang til privacy".

Jeg forholdt mig helt konkret til Lene Andersens blogindlæg, som jeg går ud fra at du har læst. Der er da nogle afgørelser som Datatilsynet har truffet,som ikke har været gode nok, men at overlade det til de almindelige domstole er ikke en god ide. Jeg vælger at se fremad og det er min vurdering at der på sigt vil blive strammet op på lovgivningen i forskellige henseender.

21. oktober 2009 kl. 10.38
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
frederik kortbæk skrev:
Jeg forholdt mig helt konkret til Lene Andersens blogindlæg, som jeg går ud fra at du har læst.


Selvfølgelig - det er trist at måtte erkende at de dårligt er kommet igang med problemstillingen.

frederik kortbæk skrev:
Jeg vælger at se fremad og det er min vurdering at der på sigt vil blive strammet op på lovgivningen i forskellige henseender.


Lovgivningen er god nok - det er forvaltningen, den er helt gal med.
21. oktober 2009 kl. 13.59
Anmeld Besvar

frederik kortbæk
Stephan Engberg skrev:
Lovgivningen er god nok - det er forvaltningen, den er helt gal med.


Den eneste måde du kan ændre forvaltningen på,hvis det er det du mener er nødvendigt, er at præcisere lovgivningen. Det gælder også i forhold til domspraksis, hvis administrationen skulle ligge dér.

21. oktober 2009 kl. 14.18
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
frederik kortbæk skrev:
Den eneste måde du kan ændre forvaltningen på,hvis det er det du mener er nødvendigt, er at præcisere lovgivningen. Det gælder også i forhold til domspraksis, hvis administrationen skulle ligge dér.


Jamen, så har man jo en dejlig gordisk knude. Den eneste måde at styre Forvaltningen er ved at ændre loven, men Forvaltningen ignorere loven ved den ikke passer dem.

Bemærk i den forbindelse hvordan der i løbet af de sidste 10-15 år er indført meget vidtgående undtagelsesbestemmelser som overfører magt fra Folketstyret til Ministeriernes bekendtgørelser.

Og selv når man faktisk laver rimeligt gode love, så gør ministerierne hvad de har lyst til. Se f.eks. NemId og den måde VTU omgår lovgivningen med ikke-kvalificerede certifikater, den forvrøvlede påstand om legalisering via Aftaleloven og forsøg på at skabe legalitet med tilbagevirkende kraft og tomme påstande via Certifikatpolitiken version 4.0

Med den form for Forvaltning som mener at samfundet er til for deres skyld har vi ikke behov for terrorister for at Retssamfundet forgår. Det sker helt af sig selv.
21. oktober 2009 kl. 15.36
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Uddrag af af EU Direktivet som Datatilsynet tydeligvis ikke har læst:

(46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected;
21. oktober 2009 kl. 19.44
Anmeld Besvar

frederik kortbæk
Stephan Engberg skrev:
Uddrag af af EU Direktivet som Datatilsynet tydeligvis ikke har læst:

(46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected;


Jeg er bekendt med, at du og andre henviser til denne bemærkning. Men at tage udgangspunkt i det teknologiske stade er selvfølgelig en helgardering fra lovgivers side, men efter min mening alt for diffus og ikke tilstrækkelig til at sikre en ordentlig retsbeskyttelse. Hvad er det teknologiske stade ?? Det er muligt det vil give mening for inviede teknologinørder som dig, men at forvente at de enkelte datatilsyn skal have denne viden uden ekspertbistand og tilstrækkelige ressourcer er noget urealistisk. Hertil kommer det for mig afgørende argument, nemlig at garantere den helt almindelige bruger den tilstrækkelige tryghed og tillid til et system, f.eks. hvori indgår biometri. Der bør ved lov præciseres helt klare principper for privacy. Du kan ikke overvinde den frygt biometri har for mange, så det vil også være i industriens interesse at være fortaler for brugerkontrol.

21. oktober 2009 kl. 20.19
Anmeld Besvar

frederik kortbæk
Stephan Engberg skrev:
Uddrag af af EU Direktivet som Datatilsynet tydeligvis ikke har læst:

(46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected;


Når du nu har fundet anledning til at referere fra direktivet, så vil jeg da også gerne refere fra Rand rapporten,som jeg finder interessant i flere henseender. de skriver bl.a. følgende om teknologianvendelsen:
Finally, there is the question of the use of technology to achieve objectives. A positive
aspect of the Directive was the fact that it does not specify particular technologies, but
interviewees commented that technology could be used to help companies and individuals
exercise the rights articulated in the Directive. It was felt that Privacy Enhancing
Technologies (PETs) have not been widely taken up, for various reasons. Some
respondents commented that use of PETs has been restricted because of the focus on
anonymisation technologies rather than a broader definition encompassing
pseudonymisation. A vicious circle appears to prevent PET uptake. Companies feel no
need to deploy PETs because the regulator does not require their implementation. The
regulator does not require PETs because they see no market for suppliers of such
technology. Suppliers do not develop PET products because companies are not required to
deploy them. The regulators thus know that a viable market for such technology to help
compliance does not exist, so they may treat data controllers less harshly for not
implementing such technology.

Der nævnes ingen specifikke teknologier i direktivet,men det tolkes som omfattende f.eks. RFID og biometri. Klarhed efterlyses. Det sjove er at f.eks. biometri både kan krænke privacy,men også beskytte privacy. Alt afhænger af designet.

21. oktober 2009 kl. 20.46
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
frederik kortbæk skrev:
Jeg er bekendt med, at du og andre henviser til denne bemærkning. Men at tage udgangspunkt i det teknologiske stade er selvfølgelig en helgardering fra lovgivers side, men efter min mening alt for diffus og ikke tilstrækkelig til at sikre en ordentlig retsbeskyttelse. Hvad er det teknologiske stade ??


Nej, det er meget enkelt og simpelt.

Med direkte henvision til de ovenstående paragraffer jeg henviste til fremgår at det må ikke være muligt at identificere borgeren længere end det er absolut nødvendigt for at opfylde formålet.

Lov om behandling af personoplysninger:

§ 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Stk. 5. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.


Det har ikke en pind med kompleks teknologier at gøre. Det har kun at gøre med respekt for den problemstilling, man står overfor. Og det er den respekt som det danske Datatilsynet mangler og ikke gør sig den mindste anstrengelse for at sætte sig ind i.

Det gælder biometri som IKKE må være identificerende fordi det i sig selv forbryder sig imod reglerne.

Det gælder Sociale netværk som kan indrettes så serveren ikke kender indholdet af kommunikationen eller hvem som kommunikerer.

Det gælder betalinger som kan indrettes med Digital Cash.

Det gælder NemId som groft forbryder sig mod reglerne ved at blande PBS-serberne ind i alle transaktioner.

Det gælder DokumentBoks som opsamler og gemmer identificerede persondata ind i en central konstruktion uden nogen former for sikkerhed eller formål.

Etc. etc.

Og Datatilsynet stempler og stempler og ...
21. oktober 2009 kl. 22.41
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
frederik kortbæk skrev (Fra Rand rapporten):
Finally, there is the question of the use of technology to achieve objectives. A positive
aspect of the Directive was the fact that it does not specify particular technologies, but
interviewees commented that technology could be used to help companies and individuals
exercise the rights articulated in the Directive. It was felt that Privacy Enhancing
Technologies (PETs) have not been widely taken up, for various reasons. ..


Nu er det udtræk abstrakt idet det ikke siger noget om hvilken teknologi designet præcis hvordan til hvilket formål.

Men det primære problem drejer sig ikke om hvad den private sektor gør - men hvad den OFFENTLIGE sektor IKKE gør - nemlig at beskytte borgeren i henhold til lovgivningen herunder sikre at grundliggende love ikke tilsidesættes lemfældigt.

Hvis Datatilsynet ikke beskytter borgeren ovefor den offentlige sektor, infrastruktur eller andre områder hvor man ikke har et valg og dermed ikke kan give samtykke, så er der ingen retssikkerhed. Det gælder både i lovarbejdet og i de konkrete tiltag.

Her må man bare sige helt konkret at det danske datatilsyn svigter igen og igen og igen og ..

frederik kortbæk skrev:
Der nævnes ingen specifikke teknologier i direktivet,men det tolkes som omfattende f.eks. RFID og biometri. Klarhed efterlyses. Det sjove er at f.eks. biometri både kan krænke privacy,men også beskytte privacy. Alt afhænger af designet.


Det afhænger af designet og direkte hvorvidt det overholder Pgf. 5 stk 3. og stk. 5.

Datatilsynet VED at der er kommercielle PETs til rådighed eller de kan let tilvejebringes og dermed falder RAND-rapportens spekulationer på disse områder.

Hvad der er endnu værre er at når Datatilsynet blåstempler overgreb (af frygt for represalier mod deres budget eller hvilke ikke-relvante undskyldninger som ligger bag) velvidende at det er unødvendige overgreb, så er der slet og ret forvaltningssvigt.

Det kan godt være at den specifikke teknologi kan være kompliceret, men kravene og vurderingskriterierne er simple.
21. oktober 2009 kl. 22.59
Anmeld Besvar

frederik kortbæk
Stephan Engberg skrev:
Det afhænger af designet og direkte hvorvidt det overholder Pgf. 5 stk 3. og stk. 5.

Datatilsynet VED at der er kommercielle PETs til rådighed eller de kan let tilvejebringes og dermed falder RAND-rapportens spekulationer på disse områder.

Hvad der er endnu værre er at når Datatilsynet blåstempler overgreb (af frygt for represalier mod deres budget eller hvilke ikke-relvante undskyldninger som ligger bag) velvidende at det er unødvendige overgreb, så er der slet og ret forvaltningssvigt.

Det kan godt være at den specifikke teknologi kan være kompliceret, men kravene og vurderingskriterierne er simple.


Reglerne er klart formuleret. Det har du ret i, og det kan vi takke gode jurister for, herunder professor Blume,som vist har en stor aktie i lovens tilblivelse. Men opgaven består jo i at vurdere om et konkret tilfælde overtræder loven og her bliver det i vurderingen naturligvis af betydning, hvilkken indvirkning en teknologisk løsning har. Det er muligt Datatilsynet kender til PET løsninger, men det er jo ikke gjort med bare at henvise til et bestemt firma. Der skal være et konkurrencepræget marked til stede og vigtigst af alt, så kan man jo ikke bare tage producentens ord for givet. Vi kommer ikke uden om en standardisering og testning af komplkse løsningers overholdelse af privacy. Så bliver det dyrt og det komplicerer markedsudviklingen yderligere.
Men min pointe er, at man bør se på i hvilken udstrækning man kan udtrække nogle overordnede principper, som kan være med til at sikre mere tryghed for borgeren, udvikle best practice og markedet for disse PETs, som bliver anbefalet mere og mere fra forskellig side. Om det skal være ved en lovændring eller via bekendtgørelsen, kan man jo diskuttere. Jeg er jo ikke ekspert på området, men giver blot en mening tilkende fra mit ståsted.

22. oktober 2009 kl. 06.21
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Jeg fatter ikke hvorfor du forsvarer Datatilsynet så grundløst. Der er ikke behov for lovændringer, men for at forvaltningssvigtet addresses.

Problemet er jo at de ikke bekymrer sig om principper eller sikkerhed men kun fortolker loven så deres arbejde bliver nemmest og kritikken af dem mindst.

Andre steder kan man godt finde ud af det - Canada, Tyskland, Østrig, Schweiz og Holland i 90erne under John Borking (men ikke mere). Det eneste, de behøver, er at sætte sig ind i deres fagområde.

Alt det snak om standardisering, virksomheder, test bl.a. er rent vrøvl - det gør man ikke med customised løsninger og det er bare dårlige undskyldninger for ikke ikke at komme i gang og leve op til ansvaret. De skal ikke anbefale nogen, men stille kravene teknologineutralt uafhængigt af leverandør eller løsningsmetodik når de ved de kan løses.

Om man vælger at standardisere og hvordan det gøres er en helt anden problemstilling. Hovedproblemet for al sikkehed er jo at man standardiserer på for lavt niveau og dermed både ødelægger sikkerheden og forhindrer opgrading - ICAO pas er det værste eksempel på den katastrofale fejl.
22. oktober 2009 kl. 09.06
Anmeld Besvar

frederik kortbæk
Stephan Engberg skrev:
Jeg fatter ikke hvorfor du forsvarer Datatilsynet så grundløst. Der er ikke behov for lovændringer, men for at forvaltningssvigtet addresses.

Problemet er jo at de ikke bekymrer sig om principper eller sikkerhed men kun fortolker loven så deres arbejde bliver nemmest og kritikken af dem mindst.

Andre steder kan man godt finde ud af det - Canada, Tyskland, Østrig, Schweiz og Holland i 90erne under John Borking (men ikke mere). Det eneste, de behøver, er at sætte sig ind i deres fagområde.

Alt det snak om standardisering, virksomheder, test bl.a. er rent vrøvl - det gør man ikke med customised løsninger og det er bare dårlige undskyldninger for ikke ikke at komme i gang og leve op til ansvaret. De skal ikke anbefale nogen, men stille kravene teknologineutralt uafhængigt af leverandør eller løsningsmetodik når de ved de kan løses.

Om man vælger at standardisere og hvordan det gøres er en helt anden problemstilling. Hovedproblemet for al sikkehed er jo at man standardiserer på for lavt niveau og dermed både ødelægger sikkerheden og forhindrer opgrading - ICAO pas er det værste eksempel på den katastrofale fejl.


Slap nu lidt af, Stephan. Jeg forsvarer ikke Datatilsynet, men institutionen som sådan.
Du postulerer usaglighed på grænsen til magtmisbrug. Pas på med det. Men bevares du vælger jo selv de instrumenter du vil spille på. Spørgsmålet er om de giver nogen effekt at larme så meget op? Skræmmer du ikke bare en masse væk i stedet for ?
Du fik ikke helt fat i hvad jeg har skrevet. Standardisering og test er temaer som bør indgå i en samlet tilgang til PET og har for så vidt ikke noget at gøre med Datatilsynet. Jeg gjorde mig blot nogel yderligere tanker om temaet. Du er jo selv meget oppe i det røde felt omkring brud og risiko for bud på datasikkerhed. De teknologiske løsninger er meget komplekse og derfor er det naturligvis en fordel hvis man som leverandør kan henvise til en standard eller test. Og der er flere initiativer på vej på det område, som branchen også bør fokusere på.

22. oktober 2009 kl. 10.29
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Hvilken branche? Vi taler ikke om en branche, men om basale samfundsprincipper som Datatilsynet er ansvarlig for at sikre overholdes. Nye tiltag skal sikres, men det sker ikke - tværtimod ser vi stadigt flere og stadigt grovere overgreb blåstemplet på stribe.

Hvis miljøstyrelsen udstedte dumping-tilladelser som Datatilsynet forvalter datalovgivningen, så ville svineriet tårne sig op overalt og du kræve miljøstyrelsen draget til ansvar. Hvorfor skal det være anderledes med Datatilsynet?
22. oktober 2009 kl. 11.20
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Som simpelt dagligdags eksempel på Datatilsynets svigt
http://www.version2.dk/ (...)

[Citat]
466 forældre til elever på Esbjerg Statsskole er kommet lidt tættere på hinanden. Gymnasiet er nemlig ved en fejl kommet til at sætte alle emailadresser ind i e-mailklientens til-felt, så alle har kunnet se de andres emailadresser.

Den praksis har Datatilsynet flere gange stemplet som klart ulovlig, da Persondataloven kræver, at afsenderen af nyhedsbreve skal sløre modtagernes email-adresser.
[/Citat]

Stedet for at blot at fokusere på overfalden var det måske en ide at fokusere på at problemet KUN er genbrug af emailaddresser.

Afsenderen lækker jo alligevel de samme data til teleselskaberne, FRA-overvågningen.

Men nej - Datatilsynet ser KUN problemet med at forældrene kan kontakte hinanden, selvom det kun er et problem hvis

a) Email-addreserne er identificerende.
b) Modtagerne kan misbruge email-addresserne.
c) Det afslører mere information end de allerede havde.

Hvis nu Gymnasiets system var indrettet med et minimum af hensyn til Datalovgivningens principper ville der ikke være et problem.

Men istedet for at addressere problemet i henhold til lovgivningen, så accepterer Datatilsynet de rene overgreb som f.eks. Dokumentboks, som i fremtiden vil betyde at de samme data med tvangs skal omdireigeres og indrapporteres så de ligger totalt blotlagt i en central server.
22. oktober 2009 kl. 11.30
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Samme fejl begik de da de gik ind i spørgsmålet om Bibliotekernes udsendelse af email-reminders til borgerne.
En problemstilling som isoleret er rigtig, men fuldstændigt ignorerer grundproblemet - at data er reguisteret eller sendes personhenførbart.

Her fik Bibliotekerne 5 års udsættelse - men har nogen gjort NOGET SOM HELST for at addressere problemet i mellemtiden?

Niks, for ingen frygter Datatilsynet eller repsketerer lovgivnignen. Man ved jo at de godkender hvad som helst.
22. oktober 2009 kl. 11.34
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Mere fra It-sikkerhed


Ønsker til databeskyttelsen
På en række områder har dansk lovgivning et højt niveau for databeskyttelse. Når der lægges op til yderligere harmonisering i EU opfordrer Datatilsynet til, at man fra dansk side arbejder for et retsgrundlag, der ikke tvinger beskyttelsen af personoplysninger i Danmark ned på et lavere niveau.
3. februar 2011 kl. 13.30 | læs »



Få indblik i Stuxnet
Stuxnet-ormen har lagt Mærsk og Siemens' fabrikssystemer ned, og den er blevet udråbt til en af de værste sikkerhedstrusler i 10 år. Her kan du få et indblik i, hvordan den virker.
15. november 2010 kl. 12.39 | læs »



Mere viden er en nødvendighed
Personers ret til privatliv og databeskyttelse er grundlæggende. Det fremgår nu også af It-politisk redegørelse, at beskyttelse af privatliv og personoplysninger bør være en integreret del af digitaliseringsprojekter. Men der er også brug for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Som eksempel omtales en konkret sag fra Datatilsynets hverdag
5. maj 2010 kl. 13.15 | læs »



Stjålne data: Helliger målet midlet?
Kan man købe stjålne data til at bekæmpe skattesnyd? Det er der stor uenighed om.
10. februar 2010 kl. 15.10 | læs »



I dag er det Databeskyttelsesdag
28. januar 2010 kl. 10.00 | læs »




It-sikkerhed








Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Så er det nu: IBM sætter 198 mand på porten
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

Her er forklaringen på IBM Danmarks massefyringer
Her er forklaringen på, at IBM Danmark med direktør Lars Mikkelgaard-Jensen i spidsen fyrer 170 medarbejdere.
Læs mere

IBM Danmark fyrer 170 mand
IBM Danmark lader hovederne rulle.
Læs mere