Datatilsynet: 'Meget kritisabelt' at KL lagde køreprøvesystem i skyen

for Datatilsynet. Hvad skulle vi dog gøre uden dem? Træde ind i det 21nde århundrede? Jeg kommer til at tænke på det amerikanske "Motion Picture Association of America" film rating system. Enormt vigtig institution hvis enorme bidrag til verden er udstede hysteriske ratings der er alt andet end i sync med virkeligheden. De stakkels film der rammes må tage store tab på helt forældede præmisser.

Datatilsynets funktion i samfundet bliver vigtigere for hver dag der går da nye former for personlige data hele tiden digitaliseres og udstilles på nettet.

Interessant at datatilsynet accepterer Microsoft som databehandler på baggrund af den gamle, hullede Safe Harbour-aftale, til trods for, at nye EU-regler er på trapperne.

http://en.wikipedia.org/wiki/Safe_Harbor_Principles#Criticism_and_Evalua...

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Hold dog op med at pive over ligegyldige detaljer. Om man smider data på Azure, Amazon, eller en dedikeret server så har man da omtrent den samme sikkerhed. Hvad vil Datatilsynet have? At dataene skal ligge på den hardisk de startede med at udlevere dem på da KL fik dem?

Jeg kan ikke se principielle forskelle i brug af cloudtjenester. I mange år har staten m.m. outsourcet driften til CSC, IBM m.m. hvor løsningerne har kørt på deres mainframes som har stået på de pågældende virksomheders lokationer. Hvad er forskellen i.f.t. en applikation der kører på Windows maskine i Microsofts Azure sky? Maskinen står jo på Microsofts lokation, præcis som CSC mainframes står hos CSC. Måske ordet "sky" får folk til at tro dataene ligger hulter til bulter på internettet - det er jo slet ikke tilfældet!

Skal vi ikke holde os til sagen i stedet for at bringe MPAA osv. ind i det - det er et IT medie vi skriver i, ikke IMDB.

Sagen er jo netop, at persondata har været eksponeret for kompromittering/kompromitteret og det endda forværret via åbne forbindelser til CPR mv. - hvilket det skal være i ALLES interesse at forhindre. Især sålænge CPR åbenlyst kan misbruges til både identifikation og autentificering.

En anden alvorlig ting er, at hvis sikkerheden er hullet som her antydet, så er det heller ikke sikkert at man kan spore hvem der konkret har haft adgang til netop dine eller mine persondata. Hvis fx loggen på CPR trækket ender blindt på en systemaccount, og tusindvis af maskiner og brugere har haft adgang via siden nedlagte Azure ressourcer, så ønsker jeg god jagt. Jeg har dog ikke nogen viden om det konkrete setup, men den nævnte problemstilling er set før.

Det er bla. pga. det i sørgelig grad uddøende begreb "ansvar", at man har etableret den sagligt begrundede opdeling i dataejer og databehandler, og sagen her dokumenterer kun relevansen af at fastholde det princip. Det er ikke i modsætning til "det 21. århundrede", men derimod en af forudsætningerne for at vi undgår katastrofer med blotlægning af vores data.

Spørg gerne en spanier der kan huske Franco om hvad de synes om vores CPR system, udbredt samkøring af data, NemID osv.. Det var Europa for under 40 år siden. Prøv så at se på diktaturet i Rusland i dag; hvem vil gerne have sine persondata anvendt til afpresning af industrividen, politiske forhold osv.. Hvis man leder længe nok, har alle noget at skjule, og mange i DK har viden der kan høstes.

Datatilsynet ønsker vel blot at lovgivningen skal overholdes. Er der krav om at data skal ligge på servere på dansk grund, så skal udbyderen blot sørge for det. Længere er den ikke for Datatilsynet.

Om lovgivningen skal laves om, er en anden, og bestemt interessant, diskussion.

...nogen har skruet en løsning dårligt sammen og eksponeret hvad ikke eksponeres skulle - skal det vel ikke bruges til at obskure det faktum at personfølsomme data hverken er mere eller mindre "beskyttede" imod de frygtelige amerikanere om de ligger på en lokal harddisk eller i et datacenter et eller andet sted i verden. Læs evt seneste redegørelse om emnet udarbejdet af Kromann og Reumert: http://www.kromannreumert.com/da-DK/Nyheder/Nyheder/Pages/Myndighedernes.... Datatilsynet er en stopklods ift det offentlige Danmark kan udnytte mulighederne med cloud computing. Datatilsynet er en anakronisme.

Måske fordi Microsoft som den første store cloud leverandør i verden har indvilliget i at skrive under på EU Model Clauses? http://www.microsoft.com/en-us/office365/trust-center.aspx#fbid=XjX1iUb6DF4

Forklar os lige hvordan den amerikanske regering skal bruge Patriot Act til at få adgang til [at misbruge] persondata hvis de befinder sig i Danmark?

Den nævnte redegørelse fra Kromann og Reumert skriver netop at Patriot Act giver langt flere muligheder for at få adgang til data end retsplejeloven.

Det har bare ikke nogen betydning. Selv hvis du kan stole på Microsoft, kan du ikke stole på en regering der har nærmest ubegrænsede beføjelser som i Patriot Act.

Jeg opbevarer off-site backup af ca 20 GB private data hos firmaet rsync.net, og jeg har skam stor tillid til folkene bag dette firma, som bl.a. har lavet denne fantastiske canary warrant (kunne være en inspiration for mange cloud udbydere)
http://www.rsync.net/resources/notices/canary.txt

Men jeg har absolut ikke tillid til den amerikanske regering, og derfor er mine backup data naturligvis klient-side krypteret (med duplicity) inden de forlader mit hjem. Så er der nemlig intet at misbruge.

hoster Amerikanerne ikke vores CPR register mere da?

"Ja, men hr. betjent, hvorfor skal jeg straffes for at køre for stærkt. Det gør alle de andre jo også".

Jeg synes det er godt at Datatilsynet tager fat på dette emne. Og ja, det kan godt være at CSC og andre i princippet også har dårlig sikring af vores data, som Kromann og Reumert nævner i deres rapport.
Men det kan da kun gå for langsomt med at få data sikret.