Dataetiker efter ANPG-sag: Uholdbart at jurister ikke ved mere om teknologi

Illustration: Rigspolitiet
Et simpelt ord som ‘slette’ kan blive tvetydigt, når man blander jura og teknologi, mener persondataekspert på baggrund af sag om backup af politiets nummerpladefotos.

Kører du bil, er du højst sandsynligt blevet fotograferet af politiet mere end én gang, når du har været ude at køre. Politiet har nemlig et arsenal af kameraer som en del af deres system for automatisk nummerpladegenkendelse – det såkaldte ANPG – og kameraerne filmer alle køretøjer, de får i sigte.

Kameraerne sender billederne videre til det intelligente ANPG-system, der tjekker hver nummerplade for et match i politiets lister. Har du misset et syn, eller er bilen stjålet, så er det et hit – og så ved politiet, hvor bilen er blevet scannet.

Matcher din nummerplade ikke en af dem, der er registreret hos politiet, så er det et no-hit, som skal slettes i ANPG inden for 24 timer – eller efter senest 30 dage, hvis ANPG-kameraerne har indsamlet nummerpladen »som led i en målrettet politiindsats«. Det fastslår bekendtgørelsen.

Men i perioden mellem 5. december 2017 og 17. juni 2018 blev ANPG-systemet understøttet af en backup-funktion, der gemte data fra no-hits i ANPG i op til 60 dage. Data var slettet i selve systemet – men ikke i sikkerhedskopien.

Sagen har været dækket på Ingeniørens it-medie Version2 og ført til en debat om, hvilke regler der egentlig gælder for sletning, når det kommer til backup-systemer.

Læs også: Politiet har gemt ANPG-data i op til 60 dage - ANPG-lovbestemmelse siger max 30

Rigspolitiets databeskyttelseschef Christian Wiese Svanberg slog fast, at »på intet tidspunkt har der været noget data, som var ældre end 30 dage, som er blevet genindlæst eller har været tilgængeligt for nogen medarbejdere«, men flere læsere mente, at den midlertidige funktion var ulovlig – eller i det mindste gik imod lovens ånd.

Slettet eller ej

Svaret er, at det ikke er sort/hvidt, om den midlertidige backup stred imod ANPG-bekendtgørelsen, da den gemte persondata længere end 30 dage. I hvert fald hvis man spørger advokat Catrine Søndergaard Byrne, som er partner i advokatfirmaet Labora Legal og projektleder i tænketanken DataEthics.

»Vi har en juridisk uklarhed om ordet ‘slettet’. Hvornår er noget slettet?« spørger hun retorisk.

»Når jeg sletter data i mit driftssystem, men det stadig ligger i backuppen, har jeg så rent faktisk opfyldt kravene om at have slettet data? Det ved vi faktisk ikke,« siger hun.

Der ligger ikke nogen afgørelser fra domstolene, der kan hjælpe fortolkningen af ordet på vej. Men Catrine Søndergaard Byrne fortæller, at man i dag godt kan vurdere data som slettet, selvom de stadig ligger gemt i en backup. Det kræver bare, at backuppen er så sikret, at risikoen for, at nogen kan tilgå data i den, er meget lille.

Mere præcis

Men det er ikke optimalt, at reglerne er så uklare, mener Catrine Søndergaard Byrne. Den teknologiske virkelighed kræver, at lovgivningen bliver endnu mere præcis, og det kan være en udfordring i spændvidden mellem de to komplekse størrelser, som jura og teknologi er.

»Vi skal være bedre til at identificere de situationer, hvor vi har brug for at kunne tale sammen. Hvis jeg nu ikke i loven skal skrive ‘slette’, hvad er det så rent faktisk, jeg skal skrive, for at vi opnår det, jeg vil - nemlig at data er væk fra registrene?«

Selvom det ikke er entydigt, hvad begrebet ‘slette’ egentlig omfatter i ANPG-bekendtgørelsen, så fremhæver Catrine Søndergaard Byrne alligevel netop den bekendtgørelse som et eksempel på, at lovgivningen allerede har udviklet sig med teknologien.

»Hvis den var vedtaget for fem år siden, så havde der bare stået: ‘Politiet må opstille kameraer til at indsamle bla bla bla ...’ Det havde været tre til fire paragraffer. Nu gør man rigtig meget ud af at sige hvornår, hvorfor, hvor lang tid og så videre. Den udvikling kan man godt se,« siger hun.

Jura-it og it-jura

For at opnå en bedre samtale mellem de to faggrupper og dermed en bedre brug af data, foreslår Catrine Søndergaard Byrne konkret, at it-udviklere får basal juraforståelse ind med uddannelsen og det samme med jurister – bare it-forståelse i stedet for.

»Når man kommer ud som jurist, så er vi smaddergode til Karnov og Word. Det tror jeg altså ikke holder i længden. Der bliver vi nødt til at have en eller anden form for teknologiforståelse ind på uddannelserne, ligesom man også skal have noget grundrettighedsforståelse ind på it-uddannelserne,« siger hun.

Politiets ANPG-system er efter 17. juni 2018 gået fra en backup-løsning til et redundant system, der består af to databaser, som spejles i hinanden. Personoplysningerne slettes løbende fra begge databaser i takt med, at de slettes fra ANPG-systemet.

De betyder, at der fra den dato ikke har været personoplysninger fra no-hits i nogen dele af ANPG, som har været ældre end 30 dage.

Ifølge Rigspolitiet var den midlertidige backup-funktion, der understøttede ANPG-systemet frem til 17. juni 2018, ikke i strid med ANPG-bekendtgørelsen, selvom den gemte data fra no-hits i op til 60 dage.

Illustration: MI Grafik

Denne artikel er skrevet til avisen Ingeniøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Denny Christensen

Jeg forstår slet ikke hvorfor data i det hele taget skal registreres.

Det er en information der alene findes for at tjekke, den service der svarer behøver ikke at logge nr plade nogen steder og der er ingen teknisk grund til yderligere at registrere aflæsningen.

Det kan alene være et spørgsmål om ønske om overvågning.

  • 19
  • 1
Jakob Skov

Tak for et godt indspark. Med de mere detaljerede love følger også et ansvar for at sikre overholdelse. Såfremt sproget i lovgivningen er flertydig er der det større risiko for at støde folk på retsfølelsen. Eller sagt på en anden måde, er der både fordele og ulemper ved at lave mere detaljerede love.

Samtidig er "hvem vogter vogterne?" væsentligt når vi har med politiet at gøre, thi da bliver justitsministeriet det mere konfliktet og politiet kommer for ofte til at stå forlegent og forklarer at "Det er et politisk job at bestemme hvilke redskaber vi får!" som de selv har været med til at rådgive om.

Det kunne være rart hvis man fra politisk hold begyndte at politik-udvikle igen og gøre det på tidssvarende måde: At have politikere hvis hedeste drøm ikke er at blive minister for enhver pris, men har specialiseret sig på specifikke politiske områder så de kan trække det faglige op på et niveau hvor etik og politik bliver et og samme emne!

  • 17
  • 0
Simon Mikkelsen

»Vi har en juridisk uklarhed om ordet ‘slettet’. Hvornår er noget slettet?« spørger hun retorisk.

Til dette citat var jeg ved at skrive:
Når man har slettet noget er, det væk og kan ikke genskabes. Kan det være så svært?

Men så kom jeg til at tænke. Når man sletter en fil i et almindeligt filsystem, sletter man kun referencen og det er tilfældigt hvornår data bliver overskrevet. Det samme i mange databaser: Her skal der måske et natligt job til at frigøre den slettede plads. Hvad hvis man har et system med garbage collection, der har masser af hukkommelse i forhold til hvordan det bliver brugt. Så ligger der ting i hukkommelsen der måske først blive garbage collected efter fristen. Hvad hvis det system kører i en virtuel maskine som kan blive persisteret til en disk for at skifte noget hardware eller flytte den?

Hvor meget jeg end hader det må jeg nok give juristen ret: Hvornår er noget slettet nok?

Efter min mening: Hvis ting kan genskabes på normal vis, fx via en backup, er det ikke slettet. Skal man ud og rode i maskinens RAM eller læse en harddisk rådt for måske at kunne genskabe stumper, så er det slettet godt nok til de fleste systemer. Men ikke altid.

  • 21
  • 2
Simon Kamber

Jeg synes det er interessant hvordan halvdelen af Cathrines budskab ("For at opnå en bedre samtale mellem de to faggrupper og dermed en bedre brug af data, foreslår Catrine Søndergaard Byrne konkret, at it-udviklere får basal juraforståelse ind med uddannelsen...") fylder meget lidt i både artiklen og debatten.

Jeg er (som jurist) helt enig i at IT kan fylde betydeligt mere. Ikke kun teknisk forståelse, men også forståelsen af de krav der stilles til lovgivning hvis den skal skulle implementeres teknisk.

Men det modsatte issue er også relevant. Jeg oplever også en manglende forståelse blandt it-folk for hvad det er for hensyn og problemstillinger juristerne arbejder med. Der er lidt en tendens til at skære en problemstilling ned til "jeg forstår det ikke, derfor må juristen være dum".

Det er ikke kun et issue fordi man så ender med at kode et system der skal overholde regler man ikke forstår. Det er også et issue fordi det der næsten altid er brug for, er en fælles løsning som tager højde for både de it-tekniske og de juridiske udfordringer. Det kræver at parterne - på begge sider - bliver bedre til at tale sammen.

Til dette citat var jeg ved at skrive:
Når man har slettet noget er, det væk og kan ikke genskabes. Kan det være så svært?

Men så kom jeg til at tænke. Når man sletter en fil i et almindeligt filsystem, sletter man kun referencen og det er tilfældigt hvornår data bliver overskrevet.

Det her er et godt eksempel (og tak for et godt indlæg). Det viser at man, hvis man skal tale sletning, er nødt til at forstå at det kan betyde forskellige ting. Sletning betyder for mange mennesker at der er trykket delete og at filen ikke længere kan ses i systemet. Nogle, men ikke alle, vil komme i tanke om at de også lige skal tømme papirkurven. De færreste vil tænke backup og ingen (uden for fagkredse) vil overveje RAM og garbage collection.

Så når lovgivere (der jo ikke er IT-folk) skriver 'slettet', hvordan skal det så forstås?

  • 11
  • 0
Niels Ull Harremoës

I GDPR sammenhæng er det jo allerede afklaret at sletning ikke kræver sletning fra backup - se fx https://www.version2.dk/artikel/du-har-ret-at-blive-glemt-ikke-backuppen...

Her kræves i stedet at man har procedurer til at sikre, at man ved genindlæsning undlader de personer, der skal være slettet.

Generelt vil det jo være særdeles problematisk hvis man skulle tilbage og slette i backups - hvor meget kan man stole på en backup, der er blevet rettet 100 gange siden den blev taget oprindeligt?

  • 10
  • 0
Bjarne Nielsen

Tja, nu kan man mene, at det særlige ved en backup er at den er forberedt på at skulle kunne bruges til at rekonstruere data, hvilket adskiller den fra mange af de andre eksempel på "sletning". Og der kan næppe være tale om et carte blanche, hvor man kan have årtiers data liggende i off-line arkiver.

Og det er i eksemplet med Politiet svært at forstå, hvorfor der ikke kunne køres med en 30 dages cyklus for backup, når nu retentiontiden netop er 30 dage.

Vi så jo også ifm. med Snowden og The Guardian at GCHQs definition af sletning involverede en vinkelsliber.

At slette udvalgte dele fra en backup kan jo være ganske udfordrende, hvis man ikke har tænkt det ind som mulighed up front. Jeg har også hørt om systemer, som har en så sammenfiltret datamodel, at man heller ikke tør slette i produktionssystemet. Men bliver det designet ind fra starten af, så kan man komme rigtigt meget.

Endeligt ord er taknemmelige, og vi skal passe meget på med, hvad de kan vække af forventninger, og hvordan der er parter, som helt bevidst udnytter det. Hvem husker ikke STILs herostratisk berømte bemærkning om "ikke fortroligt i juridisk forstand".

  • 9
  • 2
Mogens Lysemose

Hele formålet en backup er jo at kunne genskabe data.
Vi har tidligere set at Politiet mente at "logisk sletning" var at flytte en kopi af databasen ind i et andet rum og så slette den første database.
https://www.version2.dk/artikel/pet-gemmer-data-skulle-slettes-paa-hemme...

Det mener jeg personligt er i åbenlys ond tro og modstrid med lovens bogstav og ånd.

Det samme kunne man frygte her - at nogen lige får brug for at se om Jensens bil forresten blev spottet de seneste 60 dage nogen steder selvom den ikke var efterlyst den gang.
Formålet kan selvfølgelig være anerkendelsesværdigt, men alligevel skal politiet vel også overholde lovenes bogstav og ånd?
Politiet har jo flere gange vist sig villige til at bøje reglerne til ukendelighed...

Nå men godt de har fået styr på lovligheden i dette ene punkt nu...

  • 8
  • 0
Christian E. Lysel

Men så kom jeg til at tænke.

Jeg er enig i det teknisk er svært at slette, hvis man ikke bruger en vinkelsliber .... men at bruge det argument som løftestang til, at det er ok at have data i en backup, der skal forstille at være slettet, virker på mig dumt.

Det er i samme klasse som, vi behøver ikke at patche vores servere, fordi vi har andre sikkerhedsproblemer.

Jeg forstiller mig ANPG dataerne er latterlig små i forhold til hvad vi arbejder med til dagligt (se https://www.ft.dk/samling/20171/almdel/reu/spm/756/svar/1512347/1942051/...) ... og ja du kan vælge teknologier hvor det er nemmere at have styr på hvor data fysisk er, og hvordan de kan slettes. Tag fx snakken om filsystemet, prøv at kik på srm eller sdelete

Snakker vi om database .... Du kan lave recovery test, som produktion kører videre på. Du kan i recovery testen filtere no-hit data fra der er mere end 30 dage gammel. Du kan gør det samme på backup siden (recovery test af din backup, og filtere mere end 30 dage gammel no-hit data fra).

Jeg kan slet ikke forstå hvorfor politiet overhovedet ønsker at havne i en situation, hvor almindelig borger tænker ... "når ja, selv politet gider jo ikke at overholde loven".

  • 10
  • 0
René Nielsen

Jeg vil mene at noget først er slettet når informationen ikke kan genskabes – eller på nudansk – retten til at blive glemt.

Det er i Danmark et faktum domstolene tillader brug af oplysninger som burde være slettet. Vi ser det næsten dagligt inden for skatteret og straffesager. Det er så trivielt, at det sjældent bliver nævnt.

Tag Tvindsagen hvor Tvinds topfolk blev dømt på baggrund af en uautoriseret sikkerhedskopi af e-mails fortaget af en ekstern administrator. Der er jo ingen som hæfter sig ved, at det var ”slettede oplysninger” som fældede Tvind.

Og det er det som er problemet – at det ikke betragtes som ulovligt at genskabe slettede oplysninger, men at slettede oplysninger herefter indgår i bevisbedømmelsen på linje med lovlige beviser.

Kigger vi specifikt på ANPG og andre systemer med personfølsomme oplysninger, så er det jo ikke raketfysisk at designe et system som løbende overskriver gamle records med nye de nye records, således at genskabelse kun vanskeligt lader sig gøre. Og da slet ikke, hvis der vælges en SSD-lignende løsning til lagring.

Et kendetegn ved ”slettede oplysninger” er jo at de er ufuldstændige. Jeg ville da have et problem hvis skattevæsnet med baggrund i 15 år gamle ”slettede oplysninger” kunne udfordre mit rentefradrag. De papirer som understøtter rentefradraget har jeg da for længst smidt ud og bank/realkredit har heller ikke oplysningerne mere, ligesom jeg har omlagt lånene mange gange siden.

Jeg mener at der er brug for en lov, som tydeliggør at oplysninger som burde være slettet, under ingen omstændigheder må bruges. Hverken som bevis, indgå i sagsbehandling eller lignende.

Ens moralske og juridiske kompas er da fuldstændig ”fucket” hvis man tror at ordet slettet indeholder andet end en borgers ”ret til at blive glemt”.

  • 15
  • 2
Anders Lorensen

så er det jo ikke raketfysisk at designe et system som løbende overskriver gamle records med nye de nye records, således at genskabelse kun vanskeligt lader sig gøre. Og da slet ikke, hvis der vælges en SSD-lignende løsning til lagring.

Det er netop raket videnskab. - Det har du selv lige bevist med din udtagelse. For på en SSD som du forslår, bliver data ikke slettet når du overskriver en sektor. - For sektoren blev skrevet et helt andet sted på SSD'en, da den er "virtualiseret" inden i SSD'en, for at sørge for at alle sektorer bliver slidt lige meget på SSD'en.

Og er vi over i at data ligger på et SAN attached storage system med automatisk tiering, kan data ligge endnu flere steder, under flytning af data rundt imellem tiers, hvor det ikke overskrives på den gamle tier.

Ja, det er ikke nemt at genskabe data fra hardwaren, uden at pille ved firmware eller fysisk adgang til udstyret. Men det er ikke "Slettet"

Ligesom udfordringer i Filsystemer med sletning, så er der også udfordringer i hardwaren. Det er på ingen måde trivielt at slette noget nu til dags!

  • 5
  • 0
Knud Larsen

Noget er kun slettet, når det er fjernet helt. Dvs. er der taget backup er det netop ikke slettet. Jurister bruger selv makuleret, dvs. data skal være makuleret - og det skal derfor rent faktisk være overskrevet.
Altså der skal en delete funktion til samt en rutine, der udfører overskrivning med jævne mellemrum.
Dette er gammel kendt viden fra databaser og ikke raketvidenskab.

Ang. Lovgivning og IT sprog.:
I IT skal man kunne skelne mellem sandt og falsk. Hvis juristerne ikke kan skelne mellem sandt og falsk, har vi en subjektiv verden. Og det er præcist det magthaverne benytter sig af hele tiden. Det er bare helt utåleligt.
Et eksempel fra BR18:
I en bolig skal der være et køkken, et bad og et toilet! Ja det står der faktisk.
Men nu har det i mange mange år været sådan, at det er OK at kombinere et rum til at indeholde bad og toilet!
Så det sideordnede 'og' er åbenbart forkert.
Hvis man behersker sproget så dårligt, så må juristerne til at skrive det boolsk sprog ellers er det hele omsonst! (vedlægge flowcharts med beslutninger)
Ligeledes savnes der en langt mere grundig gennemgang af krydsende bestemmelser, dvs. en lov siger et og en anden lov nærmest det modsatte. Det er jo at gøre grin med borgerne.

  • 7
  • 5
Michael Nørskov
  • 2
  • 1
Thomas Jørgensen

Eller, det kommer jo an på hvad jeg faktisk mener med "forkert". Det er bare ikke helt rigtigt. aaah.

Det må simpelthen stoppe! Hvordan kan man ved sine fulde fem betvivle betydningen af simple ord? Det er latterligt!!

  • 1
  • 2
Ulf Herold-Jensen

Simple ord...

Det er latterligt!!


"latterligt!!" - negativt ladet; det er til at grine af på den ufede måde, sådan: Nu kan det fandme være nok!
"latterligt" - positivt ladet; sådan stand-up grinagtigt Ha-ha.
Så det er ikke nemt.
På engelsk: "Funny - peculiar or funny - ha-ha?" Mange ord er bare født med flere betydninger, uanset hvor simple de måtte synes.

  • 2
  • 1
Ditlev Petersen

Det må simpelthen stoppe! Hvordan kan man ved sine fulde fem betvivle betydningen af simple ord? Det er latterligt!!


Det er ikke betydningen, der er problemet her. Det er konsekvensen, der er tvivl om. Og der er masser af problemer, hvis sletning skal gennemføres også i en backup og man skal have en sletteliste for at rydde op i backup'en, hvis der bliver brug for den. For slettelisten er jo alt andet end en sletning.

Eller hvad nu hvis, nogen har set på data, før de er slettet. Så logger vi naturligvis, hvem der har set på hvad, for det skal vi. Sletter vi så de pågældende data, vil vi naturligvis stadig have loggen over, hvem der har set på dem.

Der er mange ting, der er meget komplicerede, hvis man tænker over dem. Og det er glimrende, at en jurist råber op om problemet, som det ser ud fra deres side.

Hvis man ikke registrerede data i første omgang, in casu kun noterer sig de nummerplader, der står på wanted-listen, så er det aktuelle problem væk. Men der vil være mange andre. F.eks. at man kan kræve at blive glemt, herunder at oplysninger om gamle lovovertrædelser fjernes fra internettet. Men skal vi så forbyde adgang til gamle aviser? Gælder det også for bibliotekerne? Skal vi ligefrem have et kontor, hvor man fjerner uønskede artikler fra gamle aviser? Gælder det kun online eller også for papiret?

  • 5
  • 0
Christian Nobel

Hvis det du citerer korrekt, så står der jo intet om at de skal være i hvert sit rum? Der står blot at en bolig skal indeholde alle 3 elementer.

Det gør der så andre steder i reglementet, så man kan altså ikke sidde på potten og røre rundt i gryderne samtidig.

Men bortset fra det, slettet er slettet, mao. makuleret som Knud siger.

Og det er fuldstændig søgt at komme med alle mulige bortforklaringer, det er da kun et spørgmål om at hvis man har en backup liggende som er over 30 dage gammel, så skal den destrueres - og hvis den så er sovset sammen med andre data (som er legitime at gemme), så må de tage sig sammen og splitte backup'erne op, det er altså ikke raketvidenskab.

Det her stinker langt væk af at man prøver at luske noget andet ind ad bagdøren.

  • 7
  • 0
Simon Kamber

Det må simpelthen stoppe! Hvordan kan man ved sine fulde fem betvivle betydningen af simple ord? Det er latterligt!!

Det er ikke latterligt, det er sådan naturlige sprog virker. De skal fortolkes i en kontekst.

Du kan selvfølgelig begynde et korstog baseret på den opfattelse at hele den måde mennesker taler på er forkert, og at vi burde erstatte vores sprog med en objektivt entydig konstruktion hvor hvert ord har en, og kun en, mulig betydning. Held og lykke med dét projekt ;)

  • 3
  • 0
Jan Ferré

Egentlig vil jeg godt støtte René - at hvis det i en lov er beskrevet, at noget skal slettes, så kan disse informationer ikke bruges i sagsbehandling af nogen som helst art. For overdreven præcision i formuleringer betyder blot, at ikke-specialister (politikere) detail-styrer ting, de ikke reelt har forstand på - og love bliver så komplicerede, at ingen kan følge dem.

Og derefter er jeg ret ligeglad med om data reelt findes på en backup eller om de stadig står i et register. De kan ikke bruges!

Så hvis min bil har kørt på en vej, hvor en mistænkt terrorrist også har kørt - så kan det ikke lægges mig til last ud over den fastsatte 'slette'-periode.

Det er (for mig) indlysende, at sådanne 'slettede' data heller ikke kan udveksles med andre - hverken journalister eller efterretningsvæsener.

Desværre så vi i forbindelse med Hans Engels hit på en betonklods noget efterfølgende palaver - så vidt jeg husker havde Helge Adam Møller i sin ungdom ført en knallert i beruset tilstand. Langt over fristen for sletning af politi-data! Men de fandtes, og en uærlig eller sensationslysten politimand fandt det betimeligt at orientere pressen om dette forhold. Og pressen syntes åbenbart ikke at ret skulle være ret - når man nu kunne sælge en fængende overskrift.

Måske bør man dels indrette systemer sådan at de automatisk sletter (unlinker) data, der ikke må være i systemet, dels sørge for at personer, der viderebringer sådanne 'slettede' data, kommer til at tilbringe en uforholdsmæssig lang tid bag tremmer - mens de finder ud af, hvilken ny karrierevej, de skal forfølge.

Et problem ved en sådan automatik vil så være, at 'næste år', sætter politikerne perioden op til f.eks. 2 år inden en sletning skal foretages. Hvilken betydning vil det så have for data, der er dømt 'slettede' i år?

  • 5
  • 0
Mogens Ritsholm

Jeg tror ikke, at det har noget med uddannelse at gøre. Jeg har mødt nogle jurister - ja endog teologer - der magtede at håndtere logik i en abstrakt naturfaglig verden.

Men gennemgående er den hel gal med danske jurister, og det må have noget at gøre med udvælgelsen. For hvis man har det logiske talent, så mistes det ikke af dårlig undervisning.

En stor del af danske jurister er mat/fys studenter eller sproglige studenter, som ikke var så gode til matematik og fysik. Og så vælger man selvfølgelig en uddannelse, der slet ikke indeholder sådanne discipliner.

Det fører desværre til absurde processer, resultater og forvaltning på tele- og IT-områderne. Det forværres af, at juristerne samtidigt mener, at de er de fremmeste eller eneste, der kan fortolke reglerne.

Logningsreglerne er et godt eksempel. Der er simpelthen begået så mange dumpefejl i denne sag pga. juridisk arrogance kombineret teknologisk analafabetisme. Jeg stiller gerne op som vidne, hvis en kommission en dag vil til bunds i sagen.

Et andet lille eksempel kommer her:

I ca. 1996 ville TDC relancere NMT. Men man havde et stort problem med svindel i NMT. Derfor var det en nødvendig forudsætning, at der ved relanceringen kun kunne anskaffes nye telefoner, som kunne deltage i et sikkerhedssystem, der var indført i NMT nogle år tidligere.

Det skulle altså være et typegodkendelseskrav, at telefonerne kunne deltage i sikkerhedssystemet. Man skulle ikke kunne deltage i de nye tilbud med en gammel telefon.

Et nævn med en juraprofessor som formand skulle tage stilling til det nye typegodkendelseskrav.

Et direktiv foreskrev fælleseuropæiske tytpegodkendelseskrav på store dele af teleområdet. Og man måtte ikke lave nye nationale krav i den periode, hvor de nye fælles krav blev udviklet. Det lyder da meget fornuftigt.

Men klovnerne, der implementerede direktivet i dansk lov overså den restgruppe, hvor der ikke ville blive udviklet fælles standarder til typegodkendelse - herunder NMT.

Så Juraprofessoren konkluderede, at man aldrig i Danmark kunne udvikle nye typegodkendelseskrav uden for de fælles standarder. Og de gamle krav til NMT ville derfor gælde til evig tid.

De havde tydeligvis fuldstændig misset formålet med de oprindelige EU-regler - både ved gennemførelse i dansk lovgivning og ved efterfølgende forvaltning. Og de facto havde de faktisk i daværende system forbudt nye nationale tjenester og videreudvikling af gamle nationale tjenester i Danmark, hvilket er en absurd vidtrækkende konsekvens

Hvad gjorde TDC så. De sagde bare sådan er det altså og så gik de videre i en anden retning. Det er en meget almindelig reaktion, når man møder misforvaltning. Her måske forstærket af, at juristerne i TDC heller ikke forstod det.

Derfor kommer misforvaltningen aldrig rigtig frem i lyset, hvilket er den første forudsætning for bedre forvaltning.

Jeg ved ikke, om relanceringen af NMT var en god ide. Men afvisningen af nye krav til terminaler var en himmelråbende misforståelse. Og en klarlægning af dette, kunne måske have imødegået senere juridisk hybris og større respekt for de faktiske forhold i jernindustrien - f.eks ved den senere udvikling af logningskrav.

  • 3
  • 0
Ditlev Petersen

Og derefter er jeg ret ligeglad med om data reelt findes på en backup eller om de stadig står i et register. De kan ikke bruges!

Men så er der en seriemorder løs på Falster, og en pædofil på Als og iranske agenter menes at være kørt til Vojens, terrorister har mødtes i Auning, og nogen har lækket et internt regeringsdokument om salg af infrastruktur til endnu en kapitalfond ... hovsa, der var lige noget at studere nærmere.

Alt hvad der kan bruges, kan man finde en undskyldning for at bruge. Hensigten og Magten helliger alt. Og det bedste, man kan gøre, er ikke at registre noget, der ikke er en forbandet god og anstændig grund til at registrere.

  • 5
  • 0
Ditlev Petersen

Desværre så vi i forbindelse med Hans Engels hit på en betonklods noget efterfølgende palaver - så vidt jeg husker havde Helge Adam Møller i sin ungdom ført en knallert i beruset tilstand. Langt over fristen for sletning af politi-data! Men de fandtes, og en uærlig eller sensationslysten politimand fandt det betimeligt at orientere pressen om dette forhold.


Og man kunne ikke identificere den pågældende strisser, for dels var der flere, der havde søgt på den samme sag (jeg tror, det var mindst 10), dels anvendte man af praktiske hensyn stort set altid "fælles logon".

Jeg tror egentlig ikke, der er nogen frist for sletning af politi-data. Der er frister, der fjerner lovovertrædelser fra den almindelige straffeattest, men der er en udvidet straffeattest til brug inden for staten, hvor der ikke er forældelser. Hvis man nu i forbindelse med en 40 år gammel drabssag får brug for at finde de knallertkørere, der har vaklet rundt i en brandert (og er blevet nappet), så er oplysningerne der.

Forskellen er, at man i "nummerpladeregistreringen" har data om folk, der ikke var sigtet, ikke engang var mistænkt for noget, i registrene.

  • 4
  • 0
Jan Heisterberg

Det kunne være interessant at få belyst den analoge situation, som har eksisteret i utallige år - bare for at forstå.

I pre-it-samfundet, hvor papir-akter var eneste registreringsmulighed, har der vel også eksisteret regler for makulering / destruktion.
at det sker
Hvordan virker tidsgrænser her ?
Er en akt destrueret når den udtages af arkivet og lægges i en sæk til e..g. forbrænding ?
Denne sæk kunne jo stå, aflåst, i en periode inden transport og forbrænding. Nogen kunne få den lyse ide, på grund af en "opstået" situation at hente sækken og ........

Lyder det langt ude ?
Overvej lige det nylige fund af et skelet på Djursland, og overvej at det sker omkring 10-årsdagen, idet vi antager at arkivperioden er netop 10 år (glem at drab og mord ikke forældes). Den dygtige betjent, som ved at arkivet lige er renset, styrter ud i det sikre lagerrum og finder sækken ..... Han fremdrager nogle gamle akter ........
Hvad siger retten mon til brug af disse beviser som en del af det nye opklaringsarbejde ?

Løsningen er sandsynligvis en dokumenterbar forhindring for, at e.g. "makuleringsrummet" overhovedet kan åbnes og akter udtages / ses.

En tilsvarende løsning KAN jo laves rent it-mæssigt. Men sporene fra kreditkort-sagen skræmmer jo lidt her.

  • 0
  • 0
Ditlev Petersen

Man destruerer papirarkivet. Men hvis det er rigtigt saftigt, så mikrofilmer man det først og sender filmen til den danske ambassade i Washington. Sådan gjorde man med arkivet over mulige samfundsomstyrtere, da regeringen beordrede det ryddet for ulovlige oplysninger.

Man fik også påbud om, at fremtidig registrering ikke måtte finde sted på grundlag af lovlig politisk virksomhed. Det forstod man så på den måde, ta hvis der ikke var tale om lovlig politisk virksomhed, men f.eks. et lovligt og upolitisk besøg i Østeuropa, så måtte man stadig gerne registrere. Alt, også det lovlige politiske.

Der findes historier om politifolk, der klippede læserbreve og valgannoncer ud og arkiverede dem. Måske sker det stadig.

  • 2
  • 0
Jesper Frimann

I GDPR sammenhæng er det jo allerede afklaret at sletning ikke kræver sletning fra backup - se fx https://www.version2.dk/artikel/du-har-ret-at-blive-glemt-ikke-backuppen...

Her kræves i stedet at man har procedurer til at sikre, at man ved genindlæsning undlader de personer, der skal være slettet.

Generelt vil det jo være særdeles problematisk hvis man skulle tilbage og slette i backups - hvor meget kan man stole på en backup, der er blevet rettet 100 gange siden den blev taget oprindeligt?

Jeg er sku ikke enig Null, det at opbevare en backup er også databehandling.

Argumentet med at fordi du opbevarer data i en backup så kan du ikke lave databehandling er.. simpelt hen ikke i overenstemmelsen med definition i GDPR af databehandling:

»behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

Så med mindre man i lovgivningen for opsamlingen af nummerplader, specifikt har omdefineret databehandling... så ja... er en backup også opbevaring af data, og dermed databehandling.

Jeg synes faktisk, at den artikel du henviser til netop understreger pointen i den her artikel. Nemlig at Juristerne ikke forstår teknik, og for at sige det lige ud ikke læser lovgivningen.

Man kan så argumentere for er, om de her data overhovedet er omfattet af f.eks. GDPR, jvf. GDPR's Artikel 23. Og se det kræver en jurist :)=

// Jesper

  • 1
  • 0
Ditlev Petersen

Jeg er sku ikke enig Null, det at opbevare en backup er også databehandling.


Uden en backup så er der ikke ret meget, der fungerer. Det er ikke realistisk at have et system med en "perforeret backup". Formodentlig vil man slet ikke kunne læse en sådan backup ind, hvis diskene på det kørende system lider skade.

Og ja, man kan ikke rent juridisk gøre dele af en backup utilgængelige, hvis de stadig findes.

  • 1
  • 0
Mogens Ritsholm

Og derefter er jeg ret ligeglad med om data reelt findes på en backup eller om de stadig står i et register. De kan ikke bruges!


jeg er meget enig.

I de sager, som jeg kender fra tidligere tider, var der tale om system-back-ups - lidt ligesom en system back up på din PC. Data ligger på ingen måde i en umiddelbar læsbar og ordnet form i en sådan back-up. Men det kan genskabes ved at stoppe det aktive system, loade det op med back-up samt undlade at køre hændelsesloggen, hvorefter applikationer startes op.

Men hvis man på denne eller andre sindrige måder prøver at genskabe data, der skulle være slettet, begår man i mine øjne noget ulovligt. Og politiet bør ikke kunne pålægge nogen dette, ligesom de ikke selv bør bruge "ulovligheder" til at skaffe beviser.

Men politiet er næppe parat til at acceptere begrænsninger for deres efterforskning og ret til at uddrage enhver form for data.

  • 1
  • 0
Axel Nielsen

For F... sake!
Vi kunne sende folk til månen i 60'erne...

At påstå vi ikke kan lave et system der kan håndtere at datamakulere alle nødvendige data fuldstændigt og uigenkaldeligt efter et på forhånd fastsat tidsrum, er det rene vås!

At vi kan finde på 2^128 forskellige scenarier hvor det ikke er muligt er ikke ensbetydende med at det er umuligt.

Vi kan endda lave det sådan at hvis nogen piller, autoriseret eller uautoriseret, så makuleres alle data øjeblikkeligt.

Det er bare ikke så sjovt, vel? Det kan ligesom ikke rigtig bruges til andet end formålet.

Det er hér sagen begynder at blive speget, så der skal jurister ind i billedet for at holde stien "ren"...

  • 3
  • 0
Jesper Frimann
  • 3
  • 0
Mogens Ritsholm

Det nemeste, men også det som kræver mest moral og etik, så det kan næppe bruges inden for Ledelsen i politiet. Er vel at kryptere backup, også slette nøglen, når tiden udløber.


Hvad skal man så bruge backup til. Og lad nu være med at sige, at man bare kan kryptere udløbne data. For man ved jo ikke hvilke data, der er faldet for tidsgrænsen, når back-up skal aktiveres efter et nedbrud.

  • 0
  • 0
Baldur Norddahl

Hvad skal man så bruge backup til. Og lad nu være med at sige, at man bare kan kryptere udløbne data. For man ved jo ikke hvilke data, der er faldet for tidsgrænsen, når back-up skal aktiveres efter et nedbrud.

Metoden kan nu være smart nok i visse tilfælde. Det kan være at man har et stort ufleksibelt backup system, der tager backup af hele database serveren, et SAN, etc. Det er kun nogle relativt få tabeller/rækker som skal slettes med et andet interval, end resten af backuppen. Ved at kryptere disse data med en unik nøgle der skiftes, eksempelvis hver dag, så kan man slette adgang til data ved at slette nøglen.

Man skal naturligvis så have en anden måde at lave backup af nøglerne. Men det er meget små datamængder, så det system er nemmere klaret end at ændre i det egentlige backupsystem.

Det vil også være muligt at lave systemer, så at nøglen kun kan genskabes ved hjælp af flere uafhængige instanser. Du vil kunne lave det, så at det er teknisk umuligt for politiet at genskabe nøglerne, uden at have en dommerkendelse. Eller justitsministeren kan have en master nøgle liggende i pengeskabet, til den dag hvor vi har den terrorsag der retfærdiggør brugen. Og hvis vi ikke stoler på ham, så kan vi give en anden del af nøglen til en uafhængig instans, således at begge skal signere for brugen.

  • 2
  • 0
Kenn Nielsen

Man skal naturligvis så have en anden måde at lave backup af nøglerne. Men det er meget små datamængder, så det system er nemmere klaret end at ændre i det egentlige backupsystem.

Det vil også være muligt at lave systemer, så at nøglen kun kan genskabes ved hjælp af flere uafhængige instanser. Du vil kunne lave det, så at det er teknisk umuligt for politiet at genskabe nøglerne, uden at have en dommerkendelse. Eller justitsministeren kan have en master nøgle liggende i pengeskabet, til den dag hvor vi har den terrorsag der retfærdiggør brugen. Og hvis vi ikke stoler på ham, så kan vi give en anden del af nøglen til en uafhængig instans, således at begge skal signere for brugen.


Ja, men så er det vigtigt at der ikke ligger en "gensidig forståelse" af at de ekstra nøgler ikke er "fuldstændigt unikke" med hver sine forudsigelige karakteristika.
Og en master key er absolut en dårlig idé, da man kan vælge at generere denne automatisk med en stor kompleksitet vha. en prng, på en isoleret computer, som kun startes til dette formål, på et helt bestemt klokkeslet, hver dag.

Ideen med delte nøgler er ikke dårlig, men kun hvis det gøres juridisk umuligt - på nogen måde - at retsforfølge, på grund af (logisk)slettede data.

Og alligevel sikrer dette ikke helt mod morgendagens diktatur, eller "parallel konstruktion".
Og eksemplet ovenover er stadigvæk relevant:

Men så er der en seriemorder løs på Falster, og en pædofil på Als og iranske agenter menes at være kørt til Vojens, terrorister har mødtes i Auning, og nogen har lækket et internt regeringsdokument om salg af infrastruktur til endnu en kapitalfond ... hovsa, der var lige noget at studere nærmere.

Det er min ærlige mening, at dén slags sikkerhed kan man ikke - uden 2nd. og 3rd. opinions fra pålidelige kilder - overlade til samfundsansatte jurister.

K

  • 0
  • 0
René Nielsen

Det er sjovt den kreativitet som myndigheder udviser når ordet ”slettes”, skal fortolkes.

Når de myndigheder taler om design af sikre systemer, så er der absolut ingen kreativitet i forhold til at overholde lovens ånd. Man læser simpelthen loven som fanden læser biblen, således at data lever næsten 60 gange længere, end lovens hovedregel tillader og dobbelt så lang tid som den absolutte grænse (målrettet indsats).

Selvfølgelig kan vi i dag designe et system som umuliggør læsning af data ældre end en vis dato.

Hvis ikke backupsystemet lever op til lovens krav om at data kan slettes inde i backuppen, så er backupsystemet ulovligt. Og mon ikke at justitsministeriets jurister er kommet til samme konklusion? At det er den virkelige årsag til at man allerede nu har udskiftet ANPG-serverne!

At tage en backup, er da meget billigere end at have den nye løsning med to produktive systemer som spejler de samme data. Så når man i dag har droppet det eksisterende (backup-) system, så er det fordi at der er tungtvejende juridiske årsager hertil.

  • 1
  • 0
Jesper Frimann

Når de myndigheder taler om design af sikre systemer, så er der absolut ingen kreativitet i forhold til at overholde lovens ånd. Man læser simpelthen loven som fanden læser biblen, således at data lever næsten 60 gange længere, end lovens hovedregel tillader og dobbelt så lang tid som den absolutte grænse (målrettet indsats).

Øh ja. Det er jo juristens levebrød at bøje og manipulere med regler og love, således at det passer til 'kundens' behov

Hvis ikke backupsystemet lever op til lovens krav om at data kan slettes inde i backuppen, så er backupsystemet ulovligt. Og mon ikke at justitsministeriets jurister er kommet til samme konklusion? At det er den virkelige årsag til at man allerede nu har udskiftet ANPG-serverne!

Igen skal man huske på at GDPR, kun måske gælder for det her system. Og derfor også om specifikke GDPR regler også gælder.

Det kommer an på definitionen af formålet. Hvis det er et system der er til for at 'sikre rigets sikkerhed', så har man vide rammer. Hvis det ikke er, knap så meget.

Det kræver selvfølgelig, at man melder klart flag om, hvorfor man har lavet systemet. Er det til for 'bare' at sikre sig at folk har betalt deres afgifter, eller er det til at overvåge befolkningen.

Måske er det der hvor katten ligger begravet ?

// Jesper

  • 2
  • 0
Log ind eller Opret konto for at kommentere