Så underskrev Trump - nu må internetudbydere igen frit handle med kundernes browserhistorik

Foto: YouTube
*Rettet* Præsident Donald Trump har nu underskrevet det lovforslag, som vil give internetudbyderne ret til at handle med kunders personlige oplysninger, heriblandt browserhistorikken.

Nu er det officielt. Præsident Donald Trump har underskrevet det lovforslag, som annullerer de bestemmelser, som myndigheden Federal Communications Commission (FCC) vedtog sidste år. Det skriver blandt andet det politiske medie The Hill.

Havde FCC's bestemmelser faktisk nået at træde i kraft, ville det have givet internetudbydernes kunder langt mere magt over, hvad der sker med deres personfølsomme data - heriblandt browserhistorik, deres geografiske lokation og informationer om deres finansielle og sundhedsmæssige situation.

Men nu kan internetudbydere som Verizon og AT&T altså videresælge oplysningerne til firmaer, som kan lave mere målrettet annoncering.

Amerikanerne mister deres privatliv

Trumps lovforslag er blevet mødt med en bølge af kritik. Blandt andet siger Craig Aron, CEO for rettighedsgruppen Free Press, til The Hill:

»Det er chokerende, at i forhold til alle de udfordringer, som landet står over for, så vælger Trump-adminstrationen af fratage folket deres privatliv,« siger han og uddyber:

»Der er bogstaveligt talt ingen folkelig opbakning til lovforslaget. Dets eneste fortalere er nationens største telefon-, kabel- og internetudbydere,« siger Craig Aron.

I en udtalelse sagde CEO for et af disse firmaer, USTelecom, Jonathan Spalter:

»Vi byder præsident Trumps handlinger, som bekræfter Kongressens beslutning om at genstarte et sæt af forvirrende regler, velkomne.«

Rettelse: Det fremgår, at amerikanerne mister rettigheder, de før har haft. Det er ikke korrekt. De amerikanske statsborgere har præcis de samme rettigheder. FCC fremsatte sidste år et forslag, som skulle begrænse virksomhedernes ret til at handle med kundernes oplysninger. Det er dette lovforslag, som nu er blevet trukket tilbage. Vi beklager.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
Anne-Marie Krogsbøll

"...informationer om deres finansielle og sundhedsmæssige situation."...

  1. Hvordan kommer internetudbydere i besiddelse af disse informationer? har de nu ret til at aflytte selve indholdet i datatrafikken?

  2. Kan dette have betydning for datasikkerheden for vore sundhedsdata, som Sundhedsplatformen deler med EPIC i USA?

Michael Westergaard

En stor del af artiklen og hele titlen er vrøvl. ISPerne kan hverken handle mere eller mindre med kundeinformationer end de altid har kunnet.

Sidste år fremsatte FCC et forslag om at begrænse mulighederne. Et forslag, som blev vedtaget og ville have trådt i kraft i 2017, sikkert første halvdel.

Der er altså ikke tale om, de nu kan begynde at handle med informationer, men om at de nu kan fortsætte på præcis samme måde som de altid har gjort.

Der er heller ikke tale om, Trump har fremsat lovgivning som gør det muligt at handle med information, men om at han har tilbagetrukket et forslag, som ville begrænse det.

Det er stadig træls for amerikanerne, men de har selv valgt ham.

Baldur Norddahl

Ja. Og jeg går ud fra at den typiske internetbruger anvender ISPens navneserver, så informationen om hvilke websteder hver kunde besøger har de typisk allerede.

Det giver kun meget basale informationer. Min router laver måske et opslag på version2.dk per døgn og cacher herefter resultatet. Med deep packet inspection vil de kunne opsamle information om hvilke artikler jeg læser og hvor meget tid jeg benytter på Version2.

Men da Version2 ligesom så mange andre er skiftet til SSL kryptering, så kan de kun observere en trafikmængde til en IP adresse. Bag denne IP adresse er der også andre medier, eksempelvis ing.dk. Så nu er deep packet inspection ikke længere så nyttigt til at snage i noget der på ingen måde vedkommer din ISP.

Jeg mener iøvrigt at det er et vægtigt argument for hvorfor Lets Encrypt er en god ting. Det er desværre ikke kun stater der vil spionere i dine data.

Michael Cederberg

Hvordan kommer internetudbydere i besiddelse af disse informationer? har de nu ret til at aflytte selve indholdet i datatrafikken?

De har ikke ret til det. Men hvis de skriver det ind i betingelserne for de internetforbindelser som de sælger, så må de gerne. I USA kan man næsten aftale sig ud af alt – i Europa har folk rettigheder som de ikke kan fraskrive sig (selv hvis de vil). Problemet for amerikanerne i dette tilfælde er at de sjældent har mange valgmuligheder når det gælder internetforbindelser.

Kan dette have betydning for datasikkerheden for vore sundhedsdata, som Sundhedsplatformen deler med EPIC i USA?

Med mindre de er fuldstændigt skudt gennem hovedet, så nej. Hvis dette er et problem, så er der andre problemer der er meget større (fx vil hackere kunne komme til data med ganske lille indsats). Hvis blot den der har sat det op har blot en smule viden om hvad de gør, så kører data gennem en krypteret VPN forbindelse eller lignende.

Michael Aggerholm

Epic er sammen med NNIT leverandør til Sundhedsplatformen, men det betyder jo ikke at de som sådan har adgang til produktionsdata. Den slags kræver typisk en begrundelse og vil formentlig kun ske i forbindelse med fejlsøgning på helt specifikke sager. Data hostes i danmark, ikke USA, og de beføjelser man har som ISP i USA er derfor ikke gældende, uanset Trumps gøren og laden.

Anne-Marie Krogsbøll

Micahel Aggerholm:

Tak for svar.

Jeg ved ikke, om du har læst mine kommentarer om de svar, jeg har fået fra Sundhedsplatformen i tråden her?
https://www.version2.dk/artikel/advokater-noedvendigt-at-overveje-at-fly...

For SP bekræfter, at EPIC i USA får adgang til personfølsomme data.
"Det amerikanske softwarefirma Epics medarbejdere kan få en
begrænset adgang til patientdata i Sundhedsplatformen for at kunne
udføre vedligehold og fejlretning i systemet."

Det er sket ikke mindre end 1093 gange siden ibrugtagningen, hvilket jo ikke kan kaldes undtagelsestilfælde.

Sundhedsplatformen kan ikke gøre rede for, hvor mange personers data, det handler om, hvilket jeg finder bekymrende. Og indtil jeg har fået et klart svar fra SP om, at der er tale om et mindre udvalg af ordentligt anonymiserede data, er det indtil videre mit indtryk, at der er tale om fjernadgang til produktionssystemet, som ingen rigtigt holder øje med, når først tilladelsen er givet. SP har i hvert fald ikke endnu svaret på, hvorledes adgangen ellers gives. Og har heller ikke svaret på, hvorledes man fører kontrol med adgangene.

At det sker i forbindelse med fejlsøgning og efter særlig begrundelse, synes jeg ikke er udtryk for egentlig datasikkerhed. Og mht. at data hostes i Danmark, så skal data jo i et eller andet omfang bevæge sig til USA og behandles der - og derudover har jeg indtil nu ikke fået oplysninger om sikkerhedsforanstaltninger og kontrol, der går ud over, at det står i kontrakten, at datasikkerheden skal være i orden, og at EPIC skal aflevere årlige revisionsrapporter om dette. SP har ret til at udføre kontroller i USA - men indtil nu har jeg ikke fået oplysninger om, at man faktisk gør det, selv om jeg har spurgt.

Derudover fremgår det af standardkontraktbestemmelserne, at EPIC godt kan udlicitere - de skal bare huske at oplyse SP om det, og SP skal føre lister over "underkontraherede registerførere".

Ligeledes fremgår det af standardkontraktbestemmelserne, at USA betragtes som "tredieland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau".

Faktisk læser jeg - med mine indrømmet begrænsede jura-kundskaber - standardkontraktbestemmelse 4, litra 11, på den måde, at alle borgere i det danske sundhedsvæsen burde have været informerede om, at deres data kan blive udleverede til et sådant tredieland. Er der nogen, der kender nogen, der er blevet orienterede om det?
http://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32010D0087...

Er der i øvrigt nogen her, der ved, ad hvilke kanaler vore sundhedsdata sendes til USA/adgang gives til SP fra USA? Er der tale om almindelig internetadgang, eller er der tale om et særligt, lukket net, til kun dette formål?

Anne-Marie Krogsbøll

Tak for svar, Michael Cederberg.

Det er muligt, at jeg roder det i artiklen omtalte forslag sammen med tiltagene til, at amerikanske myndigheder i højere grad kan tiltvinge sig adgang til udenlandske borgeres data, fordi disse ikke er beskyttede på samme måde som amerikaneres - men det er nok et helt andet forslag, hvor bekymring for vore sundhedsdata måske i højere grad er relevant.

Så mht. det i artiklen omtalte forslag er amerikanere altså ikke bedre stillede end udlændinge? Beklager min forvirring - det går så hurtigt på dette område.

Michael Cederberg

Det er muligt, at jeg roder det i artiklen omtalte forslag sammen med tiltagene til, at amerikanske myndigheder i højere grad kan tiltvinge sig adgang til udenlandske borgeres data, fordi disse ikke er beskyttede på samme måde som amerikaneres - men det er nok et helt andet forslag, hvor bekymring for vore sundhedsdata måske i højere grad er relevant.

Det her handler om at teleselskaberne kan lave aftaler om at de må aflytte forbrugernes brug af internettet. Private firmaer som EPIC vil helt givet ikke gå med på sådan en aftale, teleselskaberne har ingen interesse i sådan en aftale samt EPIC's kommunikation foregår helt sikkert over krypterede VPN linjer (med mindre de er amatører i ufattelig grad).

I praksis omhandler dette tiltag amerikanske forbrugeres brug af internettet. Det har intet med myndigheders overvågning eller udlændinge at gøre.

Er der i øvrigt nogen her, der ved, ad hvilke kanaler vore sundhedsdata sendes til USA/adgang gives til SP fra USA? Er der tale om almindelig internetadgang, eller er der tale om et særligt, lukket net, til kun dette formål?

Forventningen er at det sker gennem VPN forbindelser. Sådan gør seriøse virksomheder. Hvad der sker når trafikken er landet hos EPIC er ikke til at sige, men almindelig sund fornuft vil kræve at tilfældige medarbejdere ikke blot kan tilgå systemerne fra deres egne computere. Jeg gætter på at EPIC's juridiske afdeling kræver at der er begrundelser og log's hver gang noget sker (selvom det også logges på den danske side). Det er den eneste måde de vil kunne forsvare sig mod beskyldninger om misbrug. I den forbindelse er det værd at amerikansk lovgivning er noget mere brysk overfor folk der overtræder loven.

En stor del af artiklen og hele titlen er vrøvl. ISPerne kan hverken handle mere eller mindre med kundeinformationer end de altid har kunnet.

Den store forskel er at tidligere vidste teleudbyderne at hvis de gik for langt på dette område, så ville Obama's folk lave modtiltag. Nu har de fået at vide at de kan gøre som de vil - der sker ingenting. Det er en stor ændring!

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017