olav m.j. christiansen bloghoved olav christiansen

Errare humanum est

Her lige op til juletid tænkte jeg at det var en god idé at hoppe over i den lette genre. Så kan vi tage nogle mere alvorlige emner, når den fede julemad har lagt sig lidt til ro i maven.

Jeg har tidligere omtalt websitet TheDailyWTF. De har et fast ugentligt tema, hvor det primært handler om sjove og underlige skærmbilleder og fejlmeddelelser. Her er et direkte link til sidste fredags samling: Så kan man selv se hvad jeg taler om:
https://thedailywtf.com/articles/trouble-at-the-end-of-the-world

Nu er jeg ikke sikker på at jeg ligefrem vil indføre samme tradition her på version2, men jeg har da et par friske eksempler på noget lidt pudsigt, som jeg tænkte at jeg ville dele med jer.

DSB

For nylig var jeg 'ude at se' med DSB. Det skulle jo være så godt, siger de i reklamerne. Turen gik såmænd fint nok, men undervejs var der noget der undrede mig. På togene, der kører mellem Roskilde og Næstved via Køge, var der nogle elektroniske skilte som viste noget om ruten. Der har DSB tilsyneladende store problemer med ÆØÅ. Og jeg som troede at det var et overstået kapitel efter at vi har fået Unicode og hvad ved jeg. Men åbenbart lever DSB stadig i den gode gamle ASCII-tid.

De har både skilte på siden af toget, inde i kupeen og foran på toget. Men måske har de glemt noget i kravspecifikationen, da de bestilte skiltene - eller måske er det sådan man gør, når man arbejder agilt.

Se bare her hvordan et skilt ser ud udefra:

Illustration: Olav M.J. Christiansen

Inde i kupeen ser det sådan ud:

Illustration: Olav M.J. Christiansen

Og foran på toget kan et skilt se sådan ud (på et andet tog):

Illustration: Olav M.J. Christiansen

Måske skulle man foreslå Køge og Næstved at de skulle gøre ligesom Århus - jeg mener Aarhus - og få et internationalt navn i stedet for det der dumme danske navn. Vi danskere må jo være ekstremt dumme, siden vi holder fast i de der mærkelige bogstaver.

Hvad skulle de to sjællandske byer så hedde? Skal Køge hedde Koge eller Koege? Og hvad med Næstved? Hvad klinger bedst på engelsk? Naestved eller Nastved duer ikke rigtig, så hvad med at oversætte det? Vi kunne prøve med Nextby eller Closeby måske? Nastywith lyder ikke helt rigtigt.

Man kunne jo gå hen og få den mistanke at det i virkeligheden er DSB der har gennemtrumfet at Århus skulle skifte navn. Så er de fri for bøvlet med at forsøge at lave et 'Å' på skiltene. Både Ålborg - undskyld Aalborg - og Åbenrå (undskyld Aabenraa) staves i dag med aa i stedet for å. Andre byer har jo engelske navne, så de har ikke det problem. Copenhagen lyder fjollet, men er efterhånden ret kendt, og kigger vi på vores nabolande findes der engelske navne for f.eks. Göteborg (Gothenburg) og München (Munich). Men alle de bynavne, som ikke har et kendt engelsk navn og som har et ikke-engelsk tegn som en del af navnet, kan altså have dette problem. Oppe i Finland har de f.eks.en by, der hedder noget så eksotisk som Jyväskulä som ofte holder store festivaler, og de har så vidt jeg ved aldrig haft problemer med at tiltrække internationale gæster (faktisk har jeg selv på et tidspunkt hjulpet med at formidle at forfatteren Harry Harrison tog derop). Så måske er det bare os dumme Dänen, der har mindrevaerdskomplekser :-)

Nå, nok om det. Man kan jo også tage bussen i stedet for ...

Movia

Hvis man tager bussen i hovedstadsområdet, stiller Movia (som nu er en del af DOT - Din Offentlige Trafik) en service til rådighed, hvor man via en sms kan se hvornår den næste bus kommer.

Man sender simpelthen en sms med navnet på det stoppested man står ved, og fluks svarer de tilbage med tidspunkter for de næste busser. Så langt så godt. Det ser f.eks. sådan ud, hvis man prøver at søge busafgange fra forskellige stationer:

Illustration: Olav M.J. Christiansen

Det ser jo alt sammen meget fint ud. Men hvad er den linje der til allersidst? Nu er jeg tilfældigvis certificeret GDPR-konsulent, så jeg ved godt hvad den forkortelse betyder. Og det ved de fleste andre vist også efterhånden, så hvad er egentlig meningen med den linje?

Hvis man følger linket http://korturl.dk/zd9i kommer man til denne side https://dinoffentligetransport.dk/GDPRsms hvor Movia fortæller hvordan de behandler personoplysninger.

Aha. Movia mener altså at de bliver nødt til at oplyse brugerne af denne service om hvordan de opbevarer folks data. Udmærket. Det er faktisk også nævnt i loven.

Men hvad er det med det der mærkelige link? Ah, sms betyder jo Short Message Service og har en begrænsning i antal tegn (160), så hvis man sendte hele linket med i sms'en, ville der ikke være plads til ret meget tekst.

Men der er nu noget mærkeligt ved det. Skal vi lige opsummere:

  1. sms må tilsyneladende slet ikke bruges til personhenførbare oplysninger:
    https://www.dr.dk/nyheder/regionale/nordjylland/kommuner-maa-ikke-sende-...

  2. Linket i sms'en er ukrypteret - http, ikke https

  3. Der bliver linket til en rent privat service. korturl.dk er ejet af en privatperson. Der er ingen oplysninger om hvordan servicen behandler personoplysninger, og en privat tjeneste er i øvrigt ikke umiddelbart omfattet af GDPR.

Vi kan altså konstatere at nogen hos Movia synes det er vigtigt at man ved brug af denne sms-tjeneste bliver informeret om persondatapolitikken hos Movia, men for at læse denne, bliver den udskyldige bruger nu bedt om at blive unødigt registreret hos en privatperson, der ingen regler har for hvordan disse oplysninger bliver brugt.

Måske skulle man kigge på det en gang til og overveje hvad formålet egentlig er med GDPR. Det er jo rent faktisk at beskytte folks privatliv, og det gør man da ikke ved at sende folk hen på en ukrypteret privat hjemmeside. Eller hvad mener læserne?

Ikke mere for denne gang.

I ønskes alle en glædelig jul.

Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Vraamark

1) Hvordan er det relateret til personfølsomme data? Der er jo intet i din SMS som er relateret til dig. Om afsenderen af SMS'en gemmer dit telefonnummer sammen med din søgning, ved jeg ikke, men selve SMS'en indeholder da ikke personfølsommme data?

2) Man kan ikke kryptere links. Man kan kryptere den kommunikation som sker mellem klienten og hjemmesiden. I øvrigt er den korte url en redirect til en HTTPS hjemmeside. Dvs at al trafik efterfølgende er krypteret mellem din telefon/browser og hjemmesiden. Selvom det så ikke var det, så kan jeg ikke se at hjemmesiden indeholder nogen form for personfølsomme data? Hvor på siden kan du finde oplysninger om dig selv?

3) I bedste fald kan korturl.dk gemme din IP adresse, men det kan ALLE hjemmesider du besøger. Linket indeholder ingen parameter overhovedet. Hvilke personfølsomme oplysninger mener du at der sendes til privatpersonen når du trykke på linket?

Måske har jeg misforstået et eller andet åbenlyst i det du skriver?

Olav M.J. Christiansen Blogger

1) Hvordan er det relateret til personfølsomme data? Der er jo intet i din
SMS som er relateret til dig. Om afsenderen af SMS'en gemmer dit telefonnummer sammen med din søgning, ved jeg ikke, men selve SMS'en indeholder da ikke personfølsommme data?

Hvis sms'en ikke indeholder personhenførbare oplysninger (der er ikke længere noget, der hedder personfølsomme data, da definitionerne har ændret sig lidt), så er der slet ikke nogen grund til overhovedet at tænke på GDPR. Men Movia har ment at det var tilfældet, da de både har skrevet en hel side om det på deres hjemmeside + sat et link ind nederst i de sms'er, der går ud. Man kan argumentere for at telefonnummeret i sig selv er personhenførbare oplysninger, og det er i princippet nok til at GDPR træder i kraft.

2) Man kan ikke kryptere links. Man kan kryptere den kommunikation som sker mellem klienten og hjemmesiden. I øvrigt er den korte url en redirect til en HTTPS hjemmeside. Dvs at al trafik efterfølgende er krypteret mellem din telefon/browser og hjemmesiden. Selvom det så ikke var det, så kan jeg ikke se at hjemmesiden indeholder nogen form for personfølsomme data? Hvor på siden kan du finde oplysninger om dig selv?

Hvad skulle være den dybere mening med at bruge https, hvis man først skal besøge en almindelig http-side? Så er formålet med https helt væk. Man betragter faktisk i visse tilfælde IP-adresser som personhenførbare oplysninger:
https://eugdprcompliant.com/personal-data/
https://www.whitecase.com/publications/alert/court-confirms-ip-addresses...

3) I bedste fald kan korturl.dk gemme din IP adresse, men det kan ALLE hjemmesider du besøger. Linket indeholder ingen parameter overhovedet. Hvilke personfølsomme oplysninger mener du at der sendes til privatpersonen når du trykke på linket?

Se ovenfor. Min IP-adresse, som nu udleveres til en privat person, som jeg ikke på forhånd har accepteret. Alle andre hjemmesider, jeg besøger, har jeg jo selv valgt at besøge. Her drejer det sig om et nødvendigt skridt for at beskytte mit privatliv, hvor det altså i stedet bliver udleveret.

Kan du ikke se paradokset i det?

Bjarne Nielsen

For slet ikke at snakke om alle de andre som også kigger med på din request.

Fin gennemgang. Det er mange.

Sitenavn i HTTPS er jo i klartekst, så grundet de mange cookies undervejs, så er adskillige af Olavs mange profiler er nu for evigt stemplet med, at personen bag er specifikt interesseret i offentlig transport.

Og husk på, at Papes mildest talt noget omdiskuterede sessionslogning og teleselskabernes ditto big data afdelinger også er med på en lytter - samt deres kunder (også selvom det nok allerede er for sent allerede når man sender eller modtager en SMS). Og sikkert også kineserne, jfr. Mogens Nørgaard (hørt på Aflyttet lige omkring årsskiftet).

Det virker ikke videre gennemtænkt, det som vi har fået bygget op her. Eller det vil sige, det håber jeg ikke, for hvis det er med vilje, så det det godt nok uhyggeligt.

Log ind eller Opret konto for at kommentere