kim tiedemann bloghoved

Have I been leaked?

Da direktøren for Digitaliseringsstyrelsen Lars Frelle-Petersen nåede tusind følgere på Twitter bad han sine følgere om at byde ind i forhold til en ny offentlig digitaliseringsstrategi.

Jeg foreslog fokus på privacy: Hvem har set mine data i offentlige systemer samt samtykke selvbetjening.

Den 11/11 skal jeg sammen med andre udvalgte ind og holde kaffemøde med Lars Frelle-Petersen og her er hvad jeg vil foreslå:

Vi skal stole på det offentlige

I offentlige IT systemer ligger der rigtigt mange data og mange af dem er følsomme i forhold til mig som person. Det offentlige ved om jeg er gift, single eller på vej til at blive skilt og om jeg har børn. Man kender mine sundhedsoplysninger, min økonomi, om jeg er i job eller ej og om jeg har problemer med at overholde loven. Man registrerer også de data, som ifølge persondataloven er særligt følsomme: Om jeg er medlem af folkekirken (min tro) og om jeg er medlem af en faglig organisation.

Når nu alle disse data ligger i IT systemer, som nemt kan sammenkøres ved hjælp af et cpr nummer, så er det det offentliges ansvar at passe rigtigt godt på disse data og sikre, at data kun udstilles overfor offentlige ansatte, som har et behov for at se dem. Vi har desværre set, at data er blevet lækket og eksempler på folk, som ikke har kunnet styre deres nysgerrighed i forhold til at se andres data.

Hvem har set mine data

Jeg foreslår en central selvbetjeningsløsning, hvor vi som borgere kan se hvilke offentlige myndigheder og herunder hvilken medarbejder, som har tilgået mine data. Det skal minde lidt om Sundhed.dks log, men fungere på tværs af offentlige IT systemer. Det skal være muligt at sætte alarmer op, så man kan blive notificeret, når visse typer af data bliver tilgået.

Det vil kræve større ændringer i IT løsningerne og det vil specielt kræve, at services bliver identitetsbaserede så man medtager myndighedspersonens identitet, når et system kalder en service hos et andet system. Dette sker ikke i dag, hvor integrationen oftest sker som system-til-system integration.

Vi skal selvfølgelig også finde en løsning, hvor sikkerhedsniveauet er højt og misbrug er svært.

Det bliver nok svært og der vil være tale om en massiv investering, men vi er nødt til at gøre det for at kunne bevare borgernes accept af, at det offentlige gemmer deres data og at data ikke misbruges.

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert Madsen

Som et supplement, og for at øge forståelsen, så ville jeg tage datamaskering med.
Dvs. uanset hvor meget en kommunalansat har brug for min adresse, så skal CPR-nummeret ikke vises også.

Og a propos:
CPR-nummeret er for afslørende i sig selv, og for nemt at huske. Der skal en anden nøgle til, for at man kan få en reel sikring mod uhensigtsmæssig sammenkøring af registeroplysninger. Det er så uhyggeligt nemt at få fingre i naboens CPR-nummer, og så lige tjekke for spritdomme, forbrug af psykopharmaka eller andet.

De tiltag som du peger på, og som ifølge IDA foreslås af "IT professionelle", går i retning af at kunne "finde synderen".
En sikker beskyttelse er at forhindre, at data overhovedet er tilgængelige for dem, de ikke vedkommer.
Det kan være udemærket at "finde synderen", men der er utallige eksempler på at det er uden konsekvens overhovedet, at lække personfølsomme oplysninger.
Seneste melding er jo at kommunerne åbenlyst ikke gider at passe på de personfølsomme oplysninger. Det er jo netop uden konsekvens.

  • 5
  • 0
Henrik Biering Blogger

... der i sig selv kræver store resurser.

Som borger har man i lige så høj grad brug for under egen kontrol at kunne stille sine data til rådighed for andre uden for den danske offentlige sektor. Idag sker dette ved diverse mærkværdige løsninger bag om ryggen på borgeren, hvor et eventuelt tilsagn fra denne i de fleste tilfælde sker via noget i "det der står med småt" på en eller anden aftaleformular.

En mulig løsning på dette er UMA protokollen, som er en overbygning på Oauth2: http://kantarainitiative.org/confluence/display/uma/Home

Offentlige myndigheders lovregulerede adgang kan så lægges ind som faste policies, mens al anden tilgang fra såvel myndigheder som virksomheder og enkeltpersoner sker på basis af dataejerens selvvalgte policies eller efter specifik ansøgning til dataejeren.

Med hensyn til håndtering af sundhedsdata har OpenID Foundation netop i denne uge og med aktiv involvering af de amerikanske sundhedsmyndigheder søsat en ny arbejdsgruppe, til at fremme standardiseringen og implementeringen af interoperable løsninger på internationalt plan.

Så mit råd til Lars Frelle Petersen ville helt klart være at få danske myndigheder til at bidrage aktivt og førende i udviklingen af løsninger på internationalt plan frem for fortsat at isolere Danmark fra det internationale samfund med diverse proprietære løsninger, som samtidigt vanskeliggør eksport af danske løsninger til udlandet.

  • 6
  • 0
Kim Bjørn Tiedemann Blogger

En sikker beskyttelse er at forhindre, at data overhovedet er tilgængelige for dem, de ikke vedkommer.
Det kan være udemærket at "finde synderen", men der er utallige eksempler på at det er uden konsekvens overhovedet, at lække personfølsomme oplysninger.

Fuldstændig enig og det er det jeg ligger i "samtykke selvbetjening". Det er borgerens data og borgeren bør kunne give samtykke til, at data deles med myndighedspersoner. Der er allerede i persondataloven krav om samtykke, og der tales om et specifikt samtykke. Så vidt jeg kan se, så er det ikke beskrevet i yderligere detalje, men vi må formode, at der er tale om hvem der får samtykke, hvilke informationer det gælder og til hvilket formål data skal benyttes. Granuleringsgraden er ikke beskrevet - skal det være muligt at give overlæge Hansen adgang, men ikke overlæge Jensen?

Jeg ved at Sundhed.dk på et tidspunkt kiggede på at løse denne nød i forhold til at sundhedsfaglige på sundhed.dk kan tilgå sundhedsoplysninger. Her endte man i en løsning hvor den sundhedsfaglige skal bekræfte, at man han indhentet samtykke inden man får adgang. Og så har man lavet en logbog, så man kan se hvem der har tilgået ens data på sundhed.dk.

I langt de fleste offentlige IT systemer i dag kan vi desværre hverken finde synderen eller styre vores samtykketilkendegivelser.

  • 0
  • 0
Jesper Lund

Det giver ingen mening at tale om tillid i forholdet mellem borger og det offentlige.

Tillid er et begreb som gælder mellem mennesker, som vi frit kan vælge at interagere med (eller lade være). Vi er alle tvunget til at have kontakt til det offentlige, så denne interaktion skal ikke være baseret på tillid.

Den skal være baseret på klare, utvetydige retssikkerhedsgarantier, klar lovgivning som alle kan forstå, og når vi taler om persondata skal beskyttelsen så vidt muligt også være baseret på en teknisk sikring mod misbrug. Juridisk sikring er ikke nok. Misbrug er stort set enhver form for registersamkøring uden borgerens samtykke, og brug af oplysningerne i personhenfør stand til andre formål, end det formål som de oprindeligt er indsamlet til.

Oplysninger om hvorvidt du er gift, hvor du bor, din økonomi, hvad du er blevet behandlet for, etc etc skal ikke være tilgængelige for alle mulige offentligt ansatte, blot fordi de kender dit CPR nummer.

Når du er i kontakt med sundhedspersonale (mennesker, ikke systemer) skal du have mulighed for at give dem adgang til dine sundhedsoplysninger, fordi det er nødvendigt for at de kan behandle dig.

Men dine sundhedsoplysninger skal ikke overføres til en eller anden stor database, hvor de ligger med dit CPR nummer, og bare venter på at blive misbrugt.

I dag arbejder det offentlige Danmark ud fra NSA-princippet "collect it all". Alle mulige data indsamles til senere brug, og efterhånden er vi holdt op med at interessere os for om det sker lovligt eller ulovligt.

Der er i Danmark meget vide grænser for at misbruge dine sundhedsdata til andre formål end behandling af dig. Men de få begrænsninger, som der trods alt er, bliver ikke engang overholdt.

Et eksempel er sagen om DAMD databasen (sundhedsdata fra almen praksis), som er godt på vej til at blive en persondatasag på Watergate niveau, fordi de skyldige for ulovlighederne antageligt skal findes meget højt oppe i systemet (og så bliver det alligevel aldrig en rigtig Watergate sag, fordi offentligt datamisbrug per definition er straffrit).

Kort resumé af det som især Jesper Tynell m.fl. på P1 Orientering har afdækket gennem et par måneder. DAMD skulle bruges til kvalitetssikring i almen praksis via aggregerede statistikker for best practice og lignende fancy stuff, samt visse forskningsprojekter. Der var lovhjemmel til at registrere enkelte diagnoser i almen praksis (afgrænsede grupper af patienter). Det sker via et program som hedder datafangst, og som alle læger i almen praksis bruger.

For et par år siden blev udviklerne af dette program bedt om at ændre det, så ALLE diagnoser fra almen praksis blev overført til denne database. Collect-it-all. Hverken praktiserende læger eller borgere blev informeret om dette.

Det er i direkte strid med hjemlen i sundshedsloven, altså bundhamrende ulovligt. Det er blevet påpeget overfor den dataansvarlige (Region Sydjylland), Statens Seruminstitut (SSI) og Sundhedsministeriet. De er alle klar over ulovlighederne, men ingen gjorde noget. Indtil for nylig hvor presset fra mediedækningen var blevet så stort, at videregivelse af data fra DAMD blev midlertidig suspenderet. Datatilsynet er også gået ind i sagen langt om længe.

Disse offentlige instanser, som skal kontrollere sig selv, har en meget uheldig dobbeltrolle. SSI arbejder også på at få fingrene i data fra DAMD, og SSI har en lukrativ business med at sælge vores sundhedsdata til medicinalindustrien. Det kræver ikke meget fantasi at forestille sig hvorfor SSI ikke skrider ind overfor ulovlige registreringer, som SSI selv ville få gavn af.

DAMD sagen er en af de værre, fordi misbruget er systematisk, har stået på gennem flere år, og ulovlighederne er sket i en tilsyneladende bevidst konspiration mellem flere offentlige myndigheder. Selvfølgelig fuldstændigt straffrit, fordi datamisbrug ikke kan straffes i det offentlige. Men dog "ulovligt", hvis det ord stadig betyder noget i offentlig databehandling.

Landets kommuner er også fuldstændig ligeglade med beskyttelsen af vores persondata. Nu er de ligefrem begundt at prale af at de bryder persondataloven. En mand som Henrik Brix udtaler til en høring i Folketinget at det går rigtigt rigtigt godt, og at han selv har selv fuld tillid til databehandlingen i kommunerne. Underforstået: så skal vi andre også have det??

Så nej... en snak om tillid til det offentlige er helt skudt ved siden af, efter min mening.

  • 6
  • 0
Jesper Mørch

DAMD sagen er en af de værre, fordi misbruget er systematisk, har stået på gennem flere år, og ulovlighederne er sket i en tilsyneladende bevidst konspiration mellem flere offentlige myndigheder. Selvfølgelig fuldstændigt straffrit, fordi datamisbrug ikke kan straffes i det offentlige. Men dog "ulovligt", hvis det ord stadig betyder noget i offentlig databehandling.


Er den ansvarlige minister så sundhedsministeren eller indenrigsministeren?
Ah, indenrigsministeren må være ansvarlig for alt embedsmisbrug i det offentlige, og sundhedsministeren må derudover være ansvarlig for dette misbrug.

Takseres systematisk vildledning af folketing og befolkning ikke temmelig hårdt, og hvad med ulovlig videregivelse af fortrolige informationer? Selvom der ikke er tale om spionage, tvivler jeg på at den slags skal kunne foregå ustraffet.

Man bør altså kunne politianmelde begge ansvarlige ministre for misbruget. Eller hvad?

  • 0
  • 0
Kim Bjørn Tiedemann Blogger

Det giver ingen mening at tale om tillid i forholdet mellem borger og det offentlige.

Jeg argumenterer ikke for en fuldstændig blind tiltro eller tillid til det offentlige og dets brug af IT systemer - hvis jeg gjorde det, så ville jeg ikke foreslå selvbetjeningsløsninger til at se detektere eventuelt misbrug i forhold til det offentliges brug af data og til håndtering af samtykke.

Jeg mener netop at det må være et samspil mellem tillid og så samtidigt at give den enkelte borger muligehd for at styre samtykke samt at kunne opdage når deres data lækkes.

Men derfra og så til at sige, at man ikke kan have tillid til det offentlige, er efter min mening et skridt for langt. Tilliden er under pres pt. med de mange forskellige sager og kommunerne der mener, at de ikke skal leve op til persondataloven. Som borgere er vi nødt til at have tillid til det offentlige i en eller anden form - ellers giver det heller ikke megen værdi at snakke om retssikkerhed, som i bund og grund også er tillid til retfærdighed i den dømmende magt og vores retsvæsen.

En borgers samtykke til at data må registreres er et udtryk for tillid mellem borgeren og den myndighed, som ønsker at registrere data, for at kunne udføre deres arbejde. Jeg mener der bør være en hård straf for at bryde denne tillid, og her virker det som om Datatilsynets rolle er alt for svag og bør styrkes.

  • 1
  • 0
Jesper Lund

En borgers samtykke til at data må registreres er et udtryk for tillid mellem borgeren og den myndighed, som ønsker at registrere data, for at kunne udføre deres arbejde.

In other news: fra 1/11 er det i følge kontorchef i Digitaliseringsstyrelsen Lone Berglykke ikke længere frivilligt om du vil give samtykke til Digital Post
http://politiken.dk/forbrugogliv/ECE2440866/systemudvikler-naegter-at-fa...

Tillid og samtykke er ord som groft misbruges af Digitaliseringsstyrelsen. An offer you can't refuse, som Vito Corleone sagde i Godfather, er en mere passende beskrivelse af hvad der foregår.

  • 6
  • 0
Erik Gotfredsen

Logning af hvilke personer, som har tilgået hvilke af mine data er ganske betryggende, hvis vi kunne indføre begrebet ansvarlighed i administrationen.
Dvs. det er den person, der bliver logged, der er ansvarlig for et eventuelt ikke reglementeret kik. Forklaringer om fælles LogIn af nemhedshensyn accepteres ikke.
Der skal nok ikke foretages ret mange fyringer på grund af registermisbrug, før beskeden er forstået

  • 1
  • 0
Kim Bjørn Tiedemann Blogger

Dvs. det er den person, der bliver logged, der er ansvarlig for et eventuelt ikke reglementeret kik. Forklaringer om fælles LogIn af nemhedshensyn accepteres ikke.
Der skal nok ikke foretages ret mange fyringer på grund af registermisbrug, før beskeden er forstået

Jeg tror også på mere ansvar - både for den enkelte medarbejder som lækker data, men i lige så høj grad for ledelsen af offentlige myndigheder, som skal have styr på datasikkerheden i offentlige løsninger.

  • 1
  • 0
Log ind eller Opret konto for at kommentere