bloghoved ole tange

Hvordan gør vi borgeres kontrol over egne informationer praktisk anvendelig?

I PROSA registrerer vi hvor medlemmerne arbejder, så vi kan kontakte dem med information, der er relevant for netop deres situation.

Til det har vi behov for, at medlemmerne fortæller os arbejdsgivers CVR- og P-nummer. Det er næppe nogen overraskelse, at ikke alle medlemmer liiige får opdateret den information - ikke fordi de betragter det som hemmeligt, men alene fordi det er tidskrævende.

Informationerne findes allerede elektronisk i eIndkomst, men som fagforening har vi naturligvis ikke lov til bare at udtrække den information om vores medlemmer, og det mener vi heller ikke, at man bare skal kunne gøre.

I det offentlige ser vi igen og igen at man laver en lov, så det offentlige uden videre får lov at trække information fra eksisterende systemer, men uden borgeren skal acceptere det.

Undskyldningen er, at det gør det nemmere for borgerne, og at det er for bøvlet at spørge borgerne (sundhedsdata er vel det mest ekstreme eksempel), men det sker på bekostning af respekten for borgenes privatliv.

Vi ønsker at højne respekten for borgernes privatliv og gøre det mere tydeligt, at borgerne kontrollerer deres egne informationer, men uden at det gør det mere bøvlet at trække information fra forskellige systemer.

Derfor vil vi gerne bygge et system:

  • hvor vi kan bede et medlem om information og beskrive hvorfor vi gerne vil have informationen (f.eks. at vi beder om adgang til ansættelsesoplysninger via eIndkomst)
  • som gør det nemt for medlemmet at samle informationen og give os den (så medlemmet blok skal klikke "Det er OK", men så de også kan se præcis, hvad de afleverer til os)
  • som ikke informerer eIndkomst om, at medlemmet har givet os informationen (ligesom hvis eIndkomst gav medlemmet informationen på papir og medlemmet gav os papiret)
  • hvor vi kan verificere at informationen er korrekt (så vi også kan bruge systemet til information, hvor det er vigtigt at kunne bevise, at medlemmet ikke har ændret i informationen).

eIndkomst er blot et af de systemer, som vi gerne vil modtage information fra, og vi kan se, at vi ikke er den eneste organisation, der står med et sådant behov. For os er det vigtigt at informationen går via medlemmet, så det er tydeligt for medlemmet, hvilken information vi modtager, og så det er medlemmet, der har kontrollen over udvekslingen.

Vi har nogle løse ideer til, hvordan man kunne bygge et sådant system, men vi ønsker ikke at lave et PROSA-system - vi ønsker at lave noget, som også andre kan bruge; og måske eksisterer der allerede noget, som vi kan udvide.

Kender du nogen, der arbejder med dette eller som sidder med et lignende problem? Så vil vi gerne i kontakt med dem, så vi i fællesskab kan lave en standardiseret løsning. Kontakt ota@prosa.dk.

Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Biering Blogger

Det scenarie du beskriver er det mange pt. arbejder på at løse med Blockchain løsninger under betegnelsen "Self Sovereign Identity", f.eks.
* Sovrin
* Uport
* Civic
* og mange andre lignende løsninger

Brugen af blockchain i disse løsninger, der ender med at blive meget centralt styrede og lidet interoperable synes desværre at være mere baseret på investortække end på teknologisk nødvendighed.

Men det helt generelle problem er at brugeren skal have adgang til sine oplysninger på maskinlæsbar form, og signeret/dokumenteret på en måde så man undgår det OCSP "call home" problem Bjarne Nielsen refererer til.

Der er mange, der har lignende problematikker og behov som det du beskriver for Prosa og netop nu er ved formelt at etablere en dansk "hub" under den ny forening MyData Global som teknologineutralt arbejder for at skabe gehør for de principper om brugerkontrol, Ole giver udtryk for i indlægget.

  • 3
  • 1
Klavs Klavsen

Der er desværre ikke så meget der er bygget af den slags.
Det nærmeste er måske https://solid.inrupt.com/how-it-works fra Tim Berners-Lee mm.

Men ellers, så kan man jo bygge på at vi har NemID - som netop ER x509 baseret.. og de har jo lavet "noget" så man kan signe/kryptere ting lokalt svjv. -selv med den nuværende NemID hvor borgeren ikke har den private nøgle.

Så man KUNNE give borgen et "accept dokument" af en eller anden struktur som vi laver en RFC for - og så kan borgen signe det - og servicen der vil have data - kan gemme det signede dokument.
For at få data (eller en update af samme data) - skal den der har data (typisk en offentlig service) - så acceptere disse dokumenter - og så kan de jo checke signaturen vha. borgerens public key og på den måde sikre at det ER et validt dokument og udlevere data på baggrund heraf.

Der burde dog også være en mulighed for borgeren, til at samlet se alle "consents" denne har givet - og tilbagetrække dem. Man kunne evt. lade hver borger være CA for egne "sub certs" - og så kunne man bruge CRL for den relevante borger - for at se om certet der har signet det pågældende consent er trukket tilbage (så man generer et cert for hver consent og smider det væk)

  • 2
  • 0
Lasse Frøding

DATA SIKKERHED forsvinder med offentlighedsloven, Og det skal derfor være DEN ENKELTE SELV der giver tilladelse til offentlighed. IKKE folketinget, eller forsikringsselskaber, eller skattevæsen eller nogen anden.(kun med dommerkendelse ved grov/vold kriminalitet)

  • 3
  • 0
Sune Marcher

Der er desværre ikke så meget der er bygget af den slags.
Det nærmeste er måske https://solid.inrupt.com/how-it-works fra Tim Berners-Lee mm.


Jeg så Tim Berners-Lees indslag om SOLID på GOTO, og... jeg er ikke overbevist. Han var super entusiastisk omkring idéen, men i stedet for en smittende entusiasme var mit takeaway at Tim lever i en lidt anden verden end os andre.

Idéen om at alt data skal ligge i bruger-ejede pods er nice, men det vil kræve hardcore international lovgivning. Der er ikke noget incentive for virksomheder i at give brugere kontrol over deres eget data, tværtimod... og udover dataejerskab, kræver Tim's idé en kæmpe mængde standardisering af dataformater.

Hvordan var det lige det gik med microformats og alt det dér jazz?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize