Big Brother er ikke en fremtidsdrøm, men en realitet. Og du er ligeglad?
Meget tyder på, at danskerne generelt føler det dejlig trygt, at vores færden i byen og på de digitale net bliver registreret i form af logningen af trafikdata fra mobilmaster og internetudbydere.
Her på Version2 er mange historier om teknologi - som regel for den rene teknologis skyld, men jeg glæder mig også over, at der jo ihvertfald i bloguniverset er plads til at interessere for det område, hvor teknologi møder samfund - til gavn eller det modsatte.
Og den implementerede logningsbekendtgørelse med krav om minutiøs registrering af de elektroniske spor, som danskerne afsætter er jo et ganske godt eksempel på teknologisk idioti, som tillader organiserede kriminelle og terrorister at sikre sig mod logningen af trafikdata, mens resten af os lever med en omfattende registrering.
Det kan man så, som en afgående justitsminister konstaterede sidste år, mene er uproblematisk, "for lovlydige borgere har jo intet at frygte", som hun cirka sagde.
Men opbygningen af et dansk Stasi 2.0-system er urimeligt indgribende i privatlivet, synes jeg.
Jeg er ansat i fagforbundet PROSA, som har lavet en række videoer i et forsøg på at nå andre og flere end it-professionelle med information om overvågningen. Hovedparten af de fire videoer, synes jeg formidler holdninger på en relativ underholdende måde.
Men hvad synes du som it-professionel, der bruger V2's blogunivers. Og hvad er din holdning til overvågningsproblematikken?
/kurt
Lovlydige borgere har jo netop en masse at frygte. Staten er ikke en moralsk uantastelig enhed, men består kun af de mennesker som administrerer lovene og reglerne. Derfor vil der ske misbrug, og jo flere data, der er at misbruge...
Jeg vil hellere vende argumentet om:
Hvis jeg ikke har gjort noget galt, hvorfor skal jeg så overvåges?
Den nye statsminister gør sig store anstrengelser for at hindre offentlighedens adgang til ministrenes kalenderoplysninger http://politiken.dk/politik/article703921.ece
Hvis jeg skulle pege på noget konkret til at klargøre problemstillingen, så bør man fokuserer på at problemet ikke er om politiet MÅ få adgang til data, men at de er skabt så man KAN.
Hovedproblemet i dag er jo ikke politiets magtmisbrug, men det systematiske misbrug i Digital Forvaltning, kommerciel profilering, falsk og stærkt destruktiv "sikkerhed" med biometrisk overvågning og andre systematisk og kriminelle angreb på mennesker.
Sagt på en anden måde - hovedtruslen er ikke en politistat men dens forløber - en formynderstat eller et teknokratisk dummebødesamfund hvor borgerne bankes på plads af embedsvældet som har tiltaget sig alt for megen magt og misbruger digitaliseringen til at gennemtvinge deres planøkonomiske tiltag og sikre at både offentligt ansat og private borgere gør som de får besked på.
Den eneste måde at redde demokratiet er at forebygge denne udvikling ved at sikre at digitaliseringen fratager centraladministratonen disse udstrakte og selvtilranede magtbeføjelser.
Men se på den ulovlige digital signatur hvor kontrollen ligger centralt i en server, se på forsøget på at tvinge borgerne ind i en central dokumentboks, se på den massive tendens til at tvangs indbygge single-point-of-failures overalt så centraladministrationen har magten til at gennemtvinge deres agenda.
Og ja - i princippet burde politikerne srøge for at holde styre på centraladministrationen, men magten glider hastigt fra folkestyret til embedsvældet.
I kender nok alle sammen det svar... Det er nøjagtig det samme svar som stort set alle giver når diskussionen falder på overvågning. Er der en i diskussionen der siger de er imod overvågning, bliver vedkommen enten udstillede som paranoid eller kriminel. Uanset om de øvrige ser vedkommen som paranoid eller kriminel, er personen under alle omstændighed en trussel med de øvriges sikkerhed! Da paranoide vil jo forhindre overvågning, og dermed give de kriminelle frit spil.
Initiativer som dette, kan være med til at åbne folks øjne for problemerne som vores samfund er godt igang med at ligger som et urokkeligt fundament, under vores fremtid.
Stasi ville være meget misundelige på vores centraladministration og politikker. De ved hvem vi snakker med og hvad vi snakker om. De er også begyndt at fortælle os hvad vi skal stemme til valgene, se bare på statsministers kampagne for et Ja til ændringen af tronfølge loven.
Den korrekte respons til "jeg har intet at skjule" er "hvad tjener du om måneden, og hvad stemte du ved sidste valg?"
Hej Kurt,
Findes der engelske udgaver af alle videoerne - og hvor?
Eller hvad er din favorit sex stilling... Men rigtig mange har bare ikke noget problem med at staten ved det, hvilket gør sådanne svar ret ligegyldige.
Den korrekte respons til "jeg har intet at skjule" er "hvad tjener du om måneden, og hvad stemte du ved sidste valg?"
"Hvad tjener du om måneden" er et ret dårligt eksempel efter min mening.
Staten i form af SKAT har da allerede rigtig godt styr på hvad jeg tjener og rent faktisk hjælper jeg dem med at få disse oplysninger da jeg selv indberetter det til dem. Og jeg har aldrig følt at de har misbrugt disse oplysninger.
Jeg mener at der er stor forskel på bare et give disse oplysninger til alle enhver og så leve med den teoretiske mulighed at nogle oplysninger kan misbruges fordi at man har udleveret dem til nogen som under normalle omstændigheder ikke misbruger dem.
Så snart du bevæger dig i din bil ud i trafikken så er der også en teoretisk mulighed for at du kører galt, og den teoretiske mulighed lever de fleste folk med, men det er ikke det samme som at spørge folk om de så frivilligt ønsker at køre galt, og så svarer de velvilligt "ja".
Henrik,
"Hvad tjener du om måneden" er et ret dårligt eksempel efter min mening.
Staten i form af SKAT har da allerede rigtig godt styr på hvad jeg tjener og rent faktisk hjælper jeg dem med at få disse oplysninger da jeg selv indberetter det til dem. Og jeg har aldrig følt at de har misbrugt disse oplysninger.
+1
... men der er jo så spørgsmålet med afgivelse af stemme til sidste valg. Jeg tror umiddelbart, at de færreste ville synes om at skulle stemme på en stemmeseddel, hvor ens CPR-nummer stod samt et felt til vælgers underskrift.
Og jeg har aldrig følt at de har misbrugt disse oplysninger.
@Jesper L. Stockholm:
De versionerede udgaver kande findes på YouTubes PROSAkanal: http://www.youtube.com/user/PROSADanmark /kurt
@Kristian
Der kan selvfølgelig altid findes nogle eksempler på overtrædelser. Jeg kunne også sende dig en masse link til nyheder omkring personer som er blevet dræbt i trafikken.
Min pointe er at på trods af at SKAT ligger inde med oplysninger om hvad jeg tjener, CPR hvor jeg har boet hele mit liv, min læge med oplysninger omkring mit helbred, PET med en masse forskellige oplysninger (eller det gjorde de i hvert fald en overgang efter mit eget samtykke i forbindelse med en sikkerhedsgodkendelse til 'hemmeligt' for et par år siden) o.s.v. så har jeg det sådan et hvis jeg statistisk skal se på hvad der er størst sandsynlighed for i morgen af
1) Nogle af disse oplysninger bliver misbrugt af dem som ligger inde med dem
2) Jeg bliver dræbt i trafikken
Så er chancen nok størt for at jeg bliver dræbt i trafikken. Det er altså for mig ikke et spørgsmål om for/imod men et spørgsmål om sandsynlighed. Jeg er selvfølgelig imod at blive dræbt i trafikken, men jeg lever med risikoen og bevæger mig derfor også ud i den. På samme måde er jeg også imod misbrug af mine private oplysninger, men jeg vurderer også risikoen for misbrug tilpas lav til at det ikke generer mig så meget at der er myndigheder der har disse oplysninger.
@Henrik,
Når staten i forvejen har en masse oplysninger om os, som let kan samkøres, er det fordi CPR-nummeret er indgang til samtlige offentlige systemer. Det illustrerer netop at de offentlige systemer er designet med overvågning som eksplicit formål. Skatteopkrævningen har intet med sundhedssystemerne at gøre. Det bør i øvrigt også være muligt at designe et skattesystem uden at alle mulige medarbejdere hos skattevæsenet kan sidde og snage i hvad vi tjener.
Jeg forstår heller ikke din sammenligning med risikoen for trafikulykker. Trafikulykker er vanskelige helt at undgå, hvis vi skal kunne bevæge os andre steder hen; en risiko vi er nødt til at acceptere. Stort set samtlige overvågningsproblemer i de offentlige systemer er derimod selvskabte og kunne være undgået, hvis viljen havde været til stede.
Borgerne i DDR havde formentlig også større risiko for trafikulykker end for at komme i konflikt med Stasi. Skulle de så ud fra din logik have accepteret Stasis overvågning?
I øvrigt tror jeg at du undervurderer risikoen for misbrug af de mange indsamlede oplysninger. Der er jævnligt sager i dagspresse om dette, og der er sikkert mange sager som slet ikke kommer frem.
PET har gennem årtier overvåget lovlig politisk virksomhed i Danmark på vegne af de siddende regeringer. Det skulle ikke undre mig om det stadig finder sted. PET er totalt lukket land for borgerne, så det er umuligt at vide.
Sidst, men ikke mindst, er det videnskabeligt dokumenteret at overvågning får folk til at skifte adfærd. Overvågningen af internettet kan bremse folks nysgerrighed og viljen til at søge nye informationer. Det er næppe en udvikling vi ønsker i et vidensamfund (eller demokratisk samfund).
Masseovervågning er tåbeligt og destruktivt. Hvis vi skal forsætte din leg med sandsynligheder, er risikoen for at blive ramt af terror meget meget lille. Selv hvis masseovervågningen kunne reducere risikoen for terrorangreb mod os (hvilket intet som helst tyder på), kan den skadelige effekt sagtens være større end den gavnlige.
Stort set samtlige overvågningsproblemer i de offentlige systemer er derimod selvskabte og kunne være undgået, hvis viljen havde været til stede.
Men mener du så ved helt at droppe overvågningen eller ved at indføre overvågning hvor beskyttelsen mod misbrug blot er lang bedre?
For hvis det er sidstnævnte så er vi da helt enige. Som jeg skrev så er jeg bestemt imod misbrug og det skal da helst helt undgås. Men jeg har ikke noget imod overvågningen i sig selv, hvis den blot kun benyttes til bekæmpelse/opklaring af kriminel aktivitet.
Vi har jo selvfølgelig alle vores forskellige grænser for hvad vi mener der er for meget overvågning, for mig personligt der går denne grænse bare ekstremt langt.
Personligt håber jeg at vi en dag i fremtiden er kommet til et punkt teknologisk og lovgivningsmæssigt hvor at politiet efter en dommerkendelse kan gå ind og hente fuldstændig præcise satellitoptagelser ud på en given lokation/tidspunkt hvor der har været foregået en eller anden form for kriminalitet og det er sådan set underordent om det er mord, indbrud eller blot en idiot som vil uddele lussinger i byen lørdag aften.
Skulle de så ud fra din logik have accepteret Stasis overvågning?
Jeg mener at det store problem med Stasi var hvad oplysninger blev brugt til og på det punkt kan man efter min mening ikke sammenligne.
Selvfølgelig skal vi ikke acceptere at folk bliver fængslet og tortureret af PET på grund af deres politiske overbevisning, at PET mærker politiske modstandere med radioaktive kemikalier for at lettere kunne identificere dem, at PET måske bruges til at likvidere politiske modstandere, at PET bruges til at holde et givent politisk parti ved magten via trusler o.s.v.
Men er det der du synes vi er, siden du sammenligner med Stasi?
PET har gennem årtier overvåget lovlig politisk virksomhed i Danmark på vegne af de siddende regeringer.
Nu har vi (i hvert fald ikke mig) set den færdige kommissionsrapport endnu som forhåbentligt beskriver hvad baggrunden var for overvågningen samt hvad oplysningerne blev brugt til. Så derfor er det svært endnu rigtig at sige i hvilke tilfælde at det var berettiget og i hvilke det ikke var, og hvor slemt at misbruget var af oplysningerne i de enkelte tilfælde.
Men jeg mener generelt bare ikke at man som standard skal sætte lighedstegn mellem overvågning og misbrug og det også uanset hvad der så historisk er sket. Selvfølgelig øger overvågningen muligheden for misbrug af de indsamlede oplysninger, men det bør ikke være det samme som at det er umuligt at opnå en situation hvor at misbrug i vidt muligt omfang kan undgås.
Selvfølgelig kan det desværre aldrig undgås 100%, der vil altid være nogen med for mange beføjelser som bliver fristet uanset hvor godt man så har kontrolleret folk først. Det må man så efter min mening desværre tage med, og blot sikre at straffen er tilpas hård, hvilket er et område der efter min mening godt kan strammes op på. Strafferammen for at videregive/misbruge fortrolige oplysninger som vedrører statens sikkerhed er jo en helt del højere end for at videregive/misbruge fortrolige oplysninger om private.
Henrik skrev: Men mener du så ved helt at droppe overvågningen eller ved at indføre overvågning hvor beskyttelsen mod misbrug blot er lang bedre?
Forskellen på teknologisk enabling af værdier og overvågning er om data er henførbar til en specifik person af andre end den specifikke person.
Lad mig gøre min position 100% klar.
Vi har i dag meget få problemstillinger som berettiger overvågning fordi man kan løse det addresserede problem UDEN overvågning, dvs. uden overhovedet at skabe den trussel og andreb mod individet, demokratiet og markedsdannelsen som overvågning udgør.
Men der eksisterer få behov som det af safety for personen er uhensigtsmæsigt ikke at se om en ren overvågningsmodel, f.eks. et for tidligt nyfødt spædbarn for at tage en ekstrem. Det gælder dog ikke f.eks. Emergency Care for kompetente borgere hvor vi i dag har løsningsmodeller til at undgå at emergency override nødvendiggør overvågning og usikrede systemer (se f.eks. SHI2007 om det specifikke problem og sidste kapitel i "De overvågede" om de generelle værktøjer)
Vi har dog ikke situationer som sikkerheds- eller værdihensyn gør det hensigtsmæssigt at skabe personhenførbarhed uden individets absolutte kontrol. Problemet er ubevidste eller ( desværre oftest) bevidste designfejl eller -valg.
Der er f.eks. objektivt INGEN grund til SKAT ved hvor, hvornår eller hvordan vi arbejder eller hvad vi bruger vores penge på.
Vi kan i et frit samfund i rent private interaktioner fri vælge at agere selvdestruktivt, f.eks. sætte webcameraer op i hjemmet og ligge dem online som substitut for menneskelig kontakt eller for at agere "brand".
Men taler vi offentlige og infrastruktur-relaterede forhold er samtykke ikke en legitim undskyldning for at designe så unødvendig opsamling af personhenføre er teknisk MULIGT. Man SKAL sikre borgeren - men det sker meget sjældent.
Dvs. målet er IKKE at TVINGE en bestemt samfundsmodel, men at TVINGE at valget ligger hos den frie borger, dvs. at sikre at samfundsmodellen er fri. Det er retsstatens opgave - entydigt og indiskutabelt.
Problemet er a) At politikerne svigter ved at de ikke sikrer at lovgivningen tilpasses til nutiden.
Tværtimod lader de sig manipulere til det ene mere selvdestrutkive tiltag efter det andet - misbrug af biometri i pas, den ekstreme magt- og risikokoncetnration i digital forvaltning via teknisk og juridisk magtglidning til bureaukratiet samt de ødelæggende tilgange til betalinger og kommunikation som ulovliggør sikkerhed.
Den store løgn er her at "overvågning sikrer" - Nej, det modsatte er faktuelt tilfældet. Overvågningen er sikkerhedens største kilde til sikkerhedsbrud, nye problemer og sikkerhedstrusler.
Men i sidste ende er magten de jure hos parlamenterne, dvs. selve demorkatiet svigter og det kan kun rettes op ved at få de parlamentariske processer til at fungere igen.
b) At forvaltningen svigter - GROFT. Dels ved at misforvalte eksisterende lovgivninge og dels ved groft at manipulere meningsdannelsen, omgå kalre lovregler eller direkte at ignore loven for at varetage egne interesser og optimere forvaltningens magtposition.
Det er i historisk kontekst helt ekstremt hvordan de centrale ministerier rager magt til sig, detailprofilerer borgere og med tekniske midler dikterer hvordan samfundsprocesser skal fungere.
Dette er formentlig vor tids største samfundsproblem - alle andre (tunge) problemer kan addresseres hvis basissystemerne fungerer. Men når en enkelt magtfaktor systematiske trækker samfundet skævt så evner vi ikke at løse problemer på en holdbar måde. Samfundet tvangstilpasses til centraladministrationen i stedet for omvendt som et demokrati ville.
Den store løgn er at "centralisering effektiviserer" - nej, det modsatte er faktuelt tilfældet. Som enhver med et minimum af historisk indsigt vil kunne bevidne fungerer planøkonomi ikke over tid. I stedet for at digitalisere for et åben og konkurrencedygtigt samfund hvor processerne tilpasse sig behovene, så digitaliserer man får magt og kontrol.
c) markedet svigter fordi behov og rammeprincipper ikke fungerer i en verden hvor lovgivningen fastlægges af den tekniske standardisering i karteller.
Den store løgn er her at "profilering skaber værdi", nej - det modsatte er objektivt tilfældet. Profilering ødelægger markedsdannelsen ved at fratage efterspørgslen magt til at trække værdikæderne.
d) den sociale innovation svigter fordi vores forståelsesrammer og -paradigmer er for langsomme til at tilpasse sig og styre den teknologiske innovation. Problemstillinger forsimples til det ekstreme, hvor meningen forsvinder i primitive en-dimensionelle betragtninger uden nuancer.
Den store løgn her er at "Overvågning skaber tryghed", nej - det modsatte er objektivt tilfældet. Det styrker nok retsopfattelsen at kriminelle kan bringe til ansvar, men ingen ønsker at blive kontrolleret eller umynddiggjort, dvs. i stedet for at lave løsninger så lader man esktreme "hensigten helliger midlet" ødelægge samfundet.
Af hundreder af stadigt grovere misbrugscases i Danmark kan jeg f.eks. pege på Serumsinstituttest DNA-registrering af alle borgere ved at stjæle de CPR-henførbare vævsprøver som sundhedssektoren opsamler i forbindelse med sygdomsbehandling. Det er åbenlyst ulovligt (http://www.ft.dk/doc.aspx?/samling/20081/almdel/reu/spm/254/index.htm) og det er åbenlyst både uhensigtmæssigt og unødvendigt (fordi man kan anonymisere væv ved kilden og sikre at laboratoriet IKKE KAN henføre resultater til borgeren men at borgeren/lægen kan få anonyme svar fra analyser, dvs. at man kan behandle).
I en digital verden sker misbruget når man designer teknologi og applikationer som KAN opsamle personhenførbare data. Ikke når det idriftsættes i en misbrugsmodel, ikke når man stjæler data og misbruger dem uden for kontekst, ikke når man sælger/formidler adgang, ikke når man aktivt angriber borgeren for profit eller magt og slet ikke først når borgeren opfatter et misbrug.
Den store trussel mod samfundet er dem som DESIGNER teknologi - både i selve designprocessen, efterspørgslen af bestemte designs og i fastlæggelse af juridiske/standardiseringsmæssioge rammebetingelser og sikring af overholdelse af disse.
Der er ingen legitime grunde til overvågning og udnerinering af retssamfundet - kun svigt på forskellige niveauer.
Af hundreder af stadigt grovere misbrugscases i Danmark kan jeg f.eks. pege på Serumsinstituttest DNA-registrering af alle borgere ved at stjæle de CPR-henførbare vævsprøver som sundhedssektoren opsamler i forbindelse med sygdomsbehandling. Det er åbenlyst ulovligt (http://www.ft.dk/doc.aspx?/samling/...)
Er det bare mig eller taler vi ikke om to forskellige ting?
Det som spørgsmålet i folketinget så vidt jeg kan se omhandler er DNA Profilregisteret hvor du kun lander hvis du er involveret i noget kriminelt og spørgsmålet omhandler hvornår at oplysningerne skal slettes igen m.v., ikke om det er fuldstændigt ulovligt. Har du noget bevis for at Seruminstituttet placerer DNA prøver som ellers kun skulle benyttes sundhedsfagligt i DNA Profilregisteret, for det har jeg da ikke hørt om?
Og så er der det såkaldte PKU-register som indeholder blodprøver taget fra nyfødte barn. Et register som ikke er særlig velegnet som DNA-register i dets nuværende form da det kræver at man kender navn/cpr allerede, hvilket også er grunden til at Politet reelt kun bruger det ganske få gange om året modsat DNA profilregisteret.
Igen vi er jo alle forskellige, og personligt så har jeg det sådan at det rører mig ikke det mindste hvis mit DNA bliver registreret i et eller andet centralt DNA-register. Selvfølgelig skal det registreres med de korrekte oplysninger, der skal være klare retningslinjer og sikkerhed for at det kun benyttes til det formål det er tiltænkt, Domstolene skal sikre sig at man ikke kan dømmes for noget udelukkende på baggrund af en usikker DNA-profil m.v.
I en digital verden sker misbruget når man designer teknologi og applikationer som KAN opsamle personhenførbare data. Ikke når det idriftsættes i en misbrugsmodel, ikke når man stjæler data og misbruger dem uden for kontekst, ikke når man sælger/formidler adgang, ikke når man aktivt angriber borgeren for profit eller magt og slet ikke først når borgeren opfatter et misbrug.
Hvis nu vi siger rent teoretisk at man kan få indført nogle overvågningssystemer som vitterligt ikke kan benytts til andet end at forebygge/opklare kriminalitet, hvad er så problemet i at havde sådan nogle systemer?
Hvis nu vi siger rent teoretisk at man kan få indført nogle overvågningssystemer som vitterligt ikke kan benytts til andet end at forebygge/opklare kriminalitet, hvad er så problemet i at havde sådan nogle systemer?
Intet - det er præcis hvad jeg taler for. Men det er ikke det man gør - man indfører systemer osm ikke kan undgå at blive misbrugt og som allerede bliver misbrug systematisk i stigende grad.
Misbruget af biometri i pas, DanId, eBoks, overvågningskameraer og eIndkomst er et triste eksempler på hvor selvdestruktivt teknokraterne agerer i dag. Det runger af mangel på demokratisk og samfundsmæssig grundforståelse.
Du nævner selv PKU-registeret som et af de klareste eksempler på hvordan statens misbrug eskalerer uden man på noget tidspunkt tager sig sammen for at lave det ordenligt.
Omrking DNA-registeret, så følger du vist ikke med hvis du tror at det kun er dømte kriminelle - det er alle (men selvfølgelig spinretorisk propagandaeret som noget positivt). http://vtu.dk/nyheder/pressemeddelelser/2009/danmark-faar-national-bioba...
I Danmark er eskalerende og stadigt mere ulovlige overgreb blevet hverdag fordi teknokrater og særinteresser overbeviser sig selv om at deres ansvarsløse magtmisbrug er ok - og det kun er de andre som er problemet.
Der er ingen grund til det og det udgør en alvorlig trussel mod samfundsøkonomien - det skyldes blot regulært magtmisbrug og sammenspiste særinteresser. F.eks. er Finansministeriets foræring af helt ekstreme magtbaser til PBS i form af DanId og eBoks grove eksempler på hvordan højre hånd vasker den venstre. Finansministeriet misbruger magten til at ligge lovgivning bag kommercielle monopoler som man smugler igennem Folketinget fordi de selv vil have en tvangscentralsiering som de kan misbruge til at detailstyre og kontrollere.
Som jeg hørte en kommentere tendensen - det som Stalin ikke kunne gennemføre med magt gennemfører Finansministeriet med foragt (mit tillæg: for demokratiet og samfundsøkonomien).
Vi ser meget ofte pseudo-forklaringer om at man kan "beskytte data" eller "kun specielt autoriserede" kan tilgå data. Der er forældede nonsens-betragtninger som i praksis blot tjener til at ignorere problemerne mens man fokuserer på at rage profit og magt til sig.
De kriminelle kan sagtens beskytte sig - men det drejer sig ikke om at skabe anonymitet hvor det vil skabe kriminalitet.
Se f.eks. denne præsentation fra "A fair balance". http://www.petsfinebalance.com/agenda/presentations/A%20World%20Without%...
Eller se sidste kapitel her http://www.taenk.dk/overvaagning/ny-bog-de-overvaagede/
Du nævner selv PKU-registeret som et af de klareste eksempler på hvordan statens misbrug eskalerer uden man på noget tidspunkt tager sig sammen for at lave det ordenligt.
Hvordan misbrug?
Er det et misbrug at registeret benyttes til at forske i arvelige sygdommer og identificere sygdomme hos en række nyfødte hvert år?
Er det et misbrug at politiet efter retskendelse har fået udleveret blodprøver som har kunne hjælpe dem med at identificere ofre for ulykker, mord og katastrofer?
Personligt føler jeg mig ikke det mindste umyndiggjort ved at der hvert år er nogle nyfødte som kommer i hurtig behandling for medfødte sygdomme, eller at der er nogle pårørende som har fået hurtigere/sikrere afklaring af hvad der sket med deres kære i forbindelse med ulykker, katastrofer m.v.
Omrking DNA-registeret, så følger du vist ikke med hvis du tror at det kun er dømte kriminelle - det er alle (men selvfølgelig spinretorisk propagandaeret som noget positivt). http://vtu.dk/nyheder/pressemeddele...
Men vi snakker da om to forskellige registre, ikke ét og samme. Du linkede til et spørgsmål i folketinget som gik på DNA profilregisteret, som kun skal indeholde DNA, fingeraftryk m.v. fra personer som har været involveret i kriminalitet, og så nævnte du samtidigt at Seruminstituttet registrerer DNA fra blodprøver som de får tilgang til af sundhedsfaglige årsager. Derved indikerer du jo et sammenfald mellem de to registre, som jeg ikke kan se at du har redegjort for.
Du laver cherrypicking. Ingen af de hensyn, du taler om forudsætter overvågning og centrale magtstrukturer, så det er ikke argumenter for central magt og kontrol med stærkt sensitive data.
Der er noget galt med at PKU-register som systematisk er skredet hen over årene på trods af klare løfter, love og garantier om det modsatte. Og nu tager man det totale skridt uden nogen former for etiske eller sikkerhedsmæssige hensyn.
Det er ren pseudo og spinretorik at kalde DNA-registeret og DNA-Biobanken for 2 forskellige registre. Men som jeg tidligere har sagt er problemet ikke politiet, men eksistens af en sådan registring af personhenførbare data uden grund.
Der er INGEN rationel begrundelse for at man ignorer lov og ret. http://www.ft.dk/doc.aspx?/samling/20081/almdel/reu/spm/254/index.htm
Tværtimod er der åbenlyse og meget klare begrundelser for at man IKKE skal gøre det uden at tænke retsprincipper og hensyn til forebyggelse af misbrug ind i tiltag.
Hvis ikke af andre grunde så alene for at opretholde respekt for og tillid til det demokratiske system. En tillid som svinder hastigt i takt med at vi se en stadigt mere populistisk politik og et samtidig stadigt mere rigoristisk kontrolsystem springe frem af ruinerne efter Berlinmuren.
Teknokraterne har intet seriøst modspil fordi alle checks & balances nærmest er brudt sammen og de misbruger ethvert lille argument i overvågningens og magtmisbrugets favør ved at blæse det ud af proportioner.
Men på trods af alle de åbenlyst samfudnsdestrutkive eksempler, så fokuser venligst på et forhold - vi kan lave ansvarlige og hodlbare løsninger UDEN overvågning. Jeg vil så ikke blande mig i om fede mennesker skal betale mere i skat.
Men ikke mere af det cherrypicking. PKU registeret og DNA biobanken er klare eksempler på at det er kørt skævt og man ikke tænker sikkerhed eller konsekvenser for samfundet.
Der er objektivt INGEN grund til at nogen server eller 3. part skal kunne registrere den slags personhenførbart. Men der er masser af profit- og magtinteresser i at tiltvinge sig dette på borgernes og samfundets bekostning.
Det er ren pseudo og spinretorik at kalde DNA-registeret og DNA-Biobanken for 2 forskellige registre.
Det forstår jeg ikke.
PKU-registeret: Omkring 2 millioner blodprøver taget fra nyfødte, ingen DNA-profiler, Politiet skal havde retskendelse for at må udtage blodprøve, benyttes få gange om året af politiet i sager hvor man allerede har et navn/cpr-nummer og skal have dette matchet med DNA-profil, registeret tilhører Seruminstituttet og de er formentligt de eneste der kan indlægge/udtage prøver.
DNA-profilregisteret: Ca. 30.000-40.000 DNA-profiler, kun kriminelle, politiet skal så vidt jeg ved ikke have retskendelse for at søge, benyttes mange gange hver dag af politiet, registeret tilhører Rigspolititets DNA-sektion. Kun politiet kan indlægge DNA-profiler/foretage søgninger.
Jeg synes godt nok det er væsentligte forskelle på det som du regner for ét og samme register.
Og det væsentlige er også at man i praksis ikke kan benytte dem til samme formål. Når politiet skal have lavet en DNA-profil så tager det et par dage hos retsmedicinsk institut og det koster flere tusinde kroner.
Dvs. stod politiet med DNA fra en mistænkt og ville foretage en søgning på tværs af samtlige blodprøver i PKU-registeret så ville det tage dem flere år og koste dem flere millarder kroner at foretage denne "søgning". Så det er ikke kun en retskendelse der står i vejen for dette i praktis det er også i høj grad tid og penge.
Der er objektivt INGEN grund til at nogen server eller 3. part skal kunne registrere den slags personhenførbart
Lad os tage den lette først. DNA profilregisteret. Jeg synes det giver ekstrem god mening at DNA er personhenførbart her. Det er trods alt mere interessant for politiet at finde en præcis identitet på en mistænkt end blot at finde ud af at en mistænkt er en blandt de mange tusinde kriminelle som man tidligere har registreret.
Hvad angår PKU-registeret så er en af de ting man blandt andet har kunne opnå fordi at registeret er personhenførbart, er at man har kunne finde ud af at når børn udvikler cancer i en tidlig alder, så kan man ofte finde spor på dette allerede ved fødslen. Hvis registeret ikke var personhenførbart så kunne man ikke matche de børn der udvikler sygdomme senere hen i livet med blodprøverne der blev taget ved fødslen. Det besværliggør altså forskningen væsentligt.
Så at sige at der INGEN grund er synes jeg nok er at strække den lidt langt.
Men når nu jeg cherrypicker bedre mulighed for opdagelse af fremtidig cancer hos nyfødte, så giver jeg dig lov til også at cherrypicke en situation hvor at de personhenførbare data i PKU-registeret har været benyttet til noget slemt?
Henrik
Cherrypicking er når du sælger overgreb på fordele, men ignorerer både problemerne og det faktum at der ikke er funktioner, man går glip af.
Du behøver ikke cpr-nummer for at kunne forske i sygdomme medmindre det er fordi du vil kunne lave ufrivillig registersamkøring.
Læs nu de links, du får - det er IKKE 30-40.000. Det er ALLE http://vtu.dk/nyheder/pressemeddelelser/2009/danmark-faar-national-bioba...
Bemærk at jeg ikke har kritiseret at væsentlige domme berettiger en registering fordi risikoen for gentagelse er statistisk stor. Dømte kriminelles rettigheder er ikke mit felt.
Hvis det var så vigtigt at politiet kunne finder en mistænkt lidt hurtigere blandt tidligere ustraffede så kunne man godt løse det uden overvågning. Jeg ville argumentere stærkt imod fordi beskyttelsen for at det skete uberettiget er alt for stor, men det er min holdning.
Omkring PKU - se hvordan man først flyttede registeret fra at registrere speedbørn til at registere mødrene. Se hvordan man registrer stadigt mere sensitive informationer om mødrene. Og nu går i gang med analaysere DNA på cpr-nummer niveau. Hvis du ikke mener det er overgreb, så prøv lige at følge det link du fik til Justitsministeriets vurdering af dommen, hvor UK blev dømt for biometrisk overgreb.
Problemet her er IKKE den enlige ulovlige handling hos en offentligt ansat eller en læge som bryder reglerne - som centraladminsitrationen så gerne vil fokusere på.
Det fjerner fokus fra den måde man lægger et bredt og massivt pres på at centralisere magt og kontrol over alle processer i samfundet.
Og det fjerner fokus fra den næsten totale mangel på sikkerhedsforståelse og respekt for lovgivningen man har på selv de allermest følsomme data. Når man ikke har respekt for DNA og sygdomme - hvad så med alle andre områder?
Faktum er at Digital Forvaltning er fanget i en forældet selvcentreret tankegang, som underminerer både demokratiet og samfundsøkonomien samtidig med at man lader hånt om selv helt basale retsprincipper og sikkerhedshensyn.
Borgerne er ikke til for staten - det er lige omvendt.
Det nytter ikke at se på om et overgreb kræver en retskendelse når det kan ske uden og ministerierne i stigende grad lader hånt om lovgivningen og systematisk flytter grænserne ved at misinformere folketinget og misbruge f.eks. udbud til at omgå lovgivningen.
Du ved at retssamfundet er ved at være genindført, når PKU-registeret ikke KAN henføre data til enkeltborgere. Så er erosionen af demokratiet ved at vende til noget konstruktivt.
Du behøver ikke cpr-nummer for at kunne forske i sygdomme medmindre det er fordi du vil kunne lave ufrivillig registersamkøring.
Så forklar mig konkret hvordan at man skulle have gjort det i PKU-registeret.
Lad os sige at vi nu sidder med fem børn i alderen 2-6 år som har fået konstateret cancer og man vil gerne som del af forskningen undersøge om man kan identificere nogle tegn som kunne havde påpeget muligheden for cancer allerede ved deres fødsel.
Hvordan finder man så konkret blodprøverne der blev taget efter fødslen for disse fem børn blandt de ca. 2 millioner blodprøver, hvis de ikke er personhenførbare via cpr-nummer eller lignende og når der ikke ligger søgbare DNA-profiler i PKU-registeret?
Læs nu de links, du får - det er IKKE 30-40.000. Det er ALLE http://vtu.dk/nyheder/pressemeddele...
Igen så er national Biobank ikke lig med politiets DNA profilregister. Hvis politiet f.eks. vil have et udtræk fra den nationale Biobank, PKU-register m.v. så skal de have en retskendelse, det mener jeg ikke at de skal i deres eget DNA profilregister. Samtidigt så fremgår det ikke af denne pressemeddelse at man vil gemme DNA-profiler i den nationale biobank, der nævnes kun blodprøver, vævsprøver m.v. ligesom i PKU-registeret. Hvis det er tilfældet så kan politiet ikke benytte den nationale biobank til brede søgninger på samme måde som de heller ikke kan i PKU-registeret. Ikke at det ville genere mig hvis de kunne.
så prøv lige at følge det link du fik til Justitsministeriets vurdering af dommen, hvor UK blev dømt for biometrisk overgreb.
Den omhandler som jeg læser det DNA profilregister og at man i UK puttede alle mulige personer i et sådan søgbart DNA-profilregister uanset om de så blev frifundet eller ej og opbevarede oplysninger alt for længe m.v. Dette sikkert sammenholdt med at politiet i UK sikkert kan søge i dette DNA profilregister uden retskendelse.
Som sagt så i PKU-registeret gemmer man ikke DNA profiler og omkring den nationale biobank har jeg heller ikke set dette beskrevet. Det betyder at man ikke kan benytte disse som et søgbart DNA profilregister. Samtidigt kræver det retskendelse hvis politiet ønsker at udtage en blodprøve, vævsprøve m.v.
PKU-registeret og alle andre modeller kan relativt enkelt erstattes med formålsspecifikke nøgler og kommunikationskanaler som borgeren styrer uden at modparten ved hvem de servicerer.
Det kræver kun viljen til at overholde love, principper og lade behov tale. Teknologienerne er til rådighed eller kan relativt nemt tilvejebringes.
Netop denne problemstilling ville kræve en kombination af en forsendelsesmodel og en sikker kommunikation med verifikation af prøven. Ret enkelt.
Drop al snak om at man ikke vil uddrage DNA af blodbankerne - presset er stærkt både fra politiet, forskningen og dem som vil profitere på at kontrollere dine data og adgangen til dig. Og det er netop derfor at man skal erkende at det er kritisk at omlægge sikkerhedsmodellen - tiden er løbet fra tillidsmodellerne.
Tiden er specielt løbet fra domstolskendelser som eneste sikring at it-systemer. I DNA-relaterede spørgsmål har KUN borgeren (og indirekte evt. egen læge) en nøgle - INGEN override uden borgerens (eller pårørendes) aktive deltagelse.
Men mere generelt omkring ansvarlighed, så skal en dommer have nøglen (typisk flere i seriel kombination fordi risikokoncentrationen ellers vil være for høj) eller også ligger systemet blotlagt for misbrug og kriminalitet.
Erfaringen har tydeligt dokumenteret at interessen altid formår at undskylde flere og stadigt større overgreb mens tilsynsmyndighederne svigter. Misinformation som uberettiget blot henviser til "propotionalitetsprincipper" (at hensynet til interessen overtrumfer alle borgerrettigheder og sikkerhedsprincipper) mens man ignorer holdbare alternative har for længst dokumenteret at systemet har mistet sin troværdighed.
Iøvrigt skal et DNA-register klart prioritere Persondatalovens Pgf. 41 under kritisk infrastruktur - systemet skal principielt både kunne lukke 100% ned uden teoretisk mulighed for central overtagelse og samtidig kunne genskabes ved fejl (dvs. kravene om revocation og recoverabilitet gælder 100%).
Omgangen med alle former for biometri og specielt den del som også har helbredsrelateret indhold (DNA og vævsprøver) er uden diskussion vores allermest sensible systemer. En magtovertagelse ville have kontrollen med DNA-registeret som første og primære mål fordi det er det ultimative værktøæj til at holde en befolkning i ave og dermed demokeatist trussel nr. 1 - prøv at spørge jøderne om den sag.
Interesserne i misbrug er massive og lette at forstå, men sikkerhedsforanstaltningerne er stort set ikke-eksisterende og klart utilstrækkelige.
Men problemet er langt større - hvis man ikke får disse systemer under kontrol så eliminerer man muligheden for vidensbeskyttelsesprogrammer, anti-kriminaltiet baseret på under-cover arbejde og ser direkte ind i en ekstrem magtglidning imod de helt centrale og basale samfundsprincipper.
Den personlige frihed er ukrænkelig og det er retsstatens primære opgave at opretholde dette grundprincip - men staten svigter systematisk. Her er dokumentationen blot 100% klar og indiskutabel.
Og cherrypicking leverer ingen modargumenter.
"PKU-registeret og alle andre modeller kan relativt enkelt erstattes med formålsspecifikke nøgler og kommunikationskanaler som borgeren styrer uden at modparten ved hvem de servicerer."
Det er meget muligt du ikke bryder dig om at have en blodprøve liggende på et stykke trækpapir i PKU-registreret og denne er bundet op på dit CPR nummer, men, hvad er dit alternativ?
Som tidligerer skrevet, så skal der en dommerkændelse til for at politiet kan få adgang til blodprøverne. Det vil desuden koste alt for store summer at konverterer alle blodprøverne til DNA profiler, for at en eller anden forvaltning kan søge i disse profiler for at finde et givent CPR nummer...
Og igen, det er en meget fin debat og den er relevant, men, hvad er din konkrete løsning, når nu det ikke må være CPR nummeret der skal bruges som nøgle, så vi kan blive sikret bedre end nu?
Jeg formoder du gerne vil drage fordele af de forskningsresultater som PKU-registreret har bragt med sig?
PS! Dette er kun om PKU-registreret og DNA-registret og ingen andre logningsinstancer i det statslige system.
Det er meget muligt du ikke bryder dig om at have en blodprøve liggende på et stykke trækpapir i PKU-registreret og denne er bundet op på dit CPR nummer, men, hvad er dit alternativ?
Som Stephan skriver kunne man bruge en nøgle specifikt til formålet. Det er ret nemt. Efter at dit nyfødte barn har fået taget sin blodprøve, får du udleveret et stykke papir, hvor der står at blodprøven bliver identificeret som nr. XXX (tilfældigt genereret, e.lign.). That's it. Med dokumentet i hånden kan blodprøven opdrives, og bruges til f.eks. kræftforskning, hvis dit barn uheldigvis har fået kræft. Men med det stykke papir følger også kontrollen til at vide hvornår blodprøven henføres til dit barn (eller omvendt).
Efter at dit nyfødte barn har fået taget sin blodprøve, får du udleveret et stykke papir, hvor der står at blodprøven bliver identificeret som nr. XXX (tilfældigt genereret, e.lign.). That's it. Med dokumentet i hånden kan blodprøven opdrives, og bruges til f.eks. kræftforskning, hvis dit barn uheldigvis har fået kræft. Men med det stykke papir følger også kontrollen til at vide hvornår blodprøven henføres til dit barn (eller omvendt).
Fint :-) Hvad i det tilfælde at vedkommende mister sit papir med det nummer på, hvordan kan vi få fat i den information igen, eller det er bare ærgeligt?
Vi vil helt sikkert stå og være dybt utilfreds, hvis man får at vide, hvis man blot havde haft sit nummer, så kunne de sige dit eller dat om dit barn/dig, men det kan de ikke nu, fordi man har smidt det papir væk... Men det er ikke noget problem med CPR nummeret... Blot worst case scenario og der dur et random nummer på et stykke papir ikke...
Fint :-) Hvad i det tilfælde at vedkommende mister sit papir med det nummer på, hvordan kan vi få fat i den information igen, eller det er bare ærgeligt?
Prøven i PKU registret også mistes (eller på anden måde gøres ubrugelig), det er samme situation. Lige mht PKU, så er ideen (så vidt jeg kan læse) at man vil kunne kontakte registrerede personer senere i livet hvis man finder nye alvorlige sygdomme (de må have en digital profil af blodprøverne, ellers giver det ikke mening?). Hvis du selv kontakter dem, kan de tage en ny prøve, der er svjks ikke noget tabt (nok nogen sundheds folk som kan svare mere præcist her).
Med papiret har du selv kontrollen. Du kan arkivere det lodret (skraldespanden), eller opbevare det i en sikret boks, det er op til dig.
Man kunne godt forestille sig et system hvor du selv gav dem "nummeret", og hvor kontrollen med opløsning af nummer til person lå hos personen selv (evt. outsourcet til nogen personen har tillid til - mor/far for spædbørn, eller teknikken i systemet til en leverandør).
Mvh, Søren
PKU problemet er løst - både teoretisk og tæt på kommercielt, men det er ikke stedet at gå i detaljer.
Jeg ville kun eksemplificere det fordi det er et så åbenlyst tåbeligt - og fordi det er et klokkeklart eksempel på hvordan den offentlige beslutningsproces IKKE FUNGERER.
Omkring PKU-registeret, så skal vi selvfølgelig ikke blot have noget papirbaseret, men noget digitalt baseret med indbygget backup osv. Alle de samme hensyn til it-systmer skal bygges ind på det individuelle plan.
Problemet er ikke meget anderledes end at du skal kunne håndtere de digitale nøgler til alle dine andre "ting" - døre, RFID, biler, bankkonti, adgange, digital signatur etc. Der skal bare laves en specifik implementering fordi dette problem er så påtrængende og en central løsning er 100% uacceptabel.
Vi skal SELVFØLGELIG SLET ikke have noget eBoks/DanId gatekeeper baseret som er langt værre ved at man koncenterer mange forskellige kontekst i en magtmaskine hvormisbruger er evident og bevidst designet ind i mekanismen af kommercielle årsager.
Hav lidt respekt for at det er et kompleks problem som addresser de tungeste sikkerheds- og saftetyproblemer på en og samme tid, dvs. der er mange aspekter og hastværk er lastværk.
Men det er et ret enkelt problem - alene fordi der IKKE er behov for ansvarlighed. Der skal eksplicit IKKE være override, hvor man uden borgerens frivillige og aktive handling MÅ KUNNNE koble fra vævsprøve til borgerens identitet.
Det er f.eks. kritisk at man IKKE KAN kontakte borgeren, fordi det efterlader forskeren i en håbløst uacceptabel postion om man skal kontakte borger x om y procens for at få sygdom z indenfor k år. Sådan viden skal køre den anden vej, dvs. som generel information som borgeren i samarbejde med egen læge kan teste / screene for.
Casen er fyldt med klassiske designproblemer som teknokrater går galt i byen på fordi de designer med udgangspunkt i DERES/systemets interesse fremfor i samfundets/borgerens interesse.
Der er både en her-og-nu kontrol af kromosomfejl etc. dvs. en ofte forekommende problemstilling i sundhedssektoren hvor vi skal sikre at vævsanalysen IKKE KAN henføres til borgeren - simpelthen fordi vævet indeholder alt for mange og sensitive data til at man kan tillade at de gøres personhenførbare.
Og der er fremtidssikring, så borgeren/lægen kan gå tilbage og bede om yderligere analyser på gamle prøver / pårørende evt. kan aktivere en identikation efter en katastrofe ulykke.
Som altid prøver jeg at holde mig til principper når jeg diskuterer online fremfor at falde i løsningsmode. Men skarp kritik fra min side er altid med beggrund i at samme problem kan løses uden overvågning ved at sikre at borgeren har kontrollen.
For lige at samle op.
PKU/Bio-bank diskussionen er kun en eksemplificering af en uhensigtmæssig og stærkt invasiv overvågning som samtidig kan vendes til en win-win. Indtil nogen viser mig en case som ikke kan håndteres (bortset fra Pre-crime som vi netop IKKE skal forsøge at løse i et demokrati) så er det min opfattelse at det kan man altid.
Bemærk dog at der sker 2 ting i denne "overvågnings"-debat som er meget typisk.
a) Mange fokuserer på det lille synlige misbrug, men overser det store systematiske som rammer inddirekte. PKU-registeret og al anden systematisk overvågning er klart fejldesignet, men skaden rammer måske først år senere og ofte uden du kender kilden.
Det kan være så indirekte at din individuelle pris eller SPAM påvirkes af ikke-legitim viden om dig fra andre sammenhænge. Sidstnævnte ser vi klart eksemplificeret i cracker angreb hvor viden opsamplet i dine venners addressebog misbruges til at angribe dig forklædt som en ven du kender.
Det misbruges også i udstrakt grad i kommercielle sammenhænge og planøkonomerne gør det samme med rigide regler og stadigt mere ineffektive systemer i Digital Forvaltnings "tasteabe-koncept" (selvbetjening), hvor registersamkøringen kun er begrænset af det de ikke allerede tror de ved.
Det er altså IKKE interessant at påvise "slemme" enkeltcases - truslen om sådanne er mere end rigeligt fordi det systematiske/kriminelle misbrug eskalerer med Google / Facebook som kommercielle badcases og den offentlige planøkonomi som den helt store synder. Reelt er it-kriminalitet stadig lille i forhold til disse selvom det for længst overstiger f.eks. narkohandel i omfang.
b) Man springer direkte fra problemerkendelse til krav om færdig simpel produktionsklar løsning. Det er forståeligt, men ignorerer at denne o/1 tankegang er skadelig. Default er IKKE en overvågningsmodel fordi en overvågningsmodel aldrig kan blive sikker og aldrig kan danne grundlag for et stabilt demokrati.
Problemet er er man glemmer at sklene mellem dem som foretrækker at være små mennesker "beskyttet" af den "store moder". og så de kreative, innovative, fornyende etc. som mærker spændetrøjen og det panoptikonfængsel der bygges op.
I praksis er der ingen uenighed fordi hvordan vil vi gerne have at vores børn skal vokse op? Som små passive tryghedsnarkomaner som ikke tør tage initiativer eller tænke selv. Eller som kompetente borgere der selv tør tage ansvar og initiativ.
Velfærdssamfundet overlever ikke med tryghedsnarkomaner - man er nødt til at tage udgangspunkt i den kompetente borger fordi det gør borgere mere kompetente og så sekundært fokusere på at hjælpe den svage.
For de af jer, der er føde efter 1981 eller har børn er der et skema I kan fylde og sende ind og få slettet DNS-prøven.
http://itpol.polcast.dk/sager/supervise/slip-af-med-din-dna-registrering
Alternativet var at vi rettede op på PKU-registerets sikkerhedsmodel.
Problemet er som altid når staten ikke gør hvad de bør og skal, så borgerne kun kan stemme ved at sige nej. Det ser vi desværre i stigende grad - igen.
Som altid prøver jeg at holde mig til principper når jeg diskuterer online fremfor at falde i løsningsmode. Men skarp kritik fra min side er altid med beggrund i at samme problem kan løses uden overvågning ved at sikre at borgeren har kontrollen.
Jeg argumentere bare for at man sagtens konceptuelt kan forestille sig til et system der kan det. Hvorfor det så er sørgeligt at man ikke ønsker at gøre det...
Mvh, Søren
PKU problemet er løst - både teoretisk og tæt på kommercielt, men det er ikke stedet at gå i detaljer.
Hvis det er løst, hvorfor så bringe det på banen? Enten er CPR registreringen okay, eller så er den ikke? Hvis du mener at bindingen via et CPR nummer er forkert, så er det jo ikke løst! Hvis der er lavet en løsning som står for at skulle implementeres og denne løser dette problem, så er der stadig ikke nogen grund til at bringe det på banen som værende et problem, for det bliver jo løst.
Det er ikke godt at de kan samkøre alle mulige informationer om en given person i de forskellige registrere... Men i stedet for blot at sige det er forkert, ikke godt nok, uetisk eller umoralsk, så hvad er den gode løsning på det?
Uden at finde en løsning på det, så er vi ikke kommet nogen steder... Det er blot snak om at vi er enige/uenige om den valgte metode... Men kritikere af den valgte metode må stille op med et alternativt forslag. Om det er at afskaffe det hele eller en konkret løsning er ligegyldigt... Kritik uden et konstruktivt forslag til forbedringer er ikke nogen brugbar kritik...
PKU/Bio-bank diskussionen er kun en eksemplificering af en uhensigtmæssig og stærkt invasiv overvågning som samtidig kan vendes til en win-win.
PKU/Bio-banken er tænkt som en win-win og kan så teoretisk vendes til at misbruges, det er dig, som vender det på hovedet og vil fortolke det som at det er skabt til misbrug og det så tilfældigvis er muligt at bruge det til noget til gavn for borgeren. Ja, designet med CPR nummeret kan da sikkert være bedre, men, hvad er så løsningen, nu når du mener det kan gøres bedre? Du må jo vide det siden du siger det kan gøres bedre?
Prøven i PKU registret også mistes (eller på anden måde gøres ubrugelig), det er samme situation. Lige mht PKU, så er ideen (så vidt jeg kan læse) at man vil kunne kontakte registrerede personer senere i livet hvis man finder nye alvorlige sygdomme (de må have en digital profil af blodprøverne, ellers giver det ikke mening?). Hvis du selv kontakter dem, kan de tage en ny prøve, der er svjks ikke noget tabt (nok nogen sundheds folk som kan svare mere præcist her).
Netop fordi man gerne vil kunne kontakte en person, hvis man konstaterer at vedkommende har en stor overhængende fare for at få en eller anden sygdom, så skal man have en eller anden form for mulighed for at kontakte vedkommende... Ja vedkommende kan selv kontakte dem med reglmessige mellemrum og tjekke efter om der er noget nyt. Ja, det vil givet kunne misbruges at der er et CPR nummer på den enkelte prøve. Men så længe private selskaber ikke kan få adgang til dette arkiv og det kun er forskningsøjemed det kan bruges. Så ser jeg intet problem... Prøverne og dit CPR nummer er så vidt jeg har forstået det, delt i to registre.
Netop fordi man gerne vil kunne kontakte en person, hvis man konstaterer at vedkommende har en stor overhængende fare for at få en eller anden sygdom, så skal man have en eller anden form for mulighed for at kontakte vedkommende...
Ja, og som nævnt i samme post, så kan man forestille sig et system hvor det er borgeren der har kontrol med kontakten.
(Ikke et super gennemtænkt eksempel, men forestil dig det eneste de har på dig er en anonym e-mail adresse et sted ude i verden - de kan sende en e-mail dertil og spørge "vi har brug for at kontakte dig i forbindelse med din blodprøve hos SSI, venligst giv dig til kende")
Prøverne og dit CPR nummer er så vidt jeg har forstået det, delt i to registre.
Det er samme problem. Koblingen sker uden borgerens kontrol.
Men så længe private selskaber ikke kan få adgang til dette arkiv og det kun er forskningsøjemed det kan bruges. Så ser jeg intet problem...
Jeg ser heller ikke noget problem så længe det er sådan :-) Historikken siger bare at "så længe" bestemt ikke er for evigt.
Mvh, Søren
Det er samme problem. Koblingen sker uden borgerens kontrol.
Fint, så kan en løsning være at man som udgangspunkt er registreret med et nummer på et stykke papir og, hvis man ønsker muligheden for at blive kontaktet, så kan man vælge at få knyttet sit CPR nummer op.
Problemet er løst, kontrollen er bragt ud til borgeren, stadig med mulighed for den service der var tænkt ind i det :-)
En løsning for at løse dem der har et CPR nummer registreret og ikke ønsker det er jo at få vækslet dette til et nummer på et stykke papir og få slettet sit CPR nummer fra registreret eller helt blive slettet - hvilket er en mulighed, hvis man ønsker det.
Jeg ser heller ikke noget problem så længe det er sådan :-) Historikken siger bare at "så længe" bestemt ikke er for evigt.
Helt enig, det vare nok ikke for evigt.
Hvad med at man bare får et nummer og hvis de så finder en forfærdelig sygdom i ens DNS, skriver de en artikel i statstidende og på SSI hjemmeside, hvor de skriver alle numre på prøver med de dårlige gener og hvad problemet er.
Så kan man bruge et cron-job, Google analytics eller noget andet til at chekke om ens nummer kommer ud.
Jeg argumentere bare for at man sagtens konceptuelt kan forestille sig til et system der kan det. Hvorfor det så er sørgeligt at man ikke ønsker at gøre det...
Hvis jeg beskriver specifikt hvordan jeg arbejder på at løse et problem som LØSNINGEN, så vil det være at promovere egne interesser fremfor at få en rationel debat som fokuserer på at forstå problemet og kravene til løsninger. Så kan alle som vil løse problemet konkurrere om at lave den bedste løsning.
For ikke at blive kritiseret for at løbe udenom. Specifikt løser vi problemet med en kombination af RFID med multiple nøgler indbygget(RFIDsec.dk), en sikker forsendelsesform, en anonym formålsspecifik kommunikationskanal så du kan deponere spørgsmål og få svar uden at laboratoriet eller andre KAN vide hvem de har med at gøre og en model så du clent-side kan opbevare nøglen til dine digitale nøgler.
Men der er mange tekniske detaljer. Alene forståelsen af end-to-end sikring af RFID af hensyn til patientsikkerheden for at kunne kontrollere koblingen mellem spørgsmål og prøve uden at lække identifiers rummer en hel del teknik og problemforståelse som de fleste springer let og elegant henover. http://dev.hil.unb.ca/Texts/PST/pdf/engberg.pdf
Hvis jeg ønsker en test, kan jeg altid få det ved at referere til laboratoriets prøvenummer, vedlægge en query som den pågældende RFID skal kunne svare rigtigt på og afvente svaret i boksen. Laboratoriet kan forske og alle kan være glade.
I princippet er det blot en simpel variant af Emergency Care til at løse problemet med AKUT adgang til Elektromiske patientprofiler uden mulighed for overvågning. Se SHI2007 om dette, hvis du ønsker at se dybere i denne centralt problemstilling.
Samfundet mangler ikke tekniske løsninger, der mangler problemforståelse og principiel stillingtagen i tide. Og så mangler der teknisk nuanceforståelse til at skelne skidt fra kanel - selv og måske specielt blandt teknisk kompetente.
Og tillad mig høfligst at henlede opmærksomheden op at emnet her IKKE er at løse PKU, men overvågning generelt.
Tak :-)
Det kan godt være at du vil tolke det som at promoverer egne interesser... Men man kan gøre tydeligt klart at dette blot er vores løsninsmodel og så kan man diskuterer ud fra det...
Vi er enige om at en direkte kobling mellem givne data og den enkelte borger ikke er godt. Med mindre borgeren aktivt selv har bedt om dette. Så derfor er en løsning på dette relervant. F.eks. din fremsadte løsning.
Samfundet mangler ikke tekniske løsninger, der mangler problemforståelse og principiel stillingtagen i tide. Og så mangler der teknisk nuanceforståelse til at skelne skidt fra kanel - selv og måske specielt blandt teknisk kompetente.
Hvad er det så samfundet og specielt kompetente mennesker ikke forstår? At der er et problem med samkøringen af data?
Hvad er det så samfundet og specielt kompetente mennesker ikke forstår? At der er et problem med samkøringen af data?
Jeg skrev teknisk kompetente - det betyder jo ikke at man forstår hverken dynamiske økonomiske tilpasningsprocesser, sikkerhed, eller de mere samfundssociologiske problemstillinger.
At man skal OG navnlig KAN tage ansvar for at lave holdbare løsninger hvor kontrollen følger behovet og risikoen (dvs. ligger hos borgeren), når man investerer og regulerer.
Samt - endnu vigtigere - at det både økonomisk, sikkerhedsmæssigt og retssikkerhedsmæssigt langt at foretrække frem for "trust me"-modeller som ikke har noget under motorhjelmen og spinretorikken.
Rene
Der er en lang stribe af fiasko-investeringer, hvor man med en smule rettidig omhu og samfundsforståelse kunne have ændret udviklingen.
Hvorfor indførte man f.eks. ikke Digital Cash, da man lagde chip på dankortet i stedet for at total-centralisere betalingskontrollen?
Hvorfor laver man ikke On-card Collect and Match med pas i stedet for at ødelægge pas-systemet ved at certificere biometri som skaber biometrisk baseret identitetstyveri og ødelægger datasikkerheden?
Hvorfor KAN man ikke kryptere en besked til sin egen læge med Digital Forvaltnings paraodi af en sikkerhedsforståelse?
Hvordan kan det være at man med DanId sikrer at borgeren er totalt uden kontrol over sine private nøgler på trods af at Lov om Digital Signatur klart tilsiger dette?
Men prøv at stille spørgmsålet omvendt - nævn 3 offentlige projekter hvor man har digitaliseret og muliggjort en service uden at opsamle persondata til centralt misbrug?
Jeg skrev teknisk kompetente - det betyder jo ikke at man forstår hverken dynamiske økonomiske tilpasningsprocesser, sikkerhed, eller de mere samfundssociologiske problemstillinger.
My bad, mente også de teknisk kompetente. Og helt enig, det er slet ikke sikkert at de forstår konsekvenserne af de "smarte" systemer de skaber.
Men, hvad er løsningen så? Og det er ikke den tekniske del, men, hvad er løsningen på det problem at de ikke forstår de problemstillinger, så det kan designe holbare løsninger, så de bliver i stand til at forkaste den lette løsning med brugen af evt. CPR nummer til binding mellem borgeren og de gemte data.
Der er en lang stribe af fiasko-investeringer, hvor man med en smule rettidig omhu og samfundsforståelse kunne have ændret udviklingen.
Je, helt enig, massere af projekter, men det beviser ikke andet end at de har valgt en forkert løsning. Men jeg er lige glad med, hvor mange fejlslagne projekter der er eller ikke er og hvor dårlige de er...
Vi kan blive klogere af dem, men derfor skal vi finde en løsning på det og skabe/implementerer de nye løsninger. Kræve at de bliver tilvejebragt af staten, således at vi får forbedret løsningen.
Hvis man stiller op med en løsning der er langt bedre end de allerede implementerede og påviser at det vil give den samme fleksibilitet som der er nu, men forbedrer sikkerhed for den enkelte borger, så kræver det blot noget benarbejde politisk at få dem gennemført...
Ja, så kan vi altid syntes det er for galt at de ikke allerede har gjort det og vi kan undersøge, hvorfor de ikke har gjort det. Men, hvis de forkaster en løsning der er væsentligt bedre sikkerhedsmessigt for borgeren og stadig har samme fleksibilitet, så har vi et seriøst problem med dem der skal tage beslutningen om brugen af et givent system.
(Ikke et super gennemtænkt eksempel, men forestil dig det eneste de har på dig er en anonym e-mail adresse et sted ude i verden - de kan sende en e-mail dertil og spørge "vi har brug for at kontakte dig i forbindelse med din blodprøve hos SSI, venligst giv dig til kende")
Det bringer os vel bare videre til det næste problem (udover at levering af e-mail ikke er garanteret) nemlig at CPR-nummer jo ikke er det eneste man kan samkøre data på.
Så man skulle jo i såfald huske at udlevere en unik e-mail adresse til hvert register, for ellers så kan man jo blot samkøre på e-mail adressen. Og ikke engang det vil vel hjælpe for hvis man nu samkører med logninger over dit internetforbrug så kan man sikkert se at du tilgår denne e-mail adresse, og så har man jo igen koblingen.
Som virksomhedsejer burde jeg jo faktisk også overveje at skrive unikt firmanavn + cvr-nummer på hver faktura jeg sender til det offentlige. ;-)
Ikke småting, du beder mig svare på.
Det skorter ikke på indspark fra min side http://www.google.com/search?&q=%22Citizen+Empowerment%22+Stephan+Engber...
Efter min opfattelse er løsningen en kombination af flere ting, men først og fremmest skal dem som kan og forstår VISE vejen - som al anden menneskelig erkendelse er konstruktiv handling bedre end destruktiv kritik.
Af mange tiltag, jeg har taget, er hovedfokus på at tage EN stærkt invasiv og fejldesignet nøgleteknologi ad gangen og vise hvordan man løser den konstruktivt via markedstiltag. RFIDsec.com er i produktion, privat finansieret og med meget dygtige og kompetente mennesker involveret www.rfidconsultation.eu/docs/ficheiros/Stephan_J_Engberg.pdf
Og der lyttes når der tages konstruktive initiativer http://ec.europa.eu/information_society/policy/rfid/documents/recommenda...
(men selvfølgelig ikke i Danmark, hvor man kan stole på den offentlige forvaltning vælger forkert) http://www.computerworld.dk/art/51543/hovedstadens-stjaalne-cykler-begyn...
Der er afsindigt dygtige mennesker som tager disse problemer meget seriøst og løser problemer hver dag. Men for nu at tage et eksempel - hvor mange "sikkerhedsfolk" i Danmark kender f.eks. dette pragtbidrag til sikkerhedsforståelsen? Hvem underviser i sikkerhed uden at have blinded certificates som et top-emne? http://www.amazon.com/Rethinking-Public-Infrastructures-Digital-Certific...
Opbygning af forståelse i pre-politiske fora og forskningskredse er kritisk Her f.eks. fra FP7 Roadmapping http://www.securitytaskforce.eu/dmdocuments/securist_ab_recommendations_...
Men det skal brede sig som ringe i vandet. Når Prosa her banker i bordet. Når TÆNK med Dansk Industri og Forbrugerrådet gør det samme http://www.taenk.dk/overvaagning/
Det bedste vi hver isæt kan gøre er at tage ansvar i det vi gør hver dag - design så kontrollen ligger hos mennesker istedet for centralt i systemer hvor det går galt . Hvis du ikke selv kan, så find nogen som kan.
For ikke at blive kritiseret for at løbe udenom. Specifikt løser vi problemet med en kombination af RFID med multiple nøgler indbygget(RFIDsec.dk)
I princippet er det blot en simpel variant af Emergency Care til at løse problemet med AKUT adgang til Elektromiske patientprofiler uden mulighed for overvågning. Se SHI2007 om dette, hvis du ønsker at se dybere i denne centralt problemstilling.
Stephan, for at forstå tankegangen korrekt, så skal denne RFID vel så også "indopereres" i folk?
Jeg mener hvis det er en ekstern enhed så ender folk vel bare med at smide den væk, glemme den m.v. som gør at man alligevel har brug for bagdøre i ermegency care situationer, hvilket så igen kan benyttes til misbrug.
De fleste folk kan jo huske deres CPR-nummer, eller også er der pårørende der kan huske CPR-nummeret, og ellers så kan man finde det via nummerplade på bilen, ens adresse, banken kan måske finde det på baggrund af ens dankort m.v., altså i de fleste situationer kan man på en eller anden måde identificere patienten og finde de korrekte oplysninger også selv om patienten ikke har sit CPR-nummer på sig.
Men med RFID der er man vel nødt til at have denne med sig/på sig, eller misforstå jeg konceptet?
Det bringer os vel bare videre til det næste problem (udover at levering af e-mail ikke er garanteret) nemlig at CPR-nummer jo ikke er det eneste man kan samkøre data på.
Det var ikke tænkt som en løsning, men som et forståeligt eksempel på hvad en anonym nøgle kunne være, og hvordan man kunne vende kontrollen - som jeg allerede skrev, ikke et vildt gennemtænkt "komplet" eksempel :-)
Mvh, Søren
Hvis vi ikke skal have overvågning af den enkelte, så skal vi da slet ikke have en RFID ind under huden. Det er stupidt at tro på at det er sikkert på den lange bane. Der vil helt uden tvivl blive skabt udstyr til at tracke RFID enheder som er implementeret i folk. Det eksisterer allerede til tracking af pakker og andre vare.
CPR nummeret er langt mere sikkert, for du kan IKKE se, hvor folk bevæger sig fysik ved at kende deres CPR nummer. Hvorimode, hvis alle har en RFID chip implementeret, så kan det godt være det løser et bindingsproblem mht. CPR nummeret op mod en blodprøve f.eks. Men det skaber et muligt scenario, hvor du kan trackes, hvor end du færdes, netop fordi du har den RFID chip under huden.
Det kan godt være den er krypteret og har alle mulige sikkerheds mekanismer, men indførelse af den, skaber flere problemer end den løser. Og disse sikkerhedsmekanismer vil med tiden bliver brudt...
Benyttelse af RFID i andre ting end direkte implementering i mennesker er fin og forsvarlig, men et direkte implementat i mennesker er farligt og på ingen måde forståeligt.
Rene
Jeg ville aldrig anbefale at en RFID skulle implenteres, men foreslår at man bærer den som smykke eller "dog-tag".
Ikke fordi modellen ikke er sikkerhedsmæssigt forsvarlig, men der er måske sundhedsrelaterede problemer og etisk virker som et voldsomt indgreb.
Hvis der sker noget og du ikke har din RFID på dig, må man klare sig så godt man kan - som man altid har gjort. Emergency Care er for at hjælpe dig, specielt hvis du har specielle problemer.
Men vi er nødt til at gøre noget, så vi kan sikre Eleketroniske Patientjournaler som er alt for sårbare til at efterlade nærmest uden sikkerhed - digitaliseringen gør dem alt for nemme at misbruge i stor skala. Og de kommercielle kræfter som ønsker kontrol over sådanne data er både stærke og med de værste intentioner - ingen nævnt, ingen glemt.
Men du præsenteres for reelle løsninger som addresserer alvorlige problemer - og så er det eneste du gør at mistænkeliggøre uden argumenter eller overhovedet at sætte dig ind i sagen. http://sfmimapp.diinoweb.com/files/Min%20WebDrop/Konferensarkiv/SHI-term...
Ikke fordi modellen ikke er sikkerhedsmæssigt forsvarlig, men der er måske sundhedsrelaterede problemer og etisk virker som et voldsomt indgreb.
Nu har jeg ikke lige nærlæst detaljerne i dine links, men kunne forestille mig at 128bit kryptering over en levealder ville være problematisk - er ikke så let at "opgradere" hvis det er indopereret :-)
(Beklager forresten hvis det var mit indlæg du tolkede til at komme med teknisk løsning, var ikke meningen)
Mvh, Søren
Jeg ville aldrig anbefale at en RFID skulle implenteres, men foreslår at man bærer den som smykke eller "dog-tag".
Ikke fordi modellen ikke er sikkerhedsmæssigt forsvarlig, men der er måske sundhedsrelaterede problemer og etisk virker som et voldsomt indgreb.
Den er på ingen måde sikkerhedsmessigt forsvarlig... Jeg har læst og set, hvad det giver af muligheder. Jeg skal uanset, hvor sikkert nogen siger det er, ikke være bærer af en RFID chip der kan på nogen måde identificerer mig, hverken uden på eller i kroppen.
Jeg har læst det om Emergency Care og det løser et problem vi ikke har... Hvad er behovet for at du i tilfælde af en ulykke kan komme på et sygehus uden at de behandlende læger ved, hvem du er og kan forholde dig som en anonym person og få informationer om tidligere sygdom/indlæggelser som kan være relevante for at behandle dig i den givne situation. Hvis disse data, som jeg forstår det opbevares på denne RFID og jeg har ødelagt eller tab den - så er jeg fucked. Det er du ikke, hvis blot en eller anden har mulighed for at finde ud af, hvad dit CPR nummer er...
Jeg ser flere problemer end Emergency Care løser. Det er blot et skridt før en implementering i kroppen, for det kan man jo lige så godt, hvis man alligevel skal bære den 24/7 i et dog-tag eller ligende...
Hvis der sker noget og du ikke har din RFID på dig, må man klare sig så godt man kan - som man altid har gjort. Emergency Care er for at hjælpe dig, specielt hvis du har specielle problemer.
Fuldstændig som CPR nummeret, hvis det ikke kan skaffes på nogen måde, så er du lige så fucked, som, hvis du ikke har din RFID på dig. Altså løser RFID ikke i sig selv noget problem, det skaber blot et problem der består i at nu er der ingen data omkring dig, what so ever. Ved at du kan finde ud af, hvem du er og evt., hvor du bor, så kan CPR nummeret skaffes og data omkring dig kan tilvejebringes og du kan behandles korrekt. Hvilket jeg ikke ser som værende muligt, hvis din RFID er 100% helt væk, med Emergency Care løsningen.
Nej, det der skal fokus på er ikke Emergency Care løsninger, men, hvordan man kan gøre de eksisterende patientjournaler mere pseudonymiserede og få det sat i gang og stadig have adgang til dem i nødstilfælde.
Hvis der sker noget og du ikke har din RFID på dig, må man klare sig så godt man kan - som man altid har gjort
Men alligevel ikke helt som altid. For som det er nu bliver man jo netop ofte "reddet" af at så meget information er personhenførbart via f.eks. CPR-nummer og at der ofte er mange forskellige indgange til at finde CPR-nummer selv hvis man som patient ikke har CPR-nummeret på sig samt er ude af stand til selv at huske/oplyse det.
I et samfund hvor intet er personhenførbart uden brug RFID, så uden RFID kan man ikke se om patienten for nyligt har været indlagt, om patienten tager medicin, man kan ikke finde frem til den praktiserende læge og til pårørende, man kan ikke se i donorregisteret om den pågældende ønsker at være organdonor, man kan ikke hente oplysninger om evt. hjemmepleje / sende besked til kommunen om at fremsende disse oplysninger m.v.
Jeg kan ikke se andet end at der vil opstå situationer hvor at der opstår berettiget / uberettiget tvivl om hvorvidt at det var den manglende RFID som gjorde at en patient døde, eller at pårørende aldrig nåede frem for døden indtraf, eller muligheden for at redde et andet menneskeliv gik tabt fordi at man ikke kunne se at den pågældende ønskede at være organdonor m.v. Selvfølgelig taler vi da forhåbentligt ikke om noget der vil ske hverken hver dag eller hver uge, men der er ingen tvivl om at der vil opstå en masse debat når det sker.
EDIT: Hov Rene var hurtigere end jeg selv med at sige akkurat det samme bare på en lidt anden måde :-)
Hov - dette indlæg var vigtigt.
Søren
Nu har jeg ikke lige nærlæst detaljerne i dine links, men kunne forestille mig at 128bit kryptering over en levealder ville være problematisk - er ikke så let at "opgradere" hvis det er indopereret :-)
Her bliver vi alt for tekniske omkring en specifik løsning af et meget komplekst problem i forhold til den principielle diskussion.
Hvis vi talte 128 standard kryptering (AES eller specielt asymmetrisk) ville jeg være helt enig.
Men vi taler dels om 128 bit zero-knowledge baseret kryptering og dels en RFID som aldrig kommunikerer, dvs. du har intet input at analysere på. Det gør en væsentlig forskel fordi RFIDen er den langsomme part og du ikke kan regne dig frem til løsningen.
Jeg vil dog ikke forsimple problemstillingen til dette niveau. Der er mange aspekter at forholde sig til. F.eks. garantien for offline adgang til data for patienter hvor det er kritisk for dem - såsom stærk overfølsomhed overfor narkose etc.
Men det centrale er at selv de mest komplekse sikkerheds/service problemer har gode løsninger uden overvågning.
Det er kun et spørgsmål om vilje og fokus på de helt basale samfundsinteresser.
Rene og Henrik.
I kommer begge med ret refleksive indvendinger som antager at I er bare i nærheden af at have sat jer ind i kompleksiteten i Emergency Care. Men der er tale om evaluering mod andre standarder end alternativerne udsættes for.
Har man ikke styr på fallback, har man ikke styr på sikkerheden og det indebærer her safety for personens helbred.
Fallback på Emergency Care går altid via pårørende/egen læge. Det som vi etablerer her er den åbne og transparante fordør til override uden din accept - fordi den direkte bagdør misbruges og betyder at systemerne ikke kan sikres. Den store bagdør er ikke lægens brug i nødsituationen selvom 40% af alle adgang til EPJ i Norge efter sigende sker via Emergency Override - den store bagdør er adgangen direkte i databasen som ligger pivåben.
Men som jeg læser det er der 2 forskellige motiver bag.
Rene - jeg ser dine argumenter ud fra en Modstand mod Forandring baseret på en frygttilgang og forhastede antagelser - du overser dermed at der ikke er alternativer som kan håndtere de mange krav. Det har hidtil været betragtet som et uløseligt problem hvor man blot har måttet leve med misbruget fordi alternativet var værre.
Dine modarguementer mod en RFID af denne type bygger forhastede antagelser - afvent eksperters vurdering. Din frygt for at du ikke kan få hjælp overser at du har nøglerne til at skabe de løsninger som DU stoler på - og at det højst sandsynligt baseres på dine pårørende/egen læge.
Data til den helt akutte nødhjælp er en specialcase som reelt primært drejer sig om problemstillinger for den direkte nødbehandling - den vigtigste typiske information er faktisk at der IKKE er specielle omstændigheder fordi i morgen vil vi meget hurtigt kunne analysere din tilstand via f.eks. dit blod.
Data til den efterfølgende behandling har meget bedre tid og skal ses bredere i henhold til pårørende, igangværende behandlinger, hurtig afklaring af garanti for betaling (f.eks. mange steder i udlandet) etc. Her drejer det sig om at din hjemmebase indretter SIG til at understøtte DIG telemedicinsk hvor du end er.
Henrik. Du taler som altid ud fra interessen i at udnytte CPR-data til alskens kommercielle formål, dvs. er altid god for cherrypicking og FUD-argumenter imod reel datasikring.
Jeg har ingen illusioner om at rationelle argumenter vil ændre din indstilling imod dine interesser. Vores indbyrdes debatter har altid været til ære for andre læsere.
Nej - du leverer ingen argumenter andet end det umulige krav om perfektion uden selv at stille med andet end påstanden at total mangel på sikkerhed øger sandsynligheden for at vi kan finde nogle data om dig.
Diskusionen drejer sig IKKE om anonymitet, men om at sikre at man kan tilpasse services til behovet UDEN overvågning. dvs. uden det eskalerende misbrug som ellers finder sted.
Emergency Care uden overvågning og bagdøre er teoretisk et løst problem.
Udfordringerne er først og fremmest teknisk og mental legacy (sundhedssektoren er ikke en nem elefant at svinge rundt) samt interessekonflikter hvor stærke særinteresser arbejder IMOD borgernes og samfundets behov.
Men argumentet om behovet for override i nødstilfælde er stendødt.
Meget ville være opnået hvis man begyndte at vurdere offentlige og private tiltag mod de samme krav om perfektion som Emergency Care her udsættes for. Så ville megen it-kriminalitet være umulig, den offentlige sektor tilpasse sig behovene meget bedre og den private sektors konkurrencedygtighed og innovationsevne i en helt anden klasse.
Du taler som altid ud fra interessen i at udnytte CPR-data til alskens kommercielle formål
Nej nu talte jeg sådan set om bare at få "indopereret" den her RFID hvis det er den bedste løsning, så man var sikker på at man ikke gik og glemte den.
Seriøst det vil jeg langt hellere end at risikere at man pludselig en dag finder mig bevidstløs på gaden og jeg bliver bragt til sygehuset uden at man kan finde ud af hvem jeg er, hvem mine pårørende er m.v.
Emergency Care uden overvågning og bagdøre er teoretisk et løst problem.
Det jeg har behov for at forstå er hvordan problemet er løst når jeg ankommer bevidstløs til sygehuset uden min RFID og det vil gavne min situation at de kan se hvilken medicin jeg får, snakke med min læge om min nuværende behandling i primærsektoren, finde frem til mine pårørende, og hvis jeg alligevel er hjernedød er det jo fint at de kan se i donorregisteret at jeg er tilmeldt som organdonor (man får jo ikke engang udleveret donorkort mere) m.v. Ikke nødvendigt med sådan en stor forkromet forklaring, men blot i store træk hvordan får man denne information sikkert ud af systemerne uden brug af min RFID, på en måde som man ikke ville kunne misbruge i andre situationer?
Jeg har ikke behov for blot at vide at problemet er teoretisk løst. Jeg mener hvis alle debatter i denne verden blev afsluttet med at dem der vidste mest om emnet blot proklamerede at problemet er teoretisk løst men ikke ville fortælle hvordan, hvordan søren får man så nogle sinde oplyst folket?
Stephan, vi skal lige have noget helt på det rene her:
1) Vi snakker om at RFID chippen indeholder min patientjournal lige som, hvis jeg hele tiden rendte rundt med den i god gammeldags papirform, således at det kun er mig der har den? Blot er den lagt bag noget kryptering og nogle sikkerhedmekanismer?
2) Der findes en mulighed i emergency tilfælde for at kunne tilvejebringe alle relevante informationer ud af den her RFID chip, således at du kan redes?
3) Sygehusvæsenet har sådan en reader, der har en eller anden form for emergency funktion, der ved aktivering kan hive informationerne ud af din RFID chip i tilfælde af at du ligger i koma og skal have hjælp?
Hvis ovenstående er tilfældet, så har vi et seriøst problem. For, hvis jeg vil have fat i folks patient journaler (enten som kriminel, staten eller som privatperson), så skaffer jeg mig blot adgang til sådan et emergency apperart og scanner de RFID chips som jeg er interesseret i.
Skulle sikkerheden blive brudt på disse enheder og de kræver at blive udskiftet for at være sikker, så skal alle bærer af denne RFID ind og have et service eftersyn/udskiftning.
Går den i stykker fordi borgeren kommer til at ødelægge den, så er alle data mistet - ganske enkelt ikke smart. For patienten kan ganske enkelt ikke huske om det var medicin A eller B han kunne dø af at få!
At overlade sikkerheden omkring opbevaring af data til den enkelte borger er stupidt at tro på at det vil være sikkert og de selv kan håndterer det. Se, hvor godt den enkelte borger er til at sikre sin computer - det går ikke ret godt... Når det så er konstateret, så kan vi se at det vil være langt mere sikkert at have informationerne omkring borgerens patientjournaler opbevaret i systemet, hvor vi fælles kan få sikkerheds-kompetente mennesker til at sikre at der ikke kommer uautoriserede ind og kigger i de data.
Jeg vil dog ikke forsimple problemstillingen til dette niveau. Der er mange aspekter at forholde sig til. F.eks. garantien for offline adgang til data for patienter hvor det er kritisk for dem - såsom stærk overfølsomhed overfor narkose etc.
Lige præcis, der er mange aspekter at forholde sig til og derfor er det relevant at diskutere den konkrete løsning i det offentlige rum, så som her, så andre borgere kan kaste et blik på det og se muligheder/problemstillinger den her løsning giver.
For at citere dig selv:
Samfundet mangler ikke tekniske løsninger, der mangler problemforståelse og principiel stillingtagen i tide.
Så er det lige præcis, hvad jeg er i gang med. Tage stilling i tide og stille spørgsmålstegn ved den konkrete løsning.
Vi snakker om at RFID chippen indeholder min patientjournal lige som, hvis jeg hele tiden rendte rundt med den i god gammeldags papirform, således at det kun er mig der har den? Blot er den lagt bag noget kryptering og nogle sikkerhedmekanismer?
Jeg har nu forstået det som at RFID chippen blot indeholder de nøgler der kan benyttes til autorisere/dekryptere at patientjournal m.v. hentes ud fra de systemer de nu engang befinder sig i.
Fallback på Emergency Care går altid via pårørende/egen læge. Det som vi etablerer her er den åbne og transparante fordør til override uden din accept - fordi den direkte bagdør misbruges og betyder at systemerne ikke kan sikres. Den store bagdør er ikke lægens brug i nødsituationen selvom 40% af alle adgang til EPJ i Norge efter sigende sker via Emergency Override - den store bagdør er adgangen direkte i databasen som ligger pivåben.
Hvis der på nogen måde findes en override funktion til at tilvejebringe informationerne omkring dig/mig som person, så er det fuldstændigt ligegyldigt om det er en bag eller fordør! Det er en vej ind og dermed ikke en stump bedre end det eksisterende system, vi har blot flyttet ansvaret ud til den enkelte borger for at bevogte den dør.
Hvis tilfældet er som Henrik skriver, blot en nøgle til at dekryptere patienjournalen som ligger centralt, så har vi stadig en dør der skal kunne åbnes i nødstilfælde, altså en override funktion for at vi altid kan få fat i informationerne omkring patienten. Ellers er borgeren dårligere stillet i nødstilfælde end med det nuværende system.
Rene, Henrik
Først og fremmest - hold lige fast i at der er fuld disclosure. Både RFID-sikkerhedsprotokollen og selve Emergency Care modellen er publiceret ved videnskabelige konferencer og online. I skyder på mig med alle de forkerte argumenter - I kommer ikke til at forstå alle aspekterne om vi så bruger hele dagen. Andre vil skyde meget dybere på dette.
a) Implantering er DIT valg, Henrik, det kan ske og jeg kan sagtens forstå dit argument. Rent It-sikkerhedsmæssigt er den velegnet til det formål, men jeg vil ikke stå på mål for det sundhedsmæssige og etiske. Så jeg holder personligt stor afstand fra at tale herfor.
b) Ikke EPJ på RFID, men en 3-lags struktur.
Hvis man ser på slide 9 (side 7) her http://www.petsfinebalance.com/agenda/presentations/A%20World%20Without%...
Vi taler en 3-lags struktur - et lokalt "ambient" lag, et "infrastruktur" lag og et "EPJ" lag, hvor du i ambient laget har en RFID på dig med nøgler (protokollen er end-to-end zeroknowledge i forhold til readeren) til at koble til infastruktur laget i form af en formålsspecifik krypteret anonym ONLINE "boks", hvor du kan deponere præcis de relevante data til nødsituationen.
Data som udgangspunkt skal være online så du kan sikre at data er opdaterede uden at man hele tiden skal ændre på RFIDen. Data on card skal alligevel have en online backup for at man ikke mister data.
Men seriøst vigtige data for nødbehandlingen ville man kunne ligge på RFID af hensyn til offline. også hvis dette er fraværende, dvs. du kan signalere til mediq/lægen at du IKKE har sådanne overfølsomheder etc. Det vil være en særskilt nøgle som mediq har f.eks. i en batteridrevet PDA. Men det er for ekstreme og meget sjældne situationer.
Hvis man betragter det som vigtigt, så kan man ligge donor accepter på både RFID-chippen og online, dvs. så det kan virke offline eller med mulighed for at trække det tilbage i sidste øjeblik.
c) Selve den pseudonyme EPJ ligger på EPJ laget mens infrastrukturlaget indeholder kun datakomponenter som gradvist kan dekrypteres til at etablere adgang hertil - men det kan tilpasses nationalt, lokalt efter f.eks. systemforskelle eller efter dine personlige præferencer.
d) Rene - der er selvfølgelig INGEN universelle nøgler og ingen trusted parties.
Sikkerhedsbalancerne er langt mere fintfølende og holdbare overfor angreb fra selv flere i kombination. Du skal både analysere en sådan model kritisk mod selv onde ressourcestærke angribere og samtidig med fokus på at redde dit liv. Det er det som gør løsningen så unik - begge dele er designet ind og begge dele langt bedre end kendte alternativer på selv delområder.
Et simpelt aspekt er at nøglen til at aktivere RFID IKKE ligger client-side i apparater men online sammen med boksen. Og kryptografien er end-to-end baseret, dvs. ikke nogen simple modeller her. Til gengæld MÅ den under ansvar ikke aktiveres førend en autoriseret person tager ansvaret herfor.
Online funktionen kan ikke angribes successfuldt fordi den ikke har en rolle autorisation til overhovedet at tilgå EPJ og IKKE ved hvem en given boks tilhører, dvs. selv med en fuldt erobret server kan man IKKE lave targetting - søge efter en bestemt person eller opnå noget ved at forsøge at løbe udenom Mediq/læge.
Skulle mediq OG online funktionen arbejde sammen om uberettiget at aktivere din RFID, så har Mediq først skrevet under på at du er i en bevidstløs tilstand og står dermed til ansvar. De kan få adgang til din akut-profil, men adgang til EPJ kræver ansvarliggørelse overfor din hjemmebase, dvs. det vil blive opdaget førend de kommer i nærheden af din EPJ.
e) Prøv nu lige at lave en simpel sammenligning med f.eks. eBoks og/eller DanId der kan alt og herunder tilgå EPJ på dine vegne. Og DanId og eBoks er endda ejet af den samme kommercielle virksomhed med meget stærke kartelinteresser.
DanId er endda hemmelig så ingen ved hvad der foregår. Men eksternt baseret på påstanden om hardware som ingen kan misbruge samtidig med at man skriver til Folketinget at det kan man godt.
Igen - vær nu lidt fair. Jeg stilles til regnskab for krav som ingen andre modeller er blot i nærheden af at leve op til. Og alligevel er I ikke fremkommet med en eneste pointe som ikke allerede er tænkt ind.
Det jeg har behov for at forstå er hvordan problemet er løst når jeg ankommer bevidstløs til sygehuset uden min RFID
Jeg kom til at tænke på at det faktisk ikke er det eneste jeg ikke forstå. Big surprise :-D
Hvad når kommunikation foregår over telefon, e-mail m.v., hvordan spiller RFID så ind?
F.eks. er der jo mange som efterhånden benytter sig af at ringe eller sende e-mail til deres praktiserende læge for dem der har læger der acceptere denne form for telefonisk eller e-mail konsultation. Hvordan tilgår lægen i den situation patitientjournalen? Tænker man i løsninger hvor man så har en RFID-læser i computeren/telefonen og på en eller anden måde kan frigive/udveksle nødvendige nøgler over de forskellige kommunikationsnetværk?
Det kan også blot være på sygehuset hvor man har fået taget en blodprøve og så tager hjem for efterfølgende at ringe og få svaret. Hvordan tilgår sygehuset så resultatet, og kan de blot lægge yderligere oplysninger (resultatet) ind på en patientjournal uden at RFID er tilstede?
Henrik
Emergency Care drejer sig kun om nødadgangen, dvs. når du er bevidstløs eller på¨anden måde inkapabel. Det er den eneste situation, hvor man skal kunne etablere en ny adgang til en EPJ UDEN din eller din læges accept i situationen.
Når vi taler om den daglige brug hvor kompetente borgere styrer adgangen til deres egen pseudonymiserede patientjournal, så dukker der en række andre problemstillinger op.
Det går for vidt at gå ind på det her. Det er diskuteret andetsteds, bl.a. i Teknologirådet RTT Nr 186, og problemet er IKKE at SDSD ikke ved de har et alvorligt problem, men hvordan man får det addresseret operationelt i en presset sektor.
Læs f.eks. årsberetningen, hvor der står "mangler sikkerhedsløsning" på hveranden side. Men det skal opfattes positivt fordi det skyldes at de forstår at problemerne kan løses og dermed at man kan tillade sig at begynde at tage problemene alvorligt.
Det er dermed et sundhedstegn i modsætning til f.eks. SKAT, Justitsministeriet og Finansministeriet som ikke engang er gået i gang på sikkerhedsområdet men kun forværrer situationen hastigt.
Stephan:
d) Rene - der er selvfølgelig INGEN universelle nøgler og ingen trusted parties.
Fint, men, hvad så i nødsituationer, hvordan får en læge adgang til din EPJ? Hvad er det han skal gøre for at få adgang til disse informationer? Han har et eller andet apperart, som gør ham i stand til at han kan få adgang til EPJ går jeg ud fra, ellers tjener den her løsning ikke til ret meget. Jeg opfatter den som værende bindeledet mellem EPJ og borgeren, der gør at EPJ og systemet ikke kan finde personen ud fra EPJ, men omvendt. Det er en rigtigt god tanke at det er borgeren der kan skabe forbindelsen og ikke systemet. Der er vi helt enige at det er en den rigtige måde at opbevarer borgersensitive data.
Jeg er lige glad med, hvad man må eller ikke må, for det vil en kriminel eller ondsindet magt være fuldstændig lige glad med. Hvis det kan lade sig gøre teknisk, så er det lige gyldigt med en regel om at det MÅ du ikke...
Hvis jeg på nogen måde kan skaffe adgang til et system der gør mig i stand til at få informationer ud af den her RFID chip legalt eller ikke legalt, så er vi ikke nået ret langt.
Hvis jeg på nogen måde kan hive et unikt id ud af RFID chippen, så kan jeg spore dig, hvilket er en dårligere situation end den vi har nu.
Rene
Adgangen til en EPJ drejer sig om 2 meget forskellige ting.
Det ene er at udpege hvilken pseudonym EPJ som tilhører dig - indtil da er det blot en EPJ på en ikke-personhenførbar borger.
Det andet er at håndtere nøglerne og styre adgange UDEN en trusted part. Det er straks et væsentlige mere kompliceret spørgsmål fordi EPj er et af vores sikkerhedsmæssigt allermest komplicerede, kritiske og mest interesse-belastede dataproblemer.
Emergency Care starter når du kommer i nød og stopper når du er under behandling og der er etableret kontakt til din EPJ og hjemmebase. Modellen løser opgaven og blander sig ikke i resten. Du har ikke behov for RFIDen før næste gang du kommer i nød, så du skal oplade den.
Hvad der sker derfra er et andet spørgsmål.
Emergency Care starter når du kommer i nød og stopper når du er under behandling og der er etableret kontakt til din EPJ og hjemmebase. Modellen løser opgaven og blander sig ikke i resten. Du har ikke behov for RFIDen før næste gang du kommer i nød, så du skal oplade den.
Alt det har jeg forstået, men jeg tror ikke mit spørgsmål er klart nok.
1) Vi kan ud fra en nøgle på RFID chippen få fat i EPJ informationer.
2) Du svare ikke på mine spørgsmål om at der findes et apperart der går lægen i stand til at finde din EPJ i nødstilfælde?
3) EPJ og RFID chippen er parret sammen af en nøgle. Hvis jeg har den her nøgle, så kan jeg skaffe din EPJ med det rette udstyr.
4) Hvis jeg for at stille det skarpt op, finder en person jeg er ude efter, læser vedkommendes RFID chip uden at vedkommende er klar over det og benytter disse informationer til at få fat i vedkommendes EPJ, så er vi ikke kommet nogen steder i forhold til CPR nummeret ud over at det er blevet lidt mere besværligt.
5) Hvis RFID chippen på nogen måde kan give mig et id som kan bruges til at finde EPJ, så kan dette id også bruges til at tracke dig som person.
Altså har vi ikke fået forbedret situationen ret meget. Ja vi har ikke en mulighed for at søge i EPJ og finde lige præcis din journal. Men nu har jeg mulighed for at tracke dig rundt i landet/verdenen for den sags skyld.
Rene
Høfligst - du ser alt for simpelt på dette. Dine antagelser holder slet ikke og du gentager spørgsmål jeg har svaret på.
a) Du tror det er en standard RFID altid svarer. Nej, det er det ikke - det er en RFID i en stærkt sikret tilstand som kun svarer et signal krypteret med den rigtige nøgle på den rigtige zeroknowledge protokol. Se www.rfidsec.com
a2) Du tror at man kan Tracke dig som person. Nej - emergency modellen bygger på en en-gangs-nøgle og INGEN læk af persistente identifiers. Når den først er aktiveret og timet ud, så vil RFIDen IKKE svare NOGEN igen medmindre den først er "ladet op igen" af dig med din eksklusive nøgle. DU har kontrollen - 100% - men du har din her fordi du selv vil foreberede hjælp hvis noget går galt.
b) Du tror at der er en direkte forbindelse mellem RFID og EPJ. Nej, det er der ikke - der ligger nøgledata på RFIDen, som skaber adgang til en rent kryptografisk styret løsning som i princippet er totalt uafhængig af om nøglerne kom fra en RFID eller fra noget andet (f.eks. en PDA eller et borgerkort).
Mediq bruger formentlig en PDA med online adgang og en RFID-reader til at etablere forbindelse, få nøglerne fra RFIDen og derfra kobler han direkte op uden at skulle bruge RFIDen mere. Han har fået en nøgle.
c) Du tror at lægen skal bruge RFID-en når du først er indlagt. Det kan du åbne for, men det tjener intet nødvendigt formål. Hvis du først er indlagt og lægen har etableret forbindelse til din EPJ, så har RFIDen intet med sagen at gøre mere.
Dine spørgmsål indikerer at du slet ikke er vant til at antage den grad af respekt om din person. Der er INGEN bagdøre, INGEN mulighed for at tracke dig, INGEN behov for at identificere dig, men dine læger (den lokale specifikke PERSON og din normale SPECIFIKKE egen læge) kobler sammen omkring/via din EPJ.
Emergency Care drejer sig kun om nødadgangen, dvs. når du er bevidstløs eller på¨anden måde inkapabel. Det er den eneste situation, hvor man skal kunne etablere en ny adgang til en EPJ UDEN din eller din læges accept i situationen
Det er jeg klar over, men jeg ser det selvfølgelig over en bred kam for at prøve at forstå bare lidt af det.
Jeg mener en situation hvor at EPJ er rigtig godt sikret i nødstilfælde (emergency care) men når du i det daglige blot ringer til lægen og oplyser dit dit CPR-nummer over telefonen så kan han/hun se alt information uden videre, det giver jo ingen logisk mening, og derfor antog jeg at RFID eller de nøgler der er derpå skulle bruges i alle sammenhænge, også når jeg ringer eller sender en e-mail til min praktiserende læge m.v.
Men hvis jeg forstår dig ret så siger du at i disse "dagligdagssituationer" skal man bruge andre metoder end RFID til at sikre at jeg stadig er i kontrol, eller evt. blot acceptere at min læge har noget adgang men så i det mindste sikre at han kun kender til en virtuel identitet som han ikke kan sammenkoble med andre data fra det offentlige?
Rene
Der er lidt forskellige holdinger til hvordan man gerne ser EPJ-adgange strukturet. I Danmark har man typisk en fast praktiserende læge og derfor ser man ham som havende en delegeret adgang. I andre lande har man ikke og så antager man default at borgeren skal etablere koblingen hver gang.
Det går alt for vidt at komme ind på det her. Men det arbejde startede længe før arbejdet med Emergency og RFID. Emergency var bare en forudsætning for at den tunge sikkerhed omkring EPJ kan etableres. Se f.eks. http://www.tekno.dk/subpage.php3?article=964
Jeg tror at denne tråd er lang nok. Lad os ikke gå dybere ind i det spørgsmål.
a) Du tror det er en standard RFID altid svarer. Nej, det er det ikke - det er en RFID i en stærkt sikret tilstand som kun svarer et signal krypteret med den rigtige nøgle på den rigtige zeroknowledge protokol. Se www.rfidsec.com
Nej, det gør jeg ikke, men det har måske lydt sådan. Den rigtige nøgle er der en eller anden der skal beside for at kunne aktivere din RFID, korrekt? Jeg er helt med på at du ikke bare kan læse RFID chippen lige som almindelige RFID chips.
a2) Du tror at man kan Tracke dig som person. Nej - emergency modellen bygger på en en-gangs-nøgle og INGEN læk af persistente identifiers. Når den først er aktiveret og timet ud, så vil RFIDen IKKE svare NOGEN igen medmindre den først er "ladet op igen" af dig med din eksklusive nøgle. DU har kontrollen - 100% - men du har din her fordi du selv vil foreberede hjælp hvis noget går galt.
Med mindre den her "opladning" kræver fysisk kontakt, så kan opladning af RFID'en ske og aflæsning ske ude at du er klar over det. Og når dette kan lade sig gøre, så kan jeg også tracke dig.
Ellers forklar, hvordan opladning sker, således at borgeren er sikker på at det kun er vedkommende selv der kan foretage denne opladning.
b) Du tror at der er en direkte forbindelse mellem RFID og EPJ. Nej, det er der ikke - der ligger nøgledata på RFIDen, som skaber adgang til en rent kryptografisk styret løsning som i princippet er totalt uafhængig af om nøglerne kom fra en RFID eller fra noget andet (f.eks. en PDA eller et borgerkort).
Det er jo fuldstændig ligegyldigt om der er en direkte eller indirekte forbindelse imellem din RFID og EPJ. Faktum er at der er en forbindelse. Hvis man har fået fat i den nøgle som er på din RFID chip, så kan jeg smide den i den kryptografiske styret løsning og dermed få adgang til netop din EPJ.
Mediq bruger formentlig en PDA med online adgang og en RFID-reader til at etablere forbindelse, få nøglerne fra RFIDen og derfra kobler han direkte op uden at skulle bruge RFIDen mere. Han har fået en nøgle.
Fint, sådan en kan jeg jo også bruge, der er kun love og regler der forhindre mig i at gøre det. Hvilket til illegale formål er ligegyldige.
c) Du tror at lægen skal bruge RFID-en når du først er indlagt. Det kan du åbne for, men det tjener intet nødvendigt formål. Hvis du først er indlagt og lægen har etableret forbindelse til din EPJ, så har RFIDen intet med sagen at gøre mere.
Det har jeg forstået og helt med på. Jeg fokuserer kun på det faktum at jeg kan med det rette udstyr skaffe den nøgle og bruge den til at skaffe adgang til din EPJ.
Dine spørgmsål indikerer at du slet ikke er vant til at antage den grad af respekt om din person. Der er INGEN bagdøre, INGEN mulighed for at tracke dig, INGEN behov for at identificere dig, men dine læger (den lokale specifikke PERSON og din normale SPECIFIKKE egen læge) kobler sammen omkring/via din EPJ.
Se, det er så forkert, men det er ligegyldigt. For det her handler ikke om mig eller dig. Det handler om sikkerheden i den her løsningsmodel.
Jeg stiller de her kritiske spørgsmål, fordi, hvis løsningen kan tåle kritiske spørgsmål, så er der en størrer sansynlighed for at den er sikker end, hvis den ikke kan tåle dem.
Vi laver en anden løsning end CPR nummeret, fordi vi ikke har tiltro til at de mennesker der har adgang til disse data vil os det godt. Det er vores udgangspunkt at det er for let at samkøre data som vores systemer med EPJ ser ud nu. Derfor kommer RFID Emergency Care løsningsmodellen på banen.
Når Emergency Care løsningen som du beskriver den er en engangsnøgle, så kan jeg også ødelægge dine mulighed ved blot at aflade din RFID chip uden at du er klar over dette. Endnu et sikkerhedsproblem, for kommer du ud for en ulykke så hjælper den dig ikke ret meget, for den er afladet.
Hmm .. det er ikke med min gode vilje at vi bruger så megen tid på en konkret løsning. Men ok.
Med mindre den her "opladning" kræver fysisk kontakt, så kan opladning af RFID'en ske og aflæsning ske ude at du er klar over det. Og når dette kan lade sig gøre, så kan jeg også tracke dig.
Ellers forklar, hvordan opladning sker, således at borgeren er sikker på at det kun er vedkommende selv der kan foretage denne opladning.
DU har ekslusiv kontrol med den nøgle, der skal bruges til opladning af denne specifikke RFID. og den forlader aldrig din kontrol ligesom du kan ændre den hvis du vil.
Det er jo fuldstændig ligegyldigt om der er en direkte eller indirekte forbindelse imellem din RFID og EPJ. Faktum er at der er en forbindelse. Hvis man har fået fat i den nøgle som er på din RFID chip, så kan jeg smide den i den kryptografiske styret løsning og dermed få adgang til netop din EPJ.
Det forudsætter at du har en Digital Signatur som dokumenterer at du har autorisation til at aktivere den service som kan aktivere RFIDen. Og eftersom du FØRST skal ansvarliggøre dig overfor servicen, slipper du ikke afsted med at gøre det uden at blive holdt ansvarlig eftersom patientens pårørende får besked.
Hvad er problemet? Du er bevidstløs i en livstruende situation hvor den skal fungere, dvs. hvis en under ansvar initiere en aktivering uden grund er det reelt at udsætte dig for livsfare.
Det er ikke op til mig, men jeg vil mene at vi tangerer forsøg på mandrab hvis en læge uagtsomt aktiverer din nødløsning. Beklager - du er bevidstløs og lægen skal stå lige ved siden af pg amnsvaræggøre sig før processen kan starte, hvad mere vil du have? Din hjemmebase har ikke kontakt til dig på det tidspunkt for nødopkaldet kommer fra en autoriseret læge - lukker man op?
Og bemærk venligst at læge ikke behøver at vide HVEM du er for at redde dit liv.
Det har jeg forstået og helt med på. Jeg fokuserer kun på det faktum at jeg kan med det rette udstyr skaffe den nøgle og bruge den til at skaffe adgang til din EPJ.
Nej, med den rette autoriserede digitale signatur nøgle. Algoritmer og udstyr må ikke antages hemmelige - kun nøglerne.
Når Emergency Care løsningen som du beskriver den er en engangsnøgle, så kan jeg også ødelægge dine mulighed ved blot at aflade din RFID chip uden at du er klar over dette. Endnu et sikkerhedsproblem, for kommer du ud for en ulykke så hjælper den dig ikke ret meget, for den er afladet.
"endnu" et sikkerhedsproblem? Selvfølgelig skal modellen stå for trykprøver, men er du ikke lige lovlig grov her? Hvad er det for et "sikkerhedsproblem", du mener at have påpeget?
Vi har lige sikret din online EPJ ved at fjerne behovet for bagdøre. Tilbage er den yderste nødsituation hvor en læge er nødt til at få adgang til information for at redde dit liv mens du er bevidstløs. Du har nøglen på dig og styrer selv hvad den giver adgang til plsu har mulighed for at styre hvad der yderligere skal ske førend det kan give adgang til din EPJ, dvs. du kan ligge alverdens mekanismer ind her.
Det er ikke så kompleks - Du overlever i nødsitationen, men kan ikke overvåges/trackes og EPJ kan sikres fordi et CPR-nummer ikke er nok til hverken at finde din EPJ eller komme ind.
DU har ekslusiv kontrol med den nøgle, der skal bruges til opladning af denne specifikke RFID. og den forlader aldrig din kontrol ligesom du kan ændre den hvis du vil.
Er det et tal den nøgle? En digital signatur? Skal jeg hen til et eller andet service center for at oplade min RFID? Hvad, hvis jeg kommer ud fra skadestuen med hukommelsesvigt og ikke kan huske hvad eller hvor jeg har gjort af nøglen, skal jeg så have en ny RFID chip?
Det forudsætter at du har en Digital Signatur som dokumenterer at du har autorisation til at aktivere den service som kan aktivere RFIDen. Og eftersom du FØRST skal ansvarliggøre dig overfor servicen, slipper du ikke afsted med at gøre det uden at blive holdt ansvarlig eftersom patientens pårørende får besked.
Fint, men det åbner et nyt spørgsmål, hvordan ved systemet, hvem der skal kontaktes og hvad hvis de kontaktpersoner der er anført ikke længere er eksisterende/flyttet eller andet, så de ikke nogen beskyttelse mod overgreb. Jeg håber at kontakt detaljerne ligger inde i din EPJ og er krypteret med din nøgle fra din RFID chip?
Hvad er problemet? Du er bevidstløs i en livstruende situation hvor den skal fungere, dvs. hvis en under ansvar initiere en aktivering uden grund er det reelt at udsætte dig for livsfare.
Problemet er at en ondsindet læge anden person/enhed, whatever kan aktivere din RFID og dermed udsætte dig for livsfare. En ondsindet person vil være fuldstændig ligeglad med om der bliver udsendt besked til pårørende. Disse beskeder kan jo også blokkes, så de aldrig når frem.
Det er ikke op til mig, men jeg vil mene at vi tangerer forsøg på mandrab hvis en læge uagtsomt aktiverer din nødløsning.
Hvis jeg er en ondsindet person som ikke er læge og på en eller anden måde for aktiveret din RFID eller blot ødelagt den, så du ikke længere kan forbindes til din EPJ, så kan det få store konsekvenser, hvis du kommer ud for en ulykke.
Ud over det, hvad, hvis man taber den, kan jeg få en ny og hvordan bindes den op mod min EPJ, nu når der ikke er et CPR nummer der binder mig op mod min EPJ. Er det bare ærgeligt, så starter man på en frisk?
Selvfølgelig skal modellen stå for trykprøver, men er du ikke lige lovlig grov her? Hvad er det for et "sikkerhedsproblem", du mener at have påpeget?
Det sikkerhedsproblem at jeg kan blive behandlet korrekt også i tilfælde, hvor jeg ikke længere har min RFID på/i mig. Det kan man ikke, hvis den er væk/beskadiget. Så er man bare på røven, for at sige det lige ud eller?
Et vigtigt spørgsmål, som jeg kan se har været stillet før, hvordan får jeg adgang til min EPJ uden at aktivere min RFID? Dette kan være et normalt lægebesøg...
Et andet punkt, hvordan får jeg vedligeholdt kontakt informationer på pårørende i min EPJ. Der skal jo bruges eller en anden form for sikkerhed der ikke er min RFID eller mit CPR nummer, men hvad er det for en løsning?
Rene
Høfligst, du blander ting sammen som slet ikke hører sammen. Men jeg fornemmer også at du slet ikke er tunet ind på tankegangen om at du selv kan og skal kunne styre istedet for i dag hvor du har meget lidt indflydelse på hvad der sker.
Du vil skulle styre din EPJ med dit borgerkort som skal indeholde dine mange forskellige nøgler herunder nøglerne til din EPJ m.m.
Men eftersom dit borgerkort - hvis det skal være bare tilnærmelsesvist sikkert - kræver din bevidste deltagelse, så kan den model ikke bruges i nødsituationen.
Derfor har vi behov for en model som virker selv når du ikke kan godkende det. Derfor Emergency Care.
Jens
Ikke flere svampe til dig.
Stephan
Høfligst, så svare du ikke på nød situationsproblematikken, hvor:
1) Jeg er indehaver af en RFID 2) Jeg er kommet så voldsomt til skade at jeg ikke længere selv er i stand til at åbne op for EPJ 3) Min RFID Emergency Care chip er helt væk. Den kan være gået i stykker grundet ulykken eller tabt ved et uheld. 4) Jeg har alle mulige andre kort på mig, kørekort, dankort og hvad man nu ellers kan finde på.
Hvad gør man så?
Du kan ikke ved dine fulde fem kalde RFID Emergency Care løsningen for en løsning der skal hjælpe dig i absolut nødstilfælde, hvis den ikke er i stand til det, fordi den ikke er eksisterende længere.
Men jeg fornemmer også at du slet ikke er tunet ind på tankegangen om at du selv kan og skal kunne styre istedet for i dag hvor du har meget lidt indflydelse på hvad der sker.
Igen, det kan godt være jeg giver udtryk for det, men jeg stiller tingene på spidsen her, for det er super vigtigt at de kan tåle det.
Jeg vil have kontrollen over alle mine data, hvis det var muligt. Men det må på intet tidspunkt gøre det umuligt at rede mig i en nødsituation, fordi det er pakket ind i et lag af sikkerhedsmekanismer.
Du vil skulle styre din EPJ med dit borgerkort som skal indeholde dine mange forskellige nøgler herunder nøglerne til din EPJ m.m.
Fint, det jeg ser som problem er at, hvis det eneste formål Emrgency Care RFID løsningen har til formål at løse er nødsituationer, så er det en dårligere løsning end CPR nummeret på nuværende tidspunkt.
Hvis man på sit borgerkort har en anden nøgle der er i stand til at skabe override i samme grad som RFID chippen, så er der jo intet formål med RFID chippen, hvis den ikke skal implementeres i min krop. Den kan stadig blive væk/gå i stykker lige så vel som dit borgerkort.
PS! Jeg er helt enig med dig i at vores nuværende med vidt åbne databaser ikke er godt og vi skal have pseudonymiserede data i EPJ for at holde os til det lige nu.
Men jeg kritiserer løsningsmodellen, fordi det lyder til at den ikke helt er i stand til at løse nødsituationen bedre end CPR nummeret og de åbne databaser kan.
Vi kan jo sagtens indfører samme sikkerhedsmekanismer med at pårørende bliver notificeret om, hvem, hvor og hvornår og hvorfor din EPJ bliver åbnet. For at gøre det, kræver det ikke RFID eller borgerkort. Lad os give borgeren mulighed for at få sat e-mail adresser på overvågningslisten, så vedkommende selv og de personer vedkommende ønsker får en e-mail, hver gang der er nogen som åbner vedkommendes EPJ.
Vi kan ligeledes også infører at hver gang man skal have fingrene i EPJ, skal signere med en digital signatur/fingerprint id/iris skan. Hovedesagen er at dem som arbejder med systemet uanset niveau skal registreres med et 100% sikkert id på, hvem det er der berør data. Læge Andersen på OUH skal nok lade være med at åbne person A's EPJ, hvis person A's pårørende og person A selv får besked om at læge Andersen på OUH har åbnet din EPJ uden din accept. Det skal selvfølgelig være klart i den sammenhæng at man kan lave en nøgle som man selv kan signere åbningen EPJ med, så når man modtager en e-mail om at EPJ er blevet åbnet af læge Andersen på OUH, hvor du selv har givet accept, så er den signeret.
Dette skal også gælde server folket. Sikkerhedsfolk. Kort sagt alle der har nogen mulighed for at komme i nærheden af de rå data eller igennem en brugerflade for læger.
REKONSTRUKTIONEN
"INTET FOR SMÅT, ALT ER STORT I REKONSTRUKTIONEN" er bureauets motto.
Et bureau, som noterer alt, de kan komme i nærheden af, omkring alle borgere - al persondata fra fuld kropsprofil over historie og præferencer til social interaktion bliver systematiseret og kan bruges til at genskabe personer, hvis det er nødvendigt. (Tænk "Caprica" - den virtualiserede datter). ALLEs data indsamles, da man aldrig kan være sikker på, hvem der måtte få betydning for samfundet, om end der også på dette niveau arbejdes med sandsynligheder for betydning - i form af uddannelse, indflydelse, ophav, velstand, sundhed osv. - som skaber en skærpet opmærksomhed på disse i systemet.
Totalovervågning, hvor alle kan fortælle alt om alle, og alle oplysninger skal verificeres. Og alle persondataoplysninger, der passer ind i den tidligere opbyggede profil inden for en udtalt %-mæssig sandsynlighed, indkorporeres. Det siger sig selv, at alle kan fortælle alt om alle, også løgne, til et centralt indsamlende organ.
Det er blevet sådan med dette overvågningssystem, at det passer visse hacker-typer og modstandere af systemet at skabe falske detaljer om andre, som er sandsynlige inden for den %-mæssige sandsynlighed. Herved ændres på personprofilen, og personen kan så skaffes af vejen ved et sandsynligt uheld. I rekreationen er det dermed med sikkerhed en anden end den tidligere person, der kommer til verden. Dette betragtes på højeste niveau som systemets fejlbarlighed, der gratis testes, men tages alvorligt og længere nede i rækkerne fremlægges disse socialhackeres aktiviteter som terrorisme, der skal nedkæmpes og forsikres imod.
Bureauet har en nyoprettet underafdeling, hvis eneste opgave det er at sikre solide data omkring nøglepersoner, som kan skabe solid, statistisk sandsynlighed for at en persons personkerne bevares, trods eventuel uopdaget tilførelse af falske data. De interviewer altså alle omkring disse nøglepersoner og nøglepersonerne selv, og skal udrede hvad der er sandt og falsk af disse oplysninger, med formålet at skabe en stærk personkerne, som kan danne udgangspunkt for en genskabelse, hvis disse personer skulle komme noget til. Vores hovedperson er blevet flyttet til denne afdeling - han er en lidt for nævenyttig udforskertype, der er blevet kørt ud på dette sidespor for at dampe lidt af og falde til patten. Men det skal vise sig at være en fejl.
Rekonstruktionen foregår som en atom-for-atom-genskabelse af kroppen, men denne kopiering har man opdaget ikke genskaber personstrukturen. Og selvom mange spekulerer i tabet af sjælen ved døden som årsagen til dette, angribes problematikken ud fra et videnskabeligt synspunkt: Hvordan får vi afdødes personlighed tilbage på sporet, så vi essentielt set har den samme person? Det er ikke noget problem at få persondata ind i kroppen igen - den %-mæssige sandsynlighed dominerer også samtidig en sandsynlighed for sammenhæng kroppens totale opbygning, defekter osv. OG personkernen imellem, og afgør sandsynligheden for, at denne krop kunne have tænkt sådan, følt sådan, ment sådan. Nej, problemet ligger i at finde stærkt-sandsynlige data at parre den lagrede krops-matrix med, som ikke bliver afvist af computeren som usandsynlige. Og jo flere sandsynlige data, jo flere verificerede data, desto større sandsynlighed for en akkurat genskabelse af personen.
Nogle stemmer mener, at det er dødsoplevelsen i sig selv, der er afgørende, og ved (i rekreationen) at slette dødsoplevelsen, og dermed i essensen, frygten for døden (og dødsoplevelsen), omskaber man disse mennesker til overmennesker. At det er frygten for døden, hvor lidt udtalt den end måtte være, der gør et menneske empatisk og modtagelig over for andre menneskers lidelser og behov. Og problemet, det virkelige problem, først opstår når personen er genskabt. Da man ikke til evig tid kan skjule for et menneske, at han eller hun er genskabt, vil man - uanset nøjagtigheden af data - altid vil stå med et komplet andet menneske, der forholder sig til at have været død og nu er genskabt, hel, og levende.
Dette forskes der så også i - SKABELSE af personer, voksne personer, med træk (personkerne) der matcher en given krops-matrix, som bliver en parring af ønsket fysisk udtryk og indpodede falske persondata, henimod skabelse af en falsk identitet. Og det er denne forskergruppe, som vores helt støder på. Bliver optaget i. Og muligvis SELV ender med at gå i døden, med formålet at blive genskabt til en anden og forbedret identitet og krop.
Hvorfor?
For at kunne nedkæmpe hele systemet og lukke det ned. Hans handling skal være en logisk konsekvens af systemet. At eneste vej ud af det morads, der sigter mod at lave loyale soldater, hensynsløse politikere og emminente pengemænd er at proppe ånden tilbage i flasken. Og hvordan proppe ånden tilbage i flasken? Ved at tilbyde noget bedre.
Vores helt vil omskabe sig til messias.
Det kan helten kun gøre, hvis der undervejs har været en messiaslignende person, hvis personkerne kan anvendes som udgangspunkt for en rekreation - i en omvendt proces, hvor det er personkernen, der bestemmer kroppens matrix og opbygning.
Helten skaber således en personkerne, som er moralsk uangribelig, udholdende, retorisk stærk, intelligent, følsom, empatisk, og bliver af computeren vist en replika af kroppen, som denne personkerne vil medføre: En smuk krop med en indbygget defekt, der begrænser dens levetid til 1-2 år, og han kan ikke lave om på denne defekt, med mindre han begrænser personkernens positive sider, introducerer svage træk = Det er altså dødeligheden, det forgængelige, der bestemmer det messianske, det guddommelige. Hvad vælger han?
jens tænker og forestiller sig konsekvenser.
Rene
Interessant - du sætter ekstreme krav op til Emergency Care, men latterligt små til den naive sikkerhedmodel som er pivåben. Når man argumenterer med dobbelte standarder kan man forsvare alt mod alt.
Hvis du intet har, dvs. RFID, pung og alt er væk - så er du en person som skal hjælpes uden adgang til EPJ. Happens all the time og er som sådan ikke anderledes end hvis du har et problem som blot ikke er opdaget endnu.
Hvis man ved at det ville være livstruende vil du SELV etablere stærkere sikring mod denne situation hvad enten det indebærer flere RFID, implementering eller en EKSTERN nødadgang nødadgang. Dvs. du kan altid SELV svække din it-sikkerhed hvis din fysiske safety fordrer det.
Hvis man har sikret den centrale EPJ mod 3. parts override og kun bruger RFID modellen til Emergency Care, men har mistet RFID'en og har identificerende papirer, så kan man koble til EPJ via pårørende som enten kan have en deponeret nøgle eller koble via vedkommendes egen læge.
Pas nu på at du ikke lader kravet om perfektion bliver det godes fjende. Sikkerhed bliver aldrig perfekt, men det nuværende system baseret på cpr og åbne databaser bryder helt sikkert sammen af msibrug.
