Med Datatilsynet, denne ene gang

Jeg har gået og filosoferet meget over "GoMentor" sagen og jeg tror for én gangs skyld at jeg holder med DataTilsynet.

Lad mig slå fast med det samme, at det persondatabrud der er tale om er i den absolut værste klasse.

Offrene er i forvejen udsatte og sårbare mennesker, der i deres kvide stoler på "systemet", mennesker der absolut ikke må svigtes, hvis vi som samfund har bare skyggen af menneskelig anstændighed tilbage.

Hvis det var mig der fik lov til at tegne straframmen på et sådant svigt, ville frihedsstraf til såvel ansvarlig ledelse som de involverede programmører være blandt byrettens valgmuligheder.

Det siger sig selv, at en sådan dom ville nå mindst til Højesteret før blækket blev helt tørt og dermed kommer vi så til Datatilsynets rolle.

Læs også: Datatilsynet tav om datalæk fra terapiportal: »Det ville spolere efterforskningen«

En af de vigtigste beføjelser som Sikkerhedsstyrelsen, Fødevarekontrollen, Vejdirektoratet, Bane.dk og mange andre offentlige tilsynsmyndigheder er udstyret med, er Datatilsynet ikke blevet udstyret med: Magten til at lukke butikken.

I en sag som GoMentor, eller for den sags skyld Rigspoliti/CSC sagen, bør Datatilsynet rykke internet-stikket ud og forbyde tilsslutning til noget som helst, før sikkerheden igen er godkendt af Datatilsynet og ved samme lejlighed aflevere en politianmeldelse, således at bevismaterialer ikke kan destrueres.

Men det må Datatilsynet ikke for Folketinget og det skal lig på bordet før Folketinget gør noget ved det.

Men godt så: GoMentor sagen er præcis den slags sag der kan få Folketingets ikke-existerende IT-udvalg til at reagere.

Det efterlader Datatilsynet med to muligheder: Enten kan de ringe til GoMentor og give et strakspåbud og en lillebitte bøde, eller de kan hive sagen i byretten og få klapset de ansvarlige af så det sender en klar besked til alle andre.

Taget i betragtning hvor mange tæv Datatilsynet har fået i tidens løb, jeg har f.eks selv kaldt dem "ornamentale", er der ikke noget at sige til at de er gået efter byretten, hatten af for det og måtte dommen blive hård og eftertrykkelig.

Så er der kun et spørgsmål tilbage: Skulle GoMentors hullede IT-system have lov at køre videre mens Datatilsynet samlede krudt til byretten ?

Argumenter imod:

De stakkels ofre.

Argument for:

I mængden af alle problemer i deres resort som endnu ikke er færdigbehandlet og opdaget, er det her utvivlsomt i den milde ende.

(Har nogen faktisk spurgt DataTilsynet om GoMentor blev nedprioriteret fordi de havde større fisk på panden?)

Den bedste og hurtigste måde at forbedre den situation er en god byretsdom der får de ansvarlige ledelser til at tage IT-sikkerhed seriøst.

Hvis vi skal have slået fast at den slags er strafbart, må den første prøvesag ikke falde på sjusk og hastværk.

Ingen tegn på aktiv udnyttelse af svaghederne.

Og hvis folk klager over sagens forløb kan med rette påpege at Folketinget skar ned på vores resourcer og ikke har givet os de fornødne beføjelser.

QED.

Jeg ved naturligvis ikke hvad DataTilsynets ledelse ved, men på det foreliggende grundlag er jeg ret sikker på at situationen havde været den præcist samme under min ledelse.

Så lad os fredde DataTilsynet, de gør hvad de kan, og i stedet rette skytset direkte imod GoMentor for at være mere inkompetente end GDPR tillader og Folketinget for at udsulte DataTilsynet.

phk

Relateret indhold

Kommentarer (48)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

.... selv om jeg stadig er uenig i konklusionen.

Men er problemet ikke, at vi stadig ikke ved, hvad der faktisk er foregået i Datatilsynet? Hvad var reelt motivet til at vente så længe? Skal vi virkeligt bare lade os nøjes med den første forklaring, nemlig at det skyldtes efterforskning? Hvad nu, hvis det ikke er den sande begrundelse, men at det skyldtes ressourcemangel?

  • Hvad med tilsynets egen opfordring til, at man altid går til firmaerne først? Skal den ændres?

  • "Den bedste og hurtigste måde at forbedre den situation er en god byretsdom der får de ansvarlige ledelser til at tage IT-sikkerhed seriøst." I mine ører er der ikke noget, der lyder "hurtigt" ved den proces. Hvor længe skal man i givet fald acceptere, at hullet står åbent mhp. at efterforske?

Og et forståelsesspørgsmål: Jeg undrer mig faktisk over, at Datatilsynet kan være med på en kigger i månedsvis i en sådan sag. Jeg opfatter det som dybt krænkende overfor de pågældende brugere, og jeg undrer mig over, at tilsynet overhovedet har ret til at gøre det uden dommerkendelse. Det er jo oven i købet ikke brugerne, der har begået noget ulovligt - de er ofrene, men tilsynet fortsætter alligevel med at invadere deres privatliv - uden at de ved det.

Jeg kan ikke lide det - det er skummelt, uanset at det er Datatilsynet, som vi alle sammen gerne vil bakke op om. Der må være grænser - selv for tilsynet helliger målet ikke midlet. Ellers begynder argumentationen jo at minde en smule om Papes (sorry - ikke så groft ment, som det lyder).

Lars Skovlund

Det siger sig selv, at en sådan dom ville nå mindst til Højesteret før blækket blev helt tørt og dermed kommer vi så til Datatilsynets rolle.

Jeg tror nu nok at Svendborglægens frifindelse - og lægeministerens efterfølgende iver efter at lempe reglerne yderligere, så en domstolsprøvelse måske slet ikke kunne have fundet sted - ville være et kraftigt vink med en vognstang. Siden Svendborgsagen har der været sagen om den offentlige anklager i Nordlys-sagskomplekset. Den sag nåede kun til byretten; hun blev frikendt på det ret væsentlige punkt om kontakten med politividnerne. I min optik er det helt skørt at autorisationskrævende erhverv som læger og jurister kan frikendes med henvisning til manglende retningslinjer og travlhed, men når det er tilfældet, så kan jeg ikke se hvorfor en tilfældig webudvikler skal kunne dømmes for forsømmelser, endsige hvorfor sagen skulle kunne nå til højesteret.

Poul-Henning Kamp Blogger

I min optik er det helt skørt at autorisationskrævende erhverv som læger og jurister kan frikendes med henvisning til manglende retningslinjer og travlhed, men når det er tilfældet, så kan jeg ikke se hvorfor en tilfældig webudvikler skal kunne dømmes for forsømmelser, endsige hvorfor sagen skulle kunne nå til højesteret.

Jeg er stor tilhænger af at al programmering og IT der er omfattet af GDPR bliver underlagt autorisationskrav, således at vi ved der er en ansvarsforsikring til at dække tabene.

Du kan netop ikke sammenligne folk der arbejder under autorisation-regimer med clondyke-folk i IT branchen fordi de arbejder under autorisation, der opstiller rammerne for deres virke og begrænser deres valgmuligheder.

Og sagen vil helt sikkert nå til Højesteret, netop fordi de fleste IT folk, (som du ?), slet ikke kan se at de skal drages til ansvar for konsekvenserne af deres handlinger.

Poul-Henning Kamp Blogger

Men er problemet ikke, at vi stadig ikke ved, hvad der faktisk er foregået i Datatilsynet?

I min optik er problemet at Folketinget har gjort alt hvad de kunne for ikke at gøre Datatilsynet effektivt.

Folketinget ved udemærket hvordan man gør tilsyn effektivt, kig f.eks på §7 i Atomanlægsloven:

https://www.retsinformation.dk/forms/r0710.aspx?id=49336

Danmarks regeringer(!) strittede imod GDPR med alle midler og argumentationen var i grove træk at "offentlig IT ville blive for dyr".

Nu har EU sat foden ned og Datatilsynet må prøve at få det bedste ud af det, med de magre midler og stækkede hænder Folketinget har tilstået dem.

Lars Skovlund

Jeg er stor tilhænger af at al programmering og IT der er omfattet af GDPR bliver underlagt autorisationskrav, således at vi ved der er en ansvarsforsikring til at dække tabene.


Det var jeg klar over, men de to nævnte sager blev indehavere af autorisationer indenfor hhv. medicin og jura frikendt. Ingen af de to har haft brug for personlige ansvarsforsikringer; i lægens tilfælde er der kun den offentlige patientforsikring at gå til, i juristens tilfælde kunne resultatet have været en rettergangsfejl med forkerte straffe til følge (på trods af at hendes arbejde faktisk er at søge en høj straf til de anklagede) - også her er erstantningen et offentligt anliggende. I analogi hermed vil en autorisationsordning for udviklere heller ikke kunne medføre et personligt ansvar, endsige frihedsstraf.

Og ja, jeg er udvikler. Jeg tror bare, at hvis man gjorde webudviklere autorisationspligtige og dragede dem personligt til ansvar, ville det give genlyd indenfor disse andre erhverv, ligesom man ved domstolsprøvelse også vil skele til tidligere sager indenfor de områder. Så der ville være en vis grad af solidaritet a la #detkuhaværetmig.

Jeg er i øvrigt fortaler for at gøres forskel på ufaglært arbejde og fx lægevirksomhed for så vidt angår det personlige ansvar.

Anne-Marie Krogsbøll

Autorisation er en god idé, men i mine øjne bør det følges med en egentlig godkendelsesordning for denne type "udstyr", som jo burde være at sidestille med lægernes og hospitalernes systemer (jeg håber, at det gennemgår godkendelsesprocedurer - men jeg er faktisk ikke sikker). Sådanne portaler/apps osv. burde undergå vurdering og testning af uafhængige instanser, inden de slippes løs på sagesløse brugere. Både patienter og terapeuter - for sidstnævnte er faktisk de dataansvarlige, så de kan også blive ramt hårdt. Jeg ved ikke, om man kan forvente af psykologer, psykoterapeuter og coaches, at de skal kunne vurdere, om login-proceduren er forsvarlig på den platform, de tilslutter sig. Måske?

Anne-Marie Krogsbøll

Du skal kigge mere i retning af aut. el/vvs/gas/køle-installatører, det er en bedre model at bruge.


Jeg ved ikke helt, om jeg forstår dig her, PHK . Terapeuterne er dataansvarlige i GoMentor (det læste jeg forleden - nu kan jeg ikke finde det på siden), og det vil vel sige, at de i sidste ende kan blive gjort ansvarlige for fadæsen? Og så er det, jeg tænker, om det er rimeligt - hvordan kan man være dataansvarlig for noget, man ikke har forudsætninger for at forstå?

I øvrigt (til jer andre også) kan jeg undre mig over, at disse to privatlivspolitiker vel ser ud til at modsige hinanden? I den danske angives f. eks., at data kun opbevares i EU-lande. I den engelske nævnes, at data kan videregives til 3. lande.
https://www.gomentor.dk/artikler/gdpr
https://www.gomentor.dk/artikler/privacy-policy

Bjarne Nielsen

Enig i de store linjer, denne ene gang :-)

Skal vi gå i løsningsmode, så er jeg personligt mere til eksternt review/certificering af løsningerne, herunder de omstændigheder hvorunder de er opstået. Der er simpelthen tidspunkter, hvor der er brug for uvildige øjne, og hvor vi er nødt til at tage det i opløbet.

Men jeg er bestemt ikke afvisende overfor at kombinere det med en egentlig autorisationsordning. Der er plads til alt for meget vilde vesten lige nu.

Nis Peder Bonde

Jeg er fuldstændig enig med dig, Poul-Henning Kramp.

Hvis man gerne vil have bedre sikkerhed for persondata, er det en taktisk brøler af dimmensioner, når man allerede ved den første seriøse sag vælger at vende alt skytset mod den ene myndighed (Datatilsynet), som netop har samme formål som alle gode it-folk og vogtere af persondataretten.

Jo, Datatilsynet kan naturligvis begå fejl, men det er naivt at forestille sig, at man kan gennemføre en seriøs, tilbundsgående og juridisk holdbar efterforskning på mindre end tre måneder. Særligt når det involverer forskellige myndigheder (Datatilsynet og Politiet). Og der er i den grad brug for en seriøs, tilbundsgående og juridisk holdbar efterforskning, for ellers vil GoMentor så nemt som ingenting kunne vinde den efterfølgende retssag, og så vil der ikke blive statueret det eksempel, som vil skabe den nødvendige afskrækkelse hos ledelserne i andre it-virksomheder.

Det bør mange bloggere, kommentatorer samt Version2's redaktør betænke, for diskussionen er - med få undtagelser - blevet fuldstændig ensidig og alene fokuseret på Datatilsynet frem for GoMentor.

Som jeg har redegjort for i anden sammenhæng, passer en sådan afledning af opmærksomheden naturligvis it-brancheforeningen rigtig godt. For de er jo sat i verden for at beskytte netop GoMentor og andre lignende virksomheder. Virksomheder som ser GDPR som en trussel mod deres bundlinje - både p.g.a. større krav til den faktiske sikkerhed (hvilket uværgerligt koster mange flere programmørtimer, og at man må hyre dygtige, erfarne programmører, som er dyrere) og p.g.a. risikoen for bøder (som også kan koste dyrt).

Det var it-brancheforeningen, som straks ved afsløringen - med dygtigt udført "spin" - begyndte at skyde på Datatilsynet frem for at diskutere GoMentor. Den limpind hoppede en masse andre på, herunder også Version2's leder i fredags. Dette selvom man skulle tro, at Version2 - som trods alt har sit afsæt i fagbevægelsen - netop ville være interesseret i bedre persondatasikkerhed og ikke mindst, at it-folk fik de bedste vilkår for at skabe god programkode. Fremfor ukritisk at kolportere it-brancheforeningens - og dermed aktionærernes - holdninger.

I går så vi så det første kedelige resultat af den afsporede diskussion, da Socialdemokratiets it-ordfører Karin Gaardsted fulgte it-brancheforeningens "spin" og gik ud og meddelte, at hun er rystet over Datatilsynet, og at hun vil rejse sagen overfor den ansvarlige minister.

Det er vi it-folk og diverse it-magasiners redaktioner i den grad selv skyld i, for når man glemmer at forholde sig kritisk til det, som kommer fra en brancheforening, ender det med, at det er aktionærernes dagsorden, som man varetager.

Sådan kan man sejre ad helvede til, for det skæve fokus i denne sag vil i hvert fald ikke være med til at sikre øgede midler til Datatilsynet på længere sigt. Hvilket er en absolut forudsætning for at få løftet persondatasikkerheden i dette land.

Poul-Henning Kamp Blogger

Skal man også lade hullet stå åbent, hvis det handler om 50 000 menneskers kortnumre?

Indlysende JA!

Der er der lovgivning som holder disse mennesker skadesløse og det kan i ikke være meningen at DataTilsynet skal lege udrykningshold for en utroligt velslået finansbranche, der har skrevet kilometer af kontrakter om netop den slags ting.

DataTilsynet skal naturligvis stadig behandle og vurdere sagen, men det er ikke dem der skal overbevise en eller anden nattevagt om at ringe til direktøren lige her og nu, det er dem der skal vurdere om nattevagten og direktøren reagerede som de skulle.

Eller hvis det er et hul ind til 100 000 menneskers sundhedsdata i Sundhedsplatformen?

Her vil jeg i den nuværende situation sige ja.

Sundhedsplatformen er et stort offentlig projekt der har pralet meget af hvor meget styr de har på alting.

Jeg er sikker på at DataTilsynet ville have elsket at køre den sag som præcedens i stedet for GoMentor.

Når Folketinget engang har ydstyret DataTilsynet med fornuftige resourcer og magtmidler, bør de i en sådan sag rykke ud og beordre de dele af sundhedsplatformen lækken sker igennem slukket med det samme, på samme måde som som Fødevarestyrelsen rutinemæssigt lukker virksomheder.

Anne-Marie Krogsbøll

Indlysende JA! Der er der lovgivning som holder disse mennesker skadesløse og det kan i ikke være meningen at DataTilsynet skal lege udrykningshold for en utroligt velslået finansbranche, der har skrevet kilometer af kontrakter om netop den slags ting.


Jeg er enig her, PHK. Jeg ville faktisk synes, at det var endnu vigtigere i den situation, netop fordi det ikke er egentlig privatliv, men stort set kun økonomi, som kan klares ift. brugerne. Jeg havde ikke forventet tilslutning til det synspunkt, men godt at høre, at vi er enige der - hvis vi altså overhovedet skal tænke i "statuere et eksempel"-baner.

Eller hvis det er et hul ind til 100 000 menneskers sundhedsdata i Sundhedsplatformen?Her vil jeg i den nuværende situation sige ja.Sundhedsplatformen er et stort offentlig projekt der har pralet meget af hvor meget styr de har på alting.


Her er jeg enig i teorien - hvis jeg skal følge jer andres argumentation, så bør det være konsekvensen. Det ville være en fantastisk prøvesag. Men i praksis er jeg ikke enig - for det er ikke SP- og regionstoppen, et sådant læk ville gå ud over, men de mange sagesløse borgere - ganske som i GoMentorsagen. Og jeg ville mene, at bare truslen om at være nødt til at lade et sådant hul stå åbent pga. ressourcemangel kunne have stor effekt rent politisk. Man behøvede sandsynligvis ikke at lade måneder gå, hvis man i stedet gik til politikerne straks, og sagde "Giv os nogle penge, eller vi må lade dette hul stå åbent".

Jeg fornemmer på dit svar, at du nok faktisk aner "ressourcemangel" som den egentlige begrundelse for Datatilsynets handlen - og ikke, at det nødvendigvis tager mange måneder at efterforske et sådant hul nok til, at man kan komme efter firmaet?

Gert Madsen

Terapeuterne er dataansvarlige i GoMentor (det læste jeg forleden - nu kan jeg ikke finde det på siden), og det vil vel sige, at de i sidste ende kan blive gjort ansvarlige for fadæsen? Og så er det, jeg tænker, om det er rimeligt - hvordan kan man være dataansvarlig for noget, man ikke har forudsætninger for at forstå?


Det er vel terapeuterne som har muligheden for at til- eller fravælge at lægge data om andre mennesker ind i GoMentor ? Og dermed er de også de dataansvarlige.
Man kan udlicitere en opgave - man kan ikke udlicitere sit ansvar.

Anne-Marie Krogsbøll

Det er vel terapeuterne som har muligheden for at til- eller fravælge at lægge data om andre mennesker ind i GoMentor ? Og dermed er de også de dataansvarlige.
Man kan udlicitere en opgave - man kan ikke udlicitere sit ansvar.


Ja, det kan jeg godt se, Gert Madsen. Men jeg ville nødig være amatør-dataansvarlig, og skulle vælge den rigtige databehandler, som er til at stole på, når jeg ikke har forudsætninger for det. (I øvrigt lægger brugerne jo også selv data ud).

I det hele taget forekommer GoMentor-konceptet mig at være et ret skrøbeligt koncept.

Nis Peder Bonde

I andre EU lande er de nationale datatilsyn øverste myndighed, da de kan uddele administrative bøder.

Det bliver aldrig tilfældet i Danmark, for her vil en domstol altid skulle/kunne komme ind over pga. grundloven.

Det gør selvfølgelig, at sager i Danmark vil være langsommere, vil kræve mere efterforskning og vil skulle gennem flere instanser. Derfor håber jeg også, at det danske Datatilsyn (og politiets it-efterforskningsenheder og domstolene) på et tidspunkt i fremtiden får tilført så betydelige ressourcer, at efterforskningen og domfældelsen kan ske så hurtigt og effektivt som overhovedet muligt. Men det vil nok altid være langsommere end hvis Datatilsynet selv kunne bestemme som i de fleste andre EU lande - hvilket dog lige vil kræve en grundlovsrevision først.

Det er i hele denne diskussion væsentligt at huske, at det ikke er Datatilsynet, som skal sikre mod persondataproblemer. Det skal de dataansvarlige derimod, mens Datatilsynet skal sørge for, at de dataansvarlige faktisk vælger at sikre systemerne - bl.a. pga. den afskrækkende virkning, som store bødeforlæg vil skabe. Kræver det lang tids efterforskning for at sikre domfældelse, er det et nødvendigt offer som må bringes - “for the greater good”

Anne-Marie Krogsbøll

Kræver det lang tids efterforskning for at sikre domfældelse, er det et nødvendigt offer som må bringes - “for the greater good”


Jeg er ikke enig. Jeg vil f.... ikke finde mig i, hvis det skulle være f.eks. mine sundhedsdata, som blev ofret i månedsvis "for the greater good".

Jeg kan ikke frigøre mig fra en fornemmelse af, at dette er en bekvem sag, fordi det er sårbare mennesker, som man ikke helt kan identificere sig med, og det ikke er en selv, der går ud over - og at piben ville få en anden lyd, hvis det var ens egne meget private data, som blev brugt som skræmmeeksempel i en sag, i stedet for at blive sikret.

Hvor bliver respekten for privatlivet af, når man åbenbart selv mener at kunne opnå noget ved at ofre den? Så er det pludseligt ikke så vigtigt?

Nis Peder Bonde

Som jeg forstår GoMentors forretningsmodel er det faktisk GoMentor som er dataansvarlig. Det er GoMentors kunde, og de udliciterer så opgaven med faktisk at tale med kunden til en terapeut eller psykolog. Men det er stadig GoMentors som er dataansvarlig.

Jeg har spekuleret over, om den model mon egentlig er lovlig, for jeg tror ikke at kunderne/klienterne derved har et klart billede af ansvarsfordelingen. De tror nok nærmere, at det er den person, som de taler med, som er den dataansvarlige

Er der nogen, som ved noget om det?

Anne-Marie Krogsbøll

Som jeg forstår GoMentors forretningsmodel er det faktisk GoMentor som er dataansvarlig.


Ja, nu kan jeg jo desværre ikke finde det sted, hvor jeg læste det forleden, men jeg læste altså på hjemmesiden, at mentorer var dataansvarlige og GoMentor kun databehandler - og en hel masse om at den ansvarsfraskrivelse fra GoMentors side, som det indebar.

Men jeg giver dig ret i, at ansvarsfordelingen må være ret uklar, fordi der er en del instanser, mentorer, brugere, 3. parter, som er involverede på en eller anden måde.

Jeg kan heller ikke helt finde ud af, hvordan kommunikationen mellem mentor og klient forholder sig til det offentlige journal- og registreringssystem, som i hvert fald psykologer er underlagt.

Bjarne Nielsen

de dataansvarlige

Ah, men den er ikke helt så firkantet.

Det er oplagt, at loven lægger det største ansvar på de dataansvarlige, men med GDPR kan databehandler ikke længere sno sig ud af det ved at pege på den dataansvarlige. Databehandlere har også et ansvar.

Og for at være databehandler, så skal man arbejde under den dataansvarliges instruks. Hvad tror I der vil ske, hvis en terapeut begyndte at blande sig ved at udstede instrukser om databehandlingen til GoMentor?

Det vil være ganske interessant at se, hvordan en dommer vil forholde sig til fordelingen af ansvaret i en løsning som denne, hvor man som teknisk kyndig udvikler og udbyder en løsning, hvor man i praksis tager alle beslutninger selv, men hvor man rent formelt skubber sine kunder foran sig ved at pege på dem, som dataansvarlige.

Anne-Marie Krogsbøll

Ja, Bjarne, det har du ret i.

Denne "databehandleraftale" ligger på hjemmesiden. GoMentor omtaler sig selv som "dataprocessor", men der er - så vidt jeg kan se - ikke mere nogen omtale af "datacontroller" - jeg tror, de har ændret denne aftale inden for de seneste dage:

https://assets.gomentor.com/files/Data_Processing_Agreement.pdf

Jeg forstår ikke, hvad der står i den.

I øvrigt kan man læse følgende i den danske "privatlivspolitik" (bør det ikke være det samme som "GDPR"?):
"GoMentor may also use your data, or permit third parties selected by you to use your data, to provide You with information about products and services which may be of interest to You and GoMentor or they may contact You about these by e-mail or SMS."
https://www.gomentor.dk/artikler/privacy-policy

Velbekomme! Det er åbenbart også en salgsplatform. Jeg tvivler på, at folk kan gennemskue det, når de tilmelder sig.

Anders Poulsen

Der er jo den enorme forskel at #dekuhaværetmig var båret af en faggruppe som fra centralt politisk hold er presset på deres arbejdsforhold ud over hvad der er forsvarligt.
Som programmører er vi i høj grad selv med til at estimere og byde på opgaver, så hvis du ikke har den fornødne tid til at løse den forsvarligt, så er det simpelthen dit eget ansvar. Og seriøse udviklere ville ikke stå side om side med skruebrækkere som forsøger at fraskrive sig deres eget ansvar for at underbyde seriøse udviklere ved at afgive urealistiske estimater.

Mogens Lysemose

I Den hedengangne web-virksomhed jeg var i lavede sælgeren et slag på tasken og sagde 30 timer eller 50 timer og så blev kontrakten indgået. Sælgeren havde ikke nogen særlig teknisk indsigt og balladen startede når det var væsentligt mere komplekst hvad han havde solgt end hvad han havde fået for det. Så blev der lavet noget hurtigt klamp for ellers fik man cheferne på nakken.

Og sådan tror jeg stadig meget er i webbranchen.

Så at det kun er programmørens eget ansvar mener jeg ikke.

Steen Christensen

Sådanne portaler/apps osv. burde undergå vurdering og testning af uafhængige instanser, inden de slippes løs på sagesløse brugere.

Det til trods kan man aldrig sikre sig 100%. I min organisation bruger vi (undskyld - jeg skriver lige på engelsk, for jeg ved faktisk ikke hvordan det formuleres på dansk)
1. Peer review of code during development process
2. Automatic Static Code Scan before going to acceptance environment
3. Automatic Dynamic binaries scan before going to production environment.
4. PenTest of production like environment.

Alligevel slipper der engang imellem sårbarheder igennem. Det kan for eksempel være der er gemte sårbarheder i underligende softwaremoduler der først manifesterer sig senere, og som så kun vil blive opdaget ved en senere PenTest.

Det vil altid være op til en risikovurdering om man har nået et acceptabelt niveau i forhold til organisationens Risk Appetite (hedder det risikovillighed på dansk?). Vi vil for eksempel gerne lade low-risk sårbarheder slippe igennem, og så rette dem ved senere lejlighed.
Medium/high/critical sårbarheder ryger tilbage til udviklerne. (i hvert fald for eksterne systemer.

Bjarne Nielsen

Det til trods kan man aldrig sikre sig 100%.

For det første, så nej, man bliver aldrig 100% sikker, og det betyder, at der simpelthen er ting, som man skal lade være med at gøre. Der er data, som man ikke skal indsamle eller samle eller beholde. Der er systemer, som ikke skal kobles på nettet, eller i det hele taget laves. Og derfor bliver jeg træt, når jeg fornemmer en holdning om, at man bare lige skal have lukket det her hul, eller lave endnu en firewall omkring et endnu større datacenter, og så er resten sikkert.

For det andet, så er det på din liste først omkring pkt. 4 at vi bevæger os ud over teknik. Bevares, der kan findes ting, hvor folk har taget hovedet under armen i et review, men grundlæggende set, så mangler jeg helt overvejelser om, hvorvidt det er en god ide. Kald det privacy impact assessment eller security design eller hvad du nu vil, men nogen er simpelthen nødt til at forholde sig til om det fornuftigt på et overordnet plan. En tåbelig ide perfekt udført er stadig en tåbelig ide.

Og så er der hele processen - den skal der også være styr på. Det hjælper ikke noget, at du lever professionel kvalitet kode, hvis rammerne er noget rod.

Endelig vil jeg stadig fastholde, at det vil være ønskeligt med eksternt feedback. Der skal en lille dreng til at se, at kejseren mangler tøj, og at det egentlig er ret så fjollet, og ikke bare et modelune. Vi er som mennesker tilbøjelige til at overbevise os selv og hinanden om, at det vi går og laver egentlig er meget godt, også selvom det slet ikke er det. Og engang imellem er det ikke kun os selv vi bedrager, så er der tale om reel springen over hvor gærdet er lavest, måske fordi man er presset økonomisk, eller bare er samvittighedsløs og grådig.

Med det sagt, så lyder det nu til, at I er væsentlig bedre rustet end gennemsnittet.

Steen Christensen

For det andet, så er det på din liste først omkring pkt. 4 at vi bevæger os ud over teknik. Bevares, der kan findes ting, hvor folk har taget hovedet under armen i et review, men grundlæggende set, så mangler jeg helt overvejelser om, hvorvidt det er en god ide. Kald det privacy impact assessment eller security design eller hvad du nu vil, men nogen er simpelthen nødt til at forholde sig til om det fornuftigt på et overordnet plan. En tåbelig ide perfekt udført er stadig en tåbelig ide.

Jamen der er vi da slet ikke uenige - Jeg listede kun de tekniske reviews i udviklingsprocessen. Jeg er langt fra de steder der tager sig af forretningsudviklingen, så Jeg har svært ved at have en holdning til de forhold.

Jeg kunne også have tilføjet de mange lag af governance vi også udfører både i processen omkring udvælgelse af prioritering af features, men også i de grundlæggende assessments, BIA - Business Impact Assessment, PIA - Privacy Impact Assessment, BCA - Business Control Assessment, OSG - Operational Security Guidelines, User Access SOLL/IST tables etc.

Og når vi er i produktion er der så KCT - Key Control Testing og SOx control testing.

Jeg er Information Risk Manager, så jeg er involveret som assessor i samtlige af disse forskellige reviews.

Anne-Marie Krogsbøll

Steen Christensen:
Tak for svar.

Englænderne har bare været fremsynede og forudset Brexit. Fremover er EU også 3. lande for dem.


Måske mener du det som en joke :-) Hvis ikke: GoMentor har en dansk og en norsk udgave af hjemmesiden. Ingen engelsk.
https://www.gomentor.dk/artikler/betingelser

På dansk ligger artiklen "GoMentors overholdelse af Persondataforordningen GDPR". På engelsk ligger artiklen: "Privatlivspolitik".

Informationen er uoverskuelig og svær at forstå, men den forekommer mig (subjektiv oplevelse), at oplysninger om videregivelse til 3. land er mere detaljerede i den engelske udgave, mens dette aspekt nedtones i den danske. Hvorfor det, når hjemmesiden slet ikke findes i engelsk udgave, kun dansk og norsk? Så er man som dansk/norsk bruger henvist til at læse den engelske udgave "privatlivspolitik", og ikke kun GDPR-teksten, hvor udlands-aspektet nedtones (for mig at se).

Forleden læste jeg, at mentorer er at anse for dataansvarlig, og GoMentor er databehandler. Det kan jeg ikke finde nu - det kan være min fejl, måske leder jeg et forkert sted, eller har misforstået noget. Men jeg kan finde dette: "Når der behandles persondata er der primært to parter; databehandler og dataansvarlig. Forholdet mellem GoMentor og mentorer, samt hvem der opfylder hvilke roller og deres forpligtelser er beskrevet i den databehandleraftale der er mellem GoMentor og mentorer."

Altså ingen omtale af rollefordelingen der. Og når man så læser databehandleraftalen, så omtaler GoMentor sig selv som databehandler - men glemmer at nævne, hvem der er dataansvarlig, så vidt jeg kan se. Lidt mærkeligt.

Måske er det uretfærdigt, men jeg kan ikke frigøre mig for en oplevelse af, at der manipuleres med oplysninger til både brugere og mentorer, så det bliver uoverskueligt, hvilke regler og foranstaltninger, der gælder. Overskueligt er det i hvert fald ikke.

Anne-Marie Krogsbøll

nogen er simpelthen nødt til at forholde sig til om det fornuftigt på et overordnet plan. En tåbelig ide perfekt udført er stadig en tåbelig ide.


Der har du helt ret, Bjarne Nielsen, og rent instinktivt er min reaktion, at online-terapi er en dårlig ide. Men der mener jeg så ikke, at Version2 er det rette forum til at tage stilling til det - det kræver en diskussion mellem fagfolk, for på trods af min instinktive modvilje, så kan jeg ikke afvise, at der vil være mennesker med behov for hjælp, som man faktisk når på den måde, og som aldrig ville møde op i psykiatrien eller hos en psykolog. Jeg ved det simpelthen ikke, så jeg tøver med blot at erklære ideen som dårlig.

Men for at det er en god idé, skal der i hvert fald være uhyre meget tjek på beskyttelsen af privatliv, og der kunne det jo bestemt se ud til, at det halter i denne udgave.

Og jeg kan heller ikke lide det indslag af kommerciel indblanding, som ser ud til at følge med. Jeg vil ikke ligefrem oprette mig for at få ordentligt indtryk af, hvad der foregår - men helt fri for markedsføring ser det ikke ud til at være, og det synes jeg er upassende i den sammenhæng.

Bjarne Nielsen

Jeg listede kun de tekniske reviews i udviklingsprocessen.

Det tænkte jeg nok, og jeg tænkte også på at skrive det. Det fik jeg så ikke gjort, jeg beklager.

Når jeg for i blækhuset, så er det fordi jeg ofte ser en uvane med at betragte sikkerhed som en teknisk disciplin - noget, som populært sagt kommer af sig selv, hvis bare udviklere er dygtige nok.

Det er det også - man må aldrig undervurdere betydningen af kompetent udvikling! Men sikkerhed er ikke kun noget, som kommer af sig selv eller noget som kan klistres på eller pakkes udenom bagefter.

Uanset hvor vel udført den er, så vil en dum ide altid være en dum ide.

Og når man når til den erkendelse, så indser man, at det ikke er nok at teste grundigt eller at få Datatilsynet til at være 1st level supportere for IT-branchen ved at filtrere i alle henvendelserne og straks at der ser ud til at være kød på, melder det til firmaerne.

Jeg har vist tidligere nævnt at ideen om at ville identificere personer på deres telefonnummer virker ... ugennemtænkt .. på så mange måder. Jeg er heller ikke sikker på, at jeg kunne overbevise mig selv om at en online terapi portal kan gennemføres med tilstrækkelig sikkerhed. Det lyder som en farlig ide - lidt på linje med en benzin- og tændstiksfabrik.

Og sådan kunne jeg blive ved, og derfor er jeg slet ikke overbevist om, at dette kun handler om at man har glemt at sætte et uniqueness-constraint på telefonnumrene.

Jesper Frimann

Jeg hæfter mig ved følgende:

Angrebet blev først opdaget i sommeren 2016. Men det stod på fra november 2012. Her fik det daværende SFI hacket en server, der tilhører Socialstyrelsen.
.....

"Det kan være dybt problematisk, hvis man har fundet konkrete data om personer, som har været misbrugt," siger Knud Aarup, der var direktør i Socialstyrelsen under hackerangrebet, til Altinget.

Knud Aarup påpeger, at det er "meget følsomme oplysninger", der ligger i de berørte databaser. De tæller blandt andet Børnehusene og Stofmisbrugsdatabasen.

Socialstyrelsen afviser over for Altinget, at hackerne har haft adgang til personfølsomme oplysninger.

Så "man" har i 4 år haft adgang til systemer med "meget følsomme oplysninger" uden at Socialstyrelsen har opdaget det, og Socialstyrelsen mener så at de kan sige at "man" ikke har haft adgang til personfølsomme oplysninger.

Jeg er måløs......

PS: Jeg er faktisk enig med PHK i hans blog indlæg.

// Jesper

Bjarne Nielsen

Jeg er måløs......

Det er jeg så ikke. Jeg er dybt skuffet, men desværre ikke spor overrasket. Det har længe været tydeligt, at det er rene vilde vesten ... digitalisering med fuld fart frem og hovedet næsten under armen.

Og jeg er bitter nok til at frygte, at den eneste lære som "systemet" vil drage er, at det var en fejl at give Altinget aktindsigt...!

Henrik Biering Blogger

Denne "databehandleraftale" ligger på hjemmesiden. GoMentor omtaler sig selv som "dataprocessor",


Nej, det er ikke korrekt tolket. Bemærk at DPA'en beskriver hvordan GoMentor (som Data Controller) sætter rammer for hvad mentoren må befatte sig med.

I den sidste linie i introen til privatlivspolitikken, som du har linket til ( https://www.gomentor.dk/artikler/privacy-policy ) står der tilsvarende: "For the purpose of the Data Protection Act 1998 (the Act), the data controller is GoMentor Danmark ApS of Vesterbrogade 149, DK-1620 Copenhagen, Denmark."

Men det hele er som Nis Peter Bonde også var inde på en gang rodet suppe, idet mentorerne jo åbenlyst er dem, der styrer dialogen med brugerne og dermed hvilke typer oplysninger, der bliver registreret i systemet. Ud fra hvad der samlet fremgår af hjemmesiden synes det klart at der ligesom med Facebook-sider (eller i endnu højere grad) er tale om fælles dataansvarlige og dermed ikke behov for en DPA men for at begge parter skilter med deres sammenflettede privatlivspolitik over for brugerne.

Anne-Marie Krogsbøll

Tak for korrektion, Henrik Biering.
Ja, det undrer mig ikke, at der er ting, jeg har fået forkert fat i, for i mine øjne er der langt fra tale om klar kommunikation. Og som nævnt læste jeg for en uges tid siden på hjemmesiden, at det var mentorerne, der var dataansvarlige. Jeg bed specielt mærke i det, fordi det undrede mig - men det er desværre ikke lige til at finde igen. Der er nogen, der påstår, at man kan finde gamle websider, men jeg kan desværre ikke huske hvordan.

Anne-Marie Krogsbøll

Tusind tak, Lars Bjerregaard.
Der var det jo:

"Vilkår og betingelser"

"When employees and GoMentor collect information through the initiated contact between User and Mentor or the Website Chat, this information is handled through a data processor agreement between GoMentor (data processor) and Mentor (data responsible)"
https://web.archive.org/web/20170708233414/http://www.gomentor.dk/artikl...

(det står faktisk stadig i betingelserne - har bare ikke kunnet finde det).

Det ser ud til, at der er sket store ændringer mht. informeringen af både klienter og mentorer de den seneste uge:
https://web.archive.org/web/20170627050349/http://www.gomentor.dk:80/art...
Jeg er i tvivl om, om WayBack-siden følger med linket, men forleden så siden med vilkår og betingelser i følge WayBack sådan ud:
"Brugere
Generelle vilkår og betingelser for Brugere af GoMentor
Salgs- og leveringsbetingelser for køb i webshoppen
Mentorer
Generelle vilkår og betingelser for Mentorer på GoMentor (PDF)"

Det er ikke helt sådan, den ser ud nu.

Dennis Christiansen

men forleden så siden med vilkår og betingelser i følge WayBack sådan ud:

Ja ved første øjekast ser det sådan ud, men hvis man kigger lidt nærmere vil man se at netop undersiden med vilkår og betingelser ikke er blevet cachet siden 27/6-2017, og det er derfor disse resultater du automatisk ser (da det er den nyeste version af denne underside som wayback machine er i besiddelse af).

Anne-Marie Krogsbøll

Ok, tak, Dennis Christensen. Så er det jo ikke godt at vide, hvad der er sket siden, som bare ikke er blevet fanget i WayBack.

Men det ændrer i hvert fald ikke ved, at det i nogle sammenhænge ser ud til at være mentorerne, der er dataansvarlige, mens GoMentor andre steder omtales som de dataansvarlige. Jeg kan ikke gennemskue hvorfor. Måske er der en god forklaring.

Henrik Biering Blogger

Ja, det undrer mig ikke, at der er ting, jeg har fået forkert fat i, for i mine øjne er der langt fra tale om klar kommunikation. Og som nævnt læste jeg for en uges tid siden på hjemmesiden, at det var mentorerne, der var dataansvarlige.


Ja nu kan det ihvertfald fastslås at "Betingelser og Vilkår" betegner GoMentor som databehandler og Mentorerne som dataansvarlige, mens "Privacy Policy" som der linkes til fra "Betingelser og Vilkår" betegner GoMentor som dataansvarlig og det samme fremgår utvetydigt af substansen i "Data Processing Agreement"

Det sidste ses tydeligst i kraft af hvem der ejer data i tilfælde af at aftalen mellem GoMentor og en Mentor afsluttes: "In the event of termination of the licence agreement, GoMentor is entitled to demand that the Personal Data be returned to GoMentor or be deleted, unless the Therapist is required by law to store the relevant Personal Data."

Der refereres iøvrigt til Personal Data Act 1998 (en lokal engelsk lov), hvormed der dog formentlig hentydes til EU's Persondatadirektiv fra 1995 eller den herpå baserede danske Persondatalov fra 2000. Der er således intet, der tyder på at der har været foretaget et review af teksterne i anledning af den ny Persondataforordning, idet der også mangler en del obligatoriske oplysninger.

Så ja, der er ikke hverken hovede eller hale på hvordan data behandles i GoMentor.

Log ind eller Opret konto for at kommentere