Nye kontakter på Borgen

Hvad bør man fra politisk hold gøre for at får ledelsen i virksomheder som Nets til at opføre sig mere ansvarligt i forhold til de informationer de opsamler om borgerne?

Man bør: 1) Lade være med at dumpe ultrakritisk infrastruktur i skødet på amerikanske investeringsbanker 2) Lade være med på ene side, med hjerne i dvaletilstand at lade sig forblænde af lobbyister for industrigiganter, djøffer og den sædvanlige horde af slangeolie-sælgere og andre der står til at score på deres foreslåede løsning.. Og på den anden side, latterliggøre/håne/totalt ignorere de store mængder af kompetent input fra et meget bredt spekter af borgere/organisationer/fagfolk/academia, når det handler om Danmark som IT-nation. 3) Generelt erkende at de ikke fatter en skid når det handler om IT og indtage en mere ydmyg holdning overfor emnet.

Det var dog ret overordnet og ikke specifikt svar på spørgsmålet. Man kan IKKE forvente at en finansvirksomhed, der har fået monopol på drift og opbevaring af alle danskeres digitale identitet, ikke misbruger sin position og de data de får mulighed for at aggregere. Specielt ikke, når der er loft over hvor meget de kan få i bøde for misligholdelse af deres forpligtelser. Jeg vil vende den om; Man kan kun forvente at de vil.

Det eneste man kan gøre, er at lade systemet udvikle i fuld åbenhed, med input fra ALLE interessenter (specielt borgerne), og sørge for at alle leverandører kan udskiftes med ultrakort varsel.

Men måske er det ligeså et interessant spørgsmål at stille; Har man fra politisk hold haft ønske om at nets skulle overvåge borgerne? Ikke helt urealistisk spørgsmål ifht. næsten hele folketingets og visse dele af embedsapparatets nærmest psykotiske logningsfetisch. Eller ifht. en anden artikel her på sitet fra idag om den voldsomme vækst i den danske overvågningsbranche. Eller ifht. de trojaner-funktioner, som er blevet fundet i NemID. Eller ifht. vores statsministers ytringer om, at vi blot bør nyde NSAs gøren og laden, da det er for vores eget bedste...

Den bedste kur mod misbrug er at kaste lys/implementere transparens/udvise åbenhed, og på denne bane har de sidste 10-15 års dansk politisk adfærd tangeret landsforrædderisk, hvis ikke juridisk, så moralsk. Uanset om det har været stupidity eller malice, der har været spændt foran vognen.

Min konklusion er ret simpel; Der er INTET man fra politisk hold gøre for at få ledelsen i virksomheder som Nets til at opføre sig mere ansvarligt i forhold til de informationer de opsamler om borgerne, så længe man selv har en politisk kerneideologi der går på at holde borgerne i tiltagende mørke, ignorere deres input, og øge deres overvågning, og øger deres egen ansvarsfraskrivelse ved at acceptere ting som nødløgne.

Det er en holdningsændring der skal til. Det skal være lige så utrendy at være selvfed, bedrevidende levebrødspolitiker som at være ryger. For den nuværende styrende ideologi på området er lige så sundhedsskadelig for samfundet...

Helt uanset hvad man gør for at regulere i hvilket omfang vi bliver "forfulgt" på nettet, bør der indføres en helt klar paragraf i straffeloven om 100% erstatningsansvar når vores private data misbruges, hvad enten de er lovligt eller ulovligt indsamlet og dette ansvar skal man ikke kunne skrive sig ud af på nogen måde.

Selv hvis vi engang i fremtide får ryddet op i privatiseringsrodet vil der nok stadig være private firmaer som af den ene eller den anden årsag ender med at ligge inde med en hel del følsomme oplysninger.

Vi behøver ikke at være efter alle som blot har et kundekartotek, men jo flere stykker følsom data, og særligt jo mere følsom data er, jo større bør kravene være til sikkerhed og tilsyn med denne.

Det er ikke et system som kan indføres fra den ene dag til den anden, vi skal bruge en flok dygtige hackere til at føre tilsyn, og der skal opbygges et regelsæt som er fleksibelt nok til at tage hensyn til alle de teknologier som kan bruges, og ikke mindst de i praksis uendelige muligheder der er for at ødelægge sikkerheden.

Når det er på plads er der et grundlag for at dømme en virksomhed for for dårlig datasikkerhed, og det bør i værste fald være en dyr affære. Et tilsyn kan ikke se alt, især er det svært udefra at sikre sig at medarbejderne faktisk til hverdag arbejder efter de foreskrevne procedurer og ikke har optimeret sikkerheden ud af det daglige workflow. Risikoen for ordentlige bøder bør få de fleste til at overholde både lovens bogstav og ånd.

Anerkend, at CPR-numre ikke er hemmelige. Fx gik Operation Mærkning ud på at gravere sit CPR-nummer på værdifulde genstande, så de blev sværere at sælge som hælervarer til uvidende købere. Desuden er der efterhånden lækket så mange CPR-numre af virksomheder, kommuner og andre offentlige myndigheder på nettet, at det ikke længere kun er nogle få CPR-numre, der ikke er hemmeligholdte. I forbrugerbeskyttelsesperspektiv bør det derfor forbydes at benytte CPR-nummer som sikkerhed for at en forbruger er den, han siger han er, når han fx opretter et lån eller indgår en anden aftale med en virksomhed.

Det ville være fint. Desværre er det nok meget svært at bevise, at et misbrug af lækkede oplysninger, fx et kviklån oprettet på basis af et lækket CPR-nummer, skyldes en specifik læk, når informationerne også kunne være lækket af en anden kilde. Hvis et CPR-nummer er lækket af to kilder, hvem er så ansvarlig for at det bliver brugt til identitetstyveri?

Det ville være fint. Desværre er det nok meget svært at bevise, at et misbrug af lækkede oplysninger, fx et kviklån oprettet på basis af et lækket CPR-nummer,

Den primære effekt vil være at organisationer begynder at tage data-sikkerhed seriøst.

Idag er der ingen negative konsekvenser af at sløse med data-sikkerheden.

Se bare Nets: Ingen har så meget som nævnt muligheden af at rejse sigtelse imod dem.

Hvis et CPR-nummer er lækket af to kilder, hvem er så ansvarlig for at det bliver brugt til identitetstyveri?

Ud over, at jeg mener at lige CPR-nummeret skal være offentligt, så kunne man jo konstruere en lovgivning der placerer fuldt ansvar hos begge (og/eller en stor bøde alene for at lække oplysninger uanset om der er efterfølgende misbrug)

Et problem (ud af mange) med et monopol som Nets er, at det er svært at straffe dem rigtigt hårdt, for eksempel med en erstatning, der er så stor, at den truer virksomhedens eksistens, eller ved udelukkelse fra markedet, indtil sikkerheden er rettet op. For man har ikke andre udbydere til at overtage med dags varsel.

Så man bør (som jeg skrev i et tidligere blogindlæg) i stedet for en udbudsrunde, hvor man vælger en enkelt leverandør, lave et sæt krav og lade alle, der opfylder kravene udbyde denne service -- ligesom man i Storbritannien gør det med digitalt login. Indtjeningen til firmaerne kan enten komme gennem en fra staten fastlagt betaling per transaktion eller gennem konkurrenceudsat brugerbetaling -- som vel og mærke skal være tydelig for brugeren, uanset og betalingen opkræves direkte fra brugeren eller fra f.eks. modtageren af en dankort- eller PBS-betaling. For i den sidste ende er det alligevel brugeren, der ender med at betale i form af f.eks. højere priser på varer eller ydelser.

1) Bøder, der gør det til en dårlig forretning at spare sikkerheden væk. 2) Fængselsstraf, hvis der mistes data, der er registreret uden nogen saglig grund.

pkt. 1 giver sig selv.

Pkt. 2 Mindsker den omsiggribende registrering. Feks. kan et telefonselskab bede om en ID (nu CPR nr) for at undersøge kreditværdigheden. Men når kunden er godkendt, og accepteret, er der ikke længere grundlag for at telefonselskabet skal ligge inde med denne ID.

1. Indregnes blot i risikoen som du i sidste selv kommer til at dække omkostningen ved
2. Persondataloven siger at du skal fjerne følsomme data du ikke har behov for. Så allerede dækket af loven.

Ad. 1) Sikkerhed koster penge. Intet nyt. Problemet er at det i øjeblikket er omkostningsfrit at spare sikkerheden væk. Ad. 2) Og hvordan synes du at det går ? - Der mangler straf og håndhævelse.