Dennis Benneballe Arnold-Grade

Ny ISO-standard skal vise vej til bedre informationssikkerhed

Jeg er forvirret... Så den fra 2017 som jeg har liggende er ikke den gældende version?

Du er nok forvirret, fordi du kigger på den forkerte standard. Vi snakker her ISO 27002, ikke ISO 27001.

3. september 2021 kl. 10:59
Ulovlige børneunderretninger: Svensk kommune dropper dansk kunstig intelligens (ComplianceTech)

Man er fristet til at tro, at Norrtälje Kommune var en smule for AI-begejstret og at de har kastet sig over algoritmer og teknologi, som de selv ikke kunne følge med i.

AI er en stor teknologi, og skal plejes, trænes, tilpasses, undersøges, begrænses, etc - løbende!

Så det kan da tænkes at kommunen ikke lige havde nok bemanding til at styre dette, og derfor ikke kunne se til, at AI ikke bryder loven. For jeg har da mødt Mikael Munck, og på det arrangement fortalte han netop, at man som aftager af AI bør være i stand til at kunne arbejde med det løbende, og i høj grad være med i at give AI-løsningen en ramme at arbejde i.

31. august 2021 kl. 08:42
8000 cpr-numre lækket fra Styrelsen for Patientsikkerhed

For en fairness' skyld, så vil jeg lige påpege, at vi ikke ved, om medarbejderen, der har lækket data, er kvindelig eller mandlig, så vidt jeg kan se.

Men jo, der er store mangler i deres procedurer og politikker. Det bør ikke være muligt at trække data til lokale arbejdsstationer, men udelukkende være remote access uden mulighed for at hente filer ned eller uploade filer.

Jeg vil håbe inderligt, at der ikke bruges et tredjepartssoftware til at sende filen med, som fx. Slack, Teams el.lign. - så vil lækket nok også omfatte en hel del flere modtagere.

Chriztoffer Hansen har dog ret i sin formodning om at der er flere læk end man tror. Bare at hente en fil med navne på registrerede og uploade det et andet sted er allerede usikker, da der så nok ikke er nogen log ift. hvad der er sket mellem at filen blev hentet til at den bliver uploadet. Og hvis ikke man har sit IT-setup i bedste orden, vil man hverken have logs på hændelser med filerne eller mulighed for at dokumentere endegyldigt, at man har slettet en given fil.

24. august 2021 kl. 13:15
Noyb slår ned på cookies med massesøgsmål: Flere danske virksomheder iblandt

Ikke kun det, men på V2 får man kun to valg:

  1. sig ja til** alle cookies**

  2. gem indstillinger og dermed sig ja til alle valgte cookies (som er: alle cookies - selvom man ikke må præ-tikke en checkbox)

Så i realiteten skal man ind og klikke alle typer cookies væk, og så sige "gem indstillinger". Det er ligeledes dark patterns, det værste af slagsen (nudging af samtykke som man ellers ser opstillet på en anden måde og derfor føler sig tryg ved ikke at klikke "accepter" men alligevel være lige så meget tracket)

23. august 2021 kl. 11:52
Jurister og IT-folk: Et lykkeligt (tvangs)ægteskab?

It-folket er eksperterne i IT. Jura-folket er eksperterne i jura.

Hvor ofte sker det ikke, at en IT-fagperson ikke evner at forklare IT-verdenen på en pædagogisk og lærrig måde, og så klager over, at juristerne misforstår IT-verdenen. Dette forlanges dog af en jurist at han skulle gøre, altså forklare jura-verdenen pædagogisk til ikke-jurister.

Og den er mindst lige så abstrakt som IT-verdenen, skal jeg hilse og sige, Hr. Ritsholm.

Ja, det er ikke altid DevOps-manden eller Frontend-udvikleren eller lignende, der er "skyld" i at IT bliver misbrugt, som Anders nævner. Men det er ikke en jurist, der vælger, hvilken retning en organisation skal gå - det er lederne. Men så kan man spørge sig selv: hvis det er en eller anden DJØF'er eller leder med eller uden it-forståelse, som er ansvarlig for det, man bruger IT til derude, er IT-afdelingen under denne person så ikke lige så skyldige i det, IT blev anvendt til at gøre? Er det ikke her, hvor IT-folket så burde stoppe op og forklare til lederen, at dette altså bryder nogle love? Netop fordi en IT-person jo bør dygtiggøre sig inden for relevant jura, lige som også juristerne dygtiggør sig inden for IT-forståelse? Det kan nemlig ikke kun gå den ene vej.

Der skal dannes en bro mellem jura og IT, så man taler hinandens sprog, og bliver kyndige i hinandens områder.

Men ser du store mængder af IT-folk strømme mod jura-kurser og timevis læse jura-bøger osv? Ikke umiddelbart, synes jeg. IT-folket er mest af alt ofte en hellig ko, som man ikke må røre, hvis det ikke absolut har noget at gøre med IT.

Og den her med "Fortæl lige hvad det drejer sig om - så skal jeg sige, hvad du skal mene" holder ikke... en jurist ansættes af en organisation med et vist interesse. Dette interesse skal juristen varetage. Vil organisationen absolut finde en vej til at snige sig udenom nogle regler, hvem er det så, de går til? Juristen. Er det juristen, der er skyld i, at man så har brudt nogle regler? Næppe.

14. juni 2021 kl. 11:51
Statens It: Gammel software udfordrer GDPR-compliance i det offentlige (ComplianceTech)

Ny it er udviklet efter privacy-by-design-princip

Jeg vil blot påpege, at privacy by design ikke er det samme som Artikel 25, stk. 1 "Data Protection by Design". De har visse ting til fælles, men er langt fra det samme. Dette bør rettes af redaktionen.

Desuden vil jeg påpege, at Databeskyttelse gennem Design faktisk ikke kun omhandler IT, men alt behandling af data. Så fra udvælgelse af, hvilke systemer, komponenter, services, værktøjer, tredjepartssystemer og -tjenester, etc. man bruger, samt hvilke foranstaltninger man laver sig i disse behandlinger. Herunder mere end bare IT: Databeskyttelse gennem Design tankegangen skal anvendes på HELE organisationen, fra foranstaltninger i kontrakter med Rengøringspersonalet om ikke at åbne gardiner, til foranstaltninger om at fjerne papir med informationer fra åben tilgængelige steder, osv. Ikke kun IT-systemer kan og bør designes efter disse principper om databeskyttelse, men også procedurer, politikker, kontrakter, adfærd, osv osv osv.

1. juni 2021 kl. 09:57
Myndigheder famler i blinde efter EU’s cloud-bombe

Lidt pinlig udtalelse, når nu enhver, der har sat sig ind i tingene, ved, at tiltaget er utilstrækkeligt.

Hans pointe var, at Microsoft skal have ros for at gøre alt det, de gør. Og ja, helt uvæsentligt er det ikke, at MS prøver at anfægte alle FISA-anmodninger osv. Derudover er MS hovedargument at der er plads til en risikobaseret tilgang, dvs kort: Risiko for en eller anden hacker snupper data er ringe, da MS har god sikkerhed, mens risiko for at NSA ser dine data er lidt større. Så MS ser det "lesser evil" her som værende at NSA ser dine data.

Men korrekt nok, så holder dette ikke helt. Der er stadig et overgreb fra amerikansk side på vores grundlæggende rettigheder. Og så længe vi ikke har ret til at anfægte FISA-anmodninger selv (i FISA-court), så er dette ikke legitimt og foreneligt med EU-lovgivning.

Men at MS prøver at gå imod den lovgivning, de selv er underlagt, og derved inspirere andre leverandører, og derved sammen presser på i amerikansk regering om at ændre lovgivning til at give USA den stærke IT-position tilbage inkl. EU-kunderne, er det som Henrik Udson mener er positivt.

Men ærlig talt er jeg træt af at de store virksomheder som MS og Amazon ikke bare siger det som det er, og prøver at legitimisere deres services...

Og at se Ole Kjeldsen gang på gang ligne en, som tror på alt som MS fortæller ham, i stedet for at tale en ærlig og faktuelt dialog omkring emnet, er ret pinligt...

28. maj 2021 kl. 11:12
Skat forsvarer brug af Teams: »Det påhviler den enkelte medarbejder at behandle oplysninger sikkert«

Argumentet med at det er op til den enkelte medarbejder at tilføre den fornødne sikkerhed er ikke ret stærkt.

Ja, det påhviler enhver medarbejder at være med til at skabe og holde den samlede it-sikkerhed og persondatasikkerhed, men det er langt fra alle, der er oplyst nok i dette område.

Man kan derudover teoretisk måle medarbejdernes oplysthed og kendskab til sikkerheden ved hvor meget undervisning de har haft fra arbejdsgiveren af. Jeg forventer her ikke, at det er proportionalt med de ansvar, der pålægges den enkelte medarbejder. Én gang årligt en lille oplysningskampagne og én gang undervisning i starten af ansættelsen er altså langt fra nok. Medarbejdere hos Skat har delvis adgang til ret sensitive informationer, så det er langt fra proportionalt at man kun giver dem undervisning én gang om året. Det svarer til at man sender den overvægtige i klassen til at motionere én gang om året til aktivitetsdag, men ellers aldrig nævner det overfor ham igen, ej heller den ringe præstation til aktivitetsdagen.

Derudover er det organisationens ansvar at sikre ansvarlighed, også ift. awareness af medarbejdere. Og min intuition siger mig, at Skat IKKE har lavet (fyldestgørende) tests for at kontrollere, at alle har samme høje kendskab til it-sikkerhed og persondataret/persondatabeskyttelse, eller griber fyldestgørende ind, når testresultater viser sig at være dårlige.

28. maj 2021 kl. 10:57
Irsk vicekommissær efter tre års GDPR: »En kæmpe stigning i antallet af henvendelser« (ComplianceTech)

Men der er nødt til at være en forståelse og anerkendelse af, at vi også gennemgår og håndterer GDPR for første gang.

Dette argument synes jeg er ret dårligt. Hvornår blev GDPR meldt ud? 2016? Og så med effekt fra 2018? Så minimum 3 år er GDPR i effekt, og 5 år kendt og tilgængeligt og annonceret.

Måske er det bare det irske datatilsyn, DPC, blot lidt partisk ift. disse nye EU-regler.

Men som tilsynsmyndighed at sige, at man skal have tålmodighed, fordi GDPR er så nyt, er på kanten af pinligt. Ja, den er nyt, hvis man sammenligner med andre lovgivninger. Men den bygger for det første på kendte principper, som var gældende i lang tid, men udover lige dette argument, så betyder selveste alderen af lovgivningen da ikke, at man bør tage den med et gran salt og klappe hesten, fordi DPC ikke var klar endnu, eller ikke føler sig klare.

Kan det være fordi man i DPC ikke helt er glad for for meget EU-regulation af deres gode bigtech venner? Kan det være, man ikke har ønsket at sætte sig ind i GDPR og være frontrunner her, for så at trække overholdelsen så langt som muligt, så de amerikanske venner kan finde på nogle juridiske fiksfakserier?

25. maj 2021 kl. 11:16
Databeskyttelse står i vejen for cloud i Statens It: »Vi har et ekstra ansvar«

Flere har i denne tråd nu påpeget, at der ikke kun er den amerikanske marked hvad angår cloud, og at der findes nok europæiske cloud-udbydere.

Må jeg høre nogle af de eksempler, I har? For hvis disse sikrer et minimums sikkerhedsniveau, som kan gå an, og som ikke væsentligt formindskes (herunder tænker jeg også driftssikkerhed, m.fl.) sammenlignet med Microsoft, Google, AWS, IBM, etc, så vil dette være en fremragende vej at gå ned ad.

Men jeg frygter lidt, at der enten ikke er tale om at sikkerhedsniveauet er sammenligneligt på de væsentligste punkter med big techs sikkerhedsniveau, og at man derfor skal indgå en kompromis: enten høj sikkerhed (med bagdøre til efterretningstjenester) eller mindre høj sikkerhed med højere kontrol.

Men igen: jeg kender ikke til EU-clouds og er meget nysgerrig at høre, hvilke der findes herhjemme.

@Johnny Lüchau & @Casper Petersen: Har I gode bude på EU-clouds?

11. maj 2021 kl. 10:57
Microsoft bøjer sig for Schrems II: Data kan blive i EU (ComplianceTech)

Det er da rigtig fint, at Microsoft prøver noget. Men det er da ikke nok!?

Er Microsoft stadig en amerikansk virksomhed? Ja. Er Microsoft stadig underlagt FISA 702 fordi de er kategoriseret som* electronic communication service provider*? Ja. Skal Microsoft stadig udlevere data til efterretningsmyndigheder i USA ved en FISA-anmodning som udelukkende er godkendt af amerikanske juridiske instanser, men ingen europæiske? Ja. Selvom Microsoft prøver at offentliggøre nogle af disse FISA-anmodninger, vil der så ikke stadig være nogle datatræk ud af EU, som Microsoft har fået besked om at hemmeligholde, mens ingen europæisk myndighed bliver notificeret, for ikke at tale om den registrerede/dataansvarlige selv, hvis data bliver ulovligt overført til USA vha. Microsoft? Ja.

Så, hvad skal dette nytte? "Microsoft bøjer sig for Schrems-II" - nej det gør de bestemt ikke. De bøjer sig for FISA 702 og EO 12333, hvilket vil have prioritet over europæiske ønsker om fuld transparens og kontrol, samt retssikkerhed (hvilket vi europæiske borgere heller ikke har på samme måde, da europæiske borgere ikke har ret til at stævne overvågninger i FISA-court), og alle de andre europæiske garantiert forbundet med privatlivsbeskyttelse, som stammer fra EU Charteret for Menneskerettigheder, EU Charteret for Grundlæggende Rettgiheder, GDPR, etc.

»Vi implementerede supplerende foranstaltninger efter Schrems II-beslutningen, for yderligere at understøtte overholdelse af dataoverførsler, som vi mener opfylder og går ud over, hvad der kræves af Schrems II-beslutningen.

De supplerende foranstaltninger, som yderligere er forklaret i et udkast til anbefalinger udgivet af EDPB, Recommandations 02/2020 (en vejledning til, hvad "supplerende foranstaltnigner" rummmer, og som stadig er til høring), er jo ikke defineret ordentligt endnu. EDPB lægger op til at "data in the clear" ikke gives i hænderne af amerikanske virksomheder som underligger FISA 702 (hvis der er tale om at data forbliver på EU-servere fra electronic communication service provider) eller EO 12333 (hvis data i behandlingen flyttes over til servere i Amerika).

Ja, selvfølgelig kan EDPB ændre i deres anbefalinger (Recommandations 02/2020), eller EU-kommissionen finder på en ny aftale med USA om tredjelandsoverførsler, en "privacy shield afløser" om man vil, som jeg har hørt kilder fra Datatilsynet berette om er under udvikling og snart klar til offentliggørelse. Men så længe de europæiske garantier ikke er bevaret, og der stadig er hemmelige dataoverførsler ud af EU, hhv. hemmelige datatræk igennem electronic communication service providers i og udenfor EU's grænser, nytter det ikke noget at AWS, Microsoft, etc. begynder på juridiske krumspring, sikkerhedsmæssige smoke & mirrors og desparat prøver at argumentere for en "risikobaseret tilgang" - en tilgang, som ikke tager højde for den manglende retssikkerhed i USA for EU-borgere, og som kun fungerer, hvis man faktisk kender til dataanmodninger (nemt for virksomheder som Microsoft at tænke ind i deres risikovurdering, men yderst svært for Microsoft-kunderne).

Jeg ser stadig kun få løsninger i den her sag - løsninger, som ville løse problemets rod:

  1. USA ændrer deres lovgivning til at tage højde for "non-US-citizens", og åbner op for en mere transparent tilgang til anmodninger om overvågning. Dvs. at USA giver EU-borgere ret til at stævne overvågning af deres person, samt at anmodninger ikke kun godkendes af US-myndigheder, men også af en repræsentant af det enkelte lands efterretningstjeneste el. lign., så nogen inden for EU's juridisktion godkender anmodningernes proportionalitet og nødvendighed, samt logger disse anmodninger, så EU-borgere efterfølgende kan blive underrettet, når sagen som ligger til grund for overvågningsanmodningen er færdigbehandlet.
  2. Virksomhederne ændrer deres organisation til ikke at være knyttet så tæt til USA - enten ved at EU-borgeres data ligger i datacentre, som ikke kan ejes, købes eller driftes af amerikanske virksomheder som falder under FISA 702, dvs. electronic communication service provider, eller ved at der åbnes nye selskaber helt uden tilknytning til amerikanske virksomheder, hvis eneste opgave er at formidle dataoverførsler til amerikanske virksomheder.
11. maj 2021 kl. 09:37
Google går i Apples fodspor: Vil lave privacy-sektion i Play-butikken

Jeg hører allerede ekkoen fra fremtidig gråd fra Facebook over at de synes det er helt forfærdeligt og urimeligt at de nu skal oplyse brugerne at de trackes i hoved og rumpe.

Men bedre bliver det dat ikke af det - det er vel stadig Google, der bestemmer, hvordan de så selv kan undgå for megen privacy.

7. maj 2021 kl. 12:15
EU-Kommissionen: Apple bryder konkurrenceregler med 30-procents-afgift

Okay, where to start...

I monopolsager er det vigtigste juridisk, hvad dommeren fik til morgenmad, for det er svært at sige konkret hvilke faktorer der lægges vægt på - fra gang til gang.

  1. monopolsager handler om jura, ikke om morgenmad. Og som PHK skrev, så er referencen "10-15% af alle mobiltelefoner" forkert, givet det er 100 % apple-telefoner som Apples App Store distribuerer apps til. Så her handler det om det relevante market, som er Apple-markedet.

Personligt tror jeg at Apple vinder, for det er ikke en "ren skat" som nogle skribenter fejlagtigt skriver. Man kan synes at det er for dyrt og at man kan gøre det billigere selv.

  1. jeg kan ikke se at noget er skrevet fra skribentens side af, hvorvidt det er ren skat. Jeg kan se ordet "afgift".

Jeg synes også det er surt hvis det var mig som skulle betale 30% (det første år og derefter 15%), men hvis i prøvet betalingshåndtering så vil i vide at fint kan koste 4-6% alene i betalingsclearing. Og endnu mere for udenlandske betalingskort.

  1. betalingsgebyrer har intet med den her sag at gøre. Og hvis du betaler 4-6% på betalinger, så har du valgt den forkerte indløser og payment service provider. Sagen her handler om monopoldannelse og konkurrenceregler. Og forresten er kortbetalinger yesterdays news. Til sidst vil jeg minde om at kortgebyrer siden PSD-II er blevet virksomhedens ansvar at betale, hvor nogle banditter førhen troede de kan smække den pris over på kortholderen. Jeg er enig med at virksomheden skal af med nogle af indtægterne for at lave penge, men decideret at skulle aflevere en tredjedel til Apple er voldsomt, fordi dette ikke er den eneste udgift. Prøv at forestille dig, at du skal aflevere 30% fra hver kortbetaling. Og derudover betale alle de andre udgifter. Små app-udviklingsvirksomheder bliver bragt ned til knæerne på den måde.

Dernæst er der levering af infrastruktur til salg af programmer og især af opdateringer – alt sammen noget som koster penge og som leveres af Apple.

Ja, dette skal de da klart have lidt salær for. Men igen, 30%? Distribuering og opdatering kan sagtens klares af andre tjenester, som ikke tager lige så meget. Og ja, Apple prøver da at hanke op med sikkerhed, men det er ikke fordi Apple er verdensmester i det. Og forresten, hvor meget koster Github lige?

Til sidst er Apple slet ikke stor nok til at kunne udgøre et monopol, da flertallet af telefoner er non-Apple.

Apple er ikke stor nok til at udgøre et monopol? Hvadbehar? :-) JO, det er de, og det er derfor, vi har den her artikel og den her sag. Og igen, det handler om det relevante marked. Så jo, det kan sagtens siges om Apple. Apple har allerede monopol på app distribuering på en af de to største OS i verden. Det er jo et marked i sig selv, givet at der også er en masse eksklusive apps, som kun findes på ét OS, nemlig Apples.

Muligvis er Apple et lokalmonopol, men jeg tror ikke at Apple bliver dømt. Hvis det nu var Google som sidder på 90+% af verdensmarkedet så var sagen anderledes.

"90+% af verdensmarkedet"? Det kunne jeg godt tænke mig, du uddyber :-)

5. maj 2021 kl. 09:16
EU-Kommissionen: Apple bryder konkurrenceregler med 30-procents-afgift

Handler ikke om monopol på mobiltelefoner, men monopol på app-distribuering. Du downloader dine apps i app store, og stoler kun på app store, fordi din operativsystem (også fra Apple) fortæller dig at alle andre kilder (eks. app-installer downloadet via en browser el.lign.) ikke kan stoles på og ikke er sikker. Nok fordi de så ikke tjener penge på apps.

På den måde har de en slags monopol på apps som downloades på iOS og iPadOS devices, hvilket udgør langt flere end kun 10-15 % af alle mobiltelefoner (husk vi ikke taler verdensplan her). Derudover kan du ikke installere en anden app-store (jo, det kan du godt, men det er tæt på ulovligt). Og er du ikke en godkendt udvikler (godkendt efter Apples regler), så må du kun udgive apps for dig selv, ikke til andre.

Sammenligner du med play store fra Google, eller andre "officielle" app stores (dvs. medleveret med mobiltelefonen), så er Apples app store meget partiisk.

At 30% af en app, som du og 20 andre udviklere har siddet og stablet på benene inden for nogle år med hård arbejde, blod, sved og tårer, i en sektor, som er så massiv præget af konkurrence, går til dem, der sådan set kun er en gateway til at man kan installere det fortrøstningsfuldt på en device fra samme firma, er utroligt unfair. Hvis en tredjedel at min løn skal gå til nogen, der lader som om de er den eneste sikre distributør af det, jeg producerer, så ville jeg skam lade være med at bruge den distributør.

4. maj 2021 kl. 12:00
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Men dommen som du kan læse her, tager slet ikke stilling til kryptering. Dommen tager stilling til om data må opbevares i et usikkert land. Og det må man ikke.

Persondata må sagtens opbevares i usikre tredjelande, hvis de ikke kan identificeres som persondata (vha. kryptering eller anonymisering). Efter hvad EDPBs Recommendations 02/2020 draft siger, så skal persondata bare ikke være i klartekst. Derved ville ingen kunne sige, at man har delt personhenførbare data (eller som nogle herinde fejlagtigt kalder det "personfølsomme data" - det er altså ikke et ord der findes. Enten "følsomme persondata", hhv. "sensitive personal data", eller "personhenførbare data", dvs. "personal identifiable information").

Det er lige så meget lokation af data som lokation af firma som er problemet, US lovgivning kan tvinge enhver virksomhed i USA til at udlevere data til myndighederne OG forhindre virksomheden i at meddele det til dem de data omhandler/ejes af.

Det er så ikke alle virksomheder, og ikke alle lokationer. Hvis en virksomhed fx ikke er underlagt FISA 702, fordi de ikke er en "electronic communication service provider", så kan de jo sagtens have en amerikansk moderselskab, uden at være underlagt udlevering af data. Det samme gælder ikke, hvis data sendes fra datterselskabet til moderselskabet i USA, da der så er tale om at der sker den her automatisk masseovervågning igennem DOWNSTREAM (eller UPSTREAM eller hvad de nu kalder den i dag), som er lovliggjort igennem Exec. Order 12333. Så det er altid lige en vurderingssag.

Det, man heller ikke skal undervurdere her, er at krypteringen skal undersøges for dens styrke, og der skal undersøges, hvorvidt en electronic communication service provider underlagt under FISA 702 også udleverer krypterede data for så at lade NSA prøve dekrypteringen. Det lyder nu lidt som en James Bond film, men i mine øjne en reel fare. Kan kryptering knækkes? Har man valgt en god krypteringsstandard, eller er krypteringsstandarden tilfældigvis meget ringe og kan knækkes selv af Google.

Men hvis man overser sidstnævnte bekymring og fokuserer på hvordan fx support-problemstillingen (eller: follow-the-sun-arbejdsmåden) skaber problemer og hvordan disse kan undgås, og om IT branchen er interesseret i faktisk at skulle skifte væk fra big tech virksomhederne (hvilket ikke er IT branchens valg at træffe i virkeligheden, men pyt), så skal man ikke glemme, at big tech virksomhederne sagtens kan hyre eksterne support og hosting-virksomheder, og så fokusere på at sælge licenser frem for at sælge hele løsninger inkl. cloud og support osv. Få en europæisk styret virksomhed med revisorerklæringer fra europæiske revisorer og som er underlagt pligt om ikke at sælge virksomhed til ikke-europæere uden videre samt underlagt GDPR, til at køre driften og supporten for Google, så vil MS, Google, AWS, etc kunne fortsætte som nu. Vi kunne være trygge ved at der ikke sker dataoverførsler, som vi ikke kan trække i retten, og at der er en form for tredjepartskontrol på big tech.

Eller mere simpelt: få USAs lovgivning ændret vha. Biden, få dem til at give stævnerettigheder ifm. FISA 702 til ikke-amerikanere, og så se til at der skabes mere transparens. Hvis ikke overfor os direkte, så overfor fx europæiske myndigheder.

28. april 2021 kl. 13:26
Etisk råd: Oplysninger om seksualitet i nyt sundhedsdata-landkort stiller skærpede krav

Cpr-nummer findes heller ikke, det hedder personnummer. Det er vist mest Indenrigsministeriet, der holder fast i det. CPR-registret har "register" to gange. Det Centrale PersonRegister-register.</p>
<p>Mht. personfølsomme oplysninger, så er det måske lige som sekundmeter. Det er næsten forståeligt, selv om det egentlig burde være forkert. Jeg tror ikke, man krænker oplysningerne ved at bruge udtrykket. Hvis oplysningen nu skulle have følelser.

Enig mht. "CPR-registret" og "CPR-nummer".

Men mht. personfølsomme oplysninger, så er det som sagt sådan, at man mest naturligt tænker på "følsomme personoplysninger", mens ordet faktisk oftest bruges som "personhenførbar", dvs. "personally identifiable", hvilket fx. seksuel orientering ikke absolut er (hvis ikke man er den eneste person i verdenen, der tænder på det, man tænder på), osv.

Så jo, jeg synes klart, det er en vigtig detalje at få med, ellers bliver vi aldrig rigtig gode til at holde almindelige og særlige kategorier af personoplysninger fra hinanden, og aldrig helt gennemskuer, hvad der kan være personligt identificerbart.

(Sidenote: "Manden der bor i huset på bakken med det gule tag nær Bogense" kan være lige så personligt identificerbart, hvis du er den eneste mand i huset, og dit hus det eneste hus på bakken med et gult tag, osv...)

14. april 2021 kl. 14:12
Etisk råd: Oplysninger om seksualitet i nyt sundhedsdata-landkort stiller skærpede krav

En sidebemærkning, som ikke har så meget med artiklen at gøre, men fordi ordet blev brugt, vil jeg da lige bruge 1 minut på at påpege en ting:

"Personfølsomme oplysninger" er ikke et ord, der findes.

"Følsomme personoplysninger" er personoplysninger, der er særlig sensitive, som eks. seksualitet (orientering, forhold), etnicitet, race, politisk, religiøs eller filosofisk overbevisning, tilhørsforhold til fagforening, genetiske og biometiske data, helbredsoplysninger er følsomme personoplysninger. That's it.

"Personhenførbare data" er personoplysninger, hvormed man entydigt kan identificere en naturlig person.

"Personfølsomme oplysninger" er vildledende, da det bruges som "personhenførbare data", men ligner ordet "følsomme personoplysninger".

Tania Andersen og mange andre danskere er evt. ikke klare over hvor vigtigt det er at holde de to separate, for at man kan "tale samme sprog".

Men hvis DU læser denne kommentar, så tag denne oplysning med hjem og (i fare for at også du virker som en besserwisser) fortæl alle dem der bruger ordet forkert, at hvad forskellen er.

14. april 2021 kl. 10:59
Efter kæmpe-datalæk: Facebook vil ikke underrette en halv milliard brugere

Vi kan ikke gøre andet end at droppe brugen af tjenester udbudt af Facebook.

Imens kan vi herhjemme presse på hos politikere, for at de repræsenterer os i EU og verden bedre end de gør nu. Og at de tager GDPR mere alvorligt - Giv Datatilsynet mere ressourcer altså! Giv dem mere magt ift at indstille til bøder osv.

Ude i verdenen har vi imens en tech-ambassadør ude i Silicon Valley, som kan gøre lidt. Vi har Vestager til at komme efter EU. Men hvem har indtil videre formået BÅDE at give de store bigtech-virksomheder en over nakken, endda TO gange, OG har sat det irske Datatilsyn på plads? Max Schrems og organsationen bag ham, NYOB.

Man kan gå ind og donere penge til NYOB, som faktisk rykker på noget her i det stagnerede Europa. De arbejder benhårdt, giver kamp til stregen og går hele vejen. Her får man noget for sine penge... ikke som hi Datatilsynet.

Og så, ja så kan vi prøve at gøre persondatasikkerhed til et hverdagsemne. Ikke kun på arbejde, men også derhjemme, med familien, venner, osv.

13. april 2021 kl. 14:07
Vigtig Schrems II-afgørelse i Frankrig: Blåstempler omstridt AWS-garanti

@Rene: enhver europæisk bekendtgørelse som går via nationale datatilsyn eller nationale domstole kan danne precedence for fremtidige sager. Det behøves ikke, bevares, men man bruger alle kneb og tricks, hvis bare de hjælper ens egen sag.

Og den antagelse du kommer med ift. at det jo "kun er 3 mdr" og man har "fuld kontrol som individ" gør ikke noget godt for sagen, da det ikke er vigtigt hvor længe du opbevarer det. Bare et sekunds opbevaring betyder effektivt at det kan deles med NSA og det derfor har brudt persondatasikkerheden. Og det er ligegyldigt om det er følsomme persondata eller blot almindelige.

@Allan: Det er ikke sølvpapirstænkning at vi mister vores grundlæggende menneskerettigheder som vi er sikret igennem EU charteret og EU grundloven. Det er dem, der overtrædes, når NSA laver anmodning til en cloud-udbyder for udlevering af data. Og det er en overtrædelse til forskel for når danske efterretningstjenester beder om adgang, da vi som europæere er sikret et vist niveau af sikkerhed - proportionalitet bare som eksempel, eller muligheden for at anke den slags overvågning og spionage. Det kan europæere ikke i USA. Vi får ikke engang at vide, at vi er blevet overvåget, hvilket man godt ville, hvis europæiske efterretningstjenester havde brug for nogle af dine data. Så ja, målet ER faktisk at NSA ikke uden videre og kan få udleveret data om dig.

8. april 2021 kl. 09:52