Henrik P. Stougaard Nielsen

Tysk konkurrencemyndighed undersøger Apples omdiskuterede privacy-politik

Et selskab som Apple, der er i en position, hvor det på egen hånd kan fastsætte regler for sit økosystem og især App Store, burde indføre regler der fremmer konkurrencen. Men vi har grund til at tvivle på, at det er tilfældet i denne sag, når vi kan se, at reglerne gælder for tredjeparter, men ikke for Apple selv,« siger præsident i Bundeskartellamt Andreas Mundt.

Det er virkelig så fedt, at de har kompetente og skarpe myndigheder i Tyskland, der kan gennemskue den slags ting. De var også de første til at kræve, at Apple åbner op for deres NFC for andre virksomheder og apps i 2019 (trådte i kraft her i 2022). Og det venter vi stadig på herhjemme i lille andedam Danmark.

23. juni kl. 11:59
Finanstilsynet dumper sikkerheden i NemID-nøglekort: Skal fjernes fra netbank 30. juni

Belejligt det først er nu det ikke er godt nok ikke når nu det har været nok i de, hvad 10 år det har været i brug?

Nej, det har ikke været godt nok siden EU Direktivet om stærk autentificering trådte i kraft i september 2019. Det blev udskudt af forskellige årsager, og kom først til at gælde ca. 1.5 år senere. Men det er af samme årsag, at NemID-nøglekortet ikke har været gyldigt ved betalinger på nettet siden da. Man kan desværre kun gisne om, hvorfor nøglekortet stadig har været gyldigt ved login til netbank. Man kunne forestille sig, at der ligger rent praktiske overvejelser bag dette, idet MitID ikke eksisterede i 2019.

Og fx også samme årsag til, at du ikke længere kan betale med magnetstriben alene i EU.

23. juni kl. 11:50
Efter Schrems II: Datatilsynet går i kødet på Region Hovedstaden og Økonomistyrelsens cloud

Det er rigtigt, at man i det tilfælde ikke behøver spørge; men man skal selvfølgelig huske at oplyse — det gælder også for de nødvendige cookies. Så du vil stadig skulle have et (lidt simplere) cookiebanner med en "OK"/"Luk" knap samt en Cookiedeklaration, der beskriver, hvad de nødvendige cookies bruges til, og hvilken type data de indsamler om slutbrugeren og dennes enhed.

16. juni kl. 23:41
Efter Schrems II: Datatilsynet går i kødet på Region Hovedstaden og Økonomistyrelsens cloud

I mine øjne er det ikke en "nødvendig" cookie, hvis den skal bruges til f.eks. login på en side

Hvilket i mine øjne omvendt definerer nøjagtigt, hvad en nødvendig cookie er: En strengt nødvendig cookie, der skal være der for at en hjemmesides grundlæggende funktionalitet fungerer. Her gives ofte eksempler såsom indkøbskurv, loginfunktion, og sessionscookies som strengt nødvendige. Ligeledes er "simpel statistik" strengt nødvendig, eksempelvis performance/load overvågning på serverne.

Yderligere vil jeg argumentere for, at brugerne vil falde endnu mere ind i den faste rytme, der hedder at man bare accepterer per automatik, hvis man skal sige "ok" til hver en lille funktion. Netop consent fatigue er noget, man har italesat ifm. lovforarbejderne. Derfor er det også netop anbefalingen fra (mener jeg) Artikel 29 Gruppen, at man først ser på alle de andre hjemmelsformer, og kun som sidste udvej beder brugeren om et samtykke. Fordi ganske enkelt, hvis man spørger for ofte, så vil brugerne til sidst blive ligeglade. Ligesom vi ser med medarbejdere, der systematisk ændrer et enkelt tegn i sine passwords, fordi de bliver bedt om at skifte hver 90. dag.

Det er en ret udbredt misforståelse med GDPR: Man skal ikke bede om samtykke om hver en lille ting. Faktisk bør den mulighed ses som en sidste udvej grundet de ulemper der netop er ved samtykkeformen.

16. juni kl. 23:34
Millioner af danskere bruger stadig kun e-Boks trods udbuds-nederlag til Netcompany

Jeg ved det faktisk ikke. Jeg har selv haft mistænkt eBoks for at vise den popup udelukkende som et reklame-/loyalitetsstunt.

Men man kan sikkert godt gøre begge ting samtidigt.

16. juni kl. 15:42
EU vælger USB-C som opladerstandard på forbrugerelektronik fra 2024

Nej, selvfølgelig gør de ikke det; og det fremgår ingen andre steder end i din fantasi.

9. juni kl. 15:38
EU vælger USB-C som opladerstandard på forbrugerelektronik fra 2024

Som altid er EUs bestræbelser om dette emne desværre clear as mud. Første gang i 2009, hvor de begyndte på det her; dér troede vi også, at de havde vedtaget en fælles standard for stikket i mobiltelefonen—men desværre viste det sig jo, at det kun galdt porten i selve strømforsyningen.

Den nye lov har 5 "options", hvor Option 5 er den, som kræver, at både oplader, mobiltelefon og stik er USB-C, samt understøttelse af fast charging, unbundling af strømforsyningen fra telefonen samt mærkning af kapabiliteter på produktemballagen. De øvrige options tillader fx Apple at beholde stikket på telefonsiden samt adaptere, mv.

Og det står fuldstændig uklart fra EUs pressemeddelelser, hvilken option man har vedtaget. Og det er heller ikke klart i den relativt korte lovændringstekst via Eur-Lex, hvad man egentlig har vedtaget.

Derudover bliver man ikke klogere af at læse de forskellige nyhedsmedier, da de også før har rapporteret fejlagtigt omkring netop dette emne.

I Annexet til loven tror man, at det står mere klart. Men heri fremgår det, at telefoner (osv.) skal komme med en "USB Type-C receptacle". Og mener man her, at det er stikket i telefonen eller strømforsyningen, der er en "receptacle"?

Dernæst henvises der til en IEC-standard, man skal købe for at få at vide, hvad annexet henviser til.

Ja, uddybning udbedes venligst.

8. juni kl. 20:28
GDPR spænder ben for nye edtech-leverandører i kommunerne

Jeg kan godt lide underrubrikken. Den får det til at lyde, som om edtech-firmaerne ikke kan finde ud af GDPR og bureaukrati, fordi de ikke kan læse xD

Det er svært for nye edtech-virksomheder at komme igennem nåleøjet databehandleraftaler og andet bureaukrati i folkeskolen, men hos Pickatale satser man på, at en gratis version af deres læseapp kan hjælpe.

2. maj kl. 19:20
CBS-ekspert: Danske offentlige brugerflader er »20 år gammel« teknologi

I hvilken verden har de dog bedre kundeservice i USA? Facebook har eksempelvis nul kundeservice ud fra devisen, at gode produkter, der er godt designet, heller ikke behøver kundeservice. Dén ide er vist kun teoretisk gangbar. Og jeg har da været rundt i det ene kafkaske helvede efter det andet hos især Google, Apple og Microsoft. Ved Amazon har jeg dog oplevet en ok kundeservice.

Og det offentlige derovre er ikke meget bedre. Hele deres Visa Application via ambassaden viser meget godt, hvordan det offentlige arbejder derovre. Hvis forfatteren til dette skriv mener, at MitID ligner noget, der er 20 år gammelt, så ligner de amerikanske føderale hjemmesider noget fra stenalderen. UX er mildest talt ikke-eksisterende derovre.

Da jeg var derovre forsvandt en pakke for USPS - deres postvæsen. Hvis man ringer til dem får man et automatisk IVR-system, man kun kan tale til. Ikke noget med "Press 2 for lost parcels". Nej, det er noget lignende: "Say 'My package did not show up yet' to make a claim". Og derpå skal man sige - ikke indtaste - hele sit sporingsnummer på 22 karakterer, som den derefter læser højt for en efterfølgende. Og hvis det er forkert kan man starte forfra. Man kan ikke få lov til at tale med et menneske. Faktisk skal man google sig til, hvordan man kommer i tale med et menneske ved USPS. I telefonsvareren skal man sige "hemmelige" ting for at blive viderestillet til et faktisk menneske. Jeg var nok nummer 800 i køen og ventede i 4–5 timer på at komme igennem.

20. april kl. 21:30
Ny cloud-vejledning fra Datatilsynet presser Kombit og Aula-platformen

Videregivelse, overladelse og intern deling - den skelnen eksisterer kun i dansk retspraksis. I GDPR betegnes de alle: "overførsel". Det er dog ikke en helt dum skelnen, da den tilføjer præcision: Overladelse er en overførsel til en databehandler, videregivelse er til en tredjepart.

13. april kl. 23:27
Efter forsinkelser og ekstra test: Endelig kom ny digital postkasse i luften

Gud hvor dumt.

eBoks har lavet en kopi af alt post fra det offentlige samt mappestrukturen. Så nu ligger alle beskeder fra det offentlige dobbelt - under fanen "Post fra virksomheder" og "Post fra det offentlige".

Hvis man omdøber eller opretter en mappe under hver fane, så ligger den nye mappe kun dér. Og sletter man gammel post fra det offentlige ét sted, så slettes det også kun dér.

OG det vil også sige, at alle mine smarte automatisk arkiveringsregler ikke længere virker.

21. marts kl. 18:24
Efter forsinkelser og ekstra test: Endelig kom ny digital postkasse i luften

HovedpointeGør det samme, som du gjorde før. Hvis du brugte eBoks, så fortsæt med det. Der er ingen forskel (andet end måske designet).

Før

  • eBoks stammer fra 2001. Det er derfor en gammel løsning, der kom længe før Digital Post, og var i starten henvendt til private firmaer, arbejdsgivere, osv.
  • Da Digital Post kom, så skulle det læses gennem Borger.dk (for private) samt Virk.dk (for virksomheder).
  • Derudover lavede eBoks en aftale om, at post fra det offentlige også skulle kunne ses gennem eBoks.dk.
  • Derfor tror mange, at Digital Post er det samme som eBoks. Det er ikke og har aldrig været tilfældet.
  • Derudover kom appen eBoks. Den kan det samme som eBoks.dk: Vise post fra det offentlige og virksomheder.
  • Ikke overraskende blev eBoks.dk den foretrukne løsning, fordi den ganske enkelt kan mere end Borger.dk og Virk.dk.

Efter

  • Man kan stadig læse sin Digitale Post fra det offentlige via Borger.dk samt Virk.dk, som man altid har kunnet. Det er (stadig) en overflødig løsning sammenlignet med eBoks.
  • Som noget nyt har vi fået en ny app fra Digitaliseringsstyrelsen, der hedder Digital Post. Den kan det samme som Borger.dk og Virk.dk (med andre ord er den også overflødig, for den kan kun vise post fra det offentlige).
  • Derudover har vi stadig eBoks. Det er i dag et privat firma, og det offentlige har ikke noget at gøre med det. De konkurrerer på markedsvilkår. eBoks kan det samme som altid. De har ændret designet, så beskeder fra hhv. virksomheder og det offentlige vises separat. Lidt underligt, men sådan er det.
  • Vi har stadig en app til telefoner, der hedder eBoks. Den kan stadig det samme: Vise post fra både det offentlige og virksomheder.
  • Som noget helt nyt har et andet privat firma lavet Mit.dk. Det er ikke en del af udbuddet med det offentlige, og er derfor en privat løsning fra Netcompany, der skal konkurrere med eBoks. Den kan også vise beskeder fra både det offentlige og virksomheder. Den kan du bruge, hvis du har lyst. Du kan også vælge at ignorere den og fortsætte med at bruge eBoks, som i dag.

Forskelle

  • Digital Post fra det offentlige er, som det altid har været. Vi har bare fået flere apps at vælge mellem. Hvis du er tilfreds med eBoks, så bliv ved med at bruge den.
  • Vi har derimod fået flere løsninger til post fra private virksomheder. Posten fra private virksomheder, du har liggende i eBoks, er kun tilgængelig i eBoks; og post fra virksomheder, der kun samarbejder med Mit.dk, er kun tilgængelig hos Mit.dk.
  • Den digitale post er tilgængelig på alle platformene. Det er den private post fra virksomhederne ikke.

Er Mit.dk noget værd?Det er et rigtigt godt spørgsmål. Andre virksomheder vil skulle indgå aftaler med Mit.dk, betale for løsningen, samt lave og vedligeholde en integration med Mit.dk. Hvis de allerede har en integration med eBoks, som de også betaler for, så har jeg meget svært ved at se en business case. Mit.dk bliver nødt til at være væsentligt billigere, nemmere og bedre end eBoks, hvis det skulle give mening for en virksomhed at bruge tid og penge på. Jeg vil tro, at Mit.dk bliver et flop. eBoks har den styrke, at de har aftaler med titusindevis af virksomheder. Det har Mit.dk som ny spiller på markedet ikke.

21. marts kl. 16:52
CPR i nummeroplysningen: Kan stadig supporteres fra tredjelande

Persondatalov er blevet afløst af databeskyttelsesforordningen. Så vi er gået fra national lovgivning til EU lovgivning.

Nej, det er ikke tilfældet.

GDPR kom desværre ikke helt i mål med harmoniseringen. Et internationalt firma skal desværre stadig leve op til 27 forskellige implementeringer af GDPR og (mindst) 27 forskellige nationale særlove. Du kan læse om de nationale forskelle her:

https://www.whitecase.com/publications/article/gdpr-guide-national-implementation

12. februar kl. 13:18
CPR i nummeroplysningen: Kan stadig supporteres fra tredjelande

Jeg er ikke jurist, men efter min opfattelse reguleres CPR i GDPR, hvis der er national særlovgivning (GDPR artikel 87), hvilket der er i Danmark. Derfor får den registrerede GDPR rettigheder, selvom det er CPR-loven.

Nej, omvendt. Nationale særregler træder forud for GDPR. Og de gælder kun i den pågældende medlemsstat.

Artikel 87 henvender sig til de nationale lovgivere, hvor den opstiller nogle rammer, som lovgiverne skal sørge for at overholde, når de formulerer lovgivning om et nationalt identifikationsnummer.

Men ellers er jeg enig i det, du skriver :). Jeg finder det bare unødvendigt at opfinde en ny "fortrolig" oplysningskategori, når man bare kunne henvise til, at CPR skal behandles efter de samme regler som i Art. 9 og anses som "høj risiko". Det ville have samme effekt. Jeg vil argumentere for, måske, endda bedre effekt, fordi en særlig dansk tredje oplysningskategori kun er med til at skabe unødig forvirring, i stedet for at man bare kunne have henvist til GDPRs eksisterende to kategorier.

Det ville man straks kunne forklare til en person, der ikke kender de danske særregler. Alle ville straks kunne være med. Nu skal man i stedet til at sætte sig ind i en helt tredje oplysningskategori, hvor der gælder "særlige" regler, som egentlig er de samme regler, bare maskeret som en tredje kategori af data.

11. februar kl. 20:28
CPR i nummeroplysningen: Kan stadig supporteres fra tredjelande

Hvad er forskellen imellem en fortrolig og en følsom personoplysning?

Det er også noget helt særligt dansk - kan jeg huske fra min undervisning i Persondataretten. GDPR nævner kun almindelige og følsomme personoplysninger. De "fortrolige" personoplysninger er en ekstra kategori, som det danske Datatilsyn selv har opfundet (desuagtet, at CPR aldrig har været designet til at være fortroligt/hemmeligt).

CPR reguleres netop ikke af GDPR, men af den danske Persondatalov. Derfor er CPR kun fortroligt i Danmark og ikke i udlandet, hvor CPR er anset som helt almindelig persondata.

10. februar kl. 22:21
Tak Peter!

Lidt reklame herfra (ved jeg ikke, om man må). Vi tilbyder gratis DNS-service ved Bricksite (bricksite.dk). Vi er et mindre dansk hostingfirma i Randers. Man skal selvfølgelig betale for domænet på årsbasis (hvor vi ligger ret gennemsnitligt prismæssigt), men vi tager ikke ekstra for DNS. Vores DNS er dog ret basic ift. hvad andre tilbyder (fx tilbyder vi pga. vores udbyder ikke AAAA records), men vi kan da være med på det meste.

3. februar kl. 14:32
Datatilsynet klapper i om Google Analytics-afgørelsen: Afventer andre EU-lande

Ja, nej, semi.

Der står i forordningen, at en relevant myndighed skal udnævne kontrolmyndigheden, og skal sikre Datatilsynets/-ene budget og resurser, men derudover er Datatilsynet fuldt uafhængigt og svarer kun direkte til Databeskyttelsesrådet i EU, som igen kun svarer direkte til EU Kommissionen.

Fx kan Folketinget ikke vælge at afskaffe Datatilsynet (det kan de dog de facto ved at fjerne økonomi og resurser; men det må de ikke).

Fx kan Folketinget heller ikke vælge, at nu skal Datatilsynet altså udføre sit arbejde på en bestemt måde. Eksempelvis da der var snak om at indføre en "påbudsordning". Det var fra starten et fata morgana. Det står også tydeligt beskrevet i netop Kapitel VI, hvorfor Folketinget ikke ville kunne gøre det.

Dog har du ret i, at Folketinget godt kan give Datatilsynet yderligere beføjelser, end de har i Forordningen, og fsva. disse ekstrabeføjelser, så har du ret i, at de er underlagt Folketinget.

21. januar kl. 10:07
Datatilsynet klapper i om Google Analytics-afgørelsen: Afventer andre EU-lande

De lever også med en konstant trussel om at politikerne fyrer dem, hvis de generer de bedste bidragsydere til partikasserne.

Datatilsynet er en EU-myndighed, der teoretisk set ikke er underlagt Folketinget. De kan ikke fyres. Men ja, det er faktisk for dårligt, at man i GDPR har valgt denne finansieringsmetode. Medlemsstaternes datatilsyn burde være 100% finansieret af EU selv.

20. januar kl. 13:59
Datatilsynet klapper i om Google Analytics-afgørelsen: Afventer andre EU-lande

Selvfølgelig gør de det. Enhver, der har været i kontakt med Datatilsynet ved, hvor inkompetente de er; og at de helst ikke foretager sig noget. Derudover kommer de ofte med underlige udtalelser, fx som her forleden, hvor de udtalte, at registrering af en borgers/medarbejders vaccinationsstatus ikke er en sundhedsoplysning. Det står de vist ret ene om blandt EUs datatilsyn.

19. januar kl. 22:28
Antallet af .dk-domæner slår rekord

Der mangler i artiklen en forklaring på, hvorfor der ses denne stigning i samlet volumen registrerede .dk-domæner efter august 2021. Jeg arbejder ved en hostingudbyder, og kan derfor kaste lidt lys over sagen.

Stigningen skyldes primært, at DK Hostmaster udrullede en stor systemopdatering i september 2021. Denne systemopdatering har medført en lang række fejl med registrering og betaling af domæner.

Faktisk har DK Hostmaster ikke faktureret korrekt siden d. 16. september 2021, hvor DK Hostmaster satte faktureringen på pause. Normalt undlader rigtigt mange forbrugere blot at betale regningen, og så udløber domænet automatisk. En del kunder undlader også at gennemføre den obligatoriske ID-kontrol med NemID, hvorefter DK Hostmaster normalt ville slette domænet automatisk efter 30 dage.

Problemet med fakturering medfører dog, at DK Hostmaster ikke ved, om der er betalt for domænerne gennem os forhandlere, og de kan heller ikke sende fakturaer ud. Derfor sletter DK Hostmaster pt. ikke domæner automatisk — hverken ved manglende ID-kontrol eller ved manglende betaling. Dette medfører i sagens natur en stor stigning af ubrugte domæner, som kommer med i statistikken, som under normale omstændigheder ville være slettet automatisk.

2021-rekorden over antallet af .dk-domæner er dermed lidt en ikke-nyhed, som snarere skyldes tekniske fejl end en egentlig stigende interesse i at have et .dk-domæne. Det er derimod en nyhed, at vi har en monopolvirksomhed, der ikke formår at udføre sin opgave med at administrere den danske del af internettet. Det er nu ca. 4 måneder senere, og de har netop meldt ud, at de igen er begyndt at opkræve pr. d. 3. januar 2022 - men med fejlbehæftede fakturaer:

https://www.dk-hostmaster.dk/da/news/fejl-i-betalingsservice-faktura

5. januar kl. 17:07