Vi har et meget stort fokus på at håndtere persondata ordentligt. Derfor er vi også lige nu ved at blive ISO-certificeret både i forhold til it-sikkerhed og persondatabeskyttelse. Det er et andet og højere niveau end blot at være compliant og betyder blandt andet, at vi skal auditeres årligt,«
Ja det er tydeligt at den gode sekretariatschef har da ikke helt forstået, hvad det går ud på. Man må tage sig til hovedet....
// Jesper
IT-Havarikommission nu!
Jamen lad os da endelig give embedsværket endnu en centralt potent værktøj. Det er jo så også den perfekte anledning til at eliminere evaluerings trinnet fra statens IT-projektmodel, CSI trinnet fra driften, Architectural change mgt. og eliminere kapabiliteten til at lave rootcause analyser alle andre steder end en central entitet. Vi kan se frem til et uafhængigt upolitisk fagligt kompetent organ i stil med Projektrådet, datatilsynet og rigsrevisionen.
// Jesper
PS: Måske skulle man læse Mogens Nørgaards seneste klumme i CW, han har nemlig fat i noget.
Gad vide om man har regnet brugernes... altså os borgere... tid med i business casen. For lige nu er der jo kun for cirka 20 kr. økonomisk gevist per borger....
// Jesper
Anne-Marie Krogsbøll skrev: Jeg mener det i betydningen, at beslutningsgangen på det område er alt for inficeret med tech-lobbyister. Det er i mine øjne en korrumperede faktor, selv om der måske ikke i juridisk forstand er tale om egentlig korruption.
Jeg er så absolut ikke uenig i at det er dybt problematisk for Danmark, at vores IT strategiske mål, bliver påvirket/bestemt af, hvad der står på hylderne hos de leverandører der lige er 'IN'.
Man kan så vælge at tro det udelukkende er korruption, eller at inkompetence og magtfuldkommenhed er svaret.
// Jesper
Anne-Marie Krogsbøll skrev: Jeg betragter det som korrupt.
Det synes jeg er stærke ord, ord som nok ikke har hold i virkeligheden.
Problemet med IT i 'det offentlige' starter i toppen, og er bare et symptom på en underliggende manglende respekt for faglighed. Især når faglighed anses for at stå i vejen for den umiddelbare 'lige vej' til et politisk mål.
Vi så det under Corona krisen, hvor SSI skulle 'pakke sin faglighed sammen', vi har set det ift. folkeskolereformen, den politiske nødvendighed ift. at sætte børn i fængsel, klima krisen etc. etc. etc.
Siden Anders Fogh afskaffede smagsdommere er denne udvikling bare accelereret.
Jeg mener også at Jørn Guldberg, principielt er gal på den når han mener, at det er datatilsynet der både skal rådgive og føre tilsyn. Hvis man er et tilsyn så fører man tilsyn. Det der mangler er Arkitektur på et statslig niveau. Vi har ikke en rigtig National enterprise arkitektur funktion. Ja, vi har resterne af noget i Digst under centret for Teknologi og Data, som da laver et godt stykke arbejde, men... ja..
Manglen på forståelse for hvad IT egentlig er og kan gøre, gennemsyrer hele centraladministrationen også på region og kommunalt niveau.
Man tror at IT er sådan noget med at man kan købe en teknologi dims, som man så kan se på om den kan løse nogle af de problemer man har. Helst en IT dims, som er sådan et buzzword.
Et godt eksempel er hele Cloud bølgen, "So ein ding muss ich auch haben" er parolen på tværs af det offentlige.
Men man forstår ikke, ud over at man selvfølgelig skal have behovet, så kræver det at man fundamentalt ændrer måden man ser IT på i organisationen.
Offentlig IT er i Danmark blevet til super tung indkøbs øvelse, hvor fagligheden halter, og værdiskabelsen er minimal.
// Jesper
Jeg vil gerne henvise til Betænkningen om edb undervisning (betænkning 666), som blev udgivet i 1972. Vi er, i det mindste når det kommer til folkeskolen, bagefter de anbefalinger, der gives i rapport. Jeg må konstatere at den 'EDB' undervisning, som mine børn i første og femte klasse modtager i folkeskolen er dårligere end den jeg selv gjorde.
Jeg lærte at tegne flow diagrammer, skrive COMAL 80 i kladdehæfter, nok mest pga. nogle ambitiøse lærere på min folkeskole.
Mine børn lærer at bruge Microsoft word og powerpoint. Og skal ellers så have hjælp fra Far når Onedrive "ikke virker".
I den kontekst er det jo også sigende at man i dag har travlt med at uddanne forskellige, i sær universitetsuddannede samfundsfaglige til, pædagoger, programmører og andet godtfolk som samfundet har brug for.
Vi har tabt .. eller politikerne har modarbejdet fagligheden i alt for mange år nu.
// Jesper
Men en ny vejledning fra datilsynet, har jo ikke ændret loven. Der er ikke noget der er blevet ulovligt, som ikke også var det før vejledningen. Der er ikke noget, der burde overraske kombit. Ud over at vi i det offentlige har mangel på IT faglige kompetencer og et overskud af jurister og administratorer der stadig er opdraget i en ånd fra enevældens tid.
// Jesper
Det vigtigste i den her kontekst er at overlades med sikkerhed er databehandling.
// Jesper
ja, helst dem der er så billige, at det det er for godt til at være sandt. Alt imens vi fastholder manglen på seriøs undervisning i datalogi fra en tidlig alder, og skærer yderligere i hvor mange IT folk der uddannes.
// Jesper
Det er Bertels skyld. Helt basale evner inden for IT området starter i folkeskolen. Man kan jo prøve at læse den her betænkning, som er... ja 50 år gammel:
Det her er et endnu et arrogant politisk fejl af dimensioner, som har rødder tilbage fra i fortiden. En arrogance der bunder i manglen på respekt for al anden faglighed end .. ja ..
// Jesper
Det vigtigste her @AMK er, at biometriske data kan ikke rewokes. Du kan ikke ændre dit DNA, du kan ikke ændre dit fingeraftryk eller mønstret af blodårene i dit retina. Rigtig Rigtig meget af hvad NGC foretager sig vil high risk high impact.
// jesper
Vi var nogen, der foreslog det her for hvad... 3-4 år siden til KL.. tja ja..
// Jesper
Så man har ikke fulgt loven... og nu vil man så ikke stå ved sit ansvar, og så er det bedre bare at lukke øjnene og vente på at fatamoganaer bliver til virkelighed ? Måske er der nogle ilsjæle, der kunne synes det var interresandt at se nogle af de risikovurderinger og konsekvensanalyser, der ligger til grund for KL medlemmers brug af disse services.
// Jesper
Spot on. 100% enig. Måske det bedste indlæg jeg har set fra PHK.
// Jesper
Til gengæld er det idiotisk navngivede "Mit.DK", som alle tror har noget med MitID at gøre, en fiasko af rang, med nu snart halvandet døgns nedetid. Men det har jo ikke noget med Digitaliseringsstyrelsen at gøre! Det er Netcompanys helt eget amatøragtige gøgl og kaos - kan ikke engang stave til "forstyrrelse" i fejlmeddelelsen.
Problemet er bare at når man f.eks. får en mail fra digst, om at man har fået ny post (fik min lønseddel fra en anden offentlig myndighed) så står der:
Log på borger.dk, Virk, e-Boks.dk eller mit.dk for at læse den.
Noget helt andet er så at de fire nævnte hjemmesider er så links i mailen. (Ialt er der 9 links i mailen). Og længere nede i mailen står der så:
Hvorfor er der ikke et direkte link til min Digital Post? På grund af sikkerhed indeholder e-mails om ny post aldrig direkte links. Direkte links kan nemlig misbruges i falske e-mails. Falske e-mails indeholder typisk direkte links til sider, som fx ligner NemLog-in, hvor kriminelle vil prøve at få fat i oplysninger om dit personlige NemID. Klik derfor aldrig på direkte links i en e-mail om ny post.
Jeg er temmelig sikker på, at hvis man ville lave noget phishing, og kopierede mailen og puttede direkte link ind til noget der lignede en login side, så ville en signifikant del af danskerne falde pladask i. Man skal bare lade være med at opdrage folk til at klikke på links i mails.
// Jesper
Så der er nok et stykke vej endnu inden MitID bliver brugbar.
Hvilket giver svindlere god tid til at sende phishing mails rundt med mere eller mindre kreative links, eller krav om indsendelse af billeder af pas mv. Det her er lidt en farce...
// Jesper
Problemet med de eksempler der bruges er, at de kun går et niveau længere ned end hovedleverandøren, nemlig til underleverandøren.
Under f.eks. en SaaS ydelse kan der sagtens ligge en kæmpe undertræ af underleverandører både i bredden og i dybden. Det kræver altså en hel del tekniske og organisatorisk indsigt og forståelse for hvad hovedleverandøren laver for at kunne vurdere om der ift. dette 'træ' er et problem ift. GDPR.
Og det .. ja tvivler jeg på at man checker, måske især der hvor det at brydde GDPR ingen reel konsekvens har.
// jesper
Hvad er forskellen imellem en fortrolig og en følsom personoplysning?
Det var heller ikke lige en kategori jeg var stødt på ift. GDPR. Meeen her er en forklaring:
https://www.datatilsynet.dk/hvad-siger-reglerne/grundlaeggende-begreber-/hvad-er-personoplysninger
Jeg har så svært ved at se hvordan det at knytte CPR nummer og telefonnummer sammen i en 118 database kan være andet end en lappeløsning.
// Jesper
Så skal der foreligge en risikovurdering med konsekvens analyse, af netop den her del af løsningen. Igen vi snakker en hjørnesten i national IT sikkerhed her.
Databehandling (f.eks. transport) på krypterede data, er også databehandling. Og det kunne være meget relevant at se hvordan man har forholdt sig til GDPR Artikel 25 altså Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Og især hvordan man forholder sig til
Jeg har brugt den Engelske version og highlightet state of the art.Taking into account <strong>the state of the art</strong>, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing
Og i den her kontekst er det vigtigt at huske på at vi snakker ikke kun confidentiality her, men også Integrity og Availability (og Accountability and Assurance).
// Jesper
Præmissen følger af det kommunale selvstyre. På samme måde skal kommunerne hver især være eksperter i mange forskellige ting. Fordi grundloven
Jeg kender meget vel loven om kommunalt selvstyre. Men dit argument holdet jo slet ikke, for det første fordi det her er en central del af økonomiaftalen mellem staten og kommunerne. Så ja…..
// Jesper
Jesper Frimann