Anders Ganer

Det fremgår ikke af artiklen i Berlingske, hvilke selskaber der er tale om.

Der er efter artiklen (og Berlingske) tale om et testmiljø. Og der er ikke trukket data ud, fortæller logningen. Har logningen virkeligt været så effektiv i et testmiljø, at man har kunnet fastslå, at der ikke er læst eller kopieret oplysninger? Og har der været adgang til data fra det testcenter, der netop er lukket i Ukraine. I så fald er der jo sket dataoverførsel til 3. land (i relation til GDPR).

Der efterlyses tal om underretnnger. Se her https://www.dst.dk/da/Statistik/dokumentation/statistikdokumentation/underretninger-om-udsatte-boern-og-unge#

Men husk lige, at debatten jo drejede sig om beskyttelse af personoplysninger...

Jeg har lige gennemtrawlet den udvidede projektbeskrivelse, som er behandlet af de to "pilotkommuner" (tak til Google):https://hjoerring.dk/media/18203/punkt_4_bilag_1.pdf

Intet sted er der anført noget om databeskyttelse...

Det eneste der kommer tæt på, er behovet for at klarlægge, "hvilke data der er tilgængelige og juridisk mulige at anvende til en systematisk risikovurdering".

Tankevækkende. Også bekymrende.

Ikke fordi jeg har noget imod at vi på rigtigt mange måder anvender data til at blive klogere. Det skal bare ske på en tilstrækkelig sikker måde.

Og er der i grunden tale om forskning?

Beskrivelsen viser et 3-delt projekt:

• Hvilke data har vi og hvad kan vi bruge
• Der udvikles et statistisk redskab til understøttelse af sagsbehandlerne
• Redskabet pilotafprøves.

Det ligner til forveksling et almindeligt projekt til udvikling af et it-system.

Godt nok er der særlige regler for forskningsprojekter, men her ser jeg ingen grund til at fravige det basale krav om en DPIA.

En korrekt - og lovpligtig - DPIA kan så afklare, om persondatabeskyttelsen vurderes at være i orden. Den tager tid - og hvad siger Datatilsynet mon til den?

Det bliver spændende at følge med i.

Det anonyme revisionsselskab, som omtales, er slet ikke så anonymt endda. Datatilsynet oplyser selv, at der er tale om BDO.

Rart at se, at der er styr på det hos dem, der rådgiver andre!

Jeg kunne logge på direkte fra hovedsiden, men det tager næsten et minut at få forsiden til at åbne. Og fortsat ingen https....

Det er lykkedes mig at logge på via en "jomfruelig" Firefox, men siderne loader meget langsomt. Chrome og Edge fungerer fortsat ikke, blokerer pga. en usikker forbindelse.

Justitsministeren har netop oplyst, at han fastholder det oprindelige oplæg til den danske følgelov: det er op til ministeren at vurdere, hvad data må anvendes til. Det behøver altså ikke passere gennem Folketinget hver gang. Altså på vej til at være "under radarhøjde".

Det vil nok øge borgernes mistillid til det offentlige. På et tidspunkt, hvor vi netop har behov for denne tillid.

Hele formålet med EU Forordningen var netop at skabe øgede muligheder for anvendelse af data ved at sikre et højt niveau for beskyttelse af den personlige integritet.

Men hver gang der vedtages en undtagelse, så går det ud over integriteten. Og når vi på et tidspunkt bliver så bange for at afgive oplysninger, at vi enten undlader det eller forvansker dem, så har vi for alvor skabt os et problem.

Fx er skoler og gymnasier lige nu mere optaget af undgå at komme i klemme med klimamålinger og tilfredshedsundersøgelser end at forbedre det fysiske og psykiske miljø. Mål og midler har pludseligt skiftet plads.

Er det virkeligt det, vi vil?

En af forudsætningerne for EU Kommissionens godkendelse af Privacy Shield aftalen var, at USA skulle styrke beskyttelsen af persondata, herunder specifikt for udlændinge (ikke-amerikanere,) der i dag kan få analyseret deres e-mails og anden digital kommunikation af NSA trods Privacy Shield under loven »Foreign Intelligence Surveillance Act (FISA). Denne styrkelse ser ikke ud til at finde sted. Gad vide, om EU eller Datatilsynsmyndighederne vil reagere herpå?

Det offentlige har i mange år skulle slette personoplysninger efter en vis periode. De konkrete krav fremgår af de enkelte myndigheders anmeldelser til Datatilsynet. Søg i "Fortegnelsen" hos datatilsynet.dk

Når oplysningerne så er slettet her, så er en stor del faktisk ikke slettet alligevel. De overgår blot til at blive håndteret efter en anden lov, Arkivloven. Det er også tilfældet fremover.

Og det med den enkelte persons ønske om at blive slettet, det gælder ikke i ret stort omfang for de offentlige systemer. Der er lovgivningsmæssige krav om, at oplysningerne om sagsbehandlingen gemmes i en vis periode. Det er det, der (også) beskrives i de nuværende anmeldelser til Datatilsynet.

I praksis vil udfordringen for ESDH-systemerne (og mange andre systemer, CRM m.m.) være større for private virksomheder end for offentlige.

Men det betyder ikke, at den offentlige sektor ikke har udfordringer med Dataforordningen. Slet ikke! Eksempelvis aner vi endnu ikke, hvad der skal ske med de omfattende logningskrav, der p.t. eksisterer for store dele af den offentlige administration. Men måske bliver disse krav også blot udrullet til den private sektor. Så bliver der for alvor udfordringer...

Det ville give mere mening, hvis der i forbindelse med risikovurderingerne omkring et system blev taget konkret stilling til sikkerhedskravene. Og hvis drift og/eller support er outsourcet til eksterne, hvordan skal disse så dokumentere at leve op til kravene.

Ideen med at kryptere data giver ikke rigtigt mening, hvis vedligeholdelse, drift og support er outsourcet til trediepart.

Stil derfor mere nuancerede krav, end der p.t. ses. Teorien om, at "one size fits all" har spillet fallit, men det er jo nemmere at kopiere fra et eller andet paradigma end selv at tage stilling. Juristerne er nødt til at tale med it-teknikerne, og topledelsen bør også ind over, hvis systemet eller data er essentielt for virksomheden eller kunderne/borgerne.

Sikkerhedskrav koster, men det gør en livsforsikring jo også. Og hvem synes, at sidste års forsikringspræmie var spild af penge...

... der tilflyder næppe Datatilsynet 10-15 årsværk ekstra. Det er nemlig risikofrit for staten at holde tilsynet på et minimumniveau.

Bliver tilsynet bekendt med overtrædelser af reglerne - via den lovpligtige meldepligt eller via medierne - så falder "fars hammer" i form af bøder, måske endda også til det offentlige. Det giver den nødvendige synlighed og dermed også en (vis) afskrækkende virkning. Sagsbehandlerne kan blot vente på, at telefonen ringer.

Men hvor ville det være befriende, hvis blot en brøkdel af de juristtimer, der i det lovforberedende arbejde er brugt i det offentlige, fremover kunne fastholdes i det kommende tilsyn. Vel at mærke, hvis tilsynet vil gå dybere ned i sagerne end den "kradsen i overfladen" ved tilsynsbesøgene, vi hidtil har set.

Sandheden er jo, at det først er efter den 25. maj 2018, at slaget skal stå! Ingen forventer vel, at al offentlig og privat virksomhed reelt er compliant pr. denne dato.

Eller som Churchill sagde efter Slaget om England: "Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning."

Det ville være reel Disruption, om Datatilsynet til maj 2018 ville have ressourcer, kompetencer og vilje til både at rådgive og kontrollere, så alle vi borgere kunne være mere trygge ved at lade andre behandle oplysninger om os. Rådgivning og kontrol kan udmærket gå hånd i hånd.

Jeg er helt enig i, at mail eller andre tilsvarende systemer er langt hurtigere end den traditionelle brevpost. Men ikke alle kan håndtere den digitale hverdag. Det kan være alderen, manglende digitale færdigheder eller manglende økonomiske muligheder for at være på nettet 27/7/365.

Posten har en "Must Carry" forpligtigelse til at nå ud overalt. Både til digitale "bekvemmelighedsflygtninge" og til dem der bor langt ude. Det koster. Ligesom det koster ekstra, hvis man køber over nettet og skal have leveret til ikke-brofaste øer.

Så længe posten skal skal opfylde den forpligtigelse, kan man ikke regne med Uber-priser.

Der er nok ingen vej uden om, at posten må genopfinde sin leverancemodel. Eller at samfundet må acceptere, at den analoge post ikke længere skal være en mulighed for dem, der har svært ved den digitale version.

Det ville klæde debatten med lidt mere nuancerede kommentarer.

Det er menneskeligt at fejle, og for den ansatte skal en eventuel straf selvfølgeligt stå i forhold til forseelsen. Hvis en enkeltstående fejl kan koste jobbet, så vil vi se en klar nedgang i produktiviteten. Det er der ingen, der ønsker. Men en stor bøde til arbejdsgiveren vil give denne et incitament til en bedre uddannelse af medarbejderne omkring it-sikkerhed. Og det er en klar forudsætning for bedre it-sikkerhed generelt.

Kommuner kan jo også få bøder fra arbejdstilsyn, levnedsmiddelmyndigheder m.m.

En hård kamp, Mogens. Det er vigtigt for innovationen, at der er gang i græsrødderne.

Men husk lige at få ledelsen og politikerne til at sætte et par årsværk af til at klare den kortlægning og registrering, som bliver nødvendig, hvis regionen skal leve op til kravene i den kommende EU Forordning. Også selv om det offentlige måske ikke kommer til at betale bøder for overtrædelser...

Kravet til portabilitet findes i Forordningens artikel 20, "sakset" her:

Artikel 20 Ret til dataportabilitet

1. Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når: a) behandlingen er baseret på samtykke, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på en kontrakt, jf. artikel 6, stk. 1, litra b), og b) behandlingen foretages automatisk.
2. Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få transmitteret personoplysningerne direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt.
3. Udøvelsen af den ret, der er omhandlet i denne artikels stk. 1, berører ikke artikel 17. Den nævnte ret finder ikke anvendelse på behandling, der er nødvendig for udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
4. Den ret, der er omhandlet i stk. 1, må ikke krænke andres rettigheder eller frihedsrettigheder.

Det er langfra sikkert, at dem der bruger flest penge, også får mest for pengene. Derfor er analyser uden sammenkobling med effekten uden større værdi.

Og så ser jeg helt bort fra, at kommunernes konteringspraksis fortsat er så forskellig, at de "rå" nøgletal kan bruges til andet end at stille spørgsmål ved datagrundlaget bag.

Er det virkeligt status anno 2016, at læger kun kan skrive med to fingre? Det er vel ikke meningen, at digitaliseringen skal sættes i stå af denne hindring.

Måske er der i virkeligheden mere tale om en mental blokering i forhold til at overtage noget, som anses som banalt sekretærarbejde....

Det er rigtigt lang tid siden, at problemet blev konstateret. Alligevel er det først nu, at Nets sender aben videre til pengeinstitutterne, som så selv skal reagere efter egen vurdering.

Rettidig omhu, hmmm...

Ideelt set patcher netbutikkerne til tiden, så eventuelle huller ikke kan misbruges. Er forretningsgangen ikke i orden, opdager den revisor det, som årligt skal afgive en særlig erklæring om sikkerheden. Og mangler erklæringen fra revisor, reagerer Nets herpå.

Der er ikke noget fremme i medierne om, hvor i denne "kæde" der er sket svigt. Det kunne være relevant at få belyst, om der er en "systemisk" fejl.

Her er i øvrigt en (ikke opdateret) oversigt over netstederne:https://www.version2.dk/artikel/29-danske-domaener-paa-aktuel-liste-hackede-online-butikker-990626

Gad vide, om Microsoft overholder kravene i den nye Safe Harbor-ordning? Overdreven dataindsamling, cookies uden accept, videregivelse med henblik på markedsføring lyder mest af "gamle dage"...