BT: "Dommen bliver dog først endegyldig efter et retsmøde til januar." Hvad skete der så i januar? Hvor havde han personnumrene fra? Det skulle vel aldrig være hackingen, han blev dømt for?
Artiklen fortæller, at de pågældende blev dømt for at hacke, ikke for at ofentliggøre personnumre. Find en anden kilde, der kan støtte din påstand.
Hvem blev dømt for præcis hvad? Kilde, tak.
Ja, det var en fejl, at man ved at taste (dele af) personnumre kunne få at vide, om der var en, der havde det personnummer. Fejlen er indrømmet, fejlen er straks rettet, og kunderne er orienteret. Hvad er dit formål med at lade, som om det er et gigantisk problem?
Det ER et problem, at man nogle steder kan identificere sig bare ved at oplyse et personnummer. Det er naturligvis hul i hovedet.
At man kan gætte et personnummer eller har set det på en andens kørekort er naturligvis ikke noget bevis for, at man er den person. DET er et ægte problem.
Der er ikke tale om, at man kunne læse en oversigt over personnumre. Brugere, der var logget ind, kunne fremsøge en elev, og så kunne man se det navn, der var knyttet til det personnummer, man havde indtastet.
Muligheden for at søge med personnummer blev straks fjernet for elever og lærere, og skolerne blev orienteret samtidig.
I gamle dage stod ens navn endda sammen med nummeret. Nu har GDPR åbenbart gjort det til en farlig personoplysning, at telefonnummeret står på en seddel uden navnet ;-)
Jeg giver mig - det skal nok passe, at juristerne har lavet et makværk af det format, I beskriver. Man har et problem, som man så løser på en måde, der generer i alle mulige ligegyldige sammenhænge. På min skole har det været overvejet at fjerne klassebilleder af studenter fra 1948, og det var næppe den slags personoplysninger, der var formålet med GDPR.
At juraen er skuet hysterisk sammen betyder ikke, at det er fornuftigt. Denne tråd viser bare et lille hjørne af, hvordan GDPR generer. Man kunne klare sig med en regel om, at virksomheden ikke måtte gøre noget for at identificere personerne ud fra mailadresserne, og dermed ville de kunne afleveres helt anonymt.
Vi bliver også allesammen tvunget til at spilde tiden med at besvare det samme trivielle spørgsmål om cookies ved hver eneste opslag på en hjemmeside på grund af regler med overkill, ligesom GDPR er overkill. Effekten er den modsatte af den ønskede - alle godkender bare, fordi man ikke kan sætte nogle minutter af til at analysere den enkelte sides politik. Hvis man tillod, at brugeren kunne tillade en cookie fra en side, som forhindrede spørgsmålet på den side i et selvvalgt antal dage, kunne man sætte tid af til at overveje tilsagnet.
Ingen har endnu besvaret spørgsmålene om, hvor restauranterne skal få information om corona fra, eller hvorfor de skal bruge navnene.
Du tænker vel på sagen om, at Lectio uberettiget havde videregivet elevers (copyrightbelagte) opgaver til forskere - det var også ulovligt før GDPR, når man ikke havde fået elevernes tilsagn til at firmaet måtte bruge gymnasiernes/elevernes data til andet formål end det, de var afleveret til.
Hvis jeg med blyant og blokbogstaver skriver en barndomserindring fra jeg var 7 år i en gæstebog på en restaurant, er der altså tale om en personoplysning i GDPR-forstand, for kun jeg kan skrive den (du skriver jo "At man ikke altid kan finde frem til personen ændrer ikke på det", så det er ligegyldigt, at der ikke er nogen reel metode til at koble erindringen til netop mig).
Dermed er restauranten vel forpligtet til at destruere gæstebogen ifølge GDPR. Hvor lang tid har restauranten til det?
Dette er naturligvis et hysterisk eksempel, men jeg synes, at hysteriet starter allerede ved at mene, at en liste over frivilligt afgivne mailadresser og tidsrum uden anden identifikation end selve mailadressen er personoplysninger i GDPR-forstand. Hvor er jeres juridiske belæg for at mene det? Jeg synes, det ligner 'synsninger', hvor enhver anden mening kan være lige så valid, men en konkret reference til et overbevisende belæg vil hjælpe.
Ja, man kan helt frivilligt opgive en mailadresse, der viser ens navn, men man kan også have en mailadresse, der hedder MickeyMouse123@hotmail.com
På hvilken måde er det en personoplysning?
Hvis jeg frivilligt maler mit navn i en graffiti på en mur, så er det også en personoplysning. Betyder det, at husets ejer er forpligtet til at gøre noget for at overholde GDPR? Næppe!
Hvordan identificerer du personen bag en hotmail-adresse?
Hvorfor navn? Hvis man nøjes med at lade gæsterne registrere en mailadtresse, som de ønsker at få besked på, ville der ikke være tale om en personoplysning.
Man registrerer vel også det tidsrum, man har befundet sig i restauranten, og ikke bare datoen? Måske placering i lokalet, eller blot hvilket lokale, hvis der er flere?
Hvor får restauranten beskeden fra om coronasmitte?
Det ville da ikke forvirre, hvis reglen var, at der skulle gøres opmærksom på, at en sms er spoofet. Så ville du kunne stole på dem, der ikke er spoofet, og du ville have en chance for at bruge energi på at overveje dem, der er.
Døde denne debat på grund af sommeren? Forhåbentlig arbejder Danske Gymnasier ihærdigt videre, så selve sagen ikke dør.
Lærerne på din skole kan stadig se oplysninger om dig. Også de lærere, der ikke underviste dig.
Jeg kan på min skole se karakterer og fraværsoplysninger for elever, der blev studenter i 2007.
Det virker oplagt, at de nationale operatører skal indgå en aftale om en whitelist, som indeholder de eneste udbydere, de videreformidler samtaler fra (de kan jo lade det være en service, så den enkelte kunde selv kan vælge whitelist eller alle).
Dermed kan en operatør blive smidt ud fra listen, hvis operatøren ikke kontrollerer sine egne kunders brug af spoofingtjenester. Derved kan vi almindelige kunder ved almindelige teleseskaber kunne undgå spoofede opkald/sms'er.
Det kan blive spændende at se, hvilke ændringer der kommer til systemet i morgen, når GDPR træder i kraft.
LUDUS blev udviklet fra bunden af KMD og blev først senere købt af CSC og organisatorisk ført videre i en selvstændug enhed i en afdeling, som ellers beskæftiger dig med sundhedssystemer (det er nok baggrunden for misforståelsen).
LUDUS Web kom til i 2008, så de nævnte erfaringer er ret gamle, ligesom de sider, der refereres til er det.
Det oprindelige system er løbende overført til webdelen. En proces, der ventes afsluttet i løbet af 2017.
Tænker du måske på sider som denne? Hvorfor mon den er relevant?
- ”Ifølge Martin Holbøll er der indtil nu tale om et beløb på omkring 70 milliarder, hvor vi ikke kan være sikre på, om der er udbetalt de korrekte beløb til de forskellige skoler.”
Hver enkelt skole har jo en revisor, hvis opgave blandt andet er at kontrollere taxametertilskuddene, så mon ikke disse revisorer ville have opdaget systemfejl? Jeg er ret overbevist om, at også Lectio ligesom andre systemer stiller alle oplysninger til rådighed for revisorerne, men det ved Martin Holbøll naturligvis bedre om er tilfældet.
- ” Han efterlyser selv en revision og kontrol med systemerne, som er helt uafhængig af leverandører, og vil gerne have Lectio revideret, men kræver at det skal være på lige vilkår for systemer og udbydere.”
Jeg vil anbefale, at version2 selv ser på de objektive kriterier i revisionskravene. Bemærk i den forbindelse, at det konkurrerende offentlige system er under udfasning på en måde, så systemet ikke eksisterer fra 2018. De relevante konkurrenter til Lectio er private og er underlagt præcis samme kontrol, som Lectio ikke af sig selv har ønsket at efterleve.
- ” I princippet er det de enkelte skoler, som skal dokumentere, at det system de anvender er i orden, men det har de selvfølgelig ikke ressourcer til.”
Hvorfor tog Lectio så ikke selv initiativ til at efterleve bekendtgørelsen i stedet for at afvente, at nogle enkeltskoler på eget initiativ vil betale ekstra?
Niels Larsen-Ledet