Kunne det ikke tænkes, at der er brugt iPhones og dermed standard iMessage? iMessage beskeder bliver (mig bekendt) sendt som var det IM beskeder og ikke transporteret som SMS (jeg kender ikke meget til Android, men går ud fra at Google har lavet noget tilsvarende iMessage?).
Apple skriver selv, at det er end-to-end krypteret, så det er vel derfor at teleselskabet samt politiet ikke umiddelbart kunne genskabe beskederne?
Så det kan vel være sådan at de eneste (meta-)data teleselskaberne og politiet kunne se er, at de pågældende telefoner har været i forbindelse med iMessage serverne.
Hele præmissen for forskningen har måske været fejlbehæftet, graden af anonymisering har ikke været tilstrækkelig, så det er muligt at inditificere deltagerne (såvidt jeg har ladet mig fortælle af matematikere ved Alexandra instituttet er 100% anonymisering ikke muligt hvis data skal være brugbare, og pseudonomisering er ikke bedre, men det er en anden snak).
Så forskeren har (muligvis) haft adgang til for megen information, det er et brud på regler (igen reglerne og lovene er ikke binære, så der er rum til fortolkning), og det skal han/hun/de selvfølgelig rette ind fremadrettet.
Men nu har de så en information der er potentiel livsreddende for personer de/man kan kontakte, og der er det jeg siger at: liv frem for GDPR.
Jeg siger ikke at AL(!) GPDR skal ignoreres, men har man viden der kan redde liv, så bør det slet ikke være til overvejelse om man skal lade disse mennesker potentielt dø blot for at overholde nogle EU bestemmelser omkring privatliv. Men i DENNE AKTUELLE sag er det helt ok at ignorere datatilsyn og jurister og informere de borgere, der potentielt kan dø ved at man sidder og brænder inde med viden, specielt da der er tale om en smitsom sygdom, som hverken du (nok?) eller jeg vil være interesseret i spreder sig.
Så nej man skal ikke bare tilsidesætte alt omkring datasikkerhed eller dataetik, men sker der brud på det må man se på hvad konsekvenserne i den ENKELTE SAG, og konsekvenserne kan ikke skæres over en kam - det vil altid være en vurdering fra sag til sag når der sker et brud.
Er du villig til at ofre hele landets datasikkerhed for en chance for at redde et enkelt liv,
Ja.
I denne sag er konsekvensen meget meget lav for brud på privatliv, at en potentiel redning af 9 liv er meget vigtigere end at nogle forskere holder mund over nogle data de måske ikke i første omgang skulle have så detaljeret.
Nu har de en viden og derfor er det deres lod/pligt at informere - alt andet ville være umenneskeligt og iskoldt.
Hvad nu, hvis det faktisk er muligt at redde disse menneskeliv uden at krænke GDPR, simpelthen ved at benytte en anden metode end at inddrage læger og forskere, som principielt ikke har patienten i behandling? Hvorfor så klamre sig til den dårligste løsning?
endnu en gang. Det må man tage bagefter i denne aktuelle situation.
Lige nu er der en aktuel sag, hvor der er nogen der har livsreddende information - den information skal ikke holdes tilbage, men skal hurtigst muligt gives til patentierne.
Man skal ikke til at DJØF'fe sig igennem en masse regler og bestemmelser først (efter man har opdaget at nogen måske har mere viden end de har behov for - tænk sig at vi er havnet der...)- red nu for fanden de liv der kan reddes og så kan vi bekymre os om hvordan fremtiden bør se ud derefter.
Det helt korte svar er: Liv frem for GDPR
Alle præmisser forud er fuldstændig ligegyldige i den aktuelle sag.
Faktum er, at der er nogle forskere/læger som er i besiddelse af information om navngivne individer. En viden der kan være livsreddende for de navngivne individer.
Her bør det livreddende være det centrale. Forsøgspersonen skal selvfølgelig have information om behandling uanset om det strider mod GDPR, som er sekundært her i forhold til at redde liv.
At der så kan være at problem med at forskerne har haft adgang til for meget information, det er et problem man så efterfølgende og fremadrettet kan gøre noget ved - men det er i alles interesse at den smittede bliver informeret og sat i behandling.
Jeg forstår simpelthen ikke at man kan forsvare GDPR, hvis selvsamme GDPR i denne aktuelle sag kan koste et eller flere menneskeliv.
@Anne-Marie.
Hvordan og hvorfor er ret ligegyldigt i første omgang. Hvis man har viden der kan være med til at redde en anden persons liv, så håber jeg sandeligt at forskeren/lægen informerer personen direkte og så kan de akademiske/juridiske spørgsmål komme senere.
Men en regid tolkning af en forordning/lov må aldrig komme i vejen for at der bliver reddet liv.
Hvis jeg selv var i den position at jeg havde potentiel livsreddende information jeg kunne give til andre, så ville jeg da se stort på datalovgivning, og tage den kamp efterfølgende. Jeg ville da i hvert fald ikke lade det være op til datatilsynet, politikerne eller juristerne at blive enige først.
Igen: Liv frem for GDPR
"Liv frem for førlighed" -> "Liv frem for GDPR"
De gange jeg har været på førstehjælpskursus, har et mantra altid været: liv frem for førlighed. Det vil sige at det er ok at flytte en tilskadekommet selvom det kan koste førligheden, hvis det er nødvendigt for at redde liv.
Det samme bør være gældende med behandling af data der kan redde menneskeliv.
Uden at jeg har bekræftet dødeligheden, så er der ovenfor i kommentartråden nævnt at tager man dødeligheden i betragtning, så kunne 9 personer risikere at dø hvis man fastholder en regid fortolkning af GDPR.
Så mantraet med databeskyttelse bør også indeholde: liv frem for tolkning af lovgivning.
UAP-AC-PRO er iøvrigt old news.. Nano og Flex er betydeligt hurtigere og koster næsten det samme
Dog har den, den fordel, at man kan videreføre et kabel fra den.
Jeg har en UAP-AC-PRO på mit hjemmekontor, som sidder så praktisk, at jeg kan gennemføre et kabel videre op på loftet fra den, hvor jeg så fordeler kabler ned til ungernes værelser hvor de har kablet deres gamer udstyr.
I stuen har jeg så placeret en UAP-LR, som dækker den anden halvdel af huset og haven, men selv der kunne en Pro også give mening da jeg ville kunne drive den via PoE fra kontoret og så køre kablet videre til mediecenter mv.
Så Pro'en giver rigtig god mening mange steder.
https://twitter.com/Lemberg/status/1049383263054299142
Og var der ikke noget med at alle der oprettede sig eller var oprettet via Google automatisk fik en G+ konto?
Hvor ligger data? Hvad bliver der gemt? Hvor let er det at blive "glemt" osv.
Det er nok ikke uden grund at der bliver sat nogle restriktioner for ukritisk brug af IT systemer.
Som jeg kan læse mig til rundt på interwebbet, så havde GitHub en udfordring med at få økonomien til at hænge sammen, og havde det ikke været Microsoft hvem kunne det så være der kunne overtage firmaet?
Jeg er ikke fan af Microsoft, men jeg ser da hellere et GitHub der overlever, end et GitHub der bliver tvunget til at lukke ned (hvis man ikke fik folk til at betale for servicen mere end man har set).
Hvis du alligevel er administrator på siden, har du formentlig mulighed for at få adgang til disse alligevel.
Med den kommende GDPR er det ikke nogen undskyldning, og det kan resultere i nogle gevaldige mio bøder.
Sådan set enig - men er der ikke men risiko for, at kommunerne bare spekulerer i, at "vi tager bøden, og så bruger vi den til næste projekt"?
Nej jeg vil faktisk mene at "bøden" skulle gå specifikt, og under revisionskontrol, til forbedring af det specifikke system der har skabt lækagen. Bøden skal jo selvfølgelig være relativ i forhold til vægten af den data der er lækket - det skal ikke være en automatudskrevet bøde. Den skal være proportional med lækagen og følsomheden.
Kan det bevises at lækagen er bevidst, så skal hammeren falde hårdt overfor de ansvarlige - absolut ingen tvivl om det.
Måske det var mere gavnligt, at man bad kommunerne (og virksomhederne) om at afsætte "bøden" til forbedring af software, sikkerhed og awareness.
Hvis et system lækker data og kommunen straffes med en bod på op til 16 mio, så er der altså også op til 16 mio mindre for kommunen til at forbedre datasikkerheden (det samme er selvfølgelig gældende for private virksomheder), og der er med garanti også mindre i budgettet til velfærd og uddannelse.
Er der tale om bevidste brud på datasikkerheden, og er ledelse mv. klar over det så skal der vanke bøder og fængsel, men ved uheld der er det fuldstændig overkill og en forherligelse af en nul fejlskultur, som ikke er gavnligt for nogen - det være sig borgere eller kunder.
Er der tale om menneskelig fejl, så er det måske awareness der skal arbejdes med i kommunerne og virksomhederne - hvad der i én medarbejders optik er følsomt er det måske ikke for en anden. Så en forståelse blandt medarbejdere over konsekvens af data bør være en langt højere prioritet end den er i dag - og med et kommunalt IT landskab som i en typisk kommune er på 3-400 IT systemer der udveksler data, der vil der ske brud på datasikkerhed hvis ikke ressourcerne bliver sat af til løbende udvikling og ikke mindst awareness.
Så i stedet for at bøderamme offentlige og private virksomheder, så var det måske bedre at tvinge virksomhederne til at reinvestere "bøden" i forbedret sikkerhed - det tror jeg vil være bedre givet ud end at pengene ryger ind på statsbudgettet.
Vælger man off the shelves CMS'er så kommer man til at bruge en masse tid på at tilpasse det (og ikke mindst sætte sig ind i svaghederne i systemerne).
Vælger man, at starte ud med nogle anerkendte frameworks, så kan man nå meget langt og der skal ikke mange udviklingstimer til før man har 80-90% af de funktioner man gerne vil have CMS'et skal indeholde (og man opdager måske at de 80-90% nok i virkeligheden er ret tæt på de 100% need to have funktioner).
I artiklen står der at koden ligger i et samle repo. Er det et Open Source projekt, eller er det closed source? Jeg vil opfordre til at gøre det til et Open Source Projekt - det kunne jo være at jeres CMS endte med at blive til det næste Django agtige framework (Python framework der også udsprang af et bladhus), og så ville I ikke være ene om at udvikle til det.
Der er ikke noget link til nogen undersøgelse i artiklen, så hvis man forventer at vi i kommunerne skal blive klogere af det, så kunne man da i det mindste forvente at der var et link med til undersøgelsen.
https://os2.eu/produkt/os2webscanner
Det kunne være at Flexya kunne drage lidt nytte af det Open Source projekt, som vi er en del kommuner der er gået sammen om.
Forbryderne er ikke helt dumme - de skyder med spredhagl, og sætter prisen så "lav" at de fleste nok vælger at betale. I bedste fald får de (virksomhederne) deres data tilbage - i værste fald har de tabt de 2000,- situationen er den samme, men de har trods alt gjort et forsøg.
Jeg er sikker på, at historier som denne er med til at skabe awareness omkring IT sikkerhed, herunder også sikringen af backup.
For mange er backup, desværre, ikke en "bare lige" opgave. Specielt ikke hvis der er tale om flere hundrede IT systemer i ens service katalog (ikke usædvanligt i kommuner), og jeg tror ganske enkelt ikke at der findes virksomheder i DK der med 100% sikkerhed kan sige at de ikke er i risiko for at havne i samme situation som dette revisionsselskab.
Næste problemstilling ved ekstern backup i DK er at den er rasende dyr, så næste overvejelse man skal gøre sig er at se stort på persondata inden for EU's grænser og vælge de løsninger der er til at betale sig til i udlandet (og hvis NSA vil have ens data så tror jeg næppe at de små udbydere i DK har en chance for at holde dem ude alligevel, men det er en helt anden snak og er mest af alt på et teoretisk niveau og ikke et realistisk niveau).
Jeg har også en computer der er ved at blive slettet fra Crashplans familie pakke (jeg har en 10 bruger licens). Computeren eksisterer dog ikke fysisk mere, men jeg har klonet de drev der var i computeren, og de images indgår nu i backuppen på en af mine maskiner.
Hvis man har behov for at gemme et snapshot af en computer, så vil jeg mene at man mere skal kigge efter arkiv løsninger som Amazon glacier eller Googles tilsvarende produkter. Der er det til for relativ få penge at gemme arkiver - det bliver først dyrt når man skal lave en stor restore af data.
Backblaze.com er også kommet med en ny bucket løsning B2, som er billigere end Amazon Glacier, men det er stadig i beta, så jeg ville nok ikke satse på det endnu.
Peter Binderup