Rasmus Carstensen

EU sænker grænsebommen for persondata: »Det har potentiale til at være en revolution inden for digitaliseringen«

Det er som om man tror at hvis vores data ligger på en ikke defineret server, så er de i skyen, men hvis vi kender serveren, så er det bare som i gamle dage.

Vi kan da bare lave vores egen sky, eller have en server stående. Lave en mailserver og et filsystem og installere officepakken på de enheder der skal bruge dem. Helt som i gamle dage som jo ikke er så lang tid siden.

Det passer måske ikke lige ind i de måder man nu tjener stort på med mikrolicenser, men mon ikke de finder en smart måde at hive penge op af vores lommer alligevel.

Jeg kan ikke rigtigt se hvad problemet er, fra et data sikkerhedsmæssigt synspunkt i hvert fald?

30. november 2020 kl. 02:55
Så fik EU også nok: Kræver masterkeys til end-to-end krypto

Nej det er ikke ligegyldigt om man har læst de dokument vi diskuterer.

Der er da ingen grund til at vi skal bruge tid på at snakke om hvad vi skal lege, når vi alligevel slet ikke gider lege sammen...

Dit postulat er, at EU har ret og at vi skal lege med og finde en måde at regulere kryptering på. Jeg mener ikke at kryptering skal reguleres, da jeg mener at vores nuværende lovgivning er tilstrækkelig, samt at jeg ikke har tillid til, at vores regering vil afholde sig fra at misbruge hvad end der kommer ud af det.

Når tilliden er genskabt kan vi begynde at snakke om dette igen, men ikke før, og først da er dokumenterne relevante.

10. november 2020 kl. 10:52
Så fik EU også nok: Kræver masterkeys til end-to-end krypto

Du har heller ikke læst EU's dokument ?</p>
<p>EU er faktisk ret "hooked" på privatliv og menneskerettigheder...

Er det ikke lige gyldigt om man har læst det. Det handler om at den danske regering og flere andre i EU er ret ligeglade med hvad EU siger. Tag telelogningen som eksempel. Det er dømt ulovligt flere gange i EU og det tages der ikke hensyn til. Hvordan tror du regeringen vil opfatte det her nye forslag? Jeg tror de vil tage det som et tag selv bord og hente alle nøglerne fra advokaterne med påskud om nationens sikkerhed. De vil endda give alle nøglerne videre til NSA og de andre allierede.

Hvordan vil du have at man skal have tillid til systemet når systemet åbenlyst bryder loven hver dag?

10. november 2020 kl. 00:54
Føtex identificerer dig via betalingskort

Som jeg skrev i det første indlæg, men som åbenbart blev misforstået, så skal der skelnes mellem det at køb gemmes for en person og det at personen identificeres.

Det er en meget fin knivsæg der balanceres på her, fordi der er flere fordele både for forretningen men også for menneskeheden at forbrugsmønstre gemmes. F.eks. at forretningen kan optimere og forudsige hvad der skal købes ind, så madspild mindskes og bedre priser kan gives og forretningen har mindre spild og mere indtjening.

Dette sat op imod at de også har en fordelsklub, hvor yderligere rabatter kan opnås for kunden og forretningen kan skræddersy tilbud til lige den kunde ved at identificere denne.

For at begge dele kan fungere skal de have to seperate databaser, og undlade at lave koblingen mellem dem fra før man har meldt sig ind i fordelsklubben. Forretningen har altså data, men skal undlade at bruge dem.

En væsentlig ting som jeg overså i mit første indlæg er så at det tilsyneladende slet ikke er tilladt at de gemmer den token som de får fra NETS og der har vi så det helt væsentlige, for uden den vil de heller ikke kunne lave fordelsklubben kun på baggrund af af din kortbetaling. Så skal noget andet registreres ved hvert køb...

22. oktober 2020 kl. 08:57
Føtex identificerer dig via betalingskort

Jeg kan godt forstå hvorfor dine advarselslamper lyser, det gør mine også, til dels.

Som udvikler ville jeg også gemme den pseudo profil og se hvad der kunne gøres for at forbedre kundeoplevelsen på baggrund af disse data for alle kunderne, så de vil blive ved med at komme i forretningen. Det er forbrugsmønstre og ikke personer der registreres.

At du så har tilmeldt dig Føtex Plus er for mig fuldstændigt ubegribeligt, det hænger jo slet ikke sammen med at du har slettet sin MS partition osv. Ikke bare naivt, men dumt i min optik, undskyld ;-)

21. oktober 2020 kl. 13:22
Infosecurity, arrangeret af Version2, er - trods corona - klar til at sikre dig mod cyberkriminelle

Jeg forsøgte at tilmelde mig men der var så mange spørgsmål at jeg opgav halvvejs igennem processen.

Man skulle næsten tro at de ikke vil have at folk kommer...

27. september 2020 kl. 22:17
»Idiotisk telefonsystem«: Derfor kan enhver stå bag SMS'en fra din mor eller chef

Hvorfor laver man ikke noget i stil med SPF på mail, hvor man laver et tjek på hvor telefonen, som nummeret er tilknyttet, befinder sig, og hvor opkaldet kommer fra. Man kan jo nærmest blive dømt for mord på baggrund af teledata, så det er da noget man kan stole på, i hvert fald nok til at lave sådan et tjek. Så kan man sende en kode med ud til brugeren, som telefonen kan bruge til ud over at vise nummeret, kan vise en besked om at man ikke er sikker på validiteten af afsender, og så kan modtager selv tage stilling til om telefonen skal tages eller blokeres.

12. juni 2020 kl. 09:42
Blog: Er GDPR en med- eller modspiller for digitaliseringen?

Det er et stort problem at staten sender signal om at det skal være gratis for det offentlige at overtræde GDPR, og at GDPR slet ikke skal gælde for det offentlige i nogle tilfælde, f.eks. når SSI får lov til at sende data over atlanten til forskning. Hvis bare det er til forskning så kan data føres ud af EU og så kan man gøre hvad man vil. Ligesom at ingen data nogen sinde slettes fra statens arkiver.

På den anden side, så er det også næsten gratis for den private sektor, for datatilsynet har jo reelt ingen mulighed for at straffe. De kan kun sende den videre. Det er en tandløs vagthund.

Reglerne for overtrædelse skulle have været ens i hele EU og der skulle have været en overordnet myndighed man skulle kunne klage til, som ikke favorisere de enkelte nationale interesser. I Danamark mener regeringen jo at mere overvågning er det samme som mere sikkerhed, eller hvordan det nu var det blev formuleret...

Et andet problem er at når jeg en gang i mellem føler at nogen misbruger mine data, eller decideret overtræder GDPR, så kan jeg finde på at ringe til virksomheden, men i kundeservice bliver jeg gang på gang mødt af en kundeservicemedarbejder der er af den overbevisning, at da de har en stor juridisk afdeling og har undersøgt alt, så er det helt sikkert ikke dem der gør noget forkert. Det er da mig der er en stupid kværulant og jeg skal ikke komme og tro at jeg ved mere end deres hær af jurister.

Jeg har selv lavet rådgivning om hvad man må og kan ved systemudvikling (privacy by default) og har ofte følt at jeg som tekniker/DPO står på den modsatte side op imod juristerne der mere tænker profit for virksomheden, og tager alt lige til grænsen.

26. maj 2020 kl. 10:59
Fra borger til bruger – derfor er gratis apps som at købe katten i sækken

Jeg ved godt at det ikk er for alle og enhver, men i dette forum er der nok mange der kan finde ud af at sætte alle sine enheder op med en VPN. Man kan så få det til at se ud som om man er et helt andet sted, og man kan kryptere alle sine data, men det forhindrer ikke de apps man har i at kommunikere med udviklerens server.

Man kunne også køre op mod en VPN til en server man selv ejer, med en firewall man skal igennem for at komme på nettet.

I sin egen firewall kan man styre ret meget, og det man ikke kan se (eller gennemskue) kan man lukke for. Hvis man er en større gruppe der arbejder sammen, kan man med tiden finde ud af at filtrere de pakker "der sladrer" væk som techgiganterne pakker ind i alt den anden kommunikation. Man kan også skifte nogle ud, så man ikke længere kan stole på de data man sender ud. Det vil være en evig proces, men jeg tror man kan komme langt.

Man skal dog bare ikke gå helt under radaren, for det vil også være mistænkeligt. De skal have noget... Så det gælder om at lægge sine æg i mange kurve og kun dele ud af det mest nødvendige.

PS. jeg er vild med sætningen: "Fornuft er i mindretal, når flertallet køber katten i sækken." Jeg vil nok citere dig for det en dag.

14. maj 2020 kl. 09:50
Del persondata om stress, sygdom og færden på kryds og tværs: Ny teknologi baner vej

"Med den nye teknologi svarer det nemlig til at dele anonymiseret data og dermed falder det juridisk ikke under GDPR, og dermed kan man undgå nogle af de ting, der er besværlige i dag."

Hvis jeg giver mine data til et firma til brug til et nærmere defineret formål, så må de stadig ikke bruge de data uanset om de er anonymiserede eller ej, til andre formål eller overdrage dem til andre der ikke er givet samtykke til.

Jeg forstår ikke hvordan nogen med bare en studentereksamen kan påstå noget andet, med mindre de selvfølgelig lever af at sælge data og forsøger at misfortolke for egen vindings skyld.

11. oktober 2018 kl. 15:06
Nyt centralregister: Det offentlige vil sammenkoble borgeres kontaktoplysninger

Nej det er ikke rigtigt. Der er 56 punkter der skal tages stilling til nationalt, f.eks. alderen på hvornår man er ung, som skal være i spændet fra 13-16 år osv. Derudover kan staterne bestemme hvorvidt og i hvilket omfang statlige/offentlige instutioner skal underlægges reglerne for straf og bøder ved overtrædelse.

Dog har påvirkede individer altid mulighed for at sagsøge og søge erstatning, hvis man er direkte påvirket. Her gælder desuden at der kan sagsøges på vegne af alle, hvor hver enkelt skal sige fra, modsat før, hvor man skulle få tilslutning fra de enkelte før man kunne tage dem med i et gruppesøgsmål.

3. oktober 2018 kl. 11:14
Kina begynder for alvor at rangere sine borgere i omfattende ‘socialt pointsystem’

Det er ligesom i Danmark hvor staten vil samkøre offentlige registre, og f.eks. straffe forældre hvis børn pjækker fra skole...

De danske politikere er bare ikke åbne omkring det ligesom kineserne i det mindste er...

10. april 2018 kl. 12:39
Tor skrotter messenger-tjeneste efter to et halvt år i beta

Måske nogen kan kaste et lys over hvorfor de ikke anbefaler Signal som alternativ til deres messenger??

På CoyIM's hjemmeside står der i en fed advarselsboks: Not yet audited. Do not use for anything sensitive.

3. april 2018 kl. 13:49
15-årig hacker 'sikker' crypto-wallet: Hul stod åbent i fire måneder

Her ville det klæde journalisten at specificere hvorvidt en opdatering er nødvendig for Ledger ejere, eller om det er klaret lokalt fra Ledgers side!

23. marts 2018 kl. 13:06
Patientindeks skulle oprindeligt testes på 50.000 særligt syge – men nu er alle patienter fra to regioner indlæst

Jeg forstår ikke hvorfor der ikke er nogen der fortæller dem at det her kan man ikke når persondataforordningen træder i kraft. Man må ikke aflevere data til private virksomheder uden de berørte personers samtykke, og det skal være specificeret hvad data bruges til. Vil man bruge det til mere end hvad man har samtykke til, skal man indhente nyt samtykke. Persondataforordningen virker i øvrigt ikke kun fremadrettet, så man kan ikke bare hælde data i bøtten og sige at det kun gælder nye personer...

Hvilke to regioner er der tale om her. Det er da et minimum at forlange af journalisten at finde ud af!

Hvor melder man sig ud af denne ordning. Der snakkes flere steder om at det er en opt-ud ordning, men ingen skriver hvordan man gør det?

Hvordan sikrer vi vores børns data?

7. november 2017 kl. 07:34
Myndigheder udleverer patientdata til forskere uden samtykke

Ja den havde jeg ikke lige set komme. Den skal have lidt overvejelse...

Samtykke skal dog være tydeligt og må ikke længere være en kilometer lang liste skrevet i et sprog som ingen forstår, så der vil der ske ændringer, også selvom det er "forskning".

Selvom det er blåøjet at tro, så burde alle der har indhentet samtykke på de gamle "betingelser" skulle indhente dem igen, da man efter maj skal have samtykke til et bestemt formål. Du må kun bruge de indhentede data til det du allerede har beskrevet, og da dette ikke er tydeligt beskrevet, så skal de jo i teorien indhentes igen.

10. august 2017 kl. 09:58
Myndigheder udleverer patientdata til forskere uden samtykke

Kære Anne-Marie Krogsbøll

Jeg sætter stor pris på din entusiasme og læser mange af dine indlæg med stor interesse.

Det undrer mig dog at du, og for den sags skyld mange andre ikke er bekendte med begrebet "tort", og den betydning det får når GPDR træder i kraft til maj næste år.

Det kan godt være at regeringen fritager offentlige institutioner for at kunne få bøder, men ingen kan fritages for at skulle udbetale tortgodtgørelse.

http://www.horten.dk/Viden/Artikel%202016/Overtraedelse-af-persondatareglerne-kan-ogsaa-udloese-tortgodtgoerelse

Jeg er klar over at man hele tiden har kunnet dette, men jeg mener at have læst at reglerne ændres, således at hvor man i dag skal have samtykke fra samtlige der vil indgå i et fælles søgsmål, så er alle automatisk medtaget efter GPDR træder i kraft. Mon ikke det kan skræmme Herlev Hospital at skulle betale 3000 i bøde til 100.000 mennesker? (3000 er så vidt jeg ved gennemsnitligt ved datalæk) Man kan næste håbe på amerikanske tilstande hvor advokater står i kø for at sagsøge offentlige institutioner...

En anden ting som regeringen tilsyneladende også har overset er, at både dataansvarlig og databehandler kan stilles til ansvar. Dermed kan det godt være at Herlev Hospital kan fritages fra at skulle betale en bøde men det kan cure4you ikke.

Når det bliver klart for de private virksomheder, som KMD og Netcompany etc. som laver mange af de systemer, som det offentlige benytter sig af, kan man jo håbe på at disse virksomheder ikke længere vil lave systemer fulde af sikkerhedshuller. Jeg må her tilføje at disse virksomheder ikke laver systemer med fejl bevidst, men pga. udbudsreglerne, er de nødsagede til at undlade at tage fordyrende ting som sikkerhed med. Af den vej får vi måske bedre systemer alligevel, til trods for at politikerne sætter borgernes privatliv til side for kommunale besparelser, og for at tilgodese private virksomheder.

Jeg håber at GPDR i fremtiden vil medføre bedre systemer, mere privatliv og god forskning i anonymiserede data. Jeg er dog bange for at det kommer til at tage tid...

10. august 2017 kl. 09:32
Hackerangreb mod it-leverandør bag app til DSB's grænsekontrol

Nej det gør det ikke. En kryptering kan dekrypteres. Man vil normalt heller ikke kryptere et password. Et password bør hashes, så det ikke kan genskabes. Man sammenligner så ved at hashe det indtastede med et salt hver gang folk logger ind. Hvis man glemmer sit password skal man lave et nyt, men kan ikke få sit gamle oplyst igen. Det er faktisk første gang i meget lang tid at jeg hører om et sted hvor de kun krypterer eller slet ikke gør noget...

6. januar 2016 kl. 22:58