Debbie Winter

Helsingørs borgmester raser over Chromebook-afgørelse: »En helt rædselsfuld og totalt urimelig situation«

I dag mødtes Datatilsynet med bl.a. KL og Helsingør Kommune for sammen at lægge en plan for en lovliggørelse af kommunens brug af Chromebooks. ... Under mødet erkendte Helsingør Kommune, at der er en høj risiko ved behandlingen, og alle parter er på den baggrund enige om at arbejde hurtigt og effektivt sammen om en lovliggørelse af kommunens brug af løsningen.

tjae, det var vel næsten for godt til at være sandt

[https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/aug/konstruktivt-moede-om-chromebooks]

Gad vide, hvem fra Datatilsynet, der deltog på mødet.

Løsningen kan selvfølgelig være et andet operativ system. Bliver spændende at se

19. august kl. 18:04
Datatilsynet fastholder: Chromebooks er stadig forbudt i Helsingør

Hurraaaaaaaaa, Datatilsyn☺

18. august kl. 18:26
Helsingørs borgmester raser over Chromebook-afgørelse: »En helt rædselsfuld og totalt urimelig situation«

Man har tænkt sig at indkalde til et møde mellem Helsingør Kommune, KL, Datatilsynet og Undervisningsministeriet, og byrådet bliver også hasteindkaldt til et møde, hvor det skal besluttes, om man har tænkt sig at følge Datatilsynets ordre.

ok, så i er ved at give et Tilsyn fingeren?

I har på intet tidspunkt beklaget det data give away, som i har udsat eleverne for I burde skamme jer, mande jer op ogbare erkende, at dette her har i totalt fejlet på.

18. august kl. 18:21
Kovending i Helsingør: Elever starter skoleåret uden Chromebooks - lærerne fortsætter

Jamen før GDPR var der noget der hed Persondataloven, men det kan godt være de har overset denne... Datatilsynet bør bede Kommuner, som ikke har en klar risiko analyseog hvad der ellers skal bruges, til at stoppe med chromebooks til bærn (som minimum)

10. august kl. 09:09
Kommuner går sammen om at løse Chromebook-problemerne

det her er faktisk lidt sjovt:

https://itchefer.dk/article/61-kommuner-bakker-op-om-nyt-sekretariat-databehandleraftaler

Kommuner, der går sammen om at lave en forening, som skal hjælpe med databehandleraftaler Startet i 2019 og Helsingør Kommune er bla medlem, men der er intet fra dem overhovedet i den nuværende sag

Og igen: Hvad skal vi med KL, hvis der skal laves andre foreninger/sammenslutninger for at kunne arbejde sammen? KL skal passe på, at de ikke overflødiggører sig selv...

9. august kl. 16:17
Kommuner går sammen om at løse Chromebook-problemerne

Godt. Og spørg dem kritisk, for lige nu giver de svar som man føler, at Google har givet dem. Du skal have dem selv til at svare for det bør de fakktisk kunne. Del gerne svaret med os, hvis du har lyst

9. august kl. 10:43
Kommuner går sammen om at løse Chromebook-problemerne

Jeg kan heller ikke se, hvordan de kan sikre at data forbliver i EU. Det kunne også være en ide at spørge mere direkte om det, Martin, når de har svaret på din nuværenve besked

9. august kl. 10:40
Kommuner går sammen om at løse Chromebook-problemerne

Spot on Anne-Marie Her burde KL vel netop hjælpe

9. august kl. 10:24
Kommuner går sammen om at løse Chromebook-problemerne

jeg ville spørge kommunen direkte hvordan den organisatoriske organisation er anderledes, så de mener, at dit barns data ikke er i risiko gruppen det er et flabet svar de giver og jeg ville presse dem for at få yderligere oplysninger

9. august kl. 10:22
Helsingør trodser Chromebook-forbud: Har sendt tusindevis af siders forklaring til Datatilsynet

https://easyiq.dk/personfoelsomme-data-i-gw/

tjek denne. de leverer til skoler og skriver bla:

VIGTIGT! Det er ikke muligt at købe sig til et færdigt system, produkt eller tjeneste som gør, at man som skole/kommune kan efterleve GDPR. Men sky-løsningerne kan hjælpe skoler/kommuner med at gøre opgaven mere overkommelig.

Så de sælger et produkt,som de ved,ikke lever op til GDPR...

7. august kl. 00:12
Efter forsinkelser og ekstra test: Endelig kom ny digital postkasse i luften

Opdatering på Digital Post efter 10-11 dage:

Private mails: Jeg har kun tilmeldt mig mit.dk, da der ingen cookie tracking er. Eboks.dk smider lige en vimeo tracker efter mig, når jeg bruger deres hjemmeside... Mit.dk virker godt via browser og det markerer hhv Offentlige og Private mails (jeg bruger ikke apps)

Offentlige mails: Borger.dk viser ikke sendt postbeskeder fra marts 22, men dem kan jeg så se i Mit.dk Jeg har fået en notifikation fra eboks, om at der er kommet mail fra Sundhedsdatastyrelsen, som jeg kan læse på Borger.dk eller i eboks.dk. Mailen er reel nok (siger Sundhedsdatastyrelsen), men jeg kan ikke se den i borger.dk, og eboks har jeg ikke tilmeldt mig hverken offentlig eller privat post (undrer mig så også over, at jeg kan få digital post på eboks i dette tilfælde). På mit.dk vises den slet ikke selv om det er post fra det offentlige. Sundhedsdatastyrelsen vil nu sende mailen igen så jeg får den. (Det er svar på tidligere korrespondance, så ingen har sikker overvejet, at jeg ikke har sagt ja tak til også at beuge eboks fremover.)

Summasumarium:

  • Digital Post på borger.dk har vist nogle fejl, og det er ikke ok, at jeg skal logge på en privat løsning for at se min post
  • Det kan godt være, at Digitaliseringsstyrelsen lagde op til, at man bare skulle vælge én privat leverandør til al privat post, men det er jo løgn. Jeg kommer til at bruge både eboks og mit.dk, for jeg skal hente brevene i de postkasser, som de private afsendere vælger. Jeg har intet frit valg selv
1. april kl. 11:55
GDPR vs moderne hjemmesider

svar fra Datatilsynet vedr bla legitiminteresse:

1. Jeg kan i forbindelse med dit første spørgsmål oplyse, at Datatilsynet ikke har afvist muligheden for at bruge ’legitim interesse’ (interesseafvejningsreglen), som hjemmel til behandling af statistisk data, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f. Tilsynet har imidlertid afvist muligheden for at bruge Google Analytics til statistisk behandling, jf. interesseafvejningsreglen.</p>
<ol start="2">
<li>
<p>Dataansvaret vil komme an på, hvem en behandling er fastlagt og sker på vegne af. Det vil kræve nærmere kendskab til parternes aftaler, såfremt et dataansvar endegyldigt skal fastlægges.</p>
</li>
<li>
<p>Interesseafvejningsreglen kan rumme mange behandlinger af personoplysninger, men det kræver – som navnet antyder – at behandlingen er legitim, og der sker en konkret afvejning mellem den registreredes og den dataansvarliges (eller tredjemands berettigede) interesser. De fleste behandlinger af en hjemmeside, som resultere i tracking af brugere, vil dog oftest kræve samtykke. Datatilsynet har fokus på området, bl.a. også i samarbejde med vores europæiske kollegear, men det vil – henset til bestemmelses natur – ikke være muligt at lave en udtømmende liste over behandlinger omfattet af interesseafvejningsreglen.</p>
</li>
<li>
<p>Erhvervsstyrelsen fører tilsyn med reglerne i cookiebekendtgørelse (hvornår man må sætte cookies), mens Datatilsynet fører tilsyn med databeskyttelsesforordningen (hvornår man må behandle eventuelle personoplysninger fra en cookie).</p>
</li>
</ol>
<p>

Det gør det ikke nemmere, at man ikke kun har ét tilsyn, men skal kontakte både en styrelse og et tilsyn, hvis man vil klage over en cookie, der behandler persondata

8. marts kl. 17:53
Retter ind i 11. time: Hækkerup vil ændre kritiseret lovforslag om logning

https://ulovliglogning.dk/

Vi har denne chance for at få rettet op

Tak til Ulovlig Logning for at tage denne sag for os alle

4. marts kl. 06:42
Justitsministeriet fjerner ulovlige Google Analytics fra sin hjemmeside

Jeg fik nedenstående svar igår fra Datatilsynet (baseret på en mail til Datatilsynet og Erhvervsstyrelsen 30 januar):

1. Jeg kan i forbindelse med dit første spørgsmål oplyse, at Datatilsynet ikke har afvist muligheden for at bruge ’legitim interesse’ (interesseafvejningsreglen), som hjemmel til behandling af statistisk data, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f. Tilsynet har imidlertid afvist muligheden for at bruge Google Analytics til statistisk behandling, jf. interesseafvejningsreglen.</p>
<ol start="2">
<li>
<p>Dataansvaret vil komme an på, hvem en behandling er fastlagt og sker på vegne af. Det vil kræve nærmere kendskab til parternes aftaler, såfremt et dataansvar endegyldigt skal fastlægges.</p>
</li>
<li>
<p>Interesseafvejningsreglen kan rumme mange behandlinger af personoplysninger, men det kræver – som navnet antyder – at behandlingen er legitim, og der sker en konkret afvejning mellem den registreredes og den dataansvarliges (eller tredjemands berettigede) interesser. De fleste behandlinger af en hjemmeside, som resultere i tracking af brugere, vil dog oftest kræve samtykke. Datatilsynet har fokus på området, bl.a. også i samarbejde med vores europæiske kollegear, men det vil – henset til bestemmelses natur – ikke være muligt at lave en udtømmende liste over behandlinger omfattet af interesseafvejningsreglen.</p>
</li>
<li>
<p>Erhvervsstyrelsen fører tilsyn med reglerne i cookiebekendtgørelse (hvornår man må sætte cookies), mens Datatilsynet fører tilsyn med databeskyttelsesforordningen (hvornår man må behandle eventuelle personoplysninger fra en cookie).</p>
</li>
</ol>
<p>

og jeg har nu spurgt hvordan legitim interesse kan opvejes ved, at BT har 904 "partnere" som man skal tage stilling til.

suk

men jeg kæmper videre...

2. marts kl. 06:31
Regeringen forbyder sporing af borgere på digitale selvbetjeningsløsninger

3.1 Myndigheder kan endvidere anvende tredjepartscookies og lignende teknologier, hvis det sikres, at det indsamlede data ikke benyttes til tredjepartens egne formål. Dette kan ske via en aftale med tredjeparten. Der er ikke formkrav til aftalen, og vilkårene kan således være reguleret i en databehandleraftale eller i en almindelig aftale.

https://erhvervsstyrelsen.dk/vejledning-brug-af-tredjepartscookies-og-lignende-teknologier-paa-statslige-obligatoriske-digitale

Den lader jeg lige stå et øjeblik

23. februar kl. 19:24
Universitetsansatte bekymrede over løsning til sikre mobiler: »Jeg er sådan set pikeret«

Jeg har en arbejds mobil og en arbejds tablet. På disse downloades der hverken spil, SoMe apps elker lignende. Det er et arbejdsredskab og min arbejdsplads kan styre disse devices og lægge de apps på, som de mener jeg har brug for, ift at kunne udføre mit arbejde. Jeg bruger dem jo devices i deres navn.

Min arbejdsmobil slukkes efter fyraften, ved ferier osv og min chef kan kontakte mig på mit private nummer, hvis der opstår et emergency.

Det kan godt være at nogle synes, det er mere besværligt med 2 devices. Men jeg mener faktisk det er en fordel. Jeg har fri, når jeg har fri, og ingen arbejdsgiver får ved en fejl adgang til noget de ikke skulle have adgang til.

Derudover er der også GDPR som virksomheden skal tage hensyn til, hvis man bruger sin mobil til både privat og job: Virksomheden må faktisk ikke snage i de apps, som ikke har med virksomheden at gøre. Og det kan de kun ved at sltte en skærm op for hvad der er adgang til. Det er i hvertfald mit bedste gæt, men er ikke helt sikker.

Kommunikation og indragelse af medarbejderne bør dog være et must, så medarbejderne kan få et valg: installering af MDM på privatmobil eller på en seperat arbejdsmobil.

8. februar kl. 07:56
Rejsekortet er kreativt

Som så meget andet, er det blevet lagt ud til brugerne at sørge for, at det for andre bliver nemt at få et overblik over, hvor stor en andel hver af tog, bus og metro skal have.

I stedet for at man havde gjort det nemmere for brugerne at købe et kort og - i værste fald - eet check ind og eet check ud uanset hvor mange skift, så er det på bedste djøf vis gjort besværligt for os brugere. Vi skal nemlig lystigt tjekke ind og ind og ind og ind og huske at tjekke ud til sidst. Kun fordi at nogle skal kunne sætte 3 kolonner ind i et excel ark og milimeter splitte min rejse.

Til gengæld er det blevet møgdyrt. Og hvis man bare vil købe en enkelt sms billet, så koster den det dobbelte af, hvad en tur på rejsekortet ville koste. Derudover graver de lystigt i mine data til selvpromovering, uden at jeg kan sige nej tak.

Jeg har købt et pendlerkort hvor jeg ikke skal huske at check ind og ud ved hver rejse. Kun ved aktivering af ny periode, skal jeg lige checke ind. Dvs at jeg er nogenlunde anonymiseret (bortset fra at kontrollør hver dag scanner mit kort) Men det er så dyrere end et "almindeligt" pendlerkort. Og jeg kan ikke købe ekstra rejser. (de vil virkelig gerne have mig over på alm pendler check-ind/ud kort).

Men hvad forslår jeg så? Forenklet zone system som vi havde før i tiden. Det var ikke perfekt, men det var til at finde ud af. Billigere per tur. Måske hvis der ikke skulle bruges så mange medarbejdere til at regne split ud per transportmiddel, kan det blive billigere igen. Jeg betaler 1200 kr for et månedskort til 6 zoner (eller 7)! Til gengæld har jeg konstant aflyste og forsinkede tog... Pendlerkort fysisk som jeg har nu, men som rejsekort. Dvs anonymt. Hvis DSB mv vil have mine data, må de spørge pænt om lov. Et fysisk klippekort. Det er savnet af mange. Og at en app ikke ses som løsningen på alt, men som en sekundær løsning

29. januar kl. 09:05
Myndigheder satser stort på AI: Her er de sidste 12 signaturprojekter

Reelt set kunne V2 bare linke til Digitaliseringsstyrelsen på denne artikel.

Jeg mangler V2 kommer op af lænestolen og stiller kritiske spørgsmålstegn ved Digitaliseringsstyrelsens info.

Hvordan føles fx smartmail af borgeren? Er der nok personlig kontakt i disse kunstig intilligens projekter? Sikkerhed af data? og - som Anne-Marie har skrevet - hvad er status på de første projekter?

25. januar kl. 08:19
Helsingør Kommune: Folkeskolen kan ikke køre uden Google

Jeg ved ikke, hvordan forskerne tjekker data fra VAR op imod deres egne data og derfor heller ikke om de gemmer som excel fil. Men uanset hvad, så gemmes download som csv eller txt på eget drev/pc/folder/ftp, hvor forskerne nu ønsker data skal være

11. januar kl. 13:25
Helsingør Kommune: Folkeskolen kan ikke køre uden Google

Denne sag er stadigvæk meget spændende at følge. Jeg synes dog at både Datatilsynet og Kommunerne (osv) har fejlet. Begge er ansvarlige for at fx Kommunerne er klædt ordentlig på til at løfte opgaven med data og GDPR.

Noget helt andet: Jeg har tilgængæld lige fundet ud af, at hvis man som forsker nu skal tjekke, om et cpr nummer er i Vævsanvendelsesregistret, så skal man logge ind på esundhed (hed det vist), hvor man kan downloade en csv eller txt fil med alle CPR, der er i registret (og dermed har sagt nej tak, til at ens biologiske data, bare kan bruges til alle mulige projekter). I guidelinen bliver man informeret om, at man skal huske at slette filen efterfølgende....

Men mine første tanker er:

  1. det første en forsker gør, er at lave csv/txt om til excel og gemme den. Så nu er der 2 filer, de skal huske at slette
  2. hvis jeg som forsker skal lave et projekt på 5 cpr numre, skal/kan jeg så stadigvæk downloade fuld liste?

For ca 1 år siden skulle forskere sende listen til Sundhedsdatastyrelsen, som så ville tjekke op (lookup via excel) og informere retur til forskeren. Nu har Sundhedsdatastyrelsen - ser det ud til - udliciteret det til forskeren.

Jeg har sendt en forespørgsel til Sundhedsdatastyrelsen (også om hvem der fører tilsyn med, at forskeren rent faktisk også får tjekket sine cpr numre mod Vævsanvendelsesregisret (VAR)), og venter spændt på svar. Sidste år fik jeg at vide det var den enkelte Region. Region Hovedstaden kunne så oplyse mig om, at det var ikke på deres prioriteringsliste, men at de ville tage det op i Sekretariatet, om det ikke skulle på

og så tror jeg, at jeg vilklage til Datatilsynet

nå, tak fordi jeg lige kunne få luft for mine frustrationer

11. januar kl. 08:10