Emil Bock Nielsen

Datatilsynet forlænger Chromebookens levetid i folkeskolen

KL afviser at dele materialet med Version2, men vi har søgt aktindsigt.

TAK!

Tilsynsmyndigheden gav KL omkring to måneder til at genforhandle databehandleraftalerne, så de stemmer overens med kravene i GDPR. Det betyder blandt andet, at der skal være en klar beskrivelse af, hvilke af børnenes oplysninger Google modtager, og hvad virksomheden bruger dem til.

Held og lykke med at blive de første i verdenen, som kan få sådan en aftale i hus. Det vil være en revolution, hvis det kommer til at ske. Men det ender nok nærmere (desværre) med at være et forløb, hvor offentlige ressourcer blev forspildt i ingenting, mens børnenes privatliv & sikkerhed formindskede sig.

5. november kl. 00:33
Datatilsynet tøver trods fransk bøde til Clearview AI: Venter på dansk sag

Datatilsynet skriver på sin side Hvornår må du behandle personoplysninger?: »Det er som udgangspunkt forbudt at behandle følsomme personoplysninger, men der findes en række undtagelser til dette forbud. For det første kan følsomme personoplysninger behandles uden samtykke, hvis den registrerede tydeligvis selv har offentliggjort oplysningerne på forhånd.«

Hvis undtagelserne ikke står beskrevet lige efter, inde på Datatilsynets side, så er det godt nok krtitisabelt at have sådan en sætning på en myndigheds side.

Ellers kunne jeg da hurtigt få idéen om at lave en stor database med de danske politikkeres personlige oplysninger - lige uden at tjekke loven videre, som ordensmagten åbenbart ikke skinker, jævnfør bl.a. artiklen. Har set man kunne ekstrahere fingeraftryk fra videoer, så det eneste er vel næsten DNA af biometriske data, man fremover ikke direkte skal skrabe sammen - udover fra MyHeritage lign. sider, hvor folk har indgivet. Eller selvfølgelig vores alle sammens genomcenter. Heri må der også ligge hvilke alergier, der måske kan være hos politikkerne, så man lige har den info. Snottet næse er i den milde ende ift. hvad man kan forårsage. Så kan jeg også lige udtrække data fra skoleklassernes So-Me opslag, som de jo frivilligt lægger op. Så har man hvor politikkernes børn går i skole. Eller embedsmanden som rådgiver pollitikkeren, dommeren, politichefen, virksomhedsejeren... og derudaf. Afpresning, chikane m.m.

3. november kl. 00:30
»Eklatant brøler« i MitID: Alle kunne logge på med usikre CPR-numre

(Undskyld min uvidenhed)

Når MitID.dk ikke automatisk omdirigerer besøgende fra HTTP til HTTPS - har heller ikke aktiveret HSTS - (https://xn--sikkerpnettet-vfb.dk/site/mitid.dk/97702/#control-panel-10) og login-siden til MitID har HTTP-komprimering og begge domæner ikke har implementeret Content-Security-Policy (https://xn--sikkerpnettet-vfb.dk/site/nemlog-in.mitid.dk/97714/#control-panel-9) er det så muligt at manipulere besøgende, særlig dem med en ældre browser? Eller har jeg misforstået? Nogen som kan hjælpe med det spørgsmål?

24. oktober kl. 15:57
Ny Google Analytics-udmelding efterlader virksomheder i tvivl: »Værktøjet bliver mere eller mindre ubrugeligt«

man f.eks. ikke kan se hvilke marketingkanaler, der bidrager til performance. At man ikke kan måle om det er paid search, e-mail eller noget andet, der skaber konverteringer (til eksempelvis salg, red.)

Nu gir jeg nogle bud på denne udfordring (ift. salg):

Når en køber har lagt sine varer i kurven, så før købet kan færdiggøres, så skal køberen trykke på nogle valg: “ Hvad ledte til dit køb af disse produkter hos os?”

  1. Vores nyhedsbrev
  2. Facebook opslag eller annonce
  3. Instagram opslag
  4. Annonce i tilbudsavis
  5. Alm. søg på nettet via
    1. Annonce
    2. Ikke annonce
  6. Anbefaling fra bekendt
  7. Evt.
    1. Uddyb
      1. Altid god kundeservice
      2. God fragt og returret.

Muligheder kan uddybes/formindskes og tilvælges/fravælges og til bestemt produkt. Kunne selvfølgelig også være valgfrit efter køb, så det ikke var tvang. Yderligere kunne der være en valgmulighed til mere dybdegående analyse med flere trin: “Tryk her hvis du vil hjælpe os til, at blive endnu bedre”.

Yderligere kunne en oprettet kundeprofil spørges ind til samtykke med mere anonyme selvindtastet oplysninger som (IKKE navn, telf., mail, bopælsadresse, IP, enhedsID m.m):

  • Bor i Midtjylland
    • Storby
  • Kvinde
  • 29-41 år
  • Etc. Og så er den vigtige detalje, at oplysningerne gemmes sikkert og uden at blive uploadet til fx Google og Facebook til videre sporing og profilering.

Men der kan også anvendes en form for anonym UTM, hvis man fx kommer fra en prissammenlignings-tjeneste eller har trykket på en annonce (det behøves ikke at være den sporende og profilerende form, som mange bruger). Eller der kan fx i tilbudsavisen eller nyhedsbrevet tilknyttes en rabatkode, så man præcist ved hvilken marketingkanal som er blevet reageret på.

20. oktober kl. 16:50
Danske forskere skal undersøge muligheden for blockchain-valgsystem i Grønland

I tillæg til punkt 3

»Man bruger dem allerede i mindre valg for at sikre, at **vælgerne kan kontrollere, at deres stemmer er blevet registreret korrekt **

Så tænker jeg også på om man vil kunne true en vælger til, at vise hvad personen stemte - afhængigt af hvordan det nu vil fungere.

19. oktober kl. 17:32
Seks partier trodser Datatilsynet og sender vælger-data direkte til Google

Der er dog ikke udsigt til, at partierne ulovlige praksis kommer i Datatilsynets søgelys. »Det er en konkret sag, som vi ikke har taget stilling til, og vi kan pt. hverken afvise eller love, at vi kommer til at gå ind i det,« oplyser tilsynet i en mail til Version2.

Jeg kan godt forstå hvis der ligger en frygt for, at den politiske og også den økonomiske støtte risikeres endnu mere end den der i forvejen er, hvis der rettes kritik mod partierne. Så at der i stedet henvises til, at de afventer udefrakommende kommer med klager er forståeligt. Men om det overordnet er godt for demokratiet, at et tilsyn afventer klager om ulovlige forhold, fremfor selv at tage sagen på sig når forholdene er tydelige, så er det nok svært at sige ja.

"Jamen betjent! Så du ham ikke køre over for rødt?" "Jo, vil du anmelde ham? Så skal jeg nok køre efter ham"

19. oktober kl. 11:11
ITB advarer ny regering: It-sikkerhed i sundhedsvæsenet har været »alvorligt underprioriteret«

Sikkerheden i det danske sundhedsvæsen har ifølge Freddy Lykke været »alvorligt underprioriteret«.

Ikke bare det danske, men generelt globalt. Gamle systemer der bare fungerer, men som ingen har gidet investere og videreudvikle i, hvorfor de stadig kører Windows XP eller lign. af forældet dato. Medicinsk forbundet udstyr, hvor de eneste krav og standarder har været medicinsk funktionalitet. Vedligholdelse (end-of-life support) og softwaresikkerhed har kun været for maskinstormere. Men nu får de endlig ret.

Så det er afgørende, at man også husker at investere i cybersikkerheden, mens man digitaliserer sundhedssektoren,«

Jeg kan godt være bange for, at det ikke er nok bare at investere flere penge. Men at det regulatoriske apparat skal sætte et højere ansvar hos producenten og nogle højere sikkerhedsstandarder. Herunder også krav til end-of-life support. Jeg kan anbefale det her studie for dybere læsning af udfordringerne:Cybersecurity of Hospitals: discussing the challenges and working towards mitigating the risks

17. oktober kl. 11:04
350.000 danskere rammes særligt hårdt af MitID-hack

Ikke sikker på jeg forstår kommentaren.

Men hvis nogen har gættet dit bruger-ID og nu forsøger at gætte dit kodeord og fejler de første 3 gange. Så får du besked via de kontaktoplysninger (mail og/eller telfnr.) man har opsat på MitID kontoen. Når angriberen har ventet og forsøger igen, og fejler tre gange igen. Så får du igen en besked. Og kontoen bliver spærret.

Her kan man så, udover at gå ned i borgerservice for at åbne adgangen igen, ringe ind og få hjælp af MitID support. Man ringer ind og så skal man vælge de rigtige trin i telefonopkaldet. Derefter skal man svare på ca. 5 spørgsmål om oplysninger MitID support kan se fra CPR-registretet. Det er f.eks. ens fars fødeår og hvornår man flyttede til nuværende adresse og etc..

Det står dog ikke særlig klart, at denne mulighed eksisterer. Jeg nævner ikke dette for at forsvare den muværende brugervenlighed eller sikkerhed ved MitID. Men kun for at oplyse, at denne mulighed også eksisterer.

15. oktober kl. 11:45
350.000 danskere rammes særligt hårdt af MitID-hack

Jo, det gælder også når kodeviser spærres fordi adgangenskoden er blevet indtastet forkert - altså først tre gange forkert. Så vente og indtaste forkert tre gange igen.

Man ringer ind og så skal man vælge de rigtige trin i telefonopkaldet. Derefter skal man svare på ca. 5 spørgsmål om oplysninger MitID support kan se fra CPR-registretet. Det er f.eks. ens fars fødesdato og hvornår man flyttede til nuværende adresse og etc.

Det står dog ikke særlig klart, at denne mulighed eksisterer.

15. oktober kl. 11:30
350.000 danskere rammes særligt hårdt af MitID-hack

hvis nogen af de 350.000 danskere skulle udsættes for enten et målrettet eller generelt angreb baseret på det simple hack, skal de ned på borgerservice for at få en ny kodeviser.

Der er også muligheden for at ringe til MitID-support, selvom deres trin ikke er helt klart fornumeret. https://www.mitid.dk/hjaelp/hjaelpeunivers/mitid-adgangskode/faa-en-ny-mitid-adgangskode/

13. oktober kl. 22:48
Skydespil-giganter kræver spillernes telefonnumre for at sikre god opførsel

Hvis man ønsker at vide om indgivelse af telefonnr. har en indflydelse på profilopretning, så bare se til Facebook. Det blir alligvel ofte brugt til andre formål som tracking end sikkerhed i stedet, og desværre senere lækket i datalækager.

Det var måske bedre at se hen imod et licensnummer/profil ID eller lign. knyttet til hver enkelt købt spil (både fysisk og digital udgave). Her kan der så være udfordring med videresalg. Men der kunne i tilknytning laves et offentlig opslag til tjek om licensnummeret er blokeret eller har fået "klager" eller lign. Her vil straffen typisk også være større beløbsmæssigt ved at købe et nyt spil end at få et nyt telfnr.

11. oktober kl. 23:50
Dansk ekspert slår fast: USAs nye dekret har ikke løst cloud-krisen

Det var et forkert skriv. Mente mere i retningen af, om vi ville synes det var ok, hvis politiet aldrig skulle bruge en dommerkendelse for at få en ransagning. Og samtidig at vi ikke ville kunne få indsigt i proceduerne og dermed reelt ikke kunne klage over det.

Det var med hentydning til hvad noyb udtalte om "domstolen" der skulle oprettes i USA:

However, this will not be a "Court" in the normal legal meaning of Article 47 of the Charter or the US Constitution, but a body within the US government's executive branch. The new system is an upgrades version of the previous "Ombudsperson" system, which was already rejected by the CJEU. It seems clear that this executive body would not amount to "judicial redress" as required under the EU Charter.

Judgment by "Court" already spelled out in Executive Order. Users will have to raise issues with a national body in the EU, who will in turn raise the issue with the US government. The US government will neither confirm nor deny that the user was under surveillance and will only inform the user that there was either no violation or it was remedied [...] This also makes the option for an appeal useless, as there is simply nothing to appeal about, as long as the user got this rubber stamp answer.

https://noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law

11. oktober kl. 20:23
Dansk ekspert slår fast: USAs nye dekret har ikke løst cloud-krisen

»USA prøver også at lave en proportionalitetsafvejning, men den når bare frem til en anden proportionalitet, hvor de siger: Der er et større anvendelsesområde – eksempelvis terrorisme, gidseltagning, spionage, sabotage, snigmord, masseødelæggelsesvåben, cybersikkerhedstrusler, trusler mod personale og international kriminalitet, herunder finansiel svindel og omgåelse af sanktioner mod eksempelvis Rusland

Det er godt man vil forhindre sådanne trusler. Men hvor ligger proportionaliteten? Hvordan opnår USA adgang/tilladelse til at overvåge en “mistænkt” borger. Der kan sagtens argumenteres for 24/7 overvågning af alle borgere for at forhindre disse trusler. Er det proportionalt? Eller er det mere proportionalt, at der først skal være en mistanke og derefter kræves en dommerkendelse? Hvor stor skal mistanken være? Og i hvilken jurisdiktion skal dommerkendelsen komme fra? Vil man i Danmark mene det var ok politiet selv dømte personer i retten (uafhængig / ikke uafhængig domstol)? Skal der være åbenhed for, at der er blevet udstedt en dommerkendelse?

11. oktober kl. 09:27
Max Schrems: Ny Privacy Shield hænger i en tynd tråd efter USAs dekret

Ja der foregår meget spin. Fra mediet Radar som du henviste til i din anden kommentar udtalte interesseorganisationen IT Branchen:

Med aftalen er der nu kommet klarhed omkring, at det er tilladt at overføre europæisk persondata til servere i USA. Det er vi rigtigt glade for, da det fjerner den tvivl, der ellers har opbygget sig omkring brugen af amerikanske cloudløsninger, siger Martin Jensen Buch, chefkonsulent i IT-Branchen, i en pressemeddelelse.

Der må man da sige spin-maskinen kører på fuld skrue.

9. oktober kl. 17:22
Max Schrems: Ny Privacy Shield hænger i en tynd tråd efter USAs dekret

Andre er dog allerede ude og flage for den nye aftale – blandt andre Carsten Rose Lundberg, fagchef for Digital Handel hos Dansk Erhverv (DE), hvis medlemmer de sidste par uger har svedt over Datatilsynets nylige besked om, at Google Analytics som udgangspunkt er ulovligt at bruge i Danmark – et problem, der måske kan løses af en ny aftale.

I den store diskussion, så skal vi huske at der udover overførsel til "et usikkert tredjeland" (USA) også er andre ting som skal overholdes. Ting der hos mange danske virksomheder stadig ikke overholdes:

  • Indsamling af den data som kan indsamles og givet klart samtykke til, vil ikke blive brugt til formål, som ikke kan stilles op imod det oprindelige formål - andre formål kunne være profilering, reklamer m.m.
  • Mulighed for indsigt i hvor data PRÆCIST ender. Ikke bare det første stoppested, men alle steder “data-ruten” ender og videresføres til. Mulighed for indsigt i hvad data PRÆCIST blir brugt til. Ret til sletning (med forbehold). Og forholdene kan ikke nødvendigvis altid bare betroes med et stykke papir om tro og love.
9. oktober kl. 16:25
Myndighed bag MitID efter kritik af sikkerheden: »Det er den måde systemet virker på«

Hvis man ikke havde læst det var vicedirektøren i Digitaliseringsstyrelsen som udtalte sig, så ville man da tro det var Nets som forsvarede sin løsning til sidst mand.

»Jeg vil anbefale at man undlader at forsøge at lave opskrifter til, hvordan man kan chikanere brugere. Det er ulovligt og det vil være meget problematisk hvis man forsøger at opfordre til DDoS-angreb.«

Hold nu op hvor er det en pinlig samtale... Jeg er med på at man som ansvarlig gerne vil forsvare sig lidt. Men det her er jo sådan en ledelsesstil, som desværre underminere en tillid og tro på et demokratisk retfærdig samfund... Hårde ord, men det er simpelthen ikke iorden. Anerkend fejlene og fokuser på at få dem rettet istedet.

Selvom det ikke er samme skala (og måske helt sammenligneligt), så får jeg minder hen til filmen "The Pentagon Wars", hvor James Burton får til opgave af Kongressen at observere afprøvningen af flere nye våben under udvikling i Pentagon, herunder The Bradley Fighting Vehicle-projektet - som var under udvikling i 17 år med en pris på 14 milliarder dollars. Han finder ud af at testene der laves er utilstrækkelige, der manipuleres og sker korruption. Ledelserne er ligeglade fordi enhver, der forsøger at gennemføre ærlige test, til sidst bukker under for presset for at opnå sin næste forfremmelse. Hvis der kan proklameres nul fejl, så bliver man jo forfremmet.

3. oktober kl. 13:45
Nets trækker i land om single point of failure i MitID: »Det var et upræcist ordvalg«

En jeg kender, hvis man kan kalde det en svaghed, eller måske mere sandsynligt troll. Sandsynligheden for scenariet er meget lav. Men alligevel er et trin mærkeligt efter min vurdering.

Det er mest problematisk for brugere uden Mit-ID app’en, da man i app’en nemt kan ændre adgangskode. Men hvis man kender Bruger-ID for en med kodeviser eller oplæser, så kan man gå ind og forsøge med adgangskoden 3 gange, hvorefter man skal vente 1 time og prøve igen. Brugeren får godt nok en SMS om automatisk spærring i 1 time. Men ved andet forsøg bliver adgangskoden spærret.

Derefter har brugeren tre muligheder:

  • Ny adgangskode på MitID.dk - log på med MitID app.
  • Ny adgangskode i Borgerservice.
  • Ny adgangskode fra MitID support.

Her skal man satse på brugeren vælger support, hvorefter man opsætter en IMSI-catcher og lytter med. Ved supporten skal brugeren ringe op til MitID support, hvor de hjælper med en ny adgangskode. Først skal brugeren identificere sig selv i telefonen ved at oplyse pas- eller kørekortnummer (gyldigt dansk/grønlandsk pas eller kørekort) og derudover svare på en række spørgsmål baseret på oplysninger i CPR-registret. Herefter tilsendes en aktiveringskode, som bruges til at lave en ny adgangskode.

Syntes det er mange oplysninger givet gennem et usikkert kommunikationsnetværk.

28. september kl. 09:17
Dansk Erhverv forudser »voldsom omvæltning« for Analytics-virksomheder

Carsten Rose Lundberg er dog ikke i tvivl om, at organisationer med Schrems II-problemer ser mod lyse tider: »Jeg vælger at have en tillidsfuld betragtning til det her og sige, at hvis EU og USA har givet håndslag på, at de erkender, der er en problemstilling, og den vil de gerne have løst, så lader jeg det stå til troende,« understreger han.

Rwanda og Regeringen har også godkendt en hensigtserklæring om asylcenter i Rwanda. Men realiteterne er bare at det ikke er muligt uanset hvor godt eller dårligt man synes om idéen.

26. september kl. 14:32
Dansk Erhverv forudser »voldsom omvæltning« for Analytics-virksomheder

Det kan godt være Datatilsynet siger det her...:

I går fortalte Makar Juhl Holst, chefkonsulent i Datatilsynet, til Version2, at en effektiv teknisk foranstaltning, som kan gøre det lovligt at bruge Google Analytics, er at bruge en såkaldt reverse proxy.

Det er en selvstændig server, man kan sætte som en kile mellem sin egen hjemmesidetrafik og Googles server. På den måde får man større kontrol med, hvilke data Google modtager, og oplysningerne bliver mudret på en måde, så de ikke længere er personhenførbare – pseudonymiseret kalder han det også.

Men når de finder det tilladeligt, at gentage hvad det franske datatilsyn har skrevet, så burde de vel også gentage hvad det italienske er kommet frem til? Men jeg gør det lige her igen så. Franskmændene skriver at for at kunne bruge GA, så skal man være sikker på

all of the information transmitted does **not in any way** allow the person to be re-identified

Og italienerne kom frem til at IP-adresser er en personlig information som ikke kan anonymiseres uanset forkortning (https://noyb.eu/en/update-further-eu-dpa-orders-stop-google-analytics):

The Italian DPA rendered the use of Google Analytics as illegal, as website operators using GA collected user data via cookies and transferred these to the USA. In determining that the processing was unlawful, the Italian DPA reiterated that an IP address is personal data and would not be anonymised even if it were shortened – given Google’s capabilities to enrich such data through additional information it holds.

Så til de virksomheder m.m. som anvender Google Analytics (og egentlig også andre værktøjer som Facebook Pixel, selvom det ikke er blevet specifikt vurderet i DK endnu), fjern det venligst da det dybest set er umuligt at bruge lovligt.

26. september kl. 14:26
Ny GDPR-bombe under danske virksomheder: Google Analytics er som udgangspunkt ulovligt

Er der nogen her, som har en mening om SiteImprove, som også bruges flittigt, bl.a. i Økonomiministeriet? R den anderledes og bedre rent privacy-mæssigt end Google Analytics?

Jeg har ikke lige haft tid til tjek, udover jeg ved de bruger amerikanske Cloudflare og AWS - det kan i de fleste tilfælde være fint hvis data krypteres "in transsit og at rest". Men du kan læse lidt om hvad de selv siger:https://www.siteimprove.com/glossary/google-analytics-alternative/https://help.siteimprove.com/support/solutions/articles/80000724285-siteimprove-analytics-data-flows-and-compliance

21. september kl. 18:37