Jesper Lund

Eksperter med skarp kritik af 18 Chromebook-kommuner: »Vi har digitaliseret med hovedet under armen«

Det måtte komme en dag:

Version2 har forsøgt at få aktindsigt i kommunernes risikovurderinger, men Datatilsynet har givet afslag på næsten alle anmodninger efter ønske fra kommunerne, da dokumenterne er interne. Her henviser man til en betænkning fra Justitsministeriet, der vurderer, at et dokument ikke mister sin interne værdi, når det udleveres i en tilsynssag.

Og ja, mørklægningsloven (offentlighedsloven) giver desværre kommunerne mulighed for dette, i hvert fald hvis de har interne DPO'er.

Men mørklægning øger altså ikke tilliden til kommunerne. Hvad skjuler de?

Det er også i strid med alle anbefalinger om konsekvensanalyser, specielt for offentlige myndigheder når de behandler personoplysninger om borgerne.

Det Europæiske Databeskyttelsesråd skriver eksempelvis i deres vejledning om konsekvensanalyser dette vedr. offentliggørelse af konsekvensanalysen. Det er ikke et krav, men...

The purpose of such a process would be to help foster trust in the controller’s processing operations, and demonstrate accountability and transparency. It is particularly good practice to publish a DPIA where members of the public are affected by the processing operation. This could particularly be the case where a public authority carries out a DPIA.

22. august kl. 15:50
Google kommenterer Helsingør-sagen: Workspace for Education-data bruges aldrig at målrette annoncer

Google: "Workspace for Education-data bruges aldrig at målrette annoncer..."

Det er meget godt, men det er langt fra nok. Problemet med at bruge Chromebooks og Google Workspace lovligt handler om meget mere end brug af elevernes personoplysninger til målretning af annoncer.

I forhold til Helsingør Kommune er Google databehandler, og Google må som databehandler ikke behandle de modtagne personoplysninger til egne formål under nogen omstændigheder. Det vil gøre Google til selvstændig dataansvarlig, som der umuligt kan være et retligt grundlag for når vi taler om folkeskolen (eller den offentlige sektor i øvrigt).

(Hvis nogen synes at det vil være absurd at betragte Google som databehandler, når Google reelt bestemmrer ALT i Google Workspace, har de efter min mening en rigtig god pointe; men den gør Helsingørs problemer 100x større, så lad os glemme det igen..).

Telemetri data for at forbedre services, som nævnes i artiklen, er en selvstændig dataansvarlig rolle. Det sker ikke efter instrukser fra den dataansvarlige.

Den meget kortfattede konsekvensanalyse, som Radar har fået aktindsigt i, antyder også at Google på en række områder reelt agerer som selvstændig dataansvarlig (se mine kommentarer i denne Twitter tråd). For eksempel den omtalte AI/ML analyse (bilag 4), hvad det så end handler om (uklart).

I den omtalte konsekvensanalyse sætter Helsingør kikkerten for det blinde øje, og konkluderer at der ikke er nogen høje risici. De meget grundige konsekvensanalyser fra Nederlandene, hvor der identificeres op til 10 høje risici fordi Google bliver selvstændig dataansvarlig, ignoreres nærmest fuldstændigt.

Hvis det er niveauet, er der meget langt igen inden Helsingør kan anvende Google Workspace i folkeskolen..

15. august kl. 15:39
Rusland etablerer sin egen TLS-myndighed for at omgå internationale sanktioner

Og derfor må vi antage, at de gængse webbrowsere og operativsystemer i den vestlige verden ikke stoler på certifikater, der er signeret af denne Russiske certifikatmyndighed. Ellers kan vi lige så godt afskaffe HTTPS og TLS, og køre al vores trafik ukrypteret.

Nederst på denne side er der et CA root cert, som folk, der stoler på den russiske stat, kan downloade til deres browser.

Manuel installation af root certs er lidt mere bøvlet end EU-strategien med forslaget om revision af eIDAS-forordningen.

(Måske ironisk ment, men ikke nødvendigvis).

11. marts kl. 16:14
Justitsministeriet fjerner ulovlige Google Analytics fra sin hjemmeside

Selvfølgelig er der ikke det Jesper. Men den her konspiratoriske ide om at der er en eller anden lyssky aftale mellem JM's hjemmeside og NSA/Google er et stretch. Det er en info-side - ikke en snabel ned i noget bagvedliggende :P

Justitsministeriet ved ikke, om personoplysninger om de besøgende på hjemmesiden bliver udleveret til NSA. Det er essensen af problemet og grunden til at de ikke lovligt kan bruge Google Analytics.

1. marts kl. 12:54
Eksperterne er enige: Ny fransk afgørelse klemmer livet ud af Analytics i Danmark

Spørg Justitsministeriet hvorfor de bruger Google Analytics.

Måske giver det mere frihed for borgerne, når de besøger Justitsministeriets hjemmeside?

15. februar kl. 12:44
Justitsministeren: Begrænsning på ét år skal forhindre, at logning bliver systematisk

Når der er gået et år, vil Justitsministeriet derefter sige, at retssagen angår en bekendtgørelse som ikke længere er i kraft, men er erstattet af en ny på et helt andet grundlag, og at sagen skal derfor afvises. Sagsøgerne vil skulle starte forfra med at anlægge en ny sag..

Skulle det lykkes nogen at vinde en retssag mod Justitsministeriet om den generelle og udifferentierede logning, vil de ulovligt indsamlede oplysninger ikke blive slettet (det står direkte i lovforslaget).

Derudover vil der ske hastig overgang til en målrettet logning, som i praksis vil omfatte 80-90% af befolkningen. Den målrettede logning skal have karakter af undtagelsen, siger EU-Domstolen, men Justitsministeriet mener ikke at det udelukker et omfang som i lovforslaget.

Retssagen om den målrettede logning kan først anlægges, når den træder i kraft. På det tidspunkt vil Justitsministeriet sikkert sige, at sagsøgerne ikke kan dokumentere omfanget af den målrettede logning, fordi det holdes hemmelig. En hver adgang til aktindsigt efter offentlighedsloven eller indsigt i egne personoplysninger jf. GDPR artikel 15 er fjernet for den "målrettede" logning.

Ja, det er fuldstændigt vanvittigt, men stort set ingen medier gider skrive om sagen, udover et par artikler som denne, der primært formidler Justitsministeriets vildledning til offentligheden.

14. januar kl. 14:05
Justitsministeren: Begrænsning på ét år skal forhindre, at logning bliver systematisk

.... forklare mig, hvordan "Logning af »generel og udifferentieret karakter", dvs. logning af data på alle borgere, uanset tidspunkt, pludselig ikke mere er af systematisk karakter, hvis det begrænses til at foregå et år?

Systematisk karakter refererer til tidsperioden for den generelle og udifferentierede logning i ekstraordinære situationer, hvor landet står over for en alvorlig trussel mod den nationale sikkerhed, som er reel aktuel eller forudsigelig.

Tidsperioden for denne generelle og udifferentierede logning (alle personer) skal være så kort som mulig. Forlængelse af perioden kan ikke udelukkes, men hver enkelt periode må ikke overstige et forudsigeligt tidsrum. Til sammen skal det sikre, at logningen ikke får systematisk karakter.

Det er hvad EU-Domstolen siger.

I Justitsministeriets fortolkning vil der blive fastsat krav om generel og udifferentieret logning for et år ad gangen i bekendtgørelser, og det vil ske på grundlag af generelle vurderinger af terrortruslen hos PET, som siden midten af 00'erne har sagt at terrortruslen er alvorlig.

Det er allerede besluttet for det første år (perioden 1. marts 2022 til 1. marts 2023). Derefter vil vi utvivlsomt se forlængelser for et år ad gangen. Meningen er at masseovervågningen stille og roligt skal gå i glemmebogen.

Hvis nogen på et tidspunkt begynder at stille spørgsmåltegn ved om logningen får systematisk karakter, fordi den forlænges hele tiden, vil Justitsministeriet sikkert sige at EU-Domstolen ikke har præciseret hvad "systematisk karakter" betyder, men at logningen kan fortsætte efter Justitsministeriets skøn.

EU-Domstolen kræver ret eksplicit domstolskontrol med om betingelserne for generel og udifferentieret logning er opfyldt, herunder naturligvis at den ikke må få systematisk karakter. Det er skrevet helt ud af den danske lov. Borgerne kan bare sagsøge Justitsministeriet, hvis de er uenige, står der direkte.

Justitsministeriet ved selvfølgelig godt, at en sådan retssag vil tage mere end et år (det skal Kammeradvokaten nok sikre ved at trække sagen i langdrag, og skabe en masse udgifter hos modparten, som det er sket i sagen anlagt af Foreningen imod Ulovlig Logning).

Når der er gået et år, vil Justitsministeriet derefter sige, at retssagen angår en bekendtgørelse som ikke længere er i kraft, men er erstattet af en ny på et helt andet grundlag, og at sagen skal derfor afvises. Sagsøgerne vil skulle starte forfra med at anlægge en ny sag..

Eller sagt lidt kortere:

Hele lovforslaget handler om at sminke den nuværende åbenlyst ulovlige masseovervågning om, at således at den kan fortsætte næsten fuldstændigt uændret (endda med lidt over dataindsamling), og så Justitsministeriet samtidig kan sige, at det muligvis er lovligt, dog med en væsentlig procesrisiko, som der direkte står i lovforslaget.

14. januar kl. 13:52
Kritik af ANPG-udvidelse: Nu må politiet gemme uskyldige bilisters data dobbelt så længe

Med andre ord, man har fået udvidet 24 timer til 60 dage - selv ikke Erich Honecker kunne vist have gennemført det på så kort tid.

Der er mere.

Udvidelsen til 60 dage er for de stationære ANPG-kameraer.

For de mobile kameraer har der tidligere været en 24-timers slettefrist, begrundet i teknisk lagring. Hvis patruljebilerne ikke har dataforbindelse til den centrale server, kan der være situationer hvor det ikke umiddelbart kan konstateres om en scanning er et hit eller et no-hit. Patruljebilerne har ganske vist en lokal kopi af hotlist (nummerplader der er hits), men teoretisk set kunne denne hotlist være ændret/udvidet siden sidste dataforbindelse.

Disse "overvejelser" førte til teknisk lagring i op til 24 timer indtil det kunne konstateres om en scanning var hit eller no-hit. Senere blev det en generel 24-timers lagringsperiode for mobile kameraer, som ikke indgår i en målrettet politindsats, og de 24 timer blev sågar også af Rigspolitiet anvendt på stationære kameraer uden for en målrettet politiindsats (sker meget sjældent), selv om dette aldrig har været meningen (teknisk lagring omtales kun i forbindelse med mobilt ANPG-udstyr).

Nu bliver de 24 timers "teknisk lagring" for det mobile udstyr udvidet til en genererl lagringsperiode på 7 dage. Det kaldes stadig en "kortvarig periode" i bekendtgørelsen. Gæt selv hvad de 7 dage bliver til i næste udgave af ANPG-bekendtgørelsen.

I "ekstraordninære" situationer (læs: hvis politiet ikke har lyst til at slette) kan alle disse slettefrister fraviges, og hvor denne beslutning tidligere skulle træffes af rigspolitichefen, kan den nu uddelegeres til den enkelte politibetjent.

4. januar kl. 15:17
Kritik af ANPG-udvidelse: Nu må politiet gemme uskyldige bilisters data dobbelt så længe

Det er værre end som så - for som udgangspunkt måtte no-hits faktisk kun gemmes i 24 timer og i op til 30 dage, hvis »oplysningerne er indsamlet som led i en målrettet politiindsats«

Og denne målrettede politindsats skal være tidsmæssigt og geografisk afgrænset (efter den gamle bekendtgørelse).

Det med "afgrænsning" har Rigspolitiet imidlertid hele tiden fortolket som alle kameraer, hele tiden. Og selv om det var i strid med Datatilsynets oprindelige udmelding om ANPG no-hits, har Datatilsynet efterfølgende lagt sig fladt ned og accepteret Rigspolitiets fortolkning af "afgrænsning".

Nu bliver bekendtgørelsens ordlyd så ændret til Rigspolitiets praksis, foruden udvidelsen fra 30 til 60 dage..

4. januar kl. 14:48
Kritik af ANPG-udvidelse: Nu må politiet gemme uskyldige bilisters data dobbelt så længe

Allerede idag har de jo 60 dage så vidt jeg husker, noget med at de har en 30 dages backup som også gemmes.</p>
<p>Altså først gemmer man 30 dage og når man så har gjort det så gemmer man de 30 dage i en backup, mens man oparbejder nye 30 dage.</p>
<p>Så mon ikke det reelt set er 120 dage det så gemmes fremadrettet.

Hvorfor nøjes med 30, 60 eller 120 dage, når oplysningerne "lovligt" kan gemmes i 10 år med mulighed for forlængelse?

Metoden er ganske simpel: lav en analyse i POL-INTEL med ANPG no-hits fra et større område, fx Storkøbenhavn. Så kan rådata fra den analyse, herunder samtlige ANPG registreringer, gemmes i 10 år, og genbruges til nye analyser. Hver gang data genbruges til en ny POL-INTEL analyse starter en ny 10-årig slettefrist.

En dataevighedsmaskine..

4. januar kl. 14:35
Kritik af ANPG-udvidelse: Nu må politiet gemme uskyldige bilisters data dobbelt så længe

Jeg antager at man kan søge aktindsigt i de ANPG-registreringer som Politiet har om ens køretøj på et givent tidspunkt: Politiet - Sådan søger du aktindsigt

Det er en forkert antagelse. Justitsministerien har i ANPG-bekendtgørelsen på forhånd besluttet, at alle anmodninger om indsigt i egne ANPG-registreringer skal afvises. Så du får ikke noget svar.

En aktindsigt efter offentlighedslovens i ANPG-kameraernes placering bliver afvist med henvisning til at det kan forstyrre politiets efterforskning (offentlighedslovens § 33, nr. 1).

Justitsministeriet og Rigspolitiet gør store anstrengelser for at holde masseovervågningen hemmelig. Nu er den strategi åbenbart udvidet til ikke at svare på spørgsmål fra journalister til artikler med en kritisk vinkling af ANPG.

Det er derfor temmelig ironisk at Version2 stiller dette spørgsmål til Rikke Frank Jørgensen:

<em>De fleste danskere ved sikkert ikke engang, at ANPG-systemet eksisterer. Kan man ikke sige, at hvad man ikke ved, har man ikke ondt af?</em>

4. januar kl. 14:27
Dataetisk Råd: Vi blev ikke hørt om »stærkt bekymrende« kunstig intelligens hos Skat

I lovteksten er det tilmed tydeligt, at det drejer sig om behandling af data Skatteforvaltningen allerede har adgang til.

Det er ikke korrekt. Loven giver som noget nyt Skatteforvaltningen "hjemmel" til at indsamle alle mulige og umulige oplysninger fra offentligt tilgængelige kilder, herunder massehøst på internettet, både med henblik på systemudvikling (den nye § 67 a i skattekontrolloven) og registersamkøring til kontrolformål (den eksisterende § 68).

Det fremgår af bemærkningerne til L 73, at offentligt tilgængelige kilder skal forstås bredt. Hvad der præcist kan indsamles vil blive fastlagt i bekendtgørelser, godt skjult for Folketinget og den offentlige debat.

Borgerne bliver ikke orienteret, som GDPR artikel 14 ellers kræver, da det er for besværtligt. Den reelle forklaring er nok snarere, at oplysningspligten afskæres for at skjule over for borgerne hvor meget de bliver overvåget af Skatteforvaltningen.

Det fremgår direkte af bemærkningerne, at det kan være oplysninger fra fx e-handelsportaler på internettet uden sikre identifikationsoplysninger, hvorefter noget AI-snask med scoringmodeller vil prøve at henføre oplysningerne til borgerne, der skal udtages til skattekontrol. Det lyder nogenlunde ligeså usikkert og tvivlsomt som når sociale medier prøver at gætte hvad der er brugernes interesser.

Det er helt på sin plads, at Dataetisk Råd kalder dette datahøst i blinde.

29. december 2021 kl. 17:51
Logningsbekendtgørelsen: Hvordan ser teledata ud idag?

Mastedata går kun et år tilbage.</p>
<p>Jeg havde forventet langt flere datapings, og jeg er positivt overrasket over, at de ikke registerer masteoplysninger for data-sessioner. Hvis du sidder med viden om teledata, passer det så virkelig, at datapings ikke bliver registeret med masteoplysninger?

Har du overset en datafil med meget detaljerede masteoplysninger ala start-slut på dine datasessioner (kaldet "prober" i Jakob Willers spande) og omkring 14-dages opbevaringsperiode?

Hvis den ikke er der, har du ikke fået det hele udleveret.

Teledata 101

Trafik- og lokaliseringsdata gemmes primært af disse tre årsager, som har forskellige lovbestemte frister for sletning

  1. Afregning af abonnent (indtil regningen ikke længere kan bestrides; det er IKKE tre år)
  2. Krav om logning aka logningsbekendtgørelse (et år, det står i RPL § 786, stk. 4)
  3. Prober aka fejlretning m.v. (hvor alle mobilselskaber på magisk vis mener at data slettes efter 14 dage)

Nogle oplysninger kan optræde både under 1) og 2), fx udgående opkald og SMS'er (hvis du rent faktisk faktureres for hvert enkelt SMS, som enkelte abonnenter stadig gør). Men når Telenor har en indgående SMS for 2018, er der tale om en oplysning som kun falder under 2), og som skulle være slettet efter et år. Det skulle dine udgående opkald i 2018 også, men af andre årsager.

Yes.. it's complicated.

Umiddelbart ser det ud til at du kun har modtaget data for 1) og 2), som er rodet lidt sammen i Telenors systemer (så meget at Telenor ikke overholder slettekrav), men ikke 3) der formentlig er et separat system hos Telenor.

Det kan meget vel skyldes at du har bedt om data gemt efter logningsbekendtgørelsen og ikke alle data.

8. oktober 2021 kl. 15:12
En nekrolog over privacy: Da de to tårne styrtede, tog de privatlivet med sig i gruset

Det plejer at være ved denne tid, her, om få uger, primo oktober, når Folketinget/folketingsåret åbner.

ANPG er reguleret af en bekendtgørelse, så det kan (formentlig) ændres relativt uafhængigt af Folketingets arbejdscyklus.

Jeg havde egentligt forventet, at JM ville gennemføre ændringerne af ANPG bekendtgørelsen med høring henover sommeren. Der er dog ikke sket noget endnu. Sensommeren måske..

Den store fordel ved bekendtgørelser er at de lever et meget stille liv. Lige nu er JM eksempelvis i gang med ændringer af Kriminalregisteret, som (formentlig) vil gøre det hemmeligt hvilke oplysninger der registreres og hvornår de skal slettes. Efter høring henover sommeren, surprise surprise.

14. september 2021 kl. 15:11
En nekrolog over privacy: Da de to tårne styrtede, tog de privatlivet med sig i gruset

Det er lidt rystende. Jeg ser netop, her til aften, at politiet har indkøbt spionprogram, der kan snige sig ind i mobiltelefoner og få adgang til alt indhold. Også tænde for mikrofon og kamera, og overvåge i realtid.</p>
<p>Rigspolitiet bekræfter købet over for Politiken.

Din reaktion er forståelig, fordi der er meget offentlig lidt opmærksomhed om statstrojanere i Danmark.

Men..

2002: dataaflæsning § 791 b indsættes i retsplejeloven i forbindelse med Terrorpakke I (sammen med #ulovliglogning). Dataaflæsning omfatter hjemmel til installation af statstrojanere på borgernes enheder. Ingen nærmere konsekvensanalyser eller noget (det bruger vi ikke i Danmark).

2010: redegørelse fra JM om Terrorpakke I og II nævner at beføjesen bruges i stor stil. Omtales i Version2 i november 2011 (altså 14 måneder senere; der er for få personer som gransker redegørelser fra JM med kritiske briller).

2012: JM besvarer REU spørgsmål efter Version2 artiklen, og udtaler at der modsat telefonaflytning ikke laves statistikker for brugen af dataaflæsning hos politiet (selv om det er det mest vidtrækkende indgreb i meddelelseshemmeligheden), og hvad PET gør er meget hemmeligt, så end ikke antallet af indgreb kan omtales (sådan er det også for telefonaflytninger).

2015: Dansk politis køb af RCS fra Hacking Team dækkes af Information. Dette køb kom kun til offentlighedens kundskab fordi Hacking Team blev hacket.. (meget ironisk).

Siden 2016 har jeg, så vidt jeg husker, talt med journalister om dansk dataaflæsning to gange. I begge tilfælde svenske journalister, som vil høre om erfaringerne fra Danmark fordi Sverige var i gang med at indføre en lignende beføjelse. Jeg kunne ikke fortælle dem særligt meget..

14. september 2021 kl. 15:04
Hjælp afghanere med at tilgå ucensureret internet

..så er vi altså også nødt til at forholde os til ISP'ernes problem i det her fordi de ellers skruer prisen op for at dække tabet!</p>
<p>Det lyder meget altruistisk og fint at vi vil hjælpe afganerne (uanset køn) men vi kan ikke hjælpe nogen, hvis priserne ryger op eller bliver forbrugsafregnet - for så har vi ikke råd til at hjælpe nogen.

Jeg savner lidt proportionalitet i denne diskussion.

Der er ikke tale om at dele internetforbindelsen med naboen, og der bliver ikke solgt færre internetforbindelser fordi nogen kører Tor services. Det gælder uanset om de personer, der tilgår internettet via Tor (browseren), sidder i Afghanistan eller Albertslund. De skal selv have en internetforbindelse for at bruge Tor.

Spørgsmålet er om Tor services kan generere store trafikmængder, som kan fordyre leverancen af internetforbindelser hos TDCs konkurrenter, specielt over TDCs coax net.

Det er her proportionaliteten i diskussionen kommer ind. Er der virkelig så mange Tor relays og exit nodes, at dette i det store billede genererer væsentlige trafikmængder?

Der er 117 andre ting som kan generere væsentlige afvigelser fra en gennemsnitskunde, fx personer der har TVet kørende næsten døgnet rundt med 8K videostreaming.

13. september 2021 kl. 15:00
Hjælp afghanere med at tilgå ucensureret internet

Men det er jo også et komplet andet scenarie end at drive et Tor relay eller en exit node? Jeg tror da godt vi kan blive enige om at denne form for internetdeling ikke er 'bæredygtig' i en markedsøkonomisk forstand, hvilket jeg heller ikke tror Jesper anfægter, men det er jo heller ikke det han pointerer.

De relevante spørgsmål i forhold til netneutralitet er

  1. Er et Tor relay eller exit-node udbud af en offentlig elektronisk kommunikationstjeneste?

  2. Hvis ja til 1), hvad betyder det i forhold til slutbrugerens rettigheder efter netneutralitetsforordningen, hvis en mindre del af forbindelsen i så fald bruges som offentlig elektronisk kommunikationstjeneste?

Ingen taler om at dele forbindelsen med hele boligblokken.

13. september 2021 kl. 14:27
Hjælp afghanere med at tilgå ucensureret internet

Det betyder også at en person der kører en Tor node ikke længere er en "end user". Dermed er personen ikke omfattet af reglerne, se punkt 4:</p>
<p>"“end-user” means a user not providing public communications networks or publicly available electronic communications services"

Udbud af en elektronisk kommunikationstjenester eller netværk i denne forstand (se artikel 2, nr. 4 i EECC direktivet 2018/1972, der har erstattet rammedirektivet som punkt 4 i BEREC Guidelines henviser til) vil normalt forudsætte, at tjenesten stilles til rådighed til offentligheden mod betaling (fra definitionen: "[..] som normalt ydes mod betaling [..]").

Jeg har lidt svært ved at se, at en bredbåndskunde generelt holder op med at være slutbruger i forhold til netneutralitetsforordningen, hvis der fra forbindelsen køres en Tor relay eller sågar exit node. Selv hvis denne type service skulle falde uden for artikel 3, stk. 1 (det tvivler jeg også på at det gør).

Ligeledes tvivler jeg på at en Tor exit node vil være omfattet af netneutralitetsforordningen, fordi tjenesten ikke stilles til rådighed for slutbrugere mod betaling eller anden modydelse (fx visning af reklamer eller salg af brugerdata).

Men interessant diskussion, som godt kunne blive til en "sag" en dag (måske i Luxembourg hos EU-Domstolen), eksempelvis hvis en udbyder af internetadgangstjenester anvender trafikstyring til at blokere Tor trafik eller søger at håndhæve aftalevilkår, som forbyder Tor services.

12. september 2021 kl. 23:28