Kristian Klausen

Svenskerne delte GDPR-bøder ud for 110 millioner kroner i 2020

Nu er det de færreste bøder, der kommersom følge af en dom. Fx er det ikke de færreste fartbøder, der kommer forbi domstolene, og der bliver udstedt en mængde administrative bøder andre steder. Hvis man accepterer bøderne, er sagen afsluttet, og ellers går sagen til en domstol.

Samme mulighed har Datatilsynet jvf. Databeskyttelsesloven § 42:

§ 42. Skønnes en overtrædelse af denne lov eller databeskyttelsesforordningen eller regler, der er udstedt i medfør af loven, ikke at ville medføre højere straf end bøde, kan Datatilsynet i et bødeforelæg tilkendegive, at sagen kan afgøres uden retssag, hvis den, der har begået overtrædelsen, erklærer sig skyldig i overtrædelsen og erklærer sig rede til inden en nærmere angivet frist, der efter begæring kan forlænges, at betale en i bødeforelægget angivet bøde.</p>
<p>Stk. 2. Retsplejelovens regler om krav til indholdet af et anklageskrift og om, at en sigtet ikke er forpligtet til at udtale sig, finder tilsvarende anvendelse på bødeforelæg.</p>
<p>Stk. 3. Vedtages bøden, bortfalder videre forfølgning.

Det er nærmere beskrevet i bemærkningerne:

2.8.3.9. Med lovforslagets § 42 foreslås det, at Datatilsynet bemyndiges til i sager om overtrædelse af lovforslaget, databeskyttelsesforordningen eller regler udstedt i medfør af loven at udstede administrative bødeforelæg, hvis sagerne er ukomplicerede og uden bevismæssige tvivlsspørgsmål.</p>
<p>Forslaget har til hensigt at indføre mulighed for en hurtig og enkel afslutning af en strafsanktioneret databeskyttelsessag.</p>
<p>Forslaget giver således Datatilsynet kompetence til at afslutte en sag ved udstedelse af et administrativt bødeforelæg. Forslaget retter sig kun mod sager, hvor den dataansvarlige eller databehandleren tilstår det strafbare forhold. Det er desuden en forudsætning, at sagen er egnet hertil, dvs. ukomplicerede sager uden bevismæssige tvivlsspørgsmål. Det er endvidere en forudsætning, at der i retspraksis er fastlagt et tilstrækkeligt præcist bødeniveau for den pågældende overtrædelse.</p>
<p>Som eksempler på sager, der kan anses for egnede til at blive afsluttet ved udstedelse af et administrativt bødeforlæg, kan nævnes sager om utilsigtet offentliggørelse af oplysninger på internettet. Sådanne sager er karakteriseret ved, at man ved en fejl er kommet til at offentliggøre oplysninger på internettet. Det bemærkes, at der her forventes et større antal ensartede sager. Bestemmelsen kan også tænkes anvendt i sager om overtrædelse af reglerne om de registreredes rettigheder, såsom f.eks. overtrædelse af oplysningspligten, ligesom den vil kunne anvendes i øvrige egnede overtrædelsessager.</p>
<p>I tilfælde, hvor den, der har begået overtrædelsen ikke erklærer sig rede til at betale bøden inden en nærmere angivet frist, vil domstolene afgøre bødespørgsmålet. I sådanne tilfælde vil Datatilsynet skulle indgive politianmeldelse sammen med en redegørelse for tilsynsmyndighedens vurdering, herunder niveauet for bøden. Der henvises i den forbindelse til betænkningen, s. 934-937.</p>
<p>Der henvises i øvrigt til lovforslagets § 42 og de specielle bemærkninger hertil.

Jeg bider mærke i: Det er endvidere en forudsætning, at der i retspraksis er fastlagt et tilstrækkeligt præcist bødeniveau for den pågældende overtrædelse., hvilket kan forklare hvorfor vi endnu ikke har set bødeforlæg, da der ikke findes en retspraksis (endnu).

23. februar 2021 kl. 18:01
Kunstnere og virksomheder dybt uenige om forældet afgift på lagringsmedier

Så CopyDan sagsøger staten, fordi staten ikke har konfiskeret nok af andre folks penge og uddelt til kunstnere, der finder det under deres værdighed at tjene pengene selv - hvor frastødende kan det blive?

CopyDan sagsøger staten for ikke at overholde InfoSoc-direktivet, minder det lidt om en anden aktuel sag? (hmm logning?)

Mere præcist 5(2)(b)

b) reproduktioner på <strong>ethvert medium</strong> foretaget af en fysisk person til privat brug og til formål, der hverken direkte eller indirekte er kommercielle, forudsat at rettighedshaverne modtager en rimelig kompensation, i forbindelse med hvilken der tages hensyn til anvendelse eller ikke-anvendelse af de i artikel 6 nævnte tekniske foranstaltninger på det pågældende værk eller den pågældende frembringelse

Normalt er jeg ikke fan af, at man ikke kan vinde over staten i retssystemet, men lige i den her situation virker det egentlig fint nok.

Nu kan man mene hvad man vil om sagen, men der er vel lighed for loven.

10. februar 2021 kl. 13:06
Ny undersøgelse: 450 apps med milliarder af downloads indsamler dine lokationsdata

Fungerer det ikke sådan på IOS ?

Det er i hvert fald muligt (se eksempel her), men der er nok en del brugere, der er forholdsvis ukritiske.

2. februar 2021 kl. 11:51
Google vs. Australien: Borgerne skal selv bestemme over persondata

Er der nogen der ved hvor jeg kan læse om forskellen imellem EUs og Frankrigs (specifikke betaling for indhold) krav?

Det australske forslag tillader ikke at Google kan deliste/deranke nyhedsartikler (52W). Så med andre ord skal de linke til nyhedsartikler, de skal betale og de kan ikke frit bestemme prisen. Ydermere skal ændringer til deres søgealgoritme varsles 28 dage før (52N)

Forslaget kan findes her: https://www.accc.gov.au/system/files/Exposure%20Draft%20Bill%20-%20TREASURY%20LAWS%20AMENDENT%20%28NEWS%20MEDIA%20AND%20DIGITAL%20PLATFORMS%20MANDATORY%20BARGAINING%20CODE%29%20BILL%202020.pdf.

28. januar 2021 kl. 13:37
Datatilsynet: Omkring halvdelen af landets kommuner bryder GDPR

Så vidt jeg ved forholder Schrems II-dommen sig ikke direkte til CLOUD Act, i følge den kompetente Jesper Lund (fra IT-Politisk Forening) strider den dog imod GDPR artikel 48.

Hvis vi ser bort fra CLOUD Act og antager at det amerikanske DevOp team ikke kan tilgå data i de europæiske datacentre, så burde det være muligt at overholde GDPR (så vidt jeg har forstået).

Jeg kan have min tvivl ift. "DevOp-teamet", men den eneste måde at blive klogere på det og CLOUD Act, er nok ved at nogen indleder en sag.

28. december 2020 kl. 15:54
Organisationer efterspørger klar aftale om dataoverførsler efter Schrems II-dom

Mnja... Økonomi er reelt set bagvendt for alle ved at man ikke kan køre billigere end på eget jern - man betaler KASSEN for Amazons og Microsofts tjenester.

Hvis du udelukkende skal bruge rå regnekraft, så vil jeg give dig ret. Men hvis man bruger deres managed services, så er billedet lidt mere mudret.

Det som er problemet er at ma stedet for at betale til "cloud" skal frem og betale løn, licenser og hardware og det er jo så komplekst.

Det er i hvert fald mere komplekst end at svinge betalingskortet ;) Men hvis man har kompetente IT-folk i forvejen, så er det da ladsiggørligt. Nu findes der dog mange ikke IT-virksomheder, der bare betaler for f.eks. Office 365 eller Google Workspace, hvor det kan være lidt op ad bakke.

Men lad os se om der kommer noget håndhævelse på et tidspunkt eller om de er "too big to fail".

24. december 2020 kl. 14:05
Efter digitalt kørekort: Sundhedskortet kommer i ny app til 10 millioner kroner

For de intreserede er Lakeside rapport et kig værd.

Deres anbefaling:

Lakesides primære anbefaling er derfor, at parterne på sundhedsområdet iværksætter en umiddelbar og relativ billig sikring af sundhedskortet (som beskrevet i afsnit 3.2.1, dvs. med QR-kode, løbenummer, spærreliste men uden billede og øvrige sikringstiltag). Samtidig etableres der en tilsvarende digital løsning (som beskrevet i afsnit 4.2”Det Digitale Sundhedskortmed optionelt billede”). Den digitale løsning kan udvikles og implementeres umiddelbart, mens muligheder for ændringer i det fysiske kort kan afhænge af den kontrakt, der pt. er indgået og måske først kan implementeres ved næste kontraktperiode.
Parallelt med dette anbefaler Lakeside, at Sundhedsministeriet går i dialog med øvrige relevante ressortområder, med henblik på at afdække mulighederne for udvikling af et egentligt dansk nationalt identitetskort (fysisk ogdigitalt). Hvis dette udvikles, vurderes det, at sundhedskortet helt kan udfases uden større negative konsekvenser for sundhedsområdet hhv. sekundære anvendelser.

4. december 2020 kl. 12:41
Datatilsynet i alvorlig kritik af Zoologisk Have: »Alt for let« at få adgang til data om årskortholdere

Zoo sendte følgende ud:

Softwareingeniøren har udelukkende påpeget den potentielle sårbarhed, som nu er blevet lukket. Dine medlemsoplysninger har derfor ikke været delt eller på anden måde være kompromitteret.

Som bygger på:

Datatilsynet lægger til grund, at Zoos konklusion om, at der ikke er sket misbrug af sårbarheden i log-in, bygger på en undersøgelse af logfiler fra værktøjet Analytics, som viser, at i perioden 25. maj 2018 til 3. januar 2020, har der været 12468 sessioner totalt og medlemsdata er tilgået 44328 gange. Endvidere lægger Zoo vægt på, at ingen årskortholdere har meldt om uautoriserede ændringer i deres data.

Google Analytics er så vidt jeg ved en ren client-side ting, så det kan man jo ikke konkludere noget på.

Datatilsynet er heller ikke helt tilfreds:

Det er Datatilsynets vurdering, at de omtalte logfiler primært fokuserer på den ordinære brugeradfærd, og efter tilsynets opfattelse ikke er udtryk for en undersøgelse, der er optimeret til at opdage eventuelt misbrug. Datatilsynet er af den opfattelse, at der også i situationer hvor brugsmønsteret forekommer normalt, kan foreligge en misbrugssituation. Det er altså ikke muligt – alene på denne baggrund – at konkludere, at den potentielle mulighed for uautoriseret adgang ikke er udnyttet. Uautoriseret adgang til oplysninger kan ske på en måde, der ikke vækker opsigt, fordi den ligner normal datatrafik, og dermed ikke opdages ved en undersøgelse, som den af Zoo beskrevne.</p>
<p>[...]</p>
<p>Det er endvidere Datatilsynets opfattelse, at de øvrige registreredes er blevet udsat for en øget konkret risiko gennem de oplysninger Zoo selv har offentliggjort (hjemmesideteksten), idet disse registrerede fejlagtigt kunne tro at deres oplysninger ikke var i nogen fare for at have været kompromitteret. Det følger af princippet i databeskyttelsesforordnings artikel 5, stk. 1, litra a, at princippet om rimelig og gennemsigtig behandling tilsiger, at fejlagtigt eller ikke fyldestgørende givet information berigtiges, dette uanset om risikoen for de registreredes rettigheder måtte være høj eller ej.

4. december 2020 kl. 12:17
Dissektion af en business case: Kørekort app – kommer pengene hjem?

Hvorfor skal jeg overhovedet medbringe mit kørekort? Det eneste problem jeg kan se ved at politiet bare kunne slå det op pr. CPR, er at de mister dummebødeindtægterne.

Problemet ved at slå et CPR-nummer op er at de jo egentlig ikke ved om det er dit CPR-nummer. Vi har jo intet billedregister (endnu?).

1. december 2020 kl. 04:44
Hardware søges: Gigabit-probe

Det kan den muligvis - men det bliver ret hurtigt fyldt op, når man tester på 1 Gbit/s hastighed :)

Hvis det er tilfældet, så kunne du bare skrive til en USB-tilsluttet "stik/disk", i modsætning til tidligere modeller kører netværk og USB nemlig ikke længere over en shared bus. I dag kan de sågar boote direkte fra USB uden et sd-kort.

27. november 2020 kl. 16:51
Single use domæner til officiel information fra det offentlige

For domæner der ikke bruges til mail, er det også værd at sætte en "Null MX":

  1. example.com. IN MX 0 "."

5. november 2020 kl. 15:38
Nyt værktøj skal gøre det lettere at teste it-sikkerheden på dit domæne

På forsiden står der:

Danske websites udsættes for ca. 20.000.000 hackerangreb årligt. <strong>Du risikerer at miste din identitet pa nettet – og i værste fald hele dit forretningsgrundlag, hvis nettet er kritisk for din virksomhed.</strong>

Det virker ærlig talt en smule tragikomisk, at de fleste DNS udbydere, mail udbydere, cloud udbydere etc. tilbyder 2FA, men tilbyder DK Hostmaster 2FA? Nej, men domænet er jo også kun det allermest kritiske.

De har godt nok deres VID-service, men for et personligt domæne virker det som en forholdsvis dyr og tung løsning (nu når alle andre kan tilbyde let og simpel 2FA gratis). 2FA er så vidt jeg forstået dog i deres roadmap, og har været det i 2+ år, så de får det forhåbentlig implementeret inden for en overskuelig årrække.

27. oktober 2020 kl. 20:04
Føtex identificerer dig via betalingskort

Der er en fin beskrivelse af hvordan Apple Pay fungerer her: https://www.freecodecamp.org/news/how-apple-pay-works-under-the-hood-8c3978238324/. Det lyder dog til, at brugeren stadig kan trackes dog ikke på kortnummeret men det såkaldte "Device Account Number".

21. oktober 2020 kl. 19:18
Fjender på høje poster

Nogen bedre forslag?

Er vi sikker på at problemet er at skribenten ikke kan identificeres?

Jodel, hvor man kan skrive om stort og småt "anonymt", har fået flere at politikerne op af stolene (DR, TV2). Nogen af dem snakker sågar om at lukke det (spørgsmål 120 og 121 i Retsudvalget) og andre mener:

Jan E. Jørgensen (V) mener, at det bør være forbudt at optræde anonymt eller udgive sig for at være en anden på nettet, »men om det er praktisk muligt at gennemføre, ved jeg ikke«.

Det lyder dog ikke til, at der er indgivet nogen politianmeldelser (endnu?):

Rigspolitiet oplyser, at man ikke har modtaget anmeldelser om Jodel på politiets digitale anmeldelsesplatform.

Så måske vi skulle starte der? Er problemet at der ikke bliver indgivet anmeldelser, at politiet ikke har de nødvendige ressourcer eller at skribenterne ikke kan identificeres?

Som flere af jer er inde på, så er der ikke nogen let løsning. At stille medierne helt eller delvist til ansvar, er jeg dog ikke sikker på er den rette vej at gå (i første omgang). Som Jacob Mchangama fra den juridiske tænketank Justitia forklarer det:

Jacob Mchangama har ikke den perfekte løsning på udfordringen med, hvad der bliver skrevet på de sociale medier - også selv om der er "meget møg" på dem.</p>
<p>Men i stedet for at føre kontrol med internettet, burde vi satse på mere transparens hos platformene, og at domstolene kan behandle injurierende indhold, lyder det.</p>
<p>- Og så må vi finde os i, at vi en gang imellem støder på indhold, vi er uenige i, siger han.</p>
<p>- Ellers kommer vi til et punkt, hvor internettet kun er kattevideoer, ligegyldige opslag og historier fra traditionelle medier. I bund og grund ville vi få en amputeret offentlig debat, siger han.

18. oktober 2020 kl. 17:57
Decompiling Smittestop

Ikke i vores firma og formodentlig hellere ikke hos de to andre der er repræsenteret her.

Nu er det vel i bund og grund underordnet hvad i mener, da det er retten der afgører det?!

Når det så er sagt, så har retspraksis i mange år været at oplysningerne bare blev udleveret. Jeg antager dog at det har ændret sig siden Telia og Telenor tog kampen op.

Det er i øvrigt nu ulovligt på grund af GDPR.

Hvad er ulovligt? At udlevere oplysninger på baggrund af en kendelse?

1. juli 2020 kl. 18:55
Oh-shit planen

Jeg kommer sådan til at tænke på Danske Banks nedbrud i 2003, der varede fem dage.

Har man en plan hvis det skulle ske igen, hvis en af de andre SIFI'er skulle få et længere driftsnedbrud eller hvis de ligefrem mistede data? Det er ret skræmmende at tænke på de potentielle konsekvenser.

27. juni 2020 kl. 18:45
Black lives (og sproget) matter

som at ændre whitelist/blacklist til allow/deny og alle de andre</p>
<p>hvordan mon så det går for alt det andet.</p>
<p>Ret det , kom videre , vi er også hold op med at sige "Guys" til alle ikke ?</p>
<p>Og Ja gør det stadig selv men forskellen er at nu er det en fejl der bliver rettet istedet for ignoreret

Enhver terminologi kan jo i princippet virke stødende, og at ændre sproget, hver gang nogen føler sig stødt, mener jeg ikke er en farbar vej.

Så reelt set er vi ude i en diskussion om hvor grænsen går, eller om vi bare skal acceptere at sproget kan virke stødende.

22. juni 2020 kl. 21:24
Udviklere vælger for nemme løsninger: Ydelse kan øges 60.000 gange ved at omskrive kode

så er det vist ikke ualmindeligt, at man først får løsningen til at køre. Dernæst ser man på, hvor godt den faktisk kører. Det er måske rimeligt nok, en programmørtime er ret dyr sammenlignet med maskintid. Især maskintid på andres maskiner. Det vil også være fjollet at optimere på en rutine, man TROR er tung, men som faktisk betyder meget lidt i det samlede regnskab for køretid/strømforbrug.

Der er helt sikkert nogen der falder i den fælde, jeg kommer til at tænke på følgende udsagn (læs gerne linket):

Programmers waste enormous amounts of time thinking about, or worrying about, the speed of noncritical parts of their programs, and these attempts at efficiency actually have a strong negative impact when debugging and maintenance are considered. We should forget about small efficiencies, say about 97% of the time: premature optimization is the root of all evil. Yet we should not pass up our opportunities in that critical 3%.

15. juni 2020 kl. 15:39