Dennis Arnold

Skelsættende afgørelse: Derfor dumper Google Analytics på GDPR (Version2)

... et flot stykke arbejde af Schrems og Noyb - og det østrigske Datatilsyn.</p>
<p>Hvornår smitter dette af på Danmark - og Helsingør, for man må vel (i hvert fald som totalt ikke-fagmand, som ikke forstår meget af det tekniske) gå ud fra, at de samme problemer kan findes i Googles skoleprogrammer?

Vi er der snart. Datatilsynet undersøger Helsingørs (bort-)forklaringen, hvor Helsingør bruger den (in-)famøse "subjektive vurdering" (som de læser ud af EDPB bør foretages før den objektive vurdering af tredjelandet) til at komme til den konklusion at US-myndigheder aldrig har haft interesse i de data, Helsingør ligger inde med (selvom Helsingørs undersøgelse af det mere hullet end en schweizisk Edamer). Denne "subjektive vurdering" - mener nogle - kan være smuthullet til at bruge US-udbydere, mens andre er lidt mere skeptiske over for den mulighed. Jf. EDPS står det klart at denne vurdering ikke kan holde, og at man ikke kan bortforklare risikoen på den måde. Så nu er jeg spændt, om DT følger trop. Vi må bare håbe at DTs ledelse ikke prioriteter erhvervslivet højere end privatlivet, så de i sidste ende ender med en eller anden kompromis, som bare ikke holder, blot så man kan give Dansk Erhverv og erhvervslivet en god nyhed (som i sidste ende skader erhvervslivet, givet vi har behov for klare regler). Integritet skal der til, og jeg håber inderligt at man hører mere på hr. Frank end fr. Gulisano inde i DT.

19. januar kl. 08:57
Den nye lognings-lov er stadig noget ulovligt juks (Version2)

Jeg synes du burde udelukke dig selv fra Version2, hvis du er så fornærmet.

Derudover synes jeg det er klart vigtigere, at vi beskytter alle individers menneskerettigheder og grundlæggende rettigheder, end at give en inkompetent politistat-in-spe mulighed for yderligere overvågning.

Regeringen og rigspolitiet og hele statsapparaten er så utrolig inkompetent på efterretningsområdet, at de endda helt bevidst indgår risici for at den lovgivning, der giver dem lov til overvågning, undermineres.... fordi de synes at værktøjet er så super effektivt til bekæmpelse af kriminalitet.

Jeg er FULDSTÆNDIG ligeglad med politiets bekæmpelse af kriminalitet, hvis det handler om, at politiet skal bryde loven og menneskers grundlæggende rettigheder.

Så må politiet blive bedre til deres arbejde.

Det her er en retsstat. Selvom noget er effektivt, betyder det ikke, at det er lovligt. Målet helliger ikke midlerne.

18. januar kl. 12:51
Tidligere generaladvokat ved EU-Domstolen kritiserer Hækkerups lognings-forslag (Version2)

Det er kun målrettet logning, der er tilladt og ikke »generel og udifferentieret logning«. Samtidig må oplysninger indsamlet gennem logningen til brug for terrorbekæmpelse ikke bruges i sager om anden alvorlig kriminalitet, sådan som lovforslaget også lægger op til.

Generel og udifferentieret logning (som under ét kan betegnes som masselogning), er faktisk muligt for medlemsstater, hvis dette sker på baggrund af en høj vurdering af trussel af den nationale sikkerhed, jf. La Quadrature du Net-dommen.

Det må bare ikke bruges til bekæmpelse af grov kriminalitet... eller må det? Se "grov kriminalitet af alvorlig karakter" (som et et skøn som den nationale regering selv står for) ift. Ministerio Fiscal-dommen, hvor det erklæres, at det er foreneligt med EUs proportionalitetsprincip.

Det, som Hækkerup prøver her, er at sige "vi masselogger kun pga national sikkerhed, men vi giver oplysninger videre, også hvis der er sager, hvor den grove kriminalitet er af alvorlig karakter". Det er den sidste krølle omkring grov kriminalitet af alvorlig karakter, som Hækkerup siger, er under væsentlig procesrisiko.

Derudover er det her med "systematisk karakter" helt klart noget, som skal præciseres. Masselogning af 1 år ad gangen, men en årlig ny trusselvurdering, kan da i praksis ikke skelnes fra en ordning, hvor man har et permanent påbud om masselogning. Især hvis regeringen ikke gør noget for, at vi ikke længere er i fare for den nationale sikkerhed... jeg mener, hvis vi faktisk er et mål for en konkret og forudsigelig trussel, så spørger jeg mig, hvad de bruger teledata til? Teledata skal da netop bruges til bekæmpelse af nationale sikkerhedstrusler... så hvordan kan det være vi fortsat er i fare?

18. januar kl. 12:01
Overførsel af personoplysninger til tredjelande: Hvad er muligt? (ComplianceTech)

(ovenstående gælder selvfølgelig mest for cloud-tjenester i USA, jf. use case 6 i EDPB Recommendations 01/2020 (endelig version efter høring))

18. januar kl. 11:51
Overførsel af personoplysninger til tredjelande: Hvad er muligt? (ComplianceTech)

Dette er ikke en fyldestgørende beskrivelse af, hvordan man kan overføre data til usikre tredjelande. Der mangler de mest væsentlige punkter, dvs. det, som giver hovedpine derude: hvilke tekniske sikkerhedsforanstaltninger kan tilvejebringe samme beskyttelsesniveau som i EU?

Ifm. USA har EDPB f.eks. for længst fastslået, at der ikke rigtig er nogen form for tekniske eller andre former for sikkerhedsforanstaltninger, som kan give samme beskyttelsesniveau. I andre lande med hemmelig overvågning el. lign. vil udfaldet være lignende. Der kan selvfølgelig være undtagelser, hvor der godt kan findes tekniske eller organisatoriske foranstaltninger - men vi ved alle, at hovedproblemer et USA, ikke et eller andet mindre afrikansk land f.eks.

Så det her er ret nyttesløst, og giver et forkert billede af, hvad der er vigtigt. Ikke indgåelse af SCC/BCR samt en hurtig TIA - det er blot papirstigre til at sætte det i gang, som burde være i fokus i den her artikel: at opnå samme beskyttelsesniveau... hvilket viser sig umuligt.

Så er der mange, der fremhæver, at der jf. EDPBs vejledning skal udarbejdes en subjektiv vurdering af, hvorvidt de data, man sidder inde med, førhen har været genstand for interesse af usikre tredjelandes myndigheder eller andre (eks. hackere), og at man ved denne subjektive vurdering ville kunne udlede i nogle tilfælde, at der er "no reason to believe" at disse vil være interessant for nogen. Lad mig sige det som det er: det er også - pænt sagt - groft tvivlsomt, hvorvidt det faktisk løser problemet. (Det bliver derudover pt. afgjort i en sag hos Datatilsynet, om denne forklaring og udlægning af EDPBs vejledning er brugbart - nærmere bestemt er det Helsingør Kommune, der pt. bruger denne forklaring, omend med en ret naiv og rodet udregning af interesse fra USAs myndigheder)

18. januar kl. 08:49
Google på vej med Android-spil til Windows (Version2)

"GTA - The Trilogy: Definite Edition"

"Definite"... Jajaja ... definitivt blot en ny-indpakket version af android-versionen udbudt på current-gen konsoller.

Jeg er helt sikkert fan af at man kan caste sine mobilspil på stor skærm. Så kan jeg snart knuse slik på størrelse af en 3-årigs hoved.

14. december 2021 kl. 11:10
Helsingør-skoler beholder Google: Vi må leve med risici for børnenes databeskyttelse (Version2)

Det er det mindst fyldestgørende svar på kritik jeg har set længe.

Så Helsingørs konklusion er: det går nok?!?!?

Det er så ringe og ukompetente. Jeg ville rigtig gerne se deres tilsyn en gang, for jeg kan da love for lille DPO i lille Helsingør fra lille Danmark ikke får mere fra Google end hvad de har liggende på deres Compliance Report Manager, og det skal selvfølgelig læses med masser og masser af bjerge af salt, siden man skal se igennem Googles "smoke and mirrors" og falsk tryghed, som de leverer. Det er jeg 100 % sikker på, Helsingør netop IGEN overser, enten med fuld overlæg, eller pga manglende kompetence.

Det med "så må vi leve med det" muligheden, den går altså 0,0 % af gangene.

Helt hen i vejret, det her... Hvis der ikke falder en hammer på det, så må der helt korrekt antages, at det offentlige ikke er ramt af GDPR, og at der ikke er konsekvenser for ikke at rette ind.

13. december 2021 kl. 10:54
FE melder pas: Kan ikke genskabe SMS-beskeder fra mink-sagen (Version2)

Tjaa, hvad med de kabler som FE har sikret at NSA/CIA kan aflytte og som har gjort at andre europæiske ledere har været meget oprørte over Danmarks medvirkende.

Stadig er der ikke belæg for at tro at NSA/CIA kan mere end vi selv kan. Så når vi i DK lader CIA og NSA aflytte kabler, sker det på DKs præmisser. Så hvis CIA og NSA kan aflytte noget som DK ikke har aflyttet, har de det i hvert fald ikke fra DK.

9. december 2021 kl. 08:29
FE melder pas: Kan ikke genskabe SMS-beskeder fra mink-sagen (Version2)

... og husk denne episode, for derved kan der vel også slås fast, at man har mulighed for privatsfære ved at slette SMSer, og at ingen domstol kan dømme nogen for at have skrevet noget i en slettet SMS, givet ikke engang FE har kunne genskabe statsministerens SMSer i en undersøgelseskommission.

7. december 2021 kl. 13:10
FE melder pas: Kan ikke genskabe SMS-beskeder fra mink-sagen (Version2)

Her handler det om at genskabe SMSer. Hvad skal der genskabes? SMS-inholdet. A-nummer (afsender) og B-nummer (modtager) bliver allerede ulovligt logget ifm. logningsbekendtgørelsen, og disse oplysninger har teleselskaberne liggende i 1 år.

Men SMS-indholdet kan ikke genskabes, fordi der ikke er nogen, der logger det. Og med god grund!

Kim: Grunden til at man kan dømme kriminelle for overtrædelser af loven flere år tilbage, er at man bruger de logs der bliver udarbejdet ifm. logningsbekendtgørelsen. Her taler vi om at en sigtet kan siges at have været ved gerningsstedet til gerningstidspunktet, som kun er ét led i bevisførelsen fra anklagerne. Men selv de kan ikke genskabe slettede SMSer og få fat i SMS-indholdet.

Claus: Nej, CIA og NSA kan ikke udlevere nogen korrespondance, da de ikke har dem. Hvor skulle de også få det fra?

Kenneth: Det er præcis det, som kriminelle har gjort i årtier nu. Men de kan stadig dømmes, givet at der logges tidspunkt for foretagede kald og forsendelse af smser, samt logger modtager- og afsendernummer, hvor man sender fra (dvs hvilken mast), m.fl. Men igen: der var aldrig rigtig mulighed for at logge SMS-indholdet.

Ikke engang teleselskaber kan se SMS-indhold. Det går naturligvis igennem deres systemer, men bliver ikke gemt i deres SMS-center. Det har de indført nogle mekanismer imod, så de netop kan fortsætte den forretning, de sidder med. De kan - af sagens natur - naturligvis sætte bagdøre op og lave nogle ting for at kunne se SMS-indholdet på ulovlig og irregulær vis, som involverer at skulle have forskellige parter ind over, som alle sammen kan være whisteblower for den anden, så der er gode incitamenter for ikke at lave foranstaltninger for at kunne "læse med".

Selv ved andre politisager, hvor det er it-kriminelle, der sender phishing- eller spam-SMS'er, kan teleselskaberne - selvom de også selv mister store poster penge grundet it-kriminelle - ikke gøre noget for at udlevere informationer til politiet.

Det her er ærlig talt for mig en god nyhed. Kan rigspolitiet ikke genskabe, og kan FE ikke genskabe, så betyder det, at der er noget ytringsfrihed og frihed til privatliv tilbage her i det danske rige. Vi bliver godt nok stadig masselogget, men kun på HVORNÅR og HVOR FRA vi fortæller HVEM noget. Det sidste, dvs HVAD, er beskyttet.

... ellers har teleselskaberne da et enormt GDPR-problem også, givet de så jo burde opbevare alle SMSer som går igennem deres systemer, inkl. sensitive persondata på alle borgere, som må siges ikke at kunne blive meget mere sensitivt og kritisk. Det kan man aldrig sætte nok sikkerhedsforanstaltninger op for.

Så lad os være glade for at "slettet" betyder "slettet", og at FE ikke overvåger hvad vi siger.

7. december 2021 kl. 13:06
Privacy-fokuseret søgemaskine vil blokere sporing i Android (Version2)

Jeg mente selvfølgelig "Facebook, Snapchat og Twitter" ikke Google, men ja, potayto potahto :P

Forresten, måske kan grunden til at Finns kommentar nedstemmes være, at han bruger ord man ikke kan gennemskue, hvad Finn mener... "Goblen, Fjæsbogen og Flipper"? Brug nu deres navne, det her er ikke Voldemort; "fear of a name only increases fear of the thing itself".

23. november 2021 kl. 10:19
Privacy-fokuseret søgemaskine vil blokere sporing i Android (Version2)

Hvis Apples privacy regler har gjort så voldsomt en forskel i tallene hos Google osv, så viser det her jo tydeligt, at privacy 1) er noget folk vil generobre, 2) er noget folk ikke vil give slip på igen, 3) er noget som de store altid har tjent meget godt på.

23. november 2021 kl. 10:14
Organisationer i desperat opråb om ulovlig logning: »Stop overvågningen af os alle sammen« (Version2)
  • Informationsfrihed
  • Ret til privatlivets fred

Er informationsfrihed stadig det samme værd, hvis der nægtes aktieindsigt i en sag der vedrører vores allesammens ret til privatliv? Er ret til privatliv meget værd, hvis regeringen modarbejder privatlivets fred?

Vi er jo nærmest tilbage ti Schrems-problematikken. Værdiset A mod værdiset B. "Mere overvågning giver mere sikkerhed, som giver mere frihed" mod "Frihed betyder sikkerhed mod krænkelse af friheder, dvs ret til privatliv, så overvågning mindsker frihed"

18. november 2021 kl. 11:06