Emil Bock Nielsen

Danske kommuner har brugt store millionbeløb på omdiskuterede Chromebooks (Version2)

Nu de er købt, så er der forholdsregler som kan laves. Men om ændringerne vil have en reel effekt, er mindre sandsynligt (næsten urealistisk) ift. Googles historik. De har et utal af gange bevidst overtrådt aftaler indgået med myndigheder, og hvor privatlivsindstillinger ikke alligevel havde en effekt som lovet.

Men okay, her er en guide udarbejdet af Electronic Frontier Foundation, lavet til skoleelevers Chromebooks og Google konti (dog fra ~2016, så UI er sikkert anderledes):

  1. https://www.eff.org/deeplinks/2015/11/guide-chromebook-privacy-settings-students
  2. https://www.eff.org/deeplinks/2015/11/guide-google-account-privacy-settings-students
5. august kl. 22:33
Danske kommuner har brugt store millionbeløb på omdiskuterede Chromebooks (Version2)

Datatilsynets langsommelige behandling af klagesag fra Helsingør Datatilsynets manglende trykprøvning af andre kommuners aftaler med Google

Ved ikke om man kan klandre Datatilsynet. Det er ikke en myndighed med mange ressourcer set ift. dets opgaves størrelse. De har udtalt de igang i lign. undersøgelser af andre kommuner.

Datatilsynets manglende tilsyn med aftaler med andre US-baserede leverandører til kommuner og folkeskoler

Google er den mest oplagte at starte med af flere grunde. Så set ift. ressourcer, så er det nok derfor de er først i vælten. Google har en virksomhedsaktivitet ift. europæiske forbrugere som går mindst i spænd med GDPR. Uden lige at komme med tal på det, selvom jeg kan finde dem. Så vil jeg våge at påstå, at Google er mindre integreret i den digitale infrastruktur end f.eks. Microsoft. Så casen vil måske også være et bedre udgangspunkt for Datatilsynet.

5. august kl. 22:06
LEDER: Google-panik i folkeskolen er blevet absurd teater (Version2)

Udklip fra https://dataethics.eu/da/the-troublesome-case-of-using-google-in-european-schools/

Løsningen er ikke overvågningsindustrienI Tyskland tillader de hverken Google eller Microsoft i skolerne. I Frankrig arbejder man også med alternativer til overvågningsindustriens tilbud(https://dataethics.eu/googlification-of-the-elementary-school/). Og i Sverige har de oprettet “The Sunet Drive SafeSpring-løsningen” sammen med Nextcloud, en tysk open source-baseret konkurrent til Google (https://nextcloud.com/blog/gdpr-compliant-collaboration-coming-to-750k-students-and-teachers-in-sweden/)

5. august kl. 14:21
KL holder hemmeligt Chromebook-krisemøde for kommunerne (Version2)

Men frygten for at træde forkert i forhold til børns databeskyttelse plager stadig myndighederne, og derfor er mødet lukket for offentligheden.

Ja, så går spekulationen igang. Vælg en, eller flere årsager:

  • Kommunerne vil ikke vise til offentligheden, hvor svært de har ved at forholde sig til problematikkerne, fordi de ønsker at bevare deres handlerum og muligheder, som Googles system giver dem. (Noget Thomas Vlk har skrevet om i sit speciale https://radarmedia.dk/sociolog-it-konsulenters-forstaaelse-for-privatlivsproblemer-med-google-er-som-en-laegmand/

  • Lukket møde = Jo mindre indsigt, jo mindre tab af ansigt. Det kan både være uheldige sager, der kan skade det politiske ry. Eller indsigt i personers viden om området (IT, GDPR m.m.). En dejlig favorit i journalistikken, der også er kendt i et mere offentlig regi end privat. Nemelig en af Offentlighedlovens favoritter "der skal beskyttes 'frie tanker' så de ikke begrænses af kritik".

  • Kommercielle aktører, som Google, er inviteret til den private aktør KL’s møde om hvordan offentlige myndigheder skal forholde sig til problemstillingen.

5. august kl. 14:02
KL holder hemmeligt Chromebook-krisemøde for kommunerne (Version2)

Jeg tror han mener en lov som vedtages med en væsentlig procesrisiko, hvor dén lov så får noget gåtid, indtil "man finder ud af", at den egentlig ikke er lovlig. Lidt ligesom tele-logning.

5. august kl. 13:10
Meta sagsøges sammen med amerikanske hospitaler for at sende sundhedsdata til Facebook (Version2)

Der er så også det sikkerhedsaspekt, at man åbner op for flere angrebspunkter med implemetering af flere værktøj på ens hjemmeside.

5. august kl. 13:00
Meta sagsøges sammen med amerikanske hospitaler for at sende sundhedsdata til Facebook (Version2)

Der er desværre mange udviklere som implementere det på hjemmesider, hvor personoplysninger samt andre meget private oplysninger skal indtastes eller fremgår... (selvom det, i næsten alle tilfælde, er ulovligt).

Senest min bank krævede flere oplysninger om mig - efter den senest udvidelse af hvidvaskloven -, så var Google Tagmanager og Facebook.net implementeret på samme side, som jeg skulle indgive oplysningerne. Altså mit fulde navn, CPR, adresse, oplysninger om min adfærd (hvor mange penge forventer jeg at bruge, hvor mange skal gå til gaver, hvor mange kontanter forventer jeg at hæve osv.) osv. Jeg fik at vide Google var til statistik, men fik ingen svar om Facebook. De havde dog - heldigvis for mig og ift. loven - valgt at fjerne dem.

Det samme var tilfældet med indgivelse af oplysninger til mit energiselskab - som dejligt også rettede det.

5. august kl. 12:52
Helsingør trodser Chromebook-forbud: Har sendt tusindevis af siders forklaring til Datatilsynet (Version2)

De må ikke.

  • Alene pga. CLOAD Act, så må de ikke, når Google sidder på krypteringsnøgle.
  • Helsingør vil ikke kunne (tvivler stærkt kraftigt på de kan) fortælle "brugerne" hvor data præcist ender og blir brugt til.
  • Indsamling af data blir brugt til formål ,som ikke kan stilles op imod det oprindelige formål - andre formål er profilering, reklamer m.m.

Alle forhold som ikke direkte er forenelige med GDPR (sig endelig til, hvis der er noget jeg har misforstået).

Samtalen er lidt ligesom:

Fartbølle: "... Jamen, en anden politimand har sagt det er okay at køre 100 km/t". Politimand: "Det kan det også være, men ikke på denne vej, hvor man må køre 80 km/t". Fartbølle: "Nå... jamen hvor må jeg så køre 100 km/t?" Politimand: "Såfremt skiltningen tillader det, så må du køre 100 km/t”.

Senere samme dag... Fartbølle: ”Jamen du sagde lige jeg måtte køre 100 km/t!? Politimand: ”Ikke når du kører på motorvejen med en trailer bag på din bil uden tilladelse”. Fartbølle: ”Amen for pokker da! Jeg fik at vide af min ven, at det nu var ok!?”. Politimand: ”Kun hvis du dit køretøj lever op til, samt har påsat en ’Tempo 100-godkendelse’”.

Næste dag... Fartbølle: ”Det var da utroligt!!! Hvorfor stopper du mig?” Politimand: ”Fordi du kører med en forældet ’Tempo 100-godkendelse’, den blev forældet i 2016”. Fartbølle: ”... Nu må det snart stoppe...”.

En uge senere... Fartbølle: ”NU KØRER JEG 70 KM/T PÅ MOTORVEJEN MED TRAILEREN! DU HAR SAGT JEG IKKE MÅ KØRE FOR HURTIGT, OG NU HOLDER JEG MIG UNDER! HVAD F*NDEN ER DER NU GALT?! Politimand: ”På motorvejen her, så må man køre 130 km/t. I teorien må du gerne køre 70 km/t, men i denne situation er du til hindring, uden rimelig grund, for andres normale kørsel på motorvejen. Du er altså til fare for andre”. Fartbølle: ”Det er da utroligt man ikke længere kan noget, uden at komme på kant med loven!!!”.

Næsten aldrig et klart svar, men næsten aldrig et forkert svar. Men fartbøllen (Helsingør Kommune) må jo også sætte sig ind i loven. Det er ikke politimandens (Datatilsynet) opgave, at komme ud hver eneste gang fartbøllen ændre på noget. Fartbøllen skal overholde loven, selv når politimanden ikke kigger.

»Hvis de (Helsingør Kommune, red.) mener, at have ordnet det, så skal jeg være den første til at glæde mig over det,« siger Allan Frank til Version2.

Han påpeger dog, at det i så fald ikke er nødvendigt at eftersende dokumentationen til Datatilsynet for at få bekræftet, at kommunens brug af Chromebooks så også er lovlig. »Hvis de mener, de har overholdt reglerne så kræver det ikke en godkendelse af Datatilsynet,« siger han.

Det var måske en idé, at når Datatilsynet har udstedt behandlingsforbud, at der så sker en efterfølgende kontrol ligesom når Fødevarestyrelsen har haft givet dårlige smileyer.

3. august kl. 10:41
Helsingør fortsætter med Chromebooks trods Datatilsynets forbud (Version2)

De her mennesker må da virkelig være parnoide! Hvorfor tager de ikke isen?https://threema.ch/en/blog/posts/icecream

2. august kl. 16:25
Helsingør fortsætter med Chromebooks trods Datatilsynets forbud (Version2)

Historien viser en USA-techgigant paranoisk skepsis, som efterhånden forsøger at blokere for al IT derovrefra.

Uddyb venligst paranoia. Den udbredte skepsis vedrører sig, at børn ikke skal profileres med henblik på kommercielle formål, for praktisk at kunne indgå i uddannelsessystemet.

Hvorfor skal lille Williams adfærd måles og vejes i systemer der kan medføre, at hans muligheder og rettigheder i samfundet mindskes? Hvorfor skal lille Williams tilegnelse af viden, foregå via nogle private aktøreres ufuldstændige - og som aldrig bliver færdige - algoritmer, i et ugennemskueligt og ureguleret tomrum?

Techgiganterne i USA har den udbredte holdning, at sådan noget som en computer ikke “bare” kan tilegnes med penge og herefter anvendes. Nej, der skal opgives nogle rettigheder før, under og efter. Særligt i form af oplysninger om brugeren. Og det har den ulempe, at kunne resultere i krænkelse af menneskerettigheder, som ytrings- og informationsfrihed samt retten til respekt for privatlivet, hvis oplysningerne havner i de forkerte hænder”.
Og bare dét, at muligheden for “de forkerte hænder” kan få adgang til de indsamlede oplysninger eksisterer, så ville man forvente, at der reguleres således effekten blir så minimal som mulig.

Idealisme kontra pragmatisme - hvad bliver dyrest ?

Men lige nu, så er der ingen idealisme og slet ingen pragmatisme. Der er ligegyldighed fra dem som regulerer, ift. menneskers rettigheder og hvad alle andre med forstand på emnet fortæller til dem - undtagen lige de kommecielle aktører som tjener pengene på, at der ikke sker regulering der kan gå udover deres foretning.

2. august kl. 16:15
GDPR vs hjemmesider: Konklusioner og fremtidsperspektiver (Version2)

Jeg syntes den sidste episode (ep. 22) af Datatilsynets podcast var rigtig indsigtsfuld. Så jeg deler den lige her, nu temaet om GDPR er "dukket op" igen.https://www.datatilsynet.dk/hvad-siger-reglerne/podcast

1. august kl. 19:00
GDPR vs hjemmesider: Konklusioner og fremtidsperspektiver (Version2)

: GDPR er et godt regelsæt, men det er også et meget "compliance-tungt", og personligt vil jeg hellere have effektiv håndhævelse af GDPR på andre områder, hvor der er et større beskyttelsesbehov end at nogen har logget nogle data om at jeg har besøgt en hjemmeside [...] særligt hvis det ikke i praksis er realistisk, at de loggede data kan kobles til mig. det britiske datatilsyn [...] åbner op for det man kan kalde en "risikobaseret tilgang" til afgrænsningen af GDPR, idet de bl.a. lægger vægt på sandsynligheden for, at nogen rent faktisk i praksis ender med at blive identificeret.

GDPR er også en risikobaseret tilgang ift. afgræsning. Men selve det at risikovurdere, ender alligvel i de fleste tilfælde med behandlingsaftaler m.m. på bordet - Medmindre dataene som indsamles ikke sendes videre og gemmes, samt kun hashes til andre værdier som ikke kan reidentificeres tilbage.

Hvis man anvender Google Analytics, og man "på en måde", kun indsamler IP-adresse eller fx type af billig$ eller dyr$$$$ enhed som tilgåes med, så er det ikke alene de data man skal forholde sig til. Fordi med anvendelse af redskabet, så samtykker man til, at den indsamlede meta-data må bruges til andre formål - selv formål som ikke står i "den officielle" kontrakt man indgår med Google... host host CLOUD Act. Retargeting er noget af det Google er en af de bedste til. Alene det, at du havde den samme IP-adresse ved dit hjemmeside-besøg, som du havde få minutter før ved din brug af Google Maps til at finde hjem med, ville giv Google en identifikation af dig.

Her kan man så som dataansvarlig vurdere, om det er lettest at lave en databehandlingsaftale med Google, hvor videregivelsen af indsamlede data kan være "svær" gennemskuelig ift. destinationsadresse og formål. Eller lave en aftale med en anden leverandør, der ikke anvender dataene til fx andre formål som retargeting, og dermed kunne give en større gennemskuelighed om behandlingsaktiviteten.

1. august kl. 18:54
Danske virksomheder undervurderer risici ved outsourcing af it-opgaver (Version2)

Kan være det er min manglende viden eller misfortolkning af score-læsning, men pudsigt at Filippinerne får samme Operational Risk (A measure of the political, social, natural, and commercial risk) som Sydkorea.

26. juli kl. 23:22
Mariagerfjord Kommune gemte persondata ulovligt (Version2)

Til slut i afgørelsen understreger Datatilsynet, at kommunen også skal fratage medarbejderes rettigheder til at installere programmer og skadelig kode på enheder, der kan tilsluttes kommunens netværk.

Betrygende... Det sejler desværre med digital sikkerhed og privatli, og ville desværre gøre i lang tid endnu. Det er ligesom at være i 1960'erne og skulle fortælle, at klimaforandringerne ikke er noget at spøge med.

26. juli kl. 22:36
Datatilsynet: Ledige må ikke profileres med algoritmer bare fordi de samtykker (Version2)

**Tæntk scenarie **

Man kan sammenligne det med det her tænkte scenarie/historie: Til Danmarks Indsamling blev der lige indsamlet 120 mio. kr. til godt formål - en støtte til nogle af fattigste områder i verdenen. Hvem ville ikke støtte sådan et formål?

Efter pengene er indsamlet fra danskerne printes de ud som kontanter og fyldes på åbne lastbiler. Klar til at blive kørt ud til hjælpeorganisationernes kontorer, så de kan udnyttes til gode formål. På lastbilernes vej blæser nogle af kontanterne ud af lastbilerne, og særligt lige på én strækning blæser det altid meget kraftigt. Chaufførerne har ikke altid styr på hvor mange kontanter, som blæser af her. På strækningen ligger der blandt andet et meget kendt og frygtet narkokartel, som kalder sig Zuckerberg. Nogen som ikke er bange for, at have næsen lidt for længe i stofferne. Grunden til kartellets omdømme og succesfulde foretning, skyldes særligt de mange kontanter, som blæser af lastbilerne ude foran deres klubhus. De har derfor råd til at købe de gode stoffer. Og massere af dem.

Kartellet er blevet så stort, at borgerne i området har svært ved, ikke at have en eller anden form for kontakt med dem. Om det er banale trusler eller skjulte agendaer ved de aldrig. Men borgerne ved bare, at kartellet altid har en finger med i spillet. Så meget at selv deres politikere tjener på kartellet, og nogle gange selv, har næsen i de gode stoffer.

En dag i Datakøbing, vil Anders ikke mere… Han vil ikke finde sig i, at kartellet får alle de “gratis” penge. Bare fordi, at organisatørene ikke er bedre til at beskytte lastbilerne. Han har dag ind og dag ud, advaret om hvad der kunne ske med kontanterne. Men de andre borgere og politikkere i området lyttede ikke til hans bekymringer. Selvom de frygtede kartellet, så var de alligevel interesserede i, hvad kartellet kunne tilbyde dem. Guld og grønne skove blev der lovet.

Uanset hvor mange “uheldige” hændelser kartellet var skyld i, så gjorde kartellet jo også mange gode ting for området, fik Anders at vide. De opkøbte store grunde, støttede de lokale forretninger og skabede dialog mellem politikerne og borgerne. Den økonomiske aktivitet havde aldrig været så stor, som nu.

Men… Det måtte stoppe nu! sagde Anders. Han tog derfor sagen i egen hånd. Han tog i byggemarkedet Data Synet. Han havde nemlig hørt, om nogle vilde typer, som måske kunne hjælpe ham. Og han havde ret! Han fik udleveret presenninger, snore, strips! Låse til at sikre sig, at de mange kontanter ville have meget svært ved, at blæse ud af lastbilerne. Kartellets dage ville være talte…

Efter Anders havde sikret lastbilerne, begyndte områdets borgere og politikere at opdage fraværet af kartellet. I starten var de bekymrede for hvad deres fravær ville betyde. Men de opdagede, at de lokale forretninger, dialogen mellem politikkerne og den økonomiske vækst, kunne foregå på andre premisser. Premisser der tilgodeså flere, end de få.

Borgerne og politikerne i Datakøbing levede lykkeligt til deres dages ende.

THE END!

22. juli kl. 16:49
Danmarks største teleselskab trodser Schrems II-usikkerhed: »Vi er klar til at løbe den risiko« (Version2)

Når Justitsministeriet trender med at tage flere væsentlige procesrisikoer, hvorfor skulle private så ikke også? Sørgeligt...

8. juli kl. 16:40
Finanstilsynet dumper sikkerheden i NemID-nøglekort: Skal fjernes fra netbank 30. juni (Version2)

Bestilte kodeviser, men den kunne kun aktiveres via godkendelse med NemID-app'en. Det krævede at jeg skulle scanne mit pas. Så det er ikke altid samme trin man skal igennem..

26. juni kl. 20:39
Åben datadør hos Gyldendal: Mystisk IP lavede 73.000 opslag om elever og lærere (Version2)

Ikke desto mindre føler Gyldendal sig overbevist om, at der ikke er tale om en ondsindet aktør.

»Det er som sagt Eagle Sharks (eksternt konsulentfirma, red.) klare vurdering, at der ikke har fundet ondsindet aktivitet sted. Det skyldes kombinationen af datas meget overordnede karakter, aktiviteten på siden, fraværet af pression både nu og igennem årene og dialogen med whistlebloweren. Vi ønsker ikke at blive mere detaljerede end det, men kan sige, at det er den klare vurdering fra nogle af landets førende eksperter,« skriver Gyldendal

Altid dejligt at der er styr på det og man kan udelukke at dataene skulle være misbrugt... Det lyder overhovedet ikke som ondsindet karakter, at det her også skete:

Dog fremgår det også af loggen, at én ud af de 22 IP-adresser har foretaget systematiske – og formentlig automatiserede - datatræk, da der over to dage har været foretaget 4677 institutionstræk og efterfølgende 67.994 klasseopslag

Det er nok bare til reklamesporing. Ingen harme gjort.

14. juni kl. 11:26
Privacy-browseren DuckDuckGo lader Microsoft spore brugerne (Version2)

Du kan prøve Swisscows eller Metager.

Fandt også lige ud af, at Qwant har lign./samme aftale med Microsoft. Ecosia er no go, selvom de har et godt formål med træplantning.

Ellers ved jeg ikke hvordan det forholder sig med Startpage og Brave.

2. juni kl. 00:20