[Danmarks IT-Politik] Digitale Frihedsrettigheder

Digitale Frihedsrettigheder
Vi skal genoprette den grundlæggende retssikkerhed på internettet, stoppe den ineffektive, grundlovs-krænkende masseovervågning, samt implementere ‘privacy by design’, hvilket sikrer at det ikke er muligt at registrere data, der ikke er nødvendigt.

Retssikkerhed
For at genoprette retssikkerheden skal offentlighedsloven, cybersikkerhedsloven og terrorlovgivningen ændres, så de overholder de basale demokratiske frihedsrettigheder.
Derudover skal udbydere af offentlige accesspunkter (fx. åbne WiFi-netværk) aldrig kunne straffes for misbrug af deres netværk. Bevisbyrden for sin uskyld skal ikke ligge hos borgeren.

Persondata
Data må som udgangspunkt kun gemmes, hvis der foreligger en specifik årsag til indsamlingen. Det være sig medicinske (fx blodtype), skattemæssige (fx SU-klip), eller lignende formål. Det skal altid være muligt for en privatperson at få overblik over offentligt indsamlet data om personen, samt hvilke personer og/eller myndigheder der har tilgået disse.

For at indsamle data om en person, uden at personen bliver informeret, bør en dommerkendelse være nødvendig, medmindre den indsamlende myndighed specifikt har lovhjemmel til indsamlingen. Det skal også foreligge en dommerkendelse, for at myndighederne kan tilgå den allerede indsamlede data. Dette kan fx løses med en 3-lags kryptering, hvor de 3 nøgler besiddes af dommeren, anklagemyndigheden og en borgerrepræsentant for at minimere mulighederne for misbrug.

Det skal være forbudt at sammenkøre registre, medmindre der vedtages en eksplicit undtagelse, og det tjener et ‘lødigt formål’. Register-oplysninger må aldrig sælges eller overdrages uden samtykke fra de pågældende personer.

Der skal være en betydelig bødestraf ved lemfældig og uansvarlig omgang med privatpersoners data, med datatyveri eller datatab til følge. Lemfældig og uansvarlig skal defineres eller vurderes fra gang til gang af IT-havarikommissionen, som både offentlige og private organer forventes at samarbejde med.

Masseovervågning
Som udgangspunkt skal masseovervågning gennem internettet ikke finde sted. Det bliver også gjort betydeligt sværere, hvis man implementerer ‘privacy by design’. Al data-logging som udføres på et kollektivt plan, altså systematisk på en mere eller mindre specifik gruppe mennesker, skal udføres og lagres anonymt. Eksempelvis burde Københavns Kommune have mulighed for at optimere flowet i trafikken på vejene ved at registrere bilisters færdsel via MAC-adresser, så længe kommunen ikke kan samle enkelte personers færdsel over længere perioder.

Derudover skal personfølsomme data indenfor det offentlige regi opbevares i Danmark, for at undgå at fremmede statsmagter og kommercielle virksomheder har eller får adgang til data.

CPR-numre og NemID
Som det er nu, bliver CPR-numre brugt som både identifikation og autentifikation. Dette er et problem, da vi har set utallige lækager, og vores CPR-numre er håbløst uddaterede. Der er alt for stort potentiale for identitetstyveri. Derfor skal CPR-numrene offentliggøres og udelukkende benyttes som identifikation af privatpersoner, akkurat som CVR-numre er det for virksomheder. Et andet system skal herefter varetage CPR-nummerets nuværende rolle.

NemID skal erstattes eller suppleres med en løsning som giver borgeren mulighed for at opbevare sin egen private og offentlige nøgle, hvis borgeren ønsker dette. Derudover skal der eksistere flere virksomheder, der udbyder en digital signatur, således at et nedbrud ikke lammer hele Danmarks infrastruktur, og så borgerne selv kan vælge hvilken udbyder, de vil benytte.[7]

Det offentlige skal tilbyde at sende krypteret kommunikation direkte til en e-mail-adresse, som borgeren selv har udvalgt, krypteret med borgerens offentlige nøgle, i stedet for at benytte e-boks.

Indholdsfortegnelse:

• Indledning og Overblik

• Offentlig IT

• IT-havarikommission

• Open Source Software

• Teleinfrastruktur

• Digitale Frihedsrettigheder

• Retssikkerhed

• Persondata

• Masseovervågning

• CPR-numre og NemID

• IT-Dannelse

• Brugervenlighed

• Indholdsfiltre

• IT og Helbred

• IT-Monopoler

• DR-Licens

Det er korrekt at nogle private og offentlige instanser har brugt CPR-nummeret til autentifikation. Teksten får det dog til at lyde som om der er tale om en tilsigtet brug af nummeret - det har det aldrig været.

Der er således ikke tale om at et andet system “skal varetage CPR-nummerets rolle”. CPR-nummeret skal beholde sin nuværende rolle, som identifikation. Hvis der er brug for nye/bedre/anderledes centralt udviklede systemer til autentifikation, skal disse selvfølgelig udvikles.

Ellers er jeg meget enig i de konkrete forslag. Jeg er i tvivl om hvorvidt offentliggørelsen af CPR-numrene er et skridt for langt - mere i forhold til privatlivs-, markedsførings- og overvågningsbeskyttelse end direkte sikkerhed.

Persondata
Jeg tænker på, om der kun er tale om personhenførbare data i dette afsnit. Jeg kunne fx godt forestille mig, at vi indsamlede persondata - også på tværs af registre - som stadig ikke kunne føre til identifikation.

problemet med “anonymiseret persondata” er at bare fordi der ikke står det er dig det handler om kan man stadigt godt finde frem til dig ved at sammenkøre det data med Googles registre, facebook registre eller en af de mange andre register som offentligheden kan betale eller få gratis adgang til.

så at tillade at gå på tværs af registre kan blive en farlig affære. hvor man ikke kan sikre at data’en ikke vil blive af anonymiseret igen.
det er kun et spørgsmål om at få nok data omkring dig til at spille sammen så kan man med 99% sikkerhed eller mere sige hvem data’en omhandler.

det gør google allerede i dag hvorfor tror du at de nærmest på magisk vis ved at det er dig der søger på en fremmede maskine inden for meget få søgeord…

Ja, jeg er enig - det skal selvfølgelig begrænses og det er noget vi skal være opmærksomme på. Jeg forestiller mig det også mest i rent anonyme parallelle registre. Det kunne være data, der ikke kan hentes individuelle data fra men som der stadig kan beregnes på.

Mit problem ligger i at du tror der findes anonym data. eller at data der er anonymiseret ikke kan bruges til identifikation, det er en illusion i denne verden at man kan frigiv data som så ikke kan bruges af andre til at identificere dig eller andre enten må vi acceptere at det kan bruges på den måde med de fordele og ulemper det medføre eller også må vi forbyde sammenkørsel af offentlige registre fuldstændigt. der findes fra et data teknisk synspunkt ikke en mellemvej. og der findes ikke personrelateret data som ikke kan spores tilbage til den oprindelige person via en sammenkørsel af offentlige og private registre.

Det er det vi kalder Big data. når først man har nok data så behøver man ikke et cpr eller navn eller adresse for at finde frem til de informationer.

Nej, jeg er helt enig og jeg forstår dig godt. Jeg tænker heller ikke på anonymitet i den klassiske form med, at man fjerner mit navn og skifter CPR-nummeret ud med et andet tal. Jeg er med på, at nok metadata kan føre til identifikation.

Det jeg tænker på er, at man fx kan regne på krypterede data med homomorfisk kryptering og at det er noget vi skal have med i overvejelserne.

okay der skal man bare huske at bygge systemet op så man kan skifte krypterings algoritmer hver gang at en ny og bedre algoritme dukker op. og jeg ved ikke med dig men min erfaring er at det offentlige ikke skifter den slags særligt ofte hvis nogensinde.

Jeg kom til at tænke på det der Snowden citat om at acceptere overvågning fordi man ikke har noget at skjule er det samme som at acceptere at der ikke er fri tale, bare fordi man ikke har noget at sige.

Det er jo lige præcis hele problemet idag, at (næsten) alle accepterer denne massive dataindsamling, fordi det er jo så nemt med Facebook og Google og Apple og MS, så skidt med at de ved alt om os og bruger det skånselsløst.
(Hvor sjovt er det at hver gang jeg har købt et eller andet på internettet, så den næste side jeg klikker mig ind på indeholder kun reklamer for den type produkt jeg lige har købt)

Hvis vi virkelig mener noget med privatliv indenfor den digitale verden, så har vi et ufattelig stort oplysnings og kulturudviklingsarbejde foran os.
Mener vi virkelig det??

Jeg forstår godt din bekymring - jeg går ekstremt meget ind for sikring af privatlivet - men i dette tilfælde mener jeg ikke nødvendigvis, at vi støder på problemer. Det kræver ekstreme kvantespring i teknologien, hvis nuværende state-of-the-art algoritmer skulle falde indenfor en overskuelig årrække.

Med det mener jeg, at det ikke gør så meget - i dette tilfælde - hvis kryptering kan brydes om 100 år, når personerne ikke længere lever.

problemet er at vi ikke kan estimere at noget måske først kan brydes om 100 år. det kunne meget vel være om 10 eller 20 år.

dette er baseret på det faktum at vores teknologiske formåen og fremskridt stiger eksponentielt.
et lille tanke eksperiment for at beskrive hvad jeg mener med dette fænomen.

hvis vi kunne gå tilbage i tiden 250 år og tage en person med frem til vores tid. så ville den person risikere et dødeligt chok over al den fremmede teknologi han ville opleve.
hvis den person fra 250 år tilbage i tiden ville gøre det samme så skulle han 12.000 år tilbage i tiden for at få den samme effekt.
hvis vi tager den måde at kigge på teknologi på så skal vi ca rejse 30 år frem i tiden for at vi ville risikere et dødeligt chok over hvor meget forskel der teknologisk er.

estimatet er altså at 30 år frem i tiden er altså det samme teknologiske indvinding som 250 år tilbage i tiden repræsentere.

det er altså sikkert at estimere at noget der med nuværende teknologi vil tage 100 år at bryde måske om 30 år kun vil tage et par timer måske mere måske mindre. Derfor skal det vi laver nu laves så krypteringslaget kan skiftes ud efter behov. således at vi ikke risikere personlig data bliver lækket i vores levetid som minimum.

Omkring NemID:

Inden for IT-sikkerhed har vi et begreb, som hedder “single point of failure”. Det svarer lidt til historien om den der puttede alle æg i samme kurv. Hvis man taber kurven, går alle æggene i stykker på samme tid, og det kan være et stort problem.

Med NemID har man lavet sådan et “single point of failure”. Hvis sikkerheden i NemID brydes, vil alle dele af samfundet der baserer sig på sikkerheden i NemID reelt bryde sammen, da man ikke længere kan stole på sikker identificering (authentication i fagsproget) af borgere og virksomheder. Det skete for nogle år siden i Holland da en CA de fleste offentlige myndigheder brugte fik et alvorligt brud på sikkerheden. Heldigvis havde man dengang i Holland valgt et mere åbent system med flere udbydere, så i løbet af få dage var de fleste offentlige myndigheder oppe at køre igen. Men med det system vi har her i landet i dag med NemID, kan der gå uger eller måneder før man kommer over et alvorligt brud i sikkerheden.

Jeg arbejder med IT-sikkerhed, og de samme teknologier der bruges for NemID for authentication overfor offentlige myndigheder (Public Key Infrastructure, aka PKI). Og her må jeg desværre sige, at DanID (som driver NemID) bruger teknogierne helt forkert: Det er meningen, at den der authenticerer sig (borgeren eller virksomheden) skal være den eneste der har den hemmelige nøgle, men med NemID har DanID alene den hemmelige nøgle, hvilket åbner op for misbrug ved sikkerhedsbrister. Og PKI lægger op til flere konkurrerende udbydere a.la. DanID, så eventuelle problemer med sikkerheden begrænses (som vi har set i Holland), men alligevel har politikerne valgt at give et monopol til en enkelt udbyder.

At vi er kommet i denne situation, skyldes efter min mening især de mange penge der er involveret: Politikerne kender ikke til det sikkerheds-tekniske, og de har stolet for meget på de betalte “sikkerheds-eksperter”, som de virksomheder der ville have udbuddet på den offentlige signatur stillede til rådighed for politikerne, og ignoreret advarslerne fra uafhængige sikkerheds-eksperter.

Vejen frem, og det rigtige at gøre her, er efter min mening:

Staten har en såkaldt “root CA”, som certificerer de konkurrerende udbydere her i landet af authentication. Enhver der overholder de (forhåbentligt strenge) krav der stilles, kan få et certifikat, og begynde at udstede certifikater til borgere og virksomheder der kan bruges til authentication. Om den hemmelige nøgle opbevares af borgeren/virksomheden eller centralt (som ved NemID) betyder knapt så meget for mig, og her bør vi lade den fri konkurrence afgøre hvad folk foretrækker.

Hvis een af de konkurrerende udbydere ikke overholder statens krav, eller der sker et alvorligt brud på sikkerheden hos en udbyder, kan staten i løbet af få sekunder lave en såkaldt “revocation” af udbyderens certifikat, så ingen der har brugt den pågældende udbyder længere kan bruge deres certifikat via den pågældende udbyder til authentication. Borgere/virksomheder, som vil sikre mod en sådan situation, kan vælge at have certifikater ved mere end een af udbyderne.

Problemet med NemID er efter min mening især et problem med et monopol, som vi ofte ser ved IT. Vi bør bryde monopolet og de-centralisere vores IT-sikkerhed, så vi ikke længere har alle æg i samme kurv.

Ja, det forstår jeg godt. Jeg vil godt være med til tvungen udskiftning af algoritmer

Vi kan selvfølgelig aldrig vide, om en given algoritme allerede er brudt - eller om en ikke offentliggjort teknologi kan bryde krypteringen med computerkraft alene. Så der vil selvfølgelig altid være den klassiske vejning af sikkerhed kontra brugervenlighed.

Det gode ved at offentliggøre CPR-numrene er, at det gør klart for enhver at de ikke kan anvendes til autentifikation. Men der er en stor slagside, som kan gå ud over nogle grupper. Jeg har før i tiden gået ind for, at de skulle offentliggøres, men er senere ændret mening.

CPR-numrene indeholder nemlig en del personfølsomme oplysninger. Som minimum er der køn og alder, og nogle har brug for, at et evt. mis-match mellem deres “officielle” køn og det køn de lever som, ikke er så nemt at finde. Tvangssterliseringen blev godt nok fjernet i 2014, og der kan nu udstedes et nyt nummer, men processen er stadigvæk vanskelig. Samtidigt kan der være aldersdiskrimination i forbindelse med ansættelser. Man kan også se på nogle numre, at deres ejere blev adopteret fra udlandet i perioden 1976-1984.

Derfor mener jeg, at hvis numrene skal offentliggøres, skal de først erstattes af tilfældigt udvalgte numre.

Så vidt jeg er orienteret, så er der nok CPR-numre for hver enkelt dag, når det sidste ciffer ikke længere er et kontrolciffer.

Derfor burde det være muligt at erstatte alle eksisterende CPR-numre med et som er tilfældigt og opfylder kravene i de eksisterende systemer (med undtagelse af en eventuelt beregning af alder ud fra de første seks cifre) og som ikke har eksisteret eller eksisterer i forvejen.

Der er i alt 10 milliarder mulige numre med 10 cifre.

Hvis vi skal lave et nyt system, hvor der IKKE fremgår køn og alder, vil det - af hensyn til risiko for forveksling - være smart at bruge numre der IKKE tidligere har været gyldige. Mit forslag ville være at de nye numre startede med cifrene 4-8 (jeg mener at “9” har været i brug til et eller andet formål).

Der er 5 milliarder af disse numre. Genindfører vi et “kontrolciffer” efter det gamle mønster (god ide, synes jeg) kommer vi ned på ca 450 millioner. Med en gennemsnitlig levetid på 70 år og en befolkning på 7 millioner skal et nummer så genbruges efter ca 4500 år. Mit bud er at vi nok omdesigner systemet inden da …

Jeg er 100% enig. Specielt PBD er vigtigt. Lige nu har givet nøglen til vores postkasse til staten, og den er ikke nødvendigvis din ven. Og en gang data altid data…

Kære Thomas Arthur Nielsen!
Det vigtigste er, at du er ven med dig selv! Simpelthen, giver dig selv den frihedsrettighed - og jo, venner i Alternativet betyder også noget!

Det ønsker og håber jeg…

Kærlig hilsen
Gunhild