ARTIKLER OG INDLÆG
AF TAXON
 



Artikler og indlæg

Vi har samlet en række af indlæg og artikler, som vi har publiceret i forskellige sammenhæng.
De fleste af artiklerne er skrevet af Brian Jacobsen.


22. April 2022  
Hvor mange eksterne services bruger I på jeres hjemmeside? 
 
I starten af året kom EDPS (European Data Protection Supervisor) med kritik af brugen af diverse web-værktøjer på en af EU-Parlamentets interne hjemmesider (læs mere på Version2 https://www.version2.dk/artikel/eu-parlamentet-faar-alvorlig-kritik-sender-persondata-ulovligt-til-usa). 
 
Overordnet er problemet, at disse cookies giver personoplysninger til en virksomhed, der er underlagt lovgivningen i et usikkert tredjeland (typisk USA). Disse personoplysninger kan så for eksempel bruges til overvågning og kan i sidste ende havne hos det pågældende lands efterretningstjenester. Det er præcis hvad GDPR skal beskytte EU borgere imod. 
 
Rigtig mange CMS'er tilbyder, at integrere services fra tredjeparter. Det er mange forskellige services som Google Analytics til trafikmålinger, Adobes Typekit eller Google Fonts til fonte, jQuery, der er et javaScript bibliotek og mange flere. 
 
Tricket er, at CMS'et integerer et kald til en server hos virksomheden og dermed bliver der overført dels en IP-adresse (personoplysning) og dels hvilken side man er inde på. 
For eksempel bruger Folketingets hjemmeside Adobes Typekit. Så nu ved Adobe, at jeg har besøgt Folketingets hjemmeside. Relativt uskyldigt, men begynder jeg nu at hoppe rundt på nogle bestemte lovforslag, ja, så følger Adobe med hele vejen, og så er det så ikke uskyldigt mere. 
 
Det er nemt og hurtigt at bruge disse integrationer, men check lige om det også overholder GDPR. 
 
Citat fra EDPS: 
"EDPS har gjort det klart, at selv brugen af en cookie fra en amerikansk leverandør er en overtrædelse af europæiske databeskyttelsesregler."


18. April 2022
GDPR-venlige mailservices

Vi har kigget på, hvad der findes af udbydere, som tager GDPR og privacy alvorligt.
Det kom der en længere artikel ud af: "Hvor finder man en GDPR-venlig mailservice" (PDF)


5. april 2022 
Amerikanske cloudservices

Vær opmærksom på hvilke (cloud) services, der ligger under jeres leverandør i alle led. Disse underliggende (cloud) services kan have en databehandleraftale, som kræver ekstra sikkerhed. I dette eksempel er det Amazon (AWS), det kunne lige så godt være Microsoft eller Google etc.
Se Datatilsynet: 'Står det i databehandleraftalen, er det ikke utilsigtet' 


21. marts 2022
En EU cloud gør dig ikke GDPR sikker

Så blev Office365 (og Gmails/Workspace og AWS og meget mere) så officielt ulovlige at bruge i forhold til (følsomme) personoplysninger - se https://www.version2.dk/artikel/datatilsynet-tech-giganternes-eu-cloud-goer-dig-ikke-gdpr-sikker
 
Der er et ikke-eksisterende smuthul:  
"De skal ind og skrive under på, at de altid følger europæisk lovgivning uanset, hvad de måtte blive mødt med af amerikanske krav. Reelt set skal de sige, at hvis de står i en situation, hvor de bliver tvunget til at vælge mellem europæisk og amerikansk lovgivning, så vælger de europæisk lov,« understreger han." 
 
Altså skal Microsoft (og Google og Amazon og alle de andre) forpligtige sig til at gå i mod NSA med den (eventuelle personlige) procesrisiko, der ligger der. Det vil de sikkert skrive under på, spørgsmålet er så hvordan de gør, når først NSA banker på døren. Og så har man jo som dataansvarlig en risikovurdering man skal kigge på. 
 
En detalje er, at Office365 og Google GMail/Workspace/Chromebook(?) alle har mindst en emailadresse. Og vi har jo lært, at man ikke må sende IP-adresser til amerikanske virksomheder. En emailadresse er lige så meget en personoplysning som en IP-adresse, så i princippet må man ikke bruge amerikanske services til mail - overhovedet...


23. februar 2022
Guide til check for videregivelse af IP adresser m.m. fra hjemmesiden

 I løbet af de sidste 2 måneder er der kommet en række afgørelser omkring tredjeparts biblioteker på hjemmesider. Afgørelserne peger entydigt på, at det er noget skidt, når man tvinger besøgende til at afgive deres personoplysinger til diverse tredjepartsservices. 
 
Så lad os se på, hvordan man kan checke en hjemmesides brug af eksterne services. 
 
I Chrome (og Edge) går vi ind på Folketingets hjemmeside folketinget.dk
Når siden er loadet, højreklikker vi på musen. 
Nu kommer der en lille menu op og i bunden er menupunktet Inspicer/Inspect - klik på det. 
I højre side kommer der en masse kode op - ignorer det :-) 
Øverst i vinduet er en menu med menupunktet Kilder/Sources - klik på det. 
Nu kommer vi så endelig til en liste over alle de websites hjemmesiden har haft kontakt til. For folketinget.dk er det blandt andet: 
www.ft.dk (et andet navn for folketinget.dk - det er fint) 
https://lnkd.in/eVZN-pXW (er hostet hos Amazon - Amazon er amerikansk) 
cdhsign.dk (er hostet hos TDC) 
consent.cookiebot.com (er hostet hos Akamai - Akamai er amerikansk) 
p.typekit.net (er hostet hos Akamai og ejet af Adobe - Akamai og Adobe er amerikanske) 
rawfiles.leseweb.dk (er hostet hos Montes - Montes er dansk) 
plus nogle flere ... 
 
I Firefox er proceduren meget den samme. Ind på hjemmesiden, højreklik med musen, klik på Inspicer/Inspect. 
Igen kommer der et vindue med kode op - og igen er det menuen øverst, der skal i sving. Nu hedder menupunktet Debugger, og igen kommer en liste med eksterne sites op. 
 
En interessant detalje er, at flere at disse tredjepartsservices bliver kontaktet, FØR jeg bliver spurgt om cookie-samtykke. 
 
Det var værktøjet, så er det bare at komme i gang :-)


22. januar 2022 
Online services kan være en Pandoras æske. 

Når det kommer til online services som Microsofts Office365, Googles WorkSpace, Facebook og lignende, er det nemt at se, at data ender direkte hos et amerikansk firma og det derfor er noget skidt i forhold til GDPR/Schrems II. 
Men med mange online services kan det være svært og nogle gange næsten umuligt at finde ud af, hvor vores data egentlig ender henne. 
 
For eksempel når man bruger en online service til at opbevare billeder, video, lyd, dokumenter osv. med (følsomme) personoplysninger. Når man læser deres erklæring omkring persondata igennem, står der typisk en masse om, hvordan de sikrer data og overholder GDPR. Der hvor filmen så knækker er, hvis servicen er bygget oven på en amerikansk hosting service som f.eks. Amazon Web Service, Microsoft Cloud (Azure), Google Cloud m.fl. 
Men hvordan finder man ud af om den billede-service, man har kig på, nu også holder alt det de lover omkring GDPR? 
 
Første skridt er at se, hvor de er hostet, dvs. der hvor man må formode, at vores data bliver behandlet. Til det kan man bruge en service som https://check-host.net/ (som i sig selv er hostet i USA og inkluderer tredjepartsscripts). 
Man indtaster det domænenavn/URL, man oploader data til. Resultatet viser information om selve hosting-servicen, blandt andet:  
ISP: 
Organization: 
Country: 
 
Country er en god start. Hvis det er udenfor EU, er det den første alarmklokke. 
Hvis ISP/Organization er en virksomhed med hovedsæde udenfor EU, har vi en alarmklokke mere. 
 
Så selvom det kræver lidt knofedt, kan man komme langt i forhold til at finde ud af, hvor data ender.


15. maj 2021
GDPR og Schrems II

Der bliver lavet en masse politisk og juridisk tankearbejde for at komme uden om den temmelig store udfordring, som Schrems II har efterladt. 
Vi tager her et kik på udfordringen fra en teknisk og praktisk vinkel: "GDPR og Schrems II - og det ingen tør sige højt" (PDF)


April 2021  

Korrekt håndtering af data på hjemmearbejdspladsen 
 
Med udsigten til at rigtig mange mennesker kommer til at arbejde hjemmefra i den kommende tid (Corona), er det vigtigt lige at reflektere over, hvad det betyder for sikkerheden. 
 
VPN er en fantastisk teknologi, som gør det muligt at logge på det interne netværk fra en computer hvorsomhelst i verden. Men der er et par ting, man skal være opmærksom på. 
 
Det er nok ikke alle, som nåede at, eller kunne, få deres arbejdscomputer med hjem. Så vi kommer til at se mange private computere, der logger på de interne netværk. Det betyder blandt andet at alt hvad der er af virus og ubehagelige ting på de private computere, nu har adgang til det interne netværk. Den skal man være opmærksom på. 
 
Et issue omkring data er, at når man arbejder via VPN ligger den lokale harddisk jo på den lokale computer, dvs. den private computer hjemme hos medarbejderen. Skulle medarbejderen have brug for at gemme noget på den lokale harddisk, f.eks. på Skrivebordet, ja, så ligger data på den private computer, som måske også bliver brugt af andre i husstanden til spil, sociale medier og andre ting. 
 
Bemærk at når man sletter på Windows, så bliver filen blot flyttet over i Skraldespanden (Recycle Bin), hvorfra den nemt kan hentes frem igen. 
Et råd er at oprette en folder på Skrivebordet, som hedder noget med SLET_ALT_HVER_GANG, og kun bruge den til arbejdsfiler. Folderen må meget gerne være krypteret (se f.eks https://windowsreport.com/encrypt-files-folders-windows-10/). 
Inden man lukker ned for computeren, checker man folderen og sletter de filer, som ligger i den. Til selve sletningen markerer man alle filerne og bruger tastekombinationen SHIFT+DELETE. Så bliver filerne slettet fuldstændigt. 
 
Til følsomme data kan man installere en makulator (shredder), som makulerer filen, inden den slettes.  
 
Pas godt på jer selv og jeres data.