#11
 6,704     Akershus     0
Vi har god kontroll på hva som beveger seg rundt GDPR og vil iverksette nødvendige tiltak for å håndtere konsekvensene av det. Det er ikke dermed sagt det fører til at man kan kreve innlegg/tråder slettet som sådan.

   #12
 4,002     Asker     0
Dette er en stor del av jobben min, og her tar dere feil. Artikkel 17 sier:

"The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:"

etterfulg av underpunkt 2,

"2) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;"



Dere har i deres terms and condition at man godtar at dere forvalter, i henhold til Art 6, kan jeg på et hvert tidspunkt trekke dette samtykket, og dere har 72 timer på slette alle spor av min aktivitet, hvor dere ikke har legal ground. Sistnevnte vil typisk være grunnet bokføring/betaling, hvor man er lovpålagt å beholde transaksjonene i 5 år for bokføring. Det kan i noen tilfeller være lenger. NMen da er det den spesifikke data som skal beholdes. Det er ikke begrenset til innhold, men også samtlige logger, referanser til GUID'er som kan assosieres,samt videreformidle denne informasjonen til alle dere har delt eller solgt data til Dersom dere ikke har en data management avtale med de evt partene, er dere like ansvarlig for hvordan de forvalter denne dataen, som den dere selv har. Dere kan ikke anonymisere brukernavn, da det kan spores i form av pathern i hvordan man skriver og om hva.

Når jeg nevnte 50k euro var det mer som et eksempel på breach i tidlig fase. Den satte summen for å bryte er 20mil euro, dersom man fult ut ignorerer dette.

Det er da evt eiere, og assosierte personer i det som vil være drift som også kan holdes ansvarlig.
Signatur
   #13
 456     Asker     0
GDPR har ikke du ikke peiling på Børhaug! Ikke uttal seg om temaer man åpenbart ikke kan noe om, men har lest litt rundt...!

Det som foreløpig ser ut til å treffe er:
Dersom brukeren sletter sin konto så kan han/hun kreve sine innlegg og spor slettet innen 6 måneder om han eller hun kan identifiseres. Ved datainnbrudd eller mistanke om innbrudd så skal datatilsynet varsles inne 72 timer. Bøtene som kan gis er opptil 20 millioner euro eller 4% av brutto omsetning. Ikke 50 000euro... Men da snakker vi om sykehus, NAV eller lignende som har brudd på håndteringen. Ikke byggebolig sitt forum..

I tillegg kan ikke postene som postes her inne knyttes direkte til person for de som leser på forumet, men admin har trolig oversikt over epost adressene. De med epost fornavn.etternavn@xxxxx.com vil kunne be om sletting av sin konto. Resten har i prinsippet ikke noe rettigheter siden de ikke kan identifiseres og dermed ikke havner inn under personlig data.


   #14
 4,258     0
Jeg jobber også mye med GDPR, men er bevisst min rolle - jeg er ikke jurist, men jobber med it-sikkerhet.

Kommentaren min gikk på at jeg er usikker på hva som juridisk regnes som persondata på byggebolig.no. Jeg tror, men vet ikke, at forumposter IKKE faller inn under denne definisjonen: https://gdpr-info.eu/art-4-gdpr/

Dermed er jeg også usikker på om man kan kreve sletting av innhold. Hvis man skal kunne kreve sletting av alt man har produsert i en eller annen sammenheng kan det bli interessant, tenk feks på en journalist som vil ha slettet alle artiklene han noensinne har skrevet i en nettavis osv...

   #15
 4,002     Asker     0
Det stemmer ikke. Og se min referanse til 50k vs 20mil.

Det er ikke direkte koblingen mellom et navn og person som er å anse som en identifikator. Det er dersom det er mulig for noen som sitter på datasettet, inkludert admin, å finne tilbake til at det sannsynligvis dreier seg om en spesifikk person. Det er ikke begrenset til eksterne, men også interne i bedriften som forvalter dataen.

Si at du kan ved å benytte lokasjonene dine innlegg snakker om, sammen med bilder du har tatt, geolokasjon på bildet, referanser til andre brukere, venner etc, kan man med høy sannsynlighet identifisere samtlige brukere her. Da er man i brudd på GDPR.

Det er uprøvet om IP er en identifikator, da outbound ip ikke er knyttet til person, men router, men da det sammen med datagrunnlaget forøvrig vil kunne identifisere deg er det også å regne som personlig data og det er da et krav om å bli slettet.

Så gi gitt senario:

Det er gitt en IP på deg: 123.456.789.1 (outbound)
Dagen etter har du IP: 432.123.234.12 (Outboound)

Dersom sistnevnte er en liten bedrift i Trondheim, og første er en IP assosiert til en husstand i Heimdal, har man begrenset antall ansatte det kan være. Ved å da sjekke hvilke ansatte som jobber der, samtidig som jeg sjekker Gulesider har jeg identifisert deg med høy sannsynlighet. Da vil dette falle inn under Art om "Right to be forgotten", og kan kreves slettet ved at man sier opp konto.

Det er irrelevant om informasjonen er tilgjengelig for meg eller kun admin, så lenge det ikke er en enveis hash. Er det en enveis hash, må man evt se det i samenheng med all annen info. Jeg eksemplifiserte dette bare med IP.

Dersom du skriver at du heter Frank Jensen, men trekker dette, så må det slettes både innhold og evt andre inlegg som reffererer til deg som Frank Jensen.

Poenget er at man må bygge sidene med en innebygd design som tar høyde for dette, og ikke forsøke å gå andre veien.
Signatur
   #16
 4,002     Asker     0
Jeg jobber også mye med GDPR, men er bevisst min rolle - jeg er ikke jurist, men jobber med it-sikkerhet.

Kommentaren min gikk på at jeg er usikker på hva som juridisk regnes som persondata på byggebolig.no. Jeg tror, men vet ikke, at forumposter IKKE faller inn under denne definisjonen: https://gdpr-info.eu/art-4-gdpr/

Dermed er jeg også usikker på om man kan kreve sletting av innhold. Hvis man skal kunne kreve sletting av alt man har produsert i en eller annen sammenheng kan det bli interessant, tenk feks på en journalist som vil ha slettet alle artiklene han noensinne har skrevet i en nettavis osv...




Det faller inn under:

Any company that stores or processes personal information about EU citizens within EU states must comply with the GDPR, even if they do not have a business presence within the EU. Specific criteria for companies required to comply are:

1: A presence in an EU country.

2: No presence in the EU, but it processes personal data of European residents.

3: More than 250 employees.

4: Fewer than 250 employees but its data-processing impacts the rights and freedoms of data subjects, is not occasional, or includes certain types of sensitive personal data. That effectively means almost all companies. A PwC survey showed that 92 percent of U.S. companies consider GDPR a top data protection priority.


Det er punkt 1 og 4 som er relevant.

Da vil det kunne litt forenklet bli sagt at det dreier seg om:

- Basic identity information such as name, address and ID numbers
- Web data such as location, IP address, cookie data and RFID tags
- Health and genetic data
- Biometric data
- Racial or ethnic data
- Political opinions
- Sexual orientation

Det er ikke innlegget i seg selv, men bitene av det. Og dersom de kan satt i sammenheng bringes tilbake til navn, addresse etc, vil de bitene av innlegget måtte slettes. Det betyr at man ikke kan bytte alle refferanser til et brukernavn ut med f.eks AAAAAA. Det må da evt gjøres på en måte som ikke kan knytte inlegg 1 sammen med innlegg 2 fra samme person. Da vil det være klart enklere å slette innholdet.

Dette er da både på front-end og i databasen selv. Altså relasjon mellom bruker og innlegg må brytes, eller enklere, slettes.
Signatur

   #19
 3,595     0
Problemet med alle disse personvern-tiltakene er det samme som med så mange andre forbud: Når noe blir forbudt, er det bare kriminelle som har tilgang til dem.

Og myndighetene, bør vi legge til. Ikke bare dagens myndigheter, men vilkårlige politiske krefter som kommer i maktposisjon, det være seg i morgen eller om ti eller tretti år, gjennom lagsomme eller raske endringer, av den ene eller andre politiske, religiøse eller annen farge. All informasjon om deg som tilgjengelig for dagens "snille" (etter din vurdering) myndigheter vil (eller ihvertfall kan) være tilgjengelig for alle framtidige myndigeter, snille eller ikke.

Den som tror at PST, eller sågar det ordinære politiet, følger absolutt alle pålegg om sletting av f.eks. DNA-analyser etter utløpet av en frist, eller makulerer innhentet bevismateriale når en dom er rettskaftig i den grad det er pålagt ved lov, og begrenser innhenting av bevismateriale (f.eks. avlytting) til det de etter loven har adgang til ... det er en naiv sjel. Selvsagt sitter både PST, den militære Etteretningstjenesten og Forsvarets sikkerhetstjeneste på tonnevis av persondata som de ikke røper noe om og ikke har (behov for) noen for sletterutiner for. Dessuten får disse organene (særlig det ordinære politiet) stadig videt ut grensene for hva de helt offisielt kan innsamle og lagre, og svakere krav om sletting.

Historiske sett har vi vært så fokusert mot myndighetenes overvåking (særlig i regimer vi ikke liker) at vi har lukket øynene for alt som skjer i kommersiell/privat regi. Privat overvåking er ikke noe nytt, og krever slett ikke datamaskiner: På slutten av 1970-tallet var det en stor skandale da det ble avslørt at den ultra-blå organisasjonen Libertas i mange år hadde samlet et arkiv over tusenvis av nordmenn som ble stemplet som "sammfunnsfiender". Personer som hadde offentlig kommet med utsagn til venstre for det moderate AP ble "satt på overvåking" og alle deres utsagn, pluss personlige detaljer, ble samlet i et sentralt, papir-basert arkiv. Lister med oversikt over hvem disse "samfunnsfiendene" var ble diskret distribuert rundt til ulike Libertas-avdelinger. Avsløringen av denne private overvåkingen var sterkt medvirkende til at Libertas ble oppløst på 80-tallet. (Men det er sjokkerende å se hvor godt de har klart å dysse ned denne saken i ettertid, når jeg tenker på hvor store overskrifter den skapte, og over hvor lang tid, på 70-tallet! På internett finnes det knapt spor av den i det hele tatt!)

Libertas-skandalen opprørte "folk flest". I dag er overvåkingen langt mer omfattende, både i hvilken informasjon som arkiveres, og det arkiveres info om praktisk talt alle, på en slik måte at det kan framhentes og analyseres i løpet av sekunder. Nevner du dette som et Facebook-problem for "mannen i gata", trekker han på skuldrene: Det gjør da ingen ting. At kommersielle (og andre) interesser har arkivert alt du har twitret, alle bilder du har lagt ut på Flickr, all tekst, foto og video du har lagret i skyen i ditt private, "beskyttede" område blir inspisert (og iblant sensurert) av den som tilbyr tjenesten, det blir ikke sett på som bekymringsfullt av særlig mange.

Hver gang du betaler med et bankkort, bruker et rabattkort, eller kjøper tjenester/varer over internett/app, arkiverer selgeren opplysning om hvilket ølmerke du drikker (og mengde...), hvilke filmer du ser på etc. så du kan motta reklame som er spesielt tilpasset akkurat deg. Kanskje det logges annen info også: Mange banker registrerer dine GPS-koordinater når du foretar en betaling med mobilen; de sier det er for å kunne fortelle deg hvor den nærmeste filialen ligger (nettopp - det er jo svært viktig når du betaler fra mobilen...) men posisjonen kan også røpe f.eks. at betalingen ble gjort i lokaler der det foregår aktivitet som ikke nødvendigvis er noe alle finner like godtagbar.

Bekymrer slike ting oss? Nei, 99,9% gir blaffen. Det vi bekymrer oss for er hvis vi har sagt noe i et debattforum som blir tilbakevist, da må vi ha krav på å slettet det, slik at ingen senere kan bevise at vi har sagt noe feil. Selv om vi opptrer under kallenavn, og bare admin kjenner vår epost-adresse, ingen av debatt-deltakerne. Likevel er sånt viktig for oss: Glansbildet skal skinne, vi skal framstå som feilfrie.

Vi krever noen proforma-tiltak, f.eks. at internett-forbindelsen skal være kryptert (TLS, aka HTTPS i web-sammenheng), og da er det liksom ingenting å bekyre seg for. Hah! Jeg oppdaget ved en tilfeldighet at Google kunne fortelle meg hvilke søkeord jeg hadde benyttet for mange år siden, i 2011! Jeg slettet det umiddelbart, men tar nærmest for gitt at informasjonen fortsatt ligger i arkivene med et merke "Dette er slettet informasjon". Denne typen organisasjoner danser entusiastisk etter myndighetenes pipe: For å bevare ansikt holder de lissom igjen en liten stund, før de åpner dørene. Hvem de selge informasjonen til røper de aldri - men det er jo i hovedsak disse tilbyderne lever av.

Det er en vits å trekke tilbake allerede publisert (og trekvart-anonymisert) personinformasjon så den blir utilgjengelig for lovlydige enkeltpersoner som likevel ikke bruker den til noe, så lenge myndigheter og en lang rekke kommersielle og andre institusjoner har arkivert informasjonen for lenge siden. Det er blåøyd å tro at sletting av innlegg/tråd i et diskusjonforum har noe som helst betydning for den som ønsker å bruke informasjonen til kommersielle, strafferettslige, politiske eller religiøse formål, overvåking foretatt av myndigheter eller private organsisasjoner / enkeltpersoner. Rett til sletting er bare skuebrød for at folk flest skal tro at infomasjonen nå er utilgjengelig for de som vil misbruke den.

   #20
 3,595     0
Jo. Det er følgelig ikke en gyldig IP. Men det er ikke poenget. Det er bare random tall. Irrelevant for diskusjonen.

Hvis du i et eksempel i en (norsk) trafikksak viser til en hendelse der to personbiler bil med registreringsnumre henholdsvis VHA 123234 og DFX 2552, da tyder det på at ditt fag ikke omfatter prosedyrer for registrering av biler.

Det er naturligvis irrelevant for trafikksaken hva registreringsnumrene er, men en person som har handtering av bilskilt som en del av sin profesjon ville likevel holde seg innenfor formatene, som antall bokstaver og sifre.

Hver eneste nettverks-mann jeg har vært borti steiler på verdier over åtte bits i internettadreser, like mye som en ansatt i Statens vegvesen reagerer på et norsk bilskilt med tre bokstaver. Hvis du sier "jo, internett-adresser er innenfor mitt fag, og for meg er det helt OK å bruke en 10-bits-verdi i et 8-bits-felt", da er du den første jeg har møtt med en slik holdning. Oh well, "permission granted".