Digitale sporForretningsmuligheter vs personvern

127.0.0.1• Anders Brenna

• Forretningsutvikler• Teknologievangelist

• Karriere 1.0: Teknisk• Karriere 2.0: Redaksjonell• Karriere 3.0: Kommersiell

Karoline Kristensen

Ansatt når?

Ring meg900 77 860

Hvordan kan dette misbrukes?

Ekomloven §2-9• Tilbyder og installatør plikter å bevare taushet om

innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon, herunder opplysninger om tekniske innretninger og fremgangsmåter.

• Opplysningene kan heller ikke nyttes i egen virksomhet eller i tjeneste eller arbeid for andre, med unntak av statistiske opplysninger om nettrafikk som er anonymisert og ikke gir informasjon om innretninger eller tekniske løsninger.

• Taushetsplikten er ikke til hinder for at det gis opplysninger til påtalemyndigheten eller politiet

http://www.lovdata.no/all/hl-20030704-083.html#2-9

17

19

20

21

Fødselsdag på Facebook

22

Facebook• Sosiale annonser

• Venner anbefaler...• Personlig

informasjon• Sivilstatus

• Relevante annonser?

23

24

26

27

28

29

30

Privacy by design• “Innebygd personvern”• Anonymiser data• Ta høyde for sikkerhetsbrudd• Lagre minst mulig

Innebygd personvern1. Vær i forkant, forebygg fremfor å reparere2. Gjør personvern til standardinnstilling3. Bygg personvern inn i designet4. Skap full funksjonalitet: Både-og, ikke enten-eller5. Ivareta informasjonssikkerheten fra start til slutt6. Vis åpenhet7. Respekter brukerens personvern

Slik sikrer RuterBillett personvernet ditt• Anonyme billetter var et designkrav• GPS kun for å finne nærmeste holdeplass

– lagres ikke• Betalingsinformasjon lagres hos tredjepart

– Valgfritt å lagre kort lokalt på mobilen• Bruk av brukerpålogging sikrer overføring

av abonnement uten å vite hvem brukeren er

• Anonymisert statistikk• Valgfritt med epost for kvittering

– Lagres kun lokalt

It’s nothing personal,it’s just business

Kommersielle bedrifter er ikke ute etter deg, de er bare ute etter lommeboken din

Problemet er de som tar det personlig…

45

DatalagringsdirektivetTerrortiltaket som ble utsatt på grunn av terrorisme...

47

Telefoni• Hvem du ringer• Når du ringer• Hvor lenge samtalen

varte• Hvor du var da du ringte

SMS• Hvem du sendte

meldingen til• Når du sendte

meldingen• Hvor du var da du

sendte meldingen

e-post• Hvem du sendte e-post

til

• Når du sendte e-posten

• Hvilken server du sendte den fra

IP-adresse• Hvem du er bak IP-adressen• Når du logget deg på• Hvor du logget deg på• Når du logget deg av• Hvor du logget deg av

Datalagringsdirektivet virker ikke

• Gode intensjoner• Manglende

realitetsforståelse• EU-rapporten klarte

ikke å dokumentere positiv effekt

1,4 millioner samtaler?“Dette er ikke kun samtaler som knyttes til Breivik. Dette er alle samtaler som er registrert på basestasjoner i tilknytning til både bomba i Regjeringskvartalet og aksjonen på Utøya. Vi må analysere tid, lengde og fra hvilke basestasjoner de er registrert på. Vi prøver å finne ut hvem som har ringt til en hver tid, også i dagene før.”

60

62

63

Facebookvs

Datalagringsdirektivet• Frivillighet vs tvang

• Sex vs voldtekt• Facebook får bare vite det vi

velger å fortelle• Men Facebook’s forretningsmodell er ikke

å passe på dine personlige opplysninger!

65

Sosiale medier• Vi velger selv

– Om vi tvitrer– Hva vi tvitrer– Når vi tvitrer

Full kontroll?Vet vi hva slags spor vi legger igjen?

69

Ingen spor er et spor

71

Flopp

Naiv / Paranoid• Bruk internett• Legg igjen (mange)

digitale spor• Ikke legg alle

opplysningene i en kurv

«Selvfølgelig har det en fremtid. Liksom pandaen utvilsomt vil overleve i zoologiske haver rundt om i verden»

Takk for meganders.brenna@knowit.no

Backup slides

Dele – ikke stjele1. Det må sikres en rettslig adgang til å innsamle, registre og lagre

trafikkopplysninger slik som IP-adresser,

2. Det må sikres en praktikabel ordning for å få informasjon om identiteten bak IP-adressen (abonnenten) . Uten denne informasjonen kan opphavsretten ikke håndheves av rettighetshaverne ved sivilrettslige tiltak.

3. Det må etableres en varslingsordning overfor fildelere, som ved gjentatte krenkelser skal sanksjoneres med ytterligere tiltak,

4. Det må innføres en klar og utvetydig hjemmel for å kunne sperre (blokkere) tilgangen til nettsteder som formidler ulovlige filer. Et slikt pålegg må kunne rettes mot internetttilbyderen (ISP).

Svensk etterforskning• «Uppgifter från en

utredning i Norge»• «Det norske politiet kan

ikke kjenne til denne saken ettersom vi ikke har anmeldt i Norge»

• Anmeldte nordmenn?«Vi kommenterer ikke det»

Dtecnet• «Vi genererer en massiv

mengde data i loggfiler»• «Vi sjekker IP-adressen opp

mot åpne registre for å finne ut hvilket land og hvilken internettleverandør brukeren kommer fra»

Chilling effect

«Bare vissheten om at noen kan lete seg fram til dine kontakter og dine bevegelser, både i det fysiske rommet og på Internett, kan være nok til å hemme borgere i utøvelsen av sine friheter til å samles, til å ytre seg og til å søke opplysninger.»

Fristed?Bør vi overvåke ekstreme miljøer på internett?

Er du en ekstremist?• Har du ekstreme meninger?

• Opp med hånden alle som ser på seg selv som ekstremister!

• Hvor går grensen mellom sterke og ekstreme meninger?

• Hvem avgjør hvor grensen går?• Har noen kalt deg ekstremist?

PST-instruksen §15• Personopplysninger som ikke kan behandles• Opplysninger om en person kan ikke behandles

kun på bakgrunn av hva som er kjent om personens etnisitet eller nasjonale bakgrunn, politisk, religiøs eller filosofisk overbevisning, fagforeningstilhørighet eller opplysninger om helsemessige eller seksuelle forhold.

Nettovervåkning?• Skal vi lage unntak i §15?• Opplysninger om en person kan ikke behandles kun

på bakgrunn av hva som er kjent om personens etnisitet eller nasjonale bakgrunn, politisk (bortsett fra høyreekstreme), religiøs (gjelder ikke muslimer) eller filosofisk overbevisning, fagforeningstilhørighet eller opplysninger om helsemessige eller seksuelle forhold.

89

Problemet

«Who watches the watchmen?»

De som lover 100% sikkerhet vet ikke hva de snakker om...

«If you think technology can solve your security problems then you

don’t understand the problems and you don’t understand the

technology»

- Bruce Schneier