Det här börjar bli komplicerat tycker jag.
Om en individ, typ jag, blockar reklam är det okej.
Om en ISP gör det är det inte okej enligt Lauren.
Klockrent problem.
//Erik
-------- Original Message --------
Subject: [ NNSquad ] Ad Blocking vs. ISPs ("The French Connection")
Date: Sun, 6 Jan 2013 21:00:33 -0800
From: Lauren Weinstein <lauren(a)vortex.com>
To: nnsquad(a)nnsquad.org
Ad Blocking vs. ISPs ("The French Connection")
http://j.mp/Wm03Au (New York Times)
"Mr. Niel's telecommunications company, Free, which has an estimated
5.2 million Internet-access users in France, began last week to enable
its customers to block Web advertising. The company is updating users'
software with an ad-blocking feature as the default setting."
- - -
Let me be very clear about this. I have written in the past of the
problematic nature of individuals employing ad blocking (originally in
"Blocking Web Ads -- And Paying the Piper" ( http://bit.ly/8QLzYc
[Lauren's Blog] ), but for an ISP to become involved in ad blocking --
particularly by default -- is as abusive of their role as an Internet
access provider as would be their blocking particular sites or pages
with which they had a political disagreement. It is a direct affront
to the most basic tenets of net neutrality, and should be vigorously
opposed.
--Lauren--
Lauren Weinstein (lauren(a)vortex.com): http://www.vortex.com/lauren
Co-Founder: People For Internet Responsibility: http://www.pfir.org/pfir-info
Founder:
- Network Neutrality Squad: http://www.nnsquad.org
- PRIVACY Forum: http://www.vortex.com/privacy-info
- Data Wisdom Explorers League: http://www.dwel.org
- Global Coalition for Transparent Internet Performance: http://www.gctip.org
Member: ACM Committee on Computers and Public Policy
Lauren's Blog: http://lauren.vortex.com
Google+: http://vortex.com/g+lauren / Twitter: http://vortex.com/t-lauren
Tel: +1 (818) 225-2800 / Skype: vortex.com
_______________________________________________
nnsquad mailing list
http://lists.nnsquad.org/mailman/listinfo/nnsquad
Långt viktigt mail från Ante. //Erik
-------- Original Message --------
Subject: Answering guides for EU ISDS consultation
Date: Tue, 24 Jun 2014 16:19:06 +0200
From: Ante Wessels <ante(a)FFII.ORG>
Answering guides for EU ISDS consultation
https://www.vrijschrift.org/serendipity/index.php?/archives/158-Answering-g…
or http://bit.ly/1nBEdqX
The European Digital Rights initiative (EDRi) has published an
answering guide for the European Commission's consultation on
investor-to-state dispute settlement (ISDS), probably the most
controversial element of proposed EU trade agreements. The
consultation ends the 6th of July.
ISDS gives foreign investors, usually multinationals, the right
to circumvent domestic courts and challenge decisions of states
for international investment tribunals if decisions may lead to
lower profits than expected. The cases are decided by for-profit
arbitrators, they would be able to overturn decisions of supreme
and human rights courts. For an introduction see Nobel laureate
Joseph Stiglitz or Vrijschrift.
EDRi's answering guide points out procedural and substantive
issues with ISDS. The guide has a focus on human rights and the
negative effects ISDS has on our ability to reform copyright and
patent law. If you do not have a lot of time you may like to
focus on questions 5, 7, 8 and 13.
AK Europa (the Brussels office of the Austrian Federal Chamber
of Labour), ÖGB Europabüro (the Brussels office of the Austrian
Trade Union Federation), and Friends of the Earth Europe have
set up an online tool, which features a template response, and
allows for individual contributions to the consultation in a few
clicks.
Corporate Europe Observatory published "Still not loving ISDS:
10 reasons to oppose investors' super-rights in EU trade deals".
Seattle to Brussels Network: Campaigners slam Commission’s mock
consultation on investor rights in EU-US trade deal
Trade Justice Movement: TJM says no to ISDS
11.11.11: Traité transatlantique : répondons tous à la
commission !
The FFII put on line its draft submission to the consultation
"ISDS: A rigged system, avoid lock-in". The draft conclusion
reads:
This note concludes that investor-to-state dispute settlement
lacks conventional institutional safeguards for independence and
has characteristics of a rigged system. The appointment of
arbitrators is not neutral and gives the US an unfair advantage.
The US never lost an ISDS case, we can not expect European
companies to win major ISDS cases against the US, all the more
as the US is not shy to exert pressure on arbitrators. We can
expect that US companies will win ISDS cases against the EU and
member states. This leads to four considerations.
First, ISDS arbitrators will be able to review all decisions of
governments, legislators and courts, including the European
Court of Human Rights, and they can award unlimited damages. The
European Commission aims to add ISDS to trade agreements from
which it is near impossible to withdraw. Given that ISDS lacks
conventional institutional safeguards for independence, does not
observe the separation of powers, has characteristics of a
rigged system and gives the US an unfair advantage, the transfer
vast powers to arbitrators without possibility of withdrawal
would be imprudent. At the very least, to protect its future,
the EU has to avoid a lock-in, should not deviate from standing
European practice of stand-alone investment agreements. The EU
should not add ISDS to trade agreements.
Second, the EU aims to create a global standard. Presently a
minority of foreign investments is covered by ISDS, after ISDS
agreements between the major capital exporting countries a large
majority of global foreign investments would be covered by ISDS.
Wide coverage of global foreign investments and impossibility to
withdraw would create a near global lock-in. Given that the
commission's reforms fail on many counts, a near global lock-in
would give arbitrators unprecedented and unchecked powers. This
would burden democracies, local companies, tax payers, human
rights and the rule of law.
Third, quintessentially, states need a margin of appreciation.
States which are constantly battered by threats and legal
challenges can not function properly, can not take decisive
action. The US protect themselves through a system rigged to
their advantage. It is an existential threat to the EU not to be
able to take decisive action, especially since the US can.
Raison d'état necessitates to avoid this situation.
Fourth, foundationally, an essential aspect of liberalism is
constitutional liberalism - the separation of powers, the
creation of strong institutions. Sovereign decisional power
accompanied by strong institutions can provide fairness. ISDS
undermines the institutions. ISDS undermines the EU's vital
interests and values, it has to be rejected. In doing so, the EU
would give direction to the debate and create room to strengthen
alternatives.
Bästa Anne-Marie Eklund-Löwinder!
Du har inte svarat på min fråga. Du har
inte heller haft några invändningar mot
att legitmationsutfärdarna (bankerna,
Telia m.fl.) både i dagens och i
framtida Svensk e-legitimation samlar
adresserna till användarnas anlitade
tjänster. Du konstaterar att här finns
inget att se och ber mig cirkulera. Allt
detta tycker jag är oseriöst.
Erik Mjöberg
On 2014-06-11 15:20, Anne-Marie
Eklund-Löwinder wrote:
> Hej,
>
> Jag tror du övertolkar budskapet. Jag har inget intresse av att föra den här diskussionen med dig. Jag håller inte med dig, och jag ser inte något som indikerar att du har rätt och jag har fel. Men jag släpper det. Jag har verkligen inte tid. OK? Det måste dessutom finnas mycket bättre mejlinglistor att föra den här diskussionen på än DFRI:s, eller varför inte rikta frågan direkt till e-legitimationsnämnden.
>
> Med vänlig hälsning,
>
> Anne-Marie
>
>
>
>> -----Ursprungligt meddelande-----
>> Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se]
>> Skickat: den 11 juni 2014 10:59
>> Till: Anne-Marie Eklund-Löwinder; listan(a)lists.dfri.se
>> Ämne: Re: SV: Re: Ang.: SV: [DFRI-listan] E-legitimation
>>
>> Bästa Anne-Marie Eklund-Löwinder!
>>
>> Jag förvånar mig över Dina oförskämdheter och Din maktarrogans, men låter
>> den saken bero.
>>
>> Det som är ännu allvarligare är att Du inte ens försöker svara på min fråga om
>> E-legitimationsnämndens insamling av tjänsteleverantörernas adresser
>> tillgodoser kraven i Personuppgiftslagen och i direktivet till tillsättandet av E-
>> legitimationsnämnden, utan i stället tar upp något som jag över huvud taget
>> inte har nämnt, nämligen anvisningstjänsten i Svensk e-legitimation. Det jag
>> frågade Dig om är ju en helt annan sak, vilket Du med Dina djupa kunskaper i
>> ämnet säkert förstår.
>>
>>
>> Det är för mig obegripligt att Du anser Dig och dessutom anser mig ha andra
>> och viktigare frågor att beakta än den uppenbara integritetskränkning som
>> sker i dagens e-legitimation och genom användningen av SAML i förslaget till
>> ny Svensk e-legitimation.
>>
>>
>> Med förundrad hälsning
>>
>> Erik Mjöberg
>>
>> On 2014-06-10 07:24, Anne-Marie Eklund-Löwinder wrote:
>>
>>
>> Hej!
>>
>> På frågan riktad till mig:
>>
>> Frågan är egentligen hypotetisk eftersom det inte är så det fungerar. Om det
>> är anvisningstjänsten du är upprörd över, så har den flera gränssnitt - endast
>> ett av dessa innebär att användarens UA hämtar listan över valbara utgivare
>> och därmed lämnar spår efter sig i form av IP-adresser. I andra situationer
>> hämtar e-tjänsten listan regelbundet och presenterar den själv. Och i andra
>> fall används inte anvisningstjänsten alls. Anvisningstjänsten är dessutom
>> federationsspecifik, och ger därför inte den helhetsbild av användningen
>> som du försöker göra gällande. Det är inte heller dessa uppgifter som ligger
>> till grund för vare sig debitering eller statistik, du har helt enkelt förstått det
>> hela väldigt fel.
>>
>> Jag är inte jurist, men det finns inga indikationer på att den här
>> anvisningstjänsten skulle vara oförenlig med svensk och europeisk
>> persondataskyddslagstiftning. Tror du inte på det så får du ställa samma fråga
>> till ansvariga myndigheter.
>>
>>
>> Så min slutsats: Här finns inget att se, cirkulera. Rikta din energi på något som
>> faktiskt är problematiskt. Det finns gott om sådant. Det behöver i alla fall jag
>> göra. Så jag avslutar den här diskussionen från min sida.
>>
>> Med vänlig hälsning,
>>
>>
>>
>> Anne-Marie
>>
>>
>>
>>
>>
>> Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se]
>> Skickat: den 5 juni 2014 09:51
>> Till: listan(a)lists.dfri.se <mailto:listan@lists.dfri.se>
>> Ämne: Fwd: Re: Ang.: SV: [DFRI-listan] E-legitimation
>>
>>
>>
>> Hej igen!
>>
>> Beträffande frågan om samtycke i e-legitimationer,
>> kan man inte bygga upp ett legitimeringssystem som
>> förutsätter att de legitimerade samtycker till att
>> personuppgifter används i strid med PuL.
>>
>> Om jag inte samtycker till att mina besök hos anlitade
>> tjänster registreras av legitimationsutfärdarna, får jag
>> inte vara med då? Får jag inte vara med om jag inte
>> samtycker till att banken känner till att jag tidsbokat
>> på en HIV-klinik?
>>
>> Och slutligen en fråga till Anne-Mari Eklund Lövinder:
>> Anser Du att integritetskravet i direktivet 2010:69 är
>> uppfyllt, om adresserna till de av användarna anlitade
>> tjänsterna samlas in av e-legitimationsnämnden i
>> enlighet med SAML-idp-discovery-standarden, men
>> användarna skalas av vid rapporteringen till
>> faktureringen?
>>
>> Vänliga hälsningar
>>
>> Erik Mjöberg
>>
>>
>>
>> -------- Original Message --------
>>
>> Subject:
>>
>> Re: Ang.: SV: [DFRI-listan] E-legitimation
>>
>> Date:
>>
>> Wed, 04 Jun 2014 17:33:12 +0200
>>
>> From:
>>
>> Erik Mjöberg <erik.mjoberg(a)xml.se> <mailto:erik.mjoberg@xml.se>
>>
>> Organization:
>>
>> AB XML Sweden
>>
>> To:
>>
>> Tobias Pulls <tobias.pulls(a)kau.se> <mailto:tobias.pulls@kau.se> ,
>> listan(a)lists.dfri.se <mailto:listan@lists.dfri.se>
>>
>>
>>
>> Hej Tobias!
>>
>> Bra att Du tog upp frågan om samtycke.
>>
>> I avtalet med min bank, Handelsbanken, finns ingenting om samtycke till att
>> samla
>> in uppgifter om besökta tjänster. Jag känner inte heller till att någon annan
>> legitimationsutfärdare skulle ha en sådan friskrivning. Slutligen kan
>> utfärdaren
>> begära samtycke till insamling av adressen till den anlitade tjänsten i
>> samband med
>> att tjänsten anlitas, men inte heller det har skett i någon av de tjänster som
>> jag
>> har anlitat.
>>
>> Så jag känner mig ganska kränkt av hanteringen ... Men det har en mycket
>> ringa
>> betydelse i sammanhanget. Det väsentliga är att den klart strider mot
>> Person-
>> uppgiftslagen (PuL)! Och inte bara mot PuL utan även mot t.ex. EU-stadgans
>> skydd
>> av personuppgifter i artikel 7 och 8. Om man tillämpar samma metod som EU-
>> domstolen gjorde beträffande upphävandet av ändringarna i
>> Datalagringsdirektivet
>> (proportionalitetsprincipen i artikel 52:1) skulle insamlingen av adresserna till
>> de av
>> användarna anlitade tjänsterna vara ett "allmänt samhällsintresse som
>> erkänns av
>> unionen" om hanteringen skulle godkännas av EU-domstolen. Det har jag
>> svårt att
>> tro.
>>
>> Det finns sedan flera år tillbaka färdiga lösningar på hur
>> legitimationsutfärdaren kan
>> styrka användarens identitet utan att känna till var styrkandet ska användas -
>> -
>> precis som i den analoga världen. Se t.ex. Identity 2.0 från 2006 eller user-
>> centric
>> IDs.
>>
>> Vänliga hälsningar
>>
>> Erik Mjöberg
>>
>> On 2014-06-04 15:39, Tobias Pulls wrote:
>>
>> Hej,
>>
>> Värt att notera är också att det här troligen inte är ett brott
>> mot
>> personuppgiftslagen _förutsatt_ att samtycke är inhämtat av t
>> ex banken
>> vid utfärdandet av BankID. Det sagt så är det knappast något
>> positivt
>> att denna spårbarhet finns i systemet och troligen är det
>> många fler än
>> Erik som upplever detta som ett intrång. Denna läcka baserat
>> på
>> samtyckte (som i dagsläget är långt från informerat i något
>> annat än
>> juridisk mening) borde ha tagits bort av e-
>> legitimationsnämnden genom
>> att förbjuda annan användning än strikt nödvändigt eftersom
>> identitetsleverantörer redan får betalt. Tyvärr gjordes inte
>> detta så
>> det är bara att hoppas att öppna och moderna tekniska
>> lösningar som
>> anonymous credentials används för nästa generation, för det
>> finns ingen
>> stark vilja att lägga in juridiskt personskydd utöver det
>> minimala som
>> krävs. Trevlig sits för identitetsleverantörerna dock, de får
>> betalt för
>> att skapa profiler av folk.
>>
>> Vad gäller punkt 2 från Erik så ska man vara väldigt försiktig
>> med att
>> underskatta tom vad den aggregarade informationen har för
>> inverkan på
>> personers privatliv. Det behövs inte mycket extra information
>> för att
>> skapa skrämmande scenarion. En av de få sakerna ur
>> integritetssynpunkt
>> som SAML förbättrar är möjligheten att bara ge ut relevant
>> information
>> till tjänster istället för allt på ett certifikat. Utöver det bör man
>> nog vara försiktig om man vill kalla SAML lösningen
>> integritetsvänlig.
>>
>> Mvh,
>> Tobias
>>
>> On 04/06/14 14:49, Anne-Marie Eklund-Löwinder wrote:
>>
>> Jag fann ingen anledning att kommentera 1. Det
>> är nog allmänt känt att det är personnummer i certifikatet och därmed är
>> spåret tydligt för banken med flera i dagens system. /amel
>>
>> Skickat från min HTC
>>
>>
>> ----- Reply message -----
>> Från: "Erik Mjöberg" <erik.mjoberg(a)xml.se>
>> <mailto:erik.mjoberg@xml.se>
>> Till: "listan(a)lists.dfri.se"
>> <mailto:listan@lists.dfri.se> <listan(a)lists.dfri.se>
>> <mailto:listan@lists.dfri.se>
>> Rubrik: SV: [DFRI-listan] E-legitimation
>> Datum: ons, jun 4, 2014 14:25
>>
>>
>>
>> Hej DFRI-listan!
>>
>> Äntligen har jag fått ett svar i sak på vad jag hela
>> tiden påstått. Det är första gången på två år! Låt mig ta upp sakfrågorna.
>>
>> 1. För det första har Anne-Marie Eklund-
>> Löwinder hittills inget att erinra mot min beskrivning att e-
>> legitimationsutfärdarna (bankerna, Telia, m.fl.)
>> samlar in adresserna till de av användarna
>> anlitade e-tjänsterna i dagens e-legitimationssystem. Det är allvarligt nog! I
>> det föreslagna nya systemet
>> med Svensk e-legitimation bekräftas tidigare
>> adressinsamling genom användning av standarden SAML-assertion.
>>
>> Om jag har gjort en tidsbokning på en HIV-klinik
>> eller hos en psykiater med min e-legitimation, vill jag inte att banken ska få
>> reda på det. Om jag har varit
>> inne på mina apoteksrecepttjänster vill jag inte
>> att banken ska känna till det. Om min hustru har haft flera tidsbokningar för
>> kontroll av bröstcancer vill
>> jag inte att banken ska känna till det. Jag vill inte
>> heller att banken ska kunna sälja dessa uppgifter till det försäkringsbolag där
>> min hustru eller jag har
>> våra livförsäkringar. Om jag t.ex. har anlitat
>> Svenska Spels tjänster ofta vill jag inte att banken ska komma till mig och
>> begära omförhandling av räntan
>> på mitt bostadslån eftersom banken då
>> bedömer sig ta en högre risk. Om bolånet ligger i en annan bank vill jag inte
>> att banken ska sälja samma
>> uppgifter till den banken. Om jag är medlem i ett
>> politiskt parti vill jag inte att banken ska känna till att jag loggar in mig med e-
>> legitimation på partiets
>> medlemstjänst. Jag anser att dessa förhållanden
>> gravt kränker min personliga integritet. Jag har därmed lidit skada. Detta
>> gäller även 2 miljoner andra
>> e-legitimationsinnehavare som med mig har
>> förvägrats det skydd som tillkommer oss enligt Personuppgiftslagen
>> (1998:204).
>>
>> Om jag i den analoga världen vill legitimera mig
>> med mitt körkort, har Transportstyrelsen, som utfärdat mitt körkort, ingen
>> aning om var, när och
>> i vilken omfattning jag identifierar mig med
>> körkortet. Då borde det självklart vara ett anständighetskrav att den digitala
>> lösningen uppfyller minst samma
>> integritetskrav. Men om det fungerade med
>> mitt körkort som det fungerar på nätet med e-legitimation skulle den expedit
>> som granskar mitt körkort
>> säga: "Vänta ett tag, jag ska bara skicka
>> information till Transportstyrelsen om att Du har legitimerat Dig här." Då
>> skulle jag fråga mig: "Vad angår det
>> Transportstyrelsen var jag legitimerar mig med
>> mitt körkort?"
>>
>> 2. Punkt 2 stämmer exakt med felet i principen
>> att E-legitimationsnämnden samlar de adresser användaren anlitar när
>> hon/han identifierar
>> sig i en e-tjänst. E-legitimationsnämnden
>> hämtar/samlar dessa adresser enligt SAML-idp-discovery-standarden. Det är
>> detta som kommittédirektivet
>> 2010:69 skjuter in sig på. Insamlandet! Och
>> direktivet utgår då från Personuppgiftslagen (1998:204), som slår ned på
>> "behandling av personuppgifter"
>> (3 §) som innefattar "Varje åtgärd eller serie av
>> åtgärder som vidtas i fråga om personuppgifter, ... t.ex. insamling, ...
>> inhämtande ... av uppgifter ...".
>> Att sedan det rapporterade statistikunderlaget
>> har skalat av individerna har inte med saken att göra, det handlar om
>> kosmetik - inte om integritetsskydd.
>>
>> Jag överlåter åt läsaren av detta att avgöra om
>> mina påståenden är ogrundade eller om jag har fått saker och ting rejält om
>> bakfoten.
>>
>> ---
>>
>> Till Sven Ruin vill jag säga att det ligger mycket i
>> vad Du säger. Naturligtvis går det att omformulera frågorna. T.ex.: Anser Du
>> att det är bra att utfärdarna av
>> dagens e-legitimationer (banker, Telia m.fl.)
>> känner till vilka tjänster användarna identifierar sig på?
>>
>> Vänliga hälsningar
>>
>> Erik Mjöberg
>>
>> ---
>> On 2014-06-04 10:51, Anne-Marie Eklund-
>> Löwinder wrote:
>> Hej,
>> Din punkt 2 stämmer inte ett enda dugg, där
>> behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det
>> är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns
>> publicerat för allmän beskådan, och för varje läskunnig att ta till sig.
>>
>> Ni hittar det på http://www.elegnamnden.se/
>> eller närmare bestämt här:
>> http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb04143807
>> 0e039a8b6.html
>>
>> Jag kan varmt rekommendera alla intresserade
>> att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se
>> helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här:
>>
>> Se Bilaga J – Rapporteringsrutiner, punkten 7.5:
>>
>> "Rapporterat statistikunderlag ska inte medge
>> att det går att härleda enskilda transaktioner mellan Användare och e-tjänst".
>>
>> Se även Bilaga A - Ersättning och fakturering,
>> punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller.
>> De anger i praktiken enbart antal unika användare per e-tjänst.
>>
>> Min slutsats är att du har fått saker och ting
>> rejält om bakfoten.
>>
>>
>>
>> Med vänlig hälsning,
>> Anne-Marie Eklund Löwinder
>> Säkerhetschef
>> .SE (Stiftelsen för Internetinfrastruktur)
>> Adress: Ringvägen 100
>> Postadress: Box 7399, 103 91 Stockholm
>> Växel: 08-452 35 00
>> Direkt: 08-452 35 17
>> Mobil: 0734-31 53 10
>> E-post: anne-marie.eklund-lowinder(a)iis.se
>> <mailto:anne-marie.eklund-lowinder@iis.se> <mailto:anne-marie.eklund-
>> lowinder(a)iis.se> <mailto:anne-marie.eklund-lowinder@iis.se>
>> Twitter: @amelsec
>> Webbplats: https://www.iis.se
>> Från: Erik Mjöberg
>> [mailto:erik.mjoberg@xml.se]
>> Skickat: den 3 juni 2014 22:56
>> Till: listan(a)lists.dfri.se
>> <mailto:listan@lists.dfri.se> <mailto:listan@lists.dfri.se>
>> <mailto:listan@lists.dfri.se>
>> Ämne: [DFRI-listan] E-legitimation
>> ... och här en fråga om e-legitimation:
>>
>> I kommittédirektiv 2010:69 för bildandet av E-
>> legitimationsnämnden står:
>>
>> Felaktigt utformat skulle ett system för
>> samordning av elektronisk identifiering
>> och signering kunna leda till risker för den
>> personliga integriteten, t.ex. om
>> uppgifter om en enskilds alla kontakter med
>> myndigheterna skulle samlas på
>> samma ställe ...
>>
>> 1. Visste Du att utfärdarna av dagens e-
>> legitimationer (banker, Telia m.fl.) känner
>> till vilka tjänster användarna identifierar sig på?
>> (Se BankIds hemsida<http://www.bankid.com/sv/statistik/>
>> <http://www.bankid.com/sv/statistik/> , punkterna
>> 7 och 8 i statistikrapporterna)
>>
>> 2. Visste Du att i det nya förslaget till Svensk e-
>> legitimation känner inte bara
>> utfärdarna till de tjänster användarna
>> identifierar sig på utan även E-legitima-
>> tionsnämnden (en myndighet under
>> Skatteverket) samlar in samma uppgifter
>> (för att proportionera identifieringskostnaderna
>> på de myndigheter som levererar
>> tjänsterna)?
>>
>> Vänliga hälsningar
>>
>> Eri Mjöberg
>>
>>
>>
>>
>>
>>
>>
>>
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan
Jag har ännu inte hunnit analysera utredningen i förhållande till Eu-domstolens utslag, men spontant känns ju inte slutsatsen OK...
Sus Andersson
sus.andersson(a)farad.se
070-953 0166
-------- Originalmeddelande --------
Från: subscription(a)regeringen.se
Datum:13-06-2014 11:48 (GMT+01:00)
Till: subscription(a)regeringen.se
Rubrik: Justitiedepartementet: Svensk rätt klarar EUs krav för datalagring (Pressmeddelande)
Ser texten konstig ut? Läs den på www.regeringen.se.
Pressmeddelande
13 juni 2014
Justitiedepartementet
Svensk rätt klarar EUs krav för datalagring
De svenska reglerna om lagring och utlämnande av trafikuppgifter strider inte mot EU- eller europarätten. Det konstateras i en analys som i dag har lämnats till justitieminister Beatrice Ask och som gjorts för att EU-domstolen i april ogiltigförklarade det så kallade datalagringsdirektivet.
Analysen har gjorts av den förre ordföranden i Högsta förvaltningsdomstolen, Sten Heckscher, biträdd av professorn i folkrätt vid Uppsala universitet, Iain Cameron.
EU-domstolen har i sin dom pekat på ett antal omständigheter som tillsammans lett domstolen till slutsatsen att direktivets reglering inte lever upp till EU-rättens krav på proportionalitet. Därför har direktivet bedömts vara ogiltigt. Domstolen har dock inte uttalat sig om giltigheten av nationella regler.
Sten Heckscher bedömer att skyldigheten att lagra trafikuppgifter enligt svenska regler inte är oproportionerlig. Lagringstiden är i Sverige begränsad till sex månader och omfattar uppgifter som är nödvändiga för att förebygga, förhindra och utreda brott. Han pekar vidare på att det i svensk rätt, till skillnad från i direktivet, finns tydliga regler om villkoren för att lämna ut lagrade uppgifter. Skyddet för de uppgifter som lagras är också mer noggrant reglerat i Sverige än i direktivet. Sammantaget anser Heckscher att den svenska regleringen inte står i strid med EU- eller europarätten.
Trots det anser Heckscher, mot bakgrund av att EU-rätten och europarätten enbart ställer upp minimikrav till skydd för de grundläggande fri- och rättigheterna, att det finns skäl att närmare överväga vissa åtgärder för att ytterligare stärka rättssäkerheten och skyddet av privatlivet. Det rör sig bland annat om att vidare analysera reglerna om polisens inhämtning av uppgifter i underrättelseskedet.
De fortsatta övervägandena kommer att göras i nästa del av utredarens arbete som ska presenteras omkring årsskiftet.
Kontakt
Per Claréus
Pressekreterare hos Beatrice Ask
08-405 47 22
072-572 48 48
Relaterat
Ds 2014:23 Datalagring, EU-rätten och svensk rätt
Webb-tv från pressträff: EU-domstolens dom om datalagringsdirektivet och de svenska reglerna
Namn på din prenumeration: Sus
Prenumeration utifrån: Ämnesområde
E-post skickas: Omedelbart
Prenumerationen skickas till: sus.andersson(a)farad.se
Du ändrar och avslutar själv din prenumeration genom att logga in med din e-postadress och det lösenord du har valt på http://www.regeringen.se/prenumerera. Du kan inte svara på detta brev. Har du synpunkter på brevet eller webbplatsen vänligen kontakta Regeringskansliets kommunikationsenhet: http://www.regeringen.se/kontakt eller 08-405 10 00.
Bästa Anne-Marie Eklund-Löwinder!
Jag förvånar mig över Dina
oförskämdheter och Din maktarrogans, men
låter den saken bero.
Det som är ännu allvarligare är att Du
inte ens försöker svara på min fråga om
E-legitimationsnämndens insamling av
tjänsteleverantörernas adresser
tillgodoser kraven i Personuppgiftslagen
och i direktivet till tillsättandet av
E-legitimationsnämnden, utan i stället
tar upp något som jag över huvud taget
inte har nämnt, nämligen
anvisningstjänsten i Svensk
e-legitimation. Det jag frågade Dig om
är ju en helt annan sak, vilket Du med
Dina djupa kunskaper i ämnet säkert förstår.
Det är för mig obegripligt att Du anser
Dig och dessutom anser mig ha andra och
viktigare frågor att beakta än den
uppenbara integritetskränkning som sker
i dagens e-legitimation och genom
användningen av SAML i förslaget till ny
Svensk e-legitimation.
Med förundrad hälsning
Erik Mjöberg
On 2014-06-10 07:24, Anne-Marie
Eklund-Löwinder wrote:
Hej!
På frågan riktad till mig:
Frågan är egentligen hypotetisk eftersom
det inte är så det fungerar. Om det är
anvisningstjänsten du är upprörd över,
så har den flera gränssnitt - endast ett
av dessa innebär att användarens UA
hämtar listan över valbara utgivare och
därmed lämnar spår efter sig i form av
IP-adresser. I andra situationer hämtar
e-tjänsten listan regelbundet och
presenterar den själv. Och i andra fall
används inte anvisningstjänsten alls.
Anvisningstjänsten är dessutom
federationsspecifik, och ger därför inte
den helhetsbild av användningen som du
försöker göra gällande. Det är inte
heller dessa uppgifter som ligger till
grund för vare sig debitering eller
statistik, du har helt enkelt förstått
det hela väldigt fel.
Jag är inte jurist, men det finns inga
indikationer på att den här
anvisningstjänsten skulle vara oförenlig
med svensk och europeisk
persondataskyddslagstiftning. Tror du
inte på det så får du ställa samma fråga
till ansvariga myndigheter.
Så min slutsats: Här finns inget att se,
cirkulera. Rikta din energi på något som
faktiskt är problematiskt. Det finns
gott om sådant. Det behöver i alla fall
jag göra. Så jag avslutar den här
diskussionen från min sida.
Med vänlig hälsning,
Anne-Marie
*Från:*Erik Mjöberg
[mailto:erik.mjoberg@xml.se]
*Skickat:* den 5 juni 2014 09:51
*Till:* listan(a)lists.dfri.se
*Ämne:* Fwd: Re: Ang.: SV: [DFRI-listan]
E-legitimation
Hej igen!
Beträffande frågan om *samtycke* i
e-legitimationer,
kan man inte bygga upp ett
legitimeringssystem som
förutsätter att de legitimerade
samtycker till att
personuppgifter används i strid med PuL.
Om jag inte samtycker till att mina
besök hos anlitade
tjänster registreras av
legitimationsutfärdarna, får jag
inte vara med då? Får jag inte vara med
om jag inte
samtycker till att banken känner till
att jag tidsbokat
på en HIV-klinik?
Och slutligen en fråga till Anne-Mari
Eklund Lövinder:
Anser Du att integritetskravet i
direktivet 2010:69 är
uppfyllt, om adresserna till de av
användarna anlitade
tjänsterna samlas in av
e-legitimationsnämnden i
enlighet med
SAML-idp-discovery-standarden, men
användarna skalas av vid rapporteringen
till
faktureringen?
Vänliga hälsningar
Erik Mjöberg
-------- Original Message --------
*Subject: *
Re: Ang.: SV: [DFRI-listan] E-legitimation
*Date: *
Wed, 04 Jun 2014 17:33:12 +0200
*From: *
Erik Mjöberg <erik.mjoberg(a)xml.se>
<mailto:erik.mjoberg@xml.se>
*Organization: *
AB XML Sweden
*To: *
Tobias Pulls <tobias.pulls(a)kau.se>
<mailto:tobias.pulls@kau.se>,
listan(a)lists.dfri.se
<mailto:listan@lists.dfri.se>
Hej Tobias!
Bra att Du tog upp frågan om samtycke.
I avtalet med min bank, Handelsbanken,
finns ingenting om samtycke till att samla
in uppgifter om besökta tjänster. Jag
känner inte heller till att någon annan
legitimationsutfärdare skulle ha en
sådan friskrivning. Slutligen kan
utfärdaren
begära samtycke till insamling av
adressen till den anlitade tjänsten i
samband med
att tjänsten anlitas, men inte heller
det har skett i någon av de tjänster som
jag
har anlitat.
Så jag känner mig ganska kränkt av
hanteringen ... Men det har en mycket ringa
betydelse i sammanhanget. Det väsentliga
är att den klart strider mot Person-
uppgiftslagen (PuL)! Och inte bara mot
PuL utan även mot t.ex. EU-stadgans skydd
av personuppgifter i artikel 7 och 8. Om
man tillämpar samma metod som EU-
domstolen gjorde beträffande upphävandet
av ändringarna i Datalagringsdirektivet
(proportionalitetsprincipen i artikel
52:1) skulle insamlingen av adresserna
till de av
användarna anlitade tjänsterna vara /ett
"allmänt samhällsintresse som erkänns av
unionen"/ om hanteringen skulle
godkännas av EU-domstolen. Det har jag
svårt att
tro.
Det finns sedan flera år tillbaka
färdiga lösningar på hur
legitimationsutfärdaren kan
styrka användarens identitet utan att
känna till var styrkandet ska användas --
precis som i den analoga världen. Se
t.ex. Identity 2.0 från 2006 eller
user-centric
IDs.
Vänliga hälsningar
Erik Mjöberg
On 2014-06-04 15:39, Tobias Pulls wrote:
Hej,
Värt att notera är också att det här troligen inte är ett brott mot
personuppgiftslagen _förutsatt_ att samtycke är inhämtat av t ex banken
vid utfärdandet av BankID. Det sagt så är det knappast något positivt
att denna spårbarhet finns i systemet och troligen är det många fler än
Erik som upplever detta som ett intrång. Denna läcka baserat på
samtyckte (som i dagsläget är långt från informerat i något annat än
juridisk mening) borde ha tagits bort av e-legitimationsnämnden genom
att förbjuda annan användning än strikt nödvändigt eftersom
identitetsleverantörer redan får betalt. Tyvärr gjordes inte detta så
det är bara att hoppas att öppna och moderna tekniska lösningar som
anonymous credentials används för nästa generation, för det finns ingen
stark vilja att lägga in juridiskt personskydd utöver det minimala som
krävs. Trevlig sits för identitetsleverantörerna dock, de får betalt för
att skapa profiler av folk.
Vad gäller punkt 2 från Erik så ska man vara väldigt försiktig med att
underskatta tom vad den aggregarade informationen har för inverkan på
personers privatliv. Det behövs inte mycket extra information för att
skapa skrämmande scenarion. En av de få sakerna ur integritetssynpunkt
som SAML förbättrar är möjligheten att bara ge ut relevant information
till tjänster istället för allt på ett certifikat. Utöver det bör man
nog vara försiktig om man vill kalla SAML lösningen integritetsvänlig.
Mvh,
Tobias
On 04/06/14 14:49, Anne-Marie Eklund-Löwinder wrote:
Jag fann ingen anledning att kommentera 1. Det är nog allmänt känt att det är personnummer i certifikatet och därmed är spåret tydligt för banken med flera i dagens system. /amel
Skickat från min HTC
----- Reply message -----
Från: "Erik Mjöberg" <erik.mjoberg(a)xml.se> <mailto:erik.mjoberg@xml.se>
Till: "listan(a)lists.dfri.se" <mailto:listan@lists.dfri.se> <listan(a)lists.dfri.se> <mailto:listan@lists.dfri.se>
Rubrik: SV: [DFRI-listan] E-legitimation
Datum: ons, jun 4, 2014 14:25
Hej DFRI-listan!
Äntligen har jag fått ett svar i sak på vad jag hela tiden påstått. Det är första gången på två år! Låt mig ta upp sakfrågorna.
1. För det första har Anne-Marie Eklund-Löwinder hittills inget att erinra mot min beskrivning att e-legitimationsutfärdarna (bankerna, Telia, m.fl.)
samlar in adresserna till de av användarna anlitade e-tjänsterna i dagens e-legitimationssystem. Det är allvarligt nog! I det föreslagna nya systemet
med Svensk e-legitimation bekräftas tidigare adressinsamling genom användning av standarden SAML-assertion.
Om jag har gjort en tidsbokning på en HIV-klinik eller hos en psykiater med min e-legitimation, vill jag inte att banken ska få reda på det. Om jag har varit
inne på mina apoteksrecepttjänster vill jag inte att banken ska känna till det. Om min hustru har haft flera tidsbokningar för kontroll av bröstcancer vill
jag inte att banken ska känna till det. Jag vill inte heller att banken ska kunna sälja dessa uppgifter till det försäkringsbolag där min hustru eller jag har
våra livförsäkringar. Om jag t.ex. har anlitat Svenska Spels tjänster ofta vill jag inte att banken ska komma till mig och begära omförhandling av räntan
på mitt bostadslån eftersom banken då bedömer sig ta en högre risk. Om bolånet ligger i en annan bank vill jag inte att banken ska sälja samma
uppgifter till den banken. Om jag är medlem i ett politiskt parti vill jag inte att banken ska känna till att jag loggar in mig med e-legitimation på partiets
medlemstjänst. Jag anser att dessa förhållanden gravt kränker min personliga integritet. Jag har därmed lidit skada. Detta gäller även 2 miljoner andra
e-legitimationsinnehavare som med mig har förvägrats det skydd som tillkommer oss enligt Personuppgiftslagen (1998:204).
Om jag i den analoga världen vill legitimera mig med mitt körkort, har Transportstyrelsen, som utfärdat mitt körkort, ingen aning om var, när och
i vilken omfattning jag identifierar mig med körkortet. Då borde det självklart vara ett anständighetskrav att den digitala lösningen uppfyller minst samma
integritetskrav. Men om det fungerade med mitt körkort som det fungerar på nätet med e-legitimation skulle den expedit som granskar mitt körkort
säga: "Vänta ett tag, jag ska bara skicka information till Transportstyrelsen om att Du har legitimerat Dig här." Då skulle jag fråga mig: "Vad angår det
Transportstyrelsen var jag legitimerar mig med mitt körkort?"
2. Punkt 2 stämmer exakt med felet i principen att E-legitimationsnämnden samlar de adresser användaren anlitar när hon/han identifierar
sig i en e-tjänst. E-legitimationsnämnden hämtar/samlar dessa adresser enligt SAML-idp-discovery-standarden. Det är detta som kommittédirektivet
2010:69 skjuter in sig på. Insamlandet! Och direktivet utgår då från Personuppgiftslagen (1998:204), som slår ned på "behandling av personuppgifter"
(3 §) som innefattar "Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, ... t.ex. insamling, ... inhämtande ... av uppgifter ...".
Att sedan det rapporterade statistikunderlaget har skalat av individerna har inte med saken att göra, det handlar om kosmetik - inte om integritetsskydd.
Jag överlåter åt läsaren av detta att avgöra om mina påståenden är ogrundade eller om jag har fått saker och ting rejält om bakfoten.
---
Till Sven Ruin vill jag säga att det ligger mycket i vad Du säger. Naturligtvis går det att omformulera frågorna. T.ex.: Anser Du att det är bra att utfärdarna av
dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på?
Vänliga hälsningar
Erik Mjöberg
---
On 2014-06-04 10:51, Anne-Marie Eklund-Löwinder wrote:
Hej,
Din punkt 2 stämmer inte ett enda dugg, där behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns publicerat för allmän beskådan, och för varje läskunnig att ta till sig.
Ni hittar det på http://www.elegnamnden.se/ eller närmare bestämt här: http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a…
Jag kan varmt rekommendera alla intresserade att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här:
Se Bilaga J -- Rapporteringsrutiner, punkten 7.5:
"Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst".
Se även Bilaga A - Ersättning och fakturering, punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller. De anger i praktiken enbart antal unika användare per e-tjänst.
Min slutsats är att du har fått saker och ting rejält om bakfoten.
Med vänlig hälsning,
Anne-Marie Eklund Löwinder
Säkerhetschef
.SE (Stiftelsen för Internetinfrastruktur)
Adress: Ringvägen 100
Postadress: Box 7399, 103 91 Stockholm
Växel: 08-452 35 00
Direkt: 08-452 35 17
Mobil: 0734-31 53 10
E-post: anne-marie.eklund-lowinder(a)iis.se <mailto:anne-marie.eklund-lowinder@iis.se><mailto:anne-marie.eklund-lowinder@iis.se> <mailto:anne-marie.eklund-lowinder@iis.se>
Twitter: @amelsec
Webbplats: https://www.iis.se
Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se]
Skickat: den 3 juni 2014 22:56
Till: listan(a)lists.dfri.se <mailto:listan@lists.dfri.se><mailto:listan@lists.dfri.se> <mailto:listan@lists.dfri.se>
Ämne: [DFRI-listan] E-legitimation
... och här en fråga om e-legitimation:
I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden står:
Felaktigt utformat skulle ett system för samordning av elektronisk identifiering
och signering kunna leda till risker för den personliga integriteten, t.ex. om
uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på
samma ställe ...
1. Visste Du att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner
till vilka tjänster användarna identifierar sig på? (Se BankIds hemsida<http://www.bankid.com/sv/statistik/> <http://www.bankid.com/sv/statistik/>, punkterna
7 och 8 i statistikrapporterna)
2. Visste Du att i det nya förslaget till Svensk e-legitimation känner inte bara
utfärdarna till de tjänster användarna identifierar sig på utan även E-legitima-
tionsnämnden (en myndighet under Skatteverket) samlar in samma uppgifter
(för att proportionera identifieringskostnaderna på de myndigheter som levererar
tjänsterna)?
Vänliga hälsningar
Eri Mjöberg
Hej!
Igår pratade vi på Sparvnästet med en av stockholms transhumanister. Vi
konstaterade att det vore kul om olika teknik/hacking/aktivistiska
grupper kunde träffas och göra något ihop. Dels för att det är kul att
träffa nya människor som har liknande intressen men kanske helt
annorlunda bakgrund, och dels för att våra respektive organisationer kan
rekrytera medlemmar hos varandra. DFRI får naturligtvis gärna vara med.
Några andra grupper vi vill bjuda in är: makerspace sthlm, bio-hacking
gruppen, skarpnäcks hackerspace, futuristerna, mfl.
Vi tänker oss en blygsam start. Kanske något hackaton-liknande på temat
"bortom alla gränser" där olika grupper får komma och hänga och utforska
ett gemensamt tema. Vi tänker att det finns en massa gränser som tål att
utmanas och brytas; organisationsgränser, landsgränser, juridiska-,
ekonomiska-, psykologiska-, kognitiva-, prestanda-gränser etc. Och andra
gränser som är bra att ha. Allt är väldigt oklart just nu som ni säkert
märker.
De som är intresserade av att vara med och brainstorma på ett sådant
hackaton/seminarium/konferens-ish event är välkomna till Sparvnästets
lokal på Hangövägen 18 på Tisdag nästa vecka från 18. Ni får även gärna
joina #sparvnastet @Freenode för att prata om detta.
// Anders
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan