Jag fann ingen anledning att kommentera 1. Det är nog allmänt känt att det är personnummer i certifikatet och därmed är spåret tydligt för banken med flera i dagens system. /amel
Skickat från min HTC
----- Reply message -----
Från: "Erik Mjöberg" <erik.mjoberg(a)xml.se>
Till: "listan(a)lists.dfri.se" <listan(a)lists.dfri.se>
Rubrik: SV: [DFRI-listan] E-legitimation
Datum: ons, jun 4, 2014 14:25
Hej DFRI-listan!
Äntligen har jag fått ett svar i sak på vad jag hela tiden påstått. Det är första gången på två år! Låt mig ta upp sakfrågorna.
1. För det första har Anne-Marie Eklund-Löwinder hittills inget att erinra mot min beskrivning att e-legitimationsutfärdarna (bankerna, Telia, m.fl.)
samlar in adresserna till de av användarna anlitade e-tjänsterna i dagens e-legitimationssystem. Det är allvarligt nog! I det föreslagna nya systemet
med Svensk e-legitimation bekräftas tidigare adressinsamling genom användning av standarden SAML-assertion.
Om jag har gjort en tidsbokning på en HIV-klinik eller hos en psykiater med min e-legitimation, vill jag inte att banken ska få reda på det. Om jag har varit
inne på mina apoteksrecepttjänster vill jag inte att banken ska känna till det. Om min hustru har haft flera tidsbokningar för kontroll av bröstcancer vill
jag inte att banken ska känna till det. Jag vill inte heller att banken ska kunna sälja dessa uppgifter till det försäkringsbolag där min hustru eller jag har
våra livförsäkringar. Om jag t.ex. har anlitat Svenska Spels tjänster ofta vill jag inte att banken ska komma till mig och begära omförhandling av räntan
på mitt bostadslån eftersom banken då bedömer sig ta en högre risk. Om bolånet ligger i en annan bank vill jag inte att banken ska sälja samma
uppgifter till den banken. Om jag är medlem i ett politiskt parti vill jag inte att banken ska känna till att jag loggar in mig med e-legitimation på partiets
medlemstjänst. Jag anser att dessa förhållanden gravt kränker min personliga integritet. Jag har därmed lidit skada. Detta gäller även 2 miljoner andra
e-legitimationsinnehavare som med mig har förvägrats det skydd som tillkommer oss enligt Personuppgiftslagen (1998:204).
Om jag i den analoga världen vill legitimera mig med mitt körkort, har Transportstyrelsen, som utfärdat mitt körkort, ingen aning om var, när och
i vilken omfattning jag identifierar mig med körkortet. Då borde det självklart vara ett anständighetskrav att den digitala lösningen uppfyller minst samma
integritetskrav. Men om det fungerade med mitt körkort som det fungerar på nätet med e-legitimation skulle den expedit som granskar mitt körkort
säga: "Vänta ett tag, jag ska bara skicka information till Transportstyrelsen om att Du har legitimerat Dig här." Då skulle jag fråga mig: "Vad angår det
Transportstyrelsen var jag legitimerar mig med mitt körkort?"
2. Punkt 2 stämmer exakt med felet i principen att E-legitimationsnämnden samlar de adresser användaren anlitar när hon/han identifierar
sig i en e-tjänst. E-legitimationsnämnden hämtar/samlar dessa adresser enligt SAML-idp-discovery-standarden. Det är detta som kommittédirektivet
2010:69 skjuter in sig på. Insamlandet! Och direktivet utgår då från Personuppgiftslagen (1998:204), som slår ned på "behandling av personuppgifter"
(3 §) som innefattar "Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, ... t.ex. insamling, ... inhämtande ... av uppgifter ...".
Att sedan det rapporterade statistikunderlaget har skalat av individerna har inte med saken att göra, det handlar om kosmetik - inte om integritetsskydd.
Jag överlåter åt läsaren av detta att avgöra om mina påståenden är ogrundade eller om jag har fått saker och ting rejält om bakfoten.
---
Till Sven Ruin vill jag säga att det ligger mycket i vad Du säger. Naturligtvis går det att omformulera frågorna. T.ex.: Anser Du att det är bra att utfärdarna av
dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på?
Vänliga hälsningar
Erik Mjöberg
---
On 2014-06-04 10:51, Anne-Marie Eklund-Löwinder wrote:
Hej,
Din punkt 2 stämmer inte ett enda dugg, där behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns publicerat för allmän beskådan, och för varje läskunnig att ta till sig.
Ni hittar det på http://www.elegnamnden.se/ eller närmare bestämt här: http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a…
Jag kan varmt rekommendera alla intresserade att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här:
Se Bilaga J – Rapporteringsrutiner, punkten 7.5:
"Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst".
Se även Bilaga A - Ersättning och fakturering, punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller. De anger i praktiken enbart antal unika användare per e-tjänst.
Min slutsats är att du har fått saker och ting rejält om bakfoten.
Med vänlig hälsning,
Anne-Marie Eklund Löwinder
Säkerhetschef
.SE (Stiftelsen för Internetinfrastruktur)
Adress: Ringvägen 100
Postadress: Box 7399, 103 91 Stockholm
Växel: 08-452 35 00
Direkt: 08-452 35 17
Mobil: 0734-31 53 10
E-post: anne-marie.eklund-lowinder(a)iis.se<mailto:anne-marie.eklund-lowinder@iis.se>
Twitter: @amelsec
Webbplats: https://www.iis.se
Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se]
Skickat: den 3 juni 2014 22:56
Till: listan(a)lists.dfri.se<mailto:listan@lists.dfri.se>
Ämne: [DFRI-listan] E-legitimation
... och här en fråga om e-legitimation:
I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden står:
Felaktigt utformat skulle ett system för samordning av elektronisk identifiering
och signering kunna leda till risker för den personliga integriteten, t.ex. om
uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på
samma ställe ...
1. Visste Du att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner
till vilka tjänster användarna identifierar sig på? (Se BankIds hemsida<http://www.bankid.com/sv/statistik/>, punkterna
7 och 8 i statistikrapporterna)
2. Visste Du att i det nya förslaget till Svensk e-legitimation känner inte bara
utfärdarna till de tjänster användarna identifierar sig på utan även E-legitima-
tionsnämnden (en myndighet under Skatteverket) samlar in samma uppgifter
(för att proportionera identifieringskostnaderna på de myndigheter som levererar
tjänsterna)?
Vänliga hälsningar
Eri Mjöberg
Länk:
http://ec.europa.eu/bepa/european-group-ethics/docs/publications/ege_opinio…
Det här lär vara en av de mest heltäckande och grundliga
undersökningarna som gjorts.
Lång och lärorik.
Jag är på sidan 19 nu, "Data Mining and Data Matching".
"Data Mining enables large amounts of personal data from disparate
sources to be organised and analysed, facilitating the discovery of
previously unknown relationships amongst the data."
"Researchers have shown, for example, that “mining” of Twitter postings
can be used to track and predict outbreaks of influenza with
approximately 90% accuracy."
mvh
//Erik
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan
Hej listan,
Antingen fortsätter man (i en evighet ) på en tråd eller så avslutas den.
Jag vet att det är många som läser DRFI-lista och inte postar på den med
rätta. Därför det är inte poängen med en e-postlista, alla behöver inte
posta eller alla behöver inte bli involverade i alla ämnen.
Men det här är DFRI: Digitala Fri och Rättigheter. Viktiga saker,
livsviktiga saker om man frågar några; mig.
I mina ögon är DFRI, INTE en mysig sammanslutning av partitrogna, utan
tvärtom en samling av massor av olika personer som är intresserade av
att se till att INTERNET behåller sin integritet.
Det är iaf därför JAG är medlem i DFRI.
19x20
jonas = google = nej jag är inte fotbollspelare = nej det är inte
hemligt men jag försöker desperat äga min egen data.
PS. Jag har bett om ursäkt två gånger... det blir inte en tredje, därför
jag är inte uppfostrad så.
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan
Bara för att illustrera lite mer.
Så här ser nyhetsbrevet från .SE ut när det kommer fram till mig.
"This message has an invalid Digital Signature [...]"
//Erik
[cid:image001.png@01CF8008.18462E60]
Hej DFRI-listan!
Äntligen har jag fått ett svar *i sak*
på vad jag hela tiden påstått. Det är
första gången på två år! Låt mig ta upp
sakfrågorna.
1. För det första har Anne-Marie
Eklund-Löwinder hittills inget att
erinra mot min beskrivning att
e-legitimationsutfärdarna (bankerna,
Telia, m.fl.)
samlar in adresserna till de av
användarna anlitade e-tjänsterna i
dagens e-legitimationssystem. Det är
allvarligt nog! I det föreslagna nya
systemet
med Svensk e-legitimation bekräftas
tidigare adressinsamling genom
användning av standarden /SAML-assertion/.
Om jag har gjort en tidsbokning på en
HIV-klinik eller hos en psykiater med
min e-legitimation, vill jag inte att
banken ska få reda på det. Om jag har varit
inne på mina apoteksrecepttjänster vill
jag inte att banken ska känna till det.
Om min hustru har haft flera
tidsbokningar för kontroll av
bröstcancer vill
jag inte att banken ska känna till det.
Jag vill inte heller att banken ska
kunna sälja dessa uppgifter till det
försäkringsbolag där min hustru eller
jag har
våra livförsäkringar. Om jag t.ex. har
anlitat Svenska Spels tjänster ofta vill
jag inte att banken ska komma till mig
och begära omförhandling av räntan
på mitt bostadslån eftersom banken då
bedömer sig ta en högre risk. Om bolånet
ligger i en annan bank vill jag inte att
banken ska sälja samma
uppgifter till den banken. Om jag är
medlem i ett politiskt parti vill jag
inte att banken ska känna till att jag
loggar in mig med e-legitimation på partiets
medlemstjänst. Jag anser att dessa
förhållanden gravt kränker min
personliga integritet. Jag har därmed
lidit skada. Detta gäller även 2
miljoner andra
e-legitimationsinnehavare som med mig
har förvägrats det skydd som tillkommer
oss enligt Personuppgiftslagen (1998:204).
Om jag i den analoga världen vill
legitimera mig med mitt körkort, har
Transportstyrelsen, som utfärdat mitt
körkort, ingen aning om var, när och
i vilken omfattning jag identifierar mig
med körkortet. Då borde det självklart
vara ett anständighetskrav att den
digitala lösningen uppfyller minst samma
integritetskrav. Men om det fungerade
med mitt körkort som det fungerar på
nätet med e-legitimation skulle den
expedit som granskar mitt körkort
säga: "Vänta ett tag, jag ska bara
skicka information till
Transportstyrelsen om att Du har
legitimerat Dig här." Då skulle jag
fråga mig: "Vad angår det
Transportstyrelsen var jag legitimerar
mig med mitt körkort?"
2. Punkt 2 stämmer *exakt *med felet i
principen att E-legitimationsnämnden
*samlar *de adresser användaren anlitar
när hon/han identifierar
sig i en e-tjänst.
E-legitimationsnämnden hämtar/samlar
dessa adresser enligt
/SAML-idp-discovery/-standarden. Det är
detta som kommittédirektivet
2010:69 skjuter in sig på. Insamlandet!
Och direktivet utgår då från
Personuppgiftslagen (1998:204), som slår
ned på "/behandling av personuppgifter/"
(3 §) som innefattar "/Varje åtgärd
eller serie av åtgärder som vidtas i
fråga om personuppgifter, ... t.ex.
insamling, ... inhämtande ... av
uppgifter .../".
Att sedan det *rapporterade
*statistikunderlaget har skalat av
individerna har inte med saken att göra,
det handlar om kosmetik - inte om
integritetsskydd.
Jag överlåter åt läsaren av detta att
avgöra om mina påståenden är ogrundade
eller om jag har /fått saker och ting
rejält om bakfoten/.
---
Till Sven Ruin vill jag säga att det
ligger mycket i vad Du säger.
Naturligtvis går det att omformulera
frågorna. T.ex.: Anser Du att det är bra
att utfärdarna av
dagens e-legitimationer (banker, Telia
m.fl.) känner till vilka tjänster
användarna identifierar sig på?
Vänliga hälsningar
Erik Mjöberg
---
On 2014-06-04 10:51, Anne-Marie
Eklund-Löwinder wrote:
Hej,
Din punkt 2 stämmer inte ett enda dugg,
där behöver du göra din hemläxa, och
andra också kanske? Vilken tur då att
det är så lätt att kontrollera fakta.
Regelverket för svensk e-legitimation
finns publicerat för allmän beskådan,
och för varje läskunnig att ta till sig.
Ni hittar det på
http://www.elegnamnden.se/ eller närmare
bestämt här:
http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a…
Jag kan varmt rekommendera alla
intresserade att sätta sig in i hur det
ser ut. Det ger tvärtom mot vad Erik
(vad jag kan se helt ogrundat) påstår.
Jag pekar på några av de viktigaste
sakerna här:
Se Bilaga J -- Rapporteringsrutiner,
punkten 7.5:
"Rapporterat statistikunderlag ska inte
medge att det går att härleda enskilda
transaktioner mellan Användare och
e-tjänst".
Se även Bilaga A - Ersättning och
fakturering, punkterna 2, 4.1 och 4.2,
om vilken information som fakturorna
innehåller. De anger i praktiken enbart
antal unika användare per e-tjänst.
Min slutsats är att du har fått saker
och ting rejält om bakfoten.
Med vänlig hälsning,
Anne-Marie Eklund Löwinder
Säkerhetschef
.SE (Stiftelsen för Internetinfrastruktur)
Adress: Ringvägen 100
Postadress: Box 7399, 103 91 Stockholm
Växel: 08-452 35 00
Direkt: 08-452 35 17
Mobil: 0734-31 53 10
E-post:
anne-marie.eklund-lowinder(a)iis.se
<mailto:anne-marie.eklund-lowinder@iis.se>
Twitter: @amelsec
Webbplats: https://www.iis.se
*Från:*Erik Mjöberg
[mailto:erik.mjoberg@xml.se]
*Skickat:* den 3 juni 2014 22:56
*Till:* listan(a)lists.dfri.se
*Ämne:* [DFRI-listan] E-legitimation
... och här en fråga om e-legitimation:
I kommittédirektiv 2010:69 för bildandet
av E-legitimationsnämnden står:
/Felaktigt utformat skulle ett system
för samordning av elektronisk identifiering
och signering kunna leda till risker för
den personliga integriteten, t.ex. om
uppgifter om en enskilds alla kontakter
med myndigheterna skulle samlas på
samma ställe ...
/1. Visste Du att utfärdarna av dagens
e-legitimationer (banker, Telia m.fl.)
känner
till vilka tjänster användarna
identifierar sig på? (Se BankIds hemsida
<http://www.bankid.com/sv/statistik/>,
punkterna
7 och 8 i statistikrapporterna)
2. Visste Du att i det nya förslaget
till Svensk e-legitimation känner inte bara
utfärdarna till de tjänster användarna
identifierar sig på utan även E-legitima-
tionsnämnden (en myndighet under
Skatteverket) samlar in samma uppgifter
(för att proportionera
identifieringskostnaderna på de
myndigheter som levererar
tjänsterna)?
Vänliga hälsningar
Eri Mjöberg
Den frågan riktas nog bäst till Skatteverket tror jag. Jag ska kolla lite också.
/amel
Skickat från min HTC
----- Reply message -----
Från: "Erik Josefsson" <erik.hjalmar.josefsson(a)gmail.com>
Till: "Anne-Marie Eklund-Löwinder" <anne-marie.eklund-lowinder(a)iis.se>
Kopia: "Erik Mjöberg" <erik.mjoberg(a)xml.se>, "listan(a)lists.dfri.se" <listan(a)lists.dfri.se>
Rubrik: [DFRI-listan] E-legitimation
Datum: ons, jun 4, 2014 13:55
Hur är det med min linux-fråga? Är det sant det viktualiebrodern säger på sin blogg?
http://viktualiebrodern.wordpress.com/2014/05/28/regeringen-bryter-mot-rege…
Alltså inte om det är ett brott mot regeringsformen, men om det faktiskt är så att Linuxanvändande företagare "diskrimineras" när dom ska söka ROT- och RUT-ersättning?
Vet inte vilket ord jag ska använda för att undvika en överjuridisk tolking av frågeställningen ("plausable deniability-sjukan").
Jag lider i EP av att jag inte har IMAP, inte kan använda mailinglistor och att jag inte får nåt WiFi-cert. Alltså, i praktiken måste jag bita i det sura äpplet och underkasta mig den IT-miljö som erbjuds.
Är det samma för nämnda Linuxanvändande företagare? Alltså, att man måste köpa samma dator som alla andra för att kunna interagera med viktiga samhällsfunktioner?
//Erik
2014-06-04 10:51 GMT+02:00 Anne-Marie Eklund-Löwinder <anne-marie.eklund-lowinder(a)iis.se<mailto:anne-marie.eklund-lowinder@iis.se>>:
Hej,
Din punkt 2 stämmer inte ett enda dugg, där behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns publicerat för allmän beskådan, och för varje läskunnig att ta till sig.
Ni hittar det på http://www.elegnamnden.se/ eller närmare bestämt här: http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a…
Jag kan varmt rekommendera alla intresserade att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här:
Se Bilaga J – Rapporteringsrutiner, punkten 7.5:
"Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst".
Se även Bilaga A - Ersättning och fakturering, punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller. De anger i praktiken enbart antal unika användare per e-tjänst.
Min slutsats är att du har fått saker och ting rejält om bakfoten.
Med vänlig hälsning,
Anne-Marie Eklund Löwinder
Säkerhetschef
.SE (Stiftelsen för Internetinfrastruktur)
Adress: Ringvägen 100
Postadress: Box 7399, 103 91 Stockholm
Växel: 08-452 35 00
Direkt: 08-452 35 17
Mobil: 0734-31 53 10
E-post: anne-marie.eklund-lowinder(a)iis.se<mailto:anne-marie.eklund-lowinder@iis.se>
Twitter: @amelsec
Webbplats: https://www.iis.se
Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se<mailto:erik.mjoberg@xml.se>]
Skickat: den 3 juni 2014 22:56
Till: listan(a)lists.dfri.se<mailto:listan@lists.dfri.se>
Ämne: [DFRI-listan] E-legitimation
... och här en fråga om e-legitimation:
I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden står:
Felaktigt utformat skulle ett system för samordning av elektronisk identifiering
och signering kunna leda till risker för den personliga integriteten, t.ex. om
uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på
samma ställe ...
1. Visste Du att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner
till vilka tjänster användarna identifierar sig på? (Se BankIds hemsida<http://www.bankid.com/sv/statistik/>, punkterna
7 och 8 i statistikrapporterna)
2. Visste Du att i det nya förslaget till Svensk e-legitimation känner inte bara
utfärdarna till de tjänster användarna identifierar sig på utan även E-legitima-
tionsnämnden (en myndighet under Skatteverket) samlar in samma uppgifter
(för att proportionera identifieringskostnaderna på de myndigheter som levererar
tjänsterna)?
Vänliga hälsningar
Eri Mjöberg