Jag fann ingen anledning att kommentera 1. Det är nog allmänt känt att det är personnummer i certifikatet och därmed är spåret tydligt för banken med flera i dagens system. /amel
Skickat från min HTC
----- Reply message ----- Från: "Erik Mjöberg" erik.mjoberg@xml.se Till: "listan@lists.dfri.se" listan@lists.dfri.se Rubrik: SV: [DFRI-listan] E-legitimation Datum: ons, jun 4, 2014 14:25
Hej DFRI-listan!
Äntligen har jag fått ett svar i sak på vad jag hela tiden påstått. Det är första gången på två år! Låt mig ta upp sakfrågorna.
1. För det första har Anne-Marie Eklund-Löwinder hittills inget att erinra mot min beskrivning att e-legitimationsutfärdarna (bankerna, Telia, m.fl.) samlar in adresserna till de av användarna anlitade e-tjänsterna i dagens e-legitimationssystem. Det är allvarligt nog! I det föreslagna nya systemet med Svensk e-legitimation bekräftas tidigare adressinsamling genom användning av standarden SAML-assertion.
Om jag har gjort en tidsbokning på en HIV-klinik eller hos en psykiater med min e-legitimation, vill jag inte att banken ska få reda på det. Om jag har varit inne på mina apoteksrecepttjänster vill jag inte att banken ska känna till det. Om min hustru har haft flera tidsbokningar för kontroll av bröstcancer vill jag inte att banken ska känna till det. Jag vill inte heller att banken ska kunna sälja dessa uppgifter till det försäkringsbolag där min hustru eller jag har våra livförsäkringar. Om jag t.ex. har anlitat Svenska Spels tjänster ofta vill jag inte att banken ska komma till mig och begära omförhandling av räntan på mitt bostadslån eftersom banken då bedömer sig ta en högre risk. Om bolånet ligger i en annan bank vill jag inte att banken ska sälja samma uppgifter till den banken. Om jag är medlem i ett politiskt parti vill jag inte att banken ska känna till att jag loggar in mig med e-legitimation på partiets medlemstjänst. Jag anser att dessa förhållanden gravt kränker min personliga integritet. Jag har därmed lidit skada. Detta gäller även 2 miljoner andra e-legitimationsinnehavare som med mig har förvägrats det skydd som tillkommer oss enligt Personuppgiftslagen (1998:204).
Om jag i den analoga världen vill legitimera mig med mitt körkort, har Transportstyrelsen, som utfärdat mitt körkort, ingen aning om var, när och i vilken omfattning jag identifierar mig med körkortet. Då borde det självklart vara ett anständighetskrav att den digitala lösningen uppfyller minst samma integritetskrav. Men om det fungerade med mitt körkort som det fungerar på nätet med e-legitimation skulle den expedit som granskar mitt körkort säga: "Vänta ett tag, jag ska bara skicka information till Transportstyrelsen om att Du har legitimerat Dig här." Då skulle jag fråga mig: "Vad angår det Transportstyrelsen var jag legitimerar mig med mitt körkort?"
2. Punkt 2 stämmer exakt med felet i principen att E-legitimationsnämnden samlar de adresser användaren anlitar när hon/han identifierar sig i en e-tjänst. E-legitimationsnämnden hämtar/samlar dessa adresser enligt SAML-idp-discovery-standarden. Det är detta som kommittédirektivet 2010:69 skjuter in sig på. Insamlandet! Och direktivet utgår då från Personuppgiftslagen (1998:204), som slår ned på "behandling av personuppgifter" (3 §) som innefattar "Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, ... t.ex. insamling, ... inhämtande ... av uppgifter ...". Att sedan det rapporterade statistikunderlaget har skalat av individerna har inte med saken att göra, det handlar om kosmetik - inte om integritetsskydd.
Jag överlåter åt läsaren av detta att avgöra om mina påståenden är ogrundade eller om jag har fått saker och ting rejält om bakfoten.
---
Till Sven Ruin vill jag säga att det ligger mycket i vad Du säger. Naturligtvis går det att omformulera frågorna. T.ex.: Anser Du att det är bra att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på?
Vänliga hälsningar
Erik Mjöberg
--- On 2014-06-04 10:51, Anne-Marie Eklund-Löwinder wrote: Hej, Din punkt 2 stämmer inte ett enda dugg, där behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns publicerat för allmän beskådan, och för varje läskunnig att ta till sig.
Ni hittar det på http://www.elegnamnden.se/ eller närmare bestämt här: http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a8...
Jag kan varmt rekommendera alla intresserade att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här:
Se Bilaga J – Rapporteringsrutiner, punkten 7.5:
"Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst".
Se även Bilaga A - Ersättning och fakturering, punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller. De anger i praktiken enbart antal unika användare per e-tjänst.
Min slutsats är att du har fått saker och ting rejält om bakfoten.
Med vänlig hälsning, Anne-Marie Eklund Löwinder Säkerhetschef .SE (Stiftelsen för Internetinfrastruktur) Adress: Ringvägen 100 Postadress: Box 7399, 103 91 Stockholm Växel: 08-452 35 00 Direkt: 08-452 35 17 Mobil: 0734-31 53 10 E-post: anne-marie.eklund-lowinder@iis.semailto:anne-marie.eklund-lowinder@iis.se Twitter: @amelsec Webbplats: https://www.iis.se Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se] Skickat: den 3 juni 2014 22:56 Till: listan@lists.dfri.semailto:listan@lists.dfri.se Ämne: [DFRI-listan] E-legitimation ... och här en fråga om e-legitimation:
I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden står:
Felaktigt utformat skulle ett system för samordning av elektronisk identifiering och signering kunna leda till risker för den personliga integriteten, t.ex. om uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på samma ställe ...
1. Visste Du att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på? (Se BankIds hemsidahttp://www.bankid.com/sv/statistik/, punkterna 7 och 8 i statistikrapporterna)
2. Visste Du att i det nya förslaget till Svensk e-legitimation känner inte bara utfärdarna till de tjänster användarna identifierar sig på utan även E-legitima- tionsnämnden (en myndighet under Skatteverket) samlar in samma uppgifter (för att proportionera identifieringskostnaderna på de myndigheter som levererar tjänsterna)?
Vänliga hälsningar
Eri Mjöberg
Hej,
Värt att notera är också att det här troligen inte är ett brott mot personuppgiftslagen _förutsatt_ att samtycke är inhämtat av t ex banken vid utfärdandet av BankID. Det sagt så är det knappast något positivt att denna spårbarhet finns i systemet och troligen är det många fler än Erik som upplever detta som ett intrång. Denna läcka baserat på samtyckte (som i dagsläget är långt från informerat i något annat än juridisk mening) borde ha tagits bort av e-legitimationsnämnden genom att förbjuda annan användning än strikt nödvändigt eftersom identitetsleverantörer redan får betalt. Tyvärr gjordes inte detta så det är bara att hoppas att öppna och moderna tekniska lösningar som anonymous credentials används för nästa generation, för det finns ingen stark vilja att lägga in juridiskt personskydd utöver det minimala som krävs. Trevlig sits för identitetsleverantörerna dock, de får betalt för att skapa profiler av folk.
Vad gäller punkt 2 från Erik så ska man vara väldigt försiktig med att underskatta tom vad den aggregarade informationen har för inverkan på personers privatliv. Det behövs inte mycket extra information för att skapa skrämmande scenarion. En av de få sakerna ur integritetssynpunkt som SAML förbättrar är möjligheten att bara ge ut relevant information till tjänster istället för allt på ett certifikat. Utöver det bör man nog vara försiktig om man vill kalla SAML lösningen integritetsvänlig.
Mvh, Tobias
On 04/06/14 14:49, Anne-Marie Eklund-Löwinder wrote:
Jag fann ingen anledning att kommentera 1. Det är nog allmänt känt att det är personnummer i certifikatet och därmed är spåret tydligt för banken med flera i dagens system. /amel
Skickat från min HTC
----- Reply message ----- Från: "Erik Mjöberg" erik.mjoberg@xml.se Till: "listan@lists.dfri.se" listan@lists.dfri.se Rubrik: SV: [DFRI-listan] E-legitimation Datum: ons, jun 4, 2014 14:25
Hej DFRI-listan!
Äntligen har jag fått ett svar i sak på vad jag hela tiden påstått. Det är första gången på två år! Låt mig ta upp sakfrågorna.
- För det första har Anne-Marie Eklund-Löwinder hittills inget att erinra mot min beskrivning att e-legitimationsutfärdarna (bankerna, Telia, m.fl.)
samlar in adresserna till de av användarna anlitade e-tjänsterna i dagens e-legitimationssystem. Det är allvarligt nog! I det föreslagna nya systemet med Svensk e-legitimation bekräftas tidigare adressinsamling genom användning av standarden SAML-assertion.
Om jag har gjort en tidsbokning på en HIV-klinik eller hos en psykiater med min e-legitimation, vill jag inte att banken ska få reda på det. Om jag har varit inne på mina apoteksrecepttjänster vill jag inte att banken ska känna till det. Om min hustru har haft flera tidsbokningar för kontroll av bröstcancer vill jag inte att banken ska känna till det. Jag vill inte heller att banken ska kunna sälja dessa uppgifter till det försäkringsbolag där min hustru eller jag har våra livförsäkringar. Om jag t.ex. har anlitat Svenska Spels tjänster ofta vill jag inte att banken ska komma till mig och begära omförhandling av räntan på mitt bostadslån eftersom banken då bedömer sig ta en högre risk. Om bolånet ligger i en annan bank vill jag inte att banken ska sälja samma uppgifter till den banken. Om jag är medlem i ett politiskt parti vill jag inte att banken ska känna till att jag loggar in mig med e-legitimation på partiets medlemstjänst. Jag anser att dessa förhållanden gravt kränker min personliga integritet. Jag har därmed lidit skada. Detta gäller även 2 miljoner andra e-legitimationsinnehavare som med mig har förvägrats det skydd som tillkommer oss enligt Personuppgiftslagen (1998:204).
Om jag i den analoga världen vill legitimera mig med mitt körkort, har Transportstyrelsen, som utfärdat mitt körkort, ingen aning om var, när och i vilken omfattning jag identifierar mig med körkortet. Då borde det självklart vara ett anständighetskrav att den digitala lösningen uppfyller minst samma integritetskrav. Men om det fungerade med mitt körkort som det fungerar på nätet med e-legitimation skulle den expedit som granskar mitt körkort säga: "Vänta ett tag, jag ska bara skicka information till Transportstyrelsen om att Du har legitimerat Dig här." Då skulle jag fråga mig: "Vad angår det Transportstyrelsen var jag legitimerar mig med mitt körkort?"
- Punkt 2 stämmer exakt med felet i principen att E-legitimationsnämnden samlar de adresser användaren anlitar när hon/han identifierar
sig i en e-tjänst. E-legitimationsnämnden hämtar/samlar dessa adresser enligt SAML-idp-discovery-standarden. Det är detta som kommittédirektivet 2010:69 skjuter in sig på. Insamlandet! Och direktivet utgår då från Personuppgiftslagen (1998:204), som slår ned på "behandling av personuppgifter" (3 §) som innefattar "Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, ... t.ex. insamling, ... inhämtande ... av uppgifter ...". Att sedan det rapporterade statistikunderlaget har skalat av individerna har inte med saken att göra, det handlar om kosmetik - inte om integritetsskydd.
Jag överlåter åt läsaren av detta att avgöra om mina påståenden är ogrundade eller om jag har fått saker och ting rejält om bakfoten.
Till Sven Ruin vill jag säga att det ligger mycket i vad Du säger. Naturligtvis går det att omformulera frågorna. T.ex.: Anser Du att det är bra att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på?
Vänliga hälsningar
Erik Mjöberg
On 2014-06-04 10:51, Anne-Marie Eklund-Löwinder wrote: Hej, Din punkt 2 stämmer inte ett enda dugg, där behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns publicerat för allmän beskådan, och för varje läskunnig att ta till sig.
Ni hittar det på http://www.elegnamnden.se/ eller närmare bestämt här: http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a8...
Jag kan varmt rekommendera alla intresserade att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här:
Se Bilaga J – Rapporteringsrutiner, punkten 7.5:
"Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst".
Se även Bilaga A - Ersättning och fakturering, punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller. De anger i praktiken enbart antal unika användare per e-tjänst.
Min slutsats är att du har fått saker och ting rejält om bakfoten.
Med vänlig hälsning, Anne-Marie Eklund Löwinder Säkerhetschef .SE (Stiftelsen för Internetinfrastruktur) Adress: Ringvägen 100 Postadress: Box 7399, 103 91 Stockholm Växel: 08-452 35 00 Direkt: 08-452 35 17 Mobil: 0734-31 53 10 E-post: anne-marie.eklund-lowinder@iis.semailto:anne-marie.eklund-lowinder@iis.se Twitter: @amelsec Webbplats: https://www.iis.se Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se] Skickat: den 3 juni 2014 22:56 Till: listan@lists.dfri.semailto:listan@lists.dfri.se Ämne: [DFRI-listan] E-legitimation ... och här en fråga om e-legitimation:
I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden står:
Felaktigt utformat skulle ett system för samordning av elektronisk identifiering och signering kunna leda till risker för den personliga integriteten, t.ex. om uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på samma ställe ...
- Visste Du att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner
till vilka tjänster användarna identifierar sig på? (Se BankIds hemsidahttp://www.bankid.com/sv/statistik/, punkterna 7 och 8 i statistikrapporterna)
- Visste Du att i det nya förslaget till Svensk e-legitimation känner inte bara
utfärdarna till de tjänster användarna identifierar sig på utan även E-legitima- tionsnämnden (en myndighet under Skatteverket) samlar in samma uppgifter (för att proportionera identifieringskostnaderna på de myndigheter som levererar tjänsterna)?
Vänliga hälsningar
Eri Mjöberg
Hej Tobias!
Bra att Du tog upp frågan om samtycke.
I avtalet med min bank, Handelsbanken, finns ingenting om samtycke till att samla in uppgifter om besökta tjänster. Jag känner inte heller till att någon annan legitimationsutfärdare skulle ha en sådan friskrivning. Slutligen kan utfärdaren begära samtycke till insamling av adressen till den anlitade tjänsten i samband med att tjänsten anlitas, men inte heller det har skett i någon av de tjänster som jag har anlitat.
Så jag känner mig ganska kränkt av hanteringen ... Men det har en mycket ringa betydelse i sammanhanget. Det väsentliga är att den klart strider mot Person- uppgiftslagen (PuL)! Och inte bara mot PuL utan även mot t.ex. EU-stadgans skydd av personuppgifter i artikel 7 och 8. Om man tillämpar samma metod som EU- domstolen gjorde beträffande upphävandet av ändringarna i Datalagringsdirektivet (proportionalitetsprincipen i artikel 52:1) skulle insamlingen av adresserna till de av användarna anlitade tjänsterna vara /ett "allmänt samhällsintresse som erkänns av unionen"/ om hanteringen skulle godkännas av EU-domstolen. Det har jag svårt att tro.
Det finns sedan flera år tillbaka färdiga lösningar på hur legitimationsutfärdaren kan styrka användarens identitet utan att känna till var styrkandet ska användas -- precis som i den analoga världen. Se t.ex. Identity 2.0 från 2006 eller user-centric IDs.
Vänliga hälsningar
Erik Mjöberg
On 2014-06-04 15:39, Tobias Pulls wrote:
Hej,
Värt att notera är också att det här troligen inte är ett brott mot personuppgiftslagen _förutsatt_ att samtycke är inhämtat av t ex banken vid utfärdandet av BankID. Det sagt så är det knappast något positivt att denna spårbarhet finns i systemet och troligen är det många fler än Erik som upplever detta som ett intrång. Denna läcka baserat på samtyckte (som i dagsläget är långt från informerat i något annat än juridisk mening) borde ha tagits bort av e-legitimationsnämnden genom att förbjuda annan användning än strikt nödvändigt eftersom identitetsleverantörer redan får betalt. Tyvärr gjordes inte detta så det är bara att hoppas att öppna och moderna tekniska lösningar som anonymous credentials används för nästa generation, för det finns ingen stark vilja att lägga in juridiskt personskydd utöver det minimala som krävs. Trevlig sits för identitetsleverantörerna dock, de får betalt för att skapa profiler av folk.
Vad gäller punkt 2 från Erik så ska man vara väldigt försiktig med att underskatta tom vad den aggregarade informationen har för inverkan på personers privatliv. Det behövs inte mycket extra information för att skapa skrämmande scenarion. En av de få sakerna ur integritetssynpunkt som SAML förbättrar är möjligheten att bara ge ut relevant information till tjänster istället för allt på ett certifikat. Utöver det bör man nog vara försiktig om man vill kalla SAML lösningen integritetsvänlig.
Mvh, Tobias
On 04/06/14 14:49, Anne-Marie Eklund-Löwinder wrote:
Jag fann ingen anledning att kommentera 1. Det är nog allmänt känt att det är personnummer i certifikatet och därmed är spåret tydligt för banken med flera i dagens system. /amel
Skickat från min HTC
----- Reply message ----- Från: "Erik Mjöberg" erik.mjoberg@xml.se Till: "listan@lists.dfri.se" listan@lists.dfri.se Rubrik: SV: [DFRI-listan] E-legitimation Datum: ons, jun 4, 2014 14:25
Hej DFRI-listan!
Äntligen har jag fått ett svar i sak på vad jag hela tiden påstått. Det är första gången på två år! Låt mig ta upp sakfrågorna.
- För det första har Anne-Marie Eklund-Löwinder hittills inget att erinra mot min beskrivning att e-legitimationsutfärdarna (bankerna, Telia, m.fl.)
samlar in adresserna till de av användarna anlitade e-tjänsterna i dagens e-legitimationssystem. Det är allvarligt nog! I det föreslagna nya systemet med Svensk e-legitimation bekräftas tidigare adressinsamling genom användning av standarden SAML-assertion.
Om jag har gjort en tidsbokning på en HIV-klinik eller hos en psykiater med min e-legitimation, vill jag inte att banken ska få reda på det. Om jag har varit inne på mina apoteksrecepttjänster vill jag inte att banken ska känna till det. Om min hustru har haft flera tidsbokningar för kontroll av bröstcancer vill jag inte att banken ska känna till det. Jag vill inte heller att banken ska kunna sälja dessa uppgifter till det försäkringsbolag där min hustru eller jag har våra livförsäkringar. Om jag t.ex. har anlitat Svenska Spels tjänster ofta vill jag inte att banken ska komma till mig och begära omförhandling av räntan på mitt bostadslån eftersom banken då bedömer sig ta en högre risk. Om bolånet ligger i en annan bank vill jag inte att banken ska sälja samma uppgifter till den banken. Om jag är medlem i ett politiskt parti vill jag inte att banken ska känna till att jag loggar in mig med e-legitimation på partiets medlemstjänst. Jag anser att dessa förhållanden gravt kränker min personliga integritet. Jag har därmed lidit skada. Detta gäller även 2 miljoner andra e-legitimationsinnehavare som med mig har förvägrats det skydd som tillkommer oss enligt Personuppgiftslagen (1998:204).
Om jag i den analoga världen vill legitimera mig med mitt körkort, har Transportstyrelsen, som utfärdat mitt körkort, ingen aning om var, när och i vilken omfattning jag identifierar mig med körkortet. Då borde det självklart vara ett anständighetskrav att den digitala lösningen uppfyller minst samma integritetskrav. Men om det fungerade med mitt körkort som det fungerar på nätet med e-legitimation skulle den expedit som granskar mitt körkort säga: "Vänta ett tag, jag ska bara skicka information till Transportstyrelsen om att Du har legitimerat Dig här." Då skulle jag fråga mig: "Vad angår det Transportstyrelsen var jag legitimerar mig med mitt körkort?"
- Punkt 2 stämmer exakt med felet i principen att E-legitimationsnämnden samlar de adresser användaren anlitar när hon/han identifierar
sig i en e-tjänst. E-legitimationsnämnden hämtar/samlar dessa adresser enligt SAML-idp-discovery-standarden. Det är detta som kommittédirektivet 2010:69 skjuter in sig på. Insamlandet! Och direktivet utgår då från Personuppgiftslagen (1998:204), som slår ned på "behandling av personuppgifter" (3 §) som innefattar "Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, ... t.ex. insamling, ... inhämtande ... av uppgifter ...". Att sedan det rapporterade statistikunderlaget har skalat av individerna har inte med saken att göra, det handlar om kosmetik - inte om integritetsskydd.
Jag överlåter åt läsaren av detta att avgöra om mina påståenden är ogrundade eller om jag har fått saker och ting rejält om bakfoten.
Till Sven Ruin vill jag säga att det ligger mycket i vad Du säger. Naturligtvis går det att omformulera frågorna. T.ex.: Anser Du att det är bra att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på?
Vänliga hälsningar
Erik Mjöberg
On 2014-06-04 10:51, Anne-Marie Eklund-Löwinder wrote: Hej, Din punkt 2 stämmer inte ett enda dugg, där behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns publicerat för allmän beskådan, och för varje läskunnig att ta till sig.
Ni hittar det på http://www.elegnamnden.se/ eller närmare bestämt här: http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a8...
Jag kan varmt rekommendera alla intresserade att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här:
Se Bilaga J – Rapporteringsrutiner, punkten 7.5:
"Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst".
Se även Bilaga A - Ersättning och fakturering, punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller. De anger i praktiken enbart antal unika användare per e-tjänst.
Min slutsats är att du har fått saker och ting rejält om bakfoten.
Med vänlig hälsning, Anne-Marie Eklund Löwinder Säkerhetschef .SE (Stiftelsen för Internetinfrastruktur) Adress: Ringvägen 100 Postadress: Box 7399, 103 91 Stockholm Växel: 08-452 35 00 Direkt: 08-452 35 17 Mobil: 0734-31 53 10 E-post: anne-marie.eklund-lowinder@iis.semailto:anne-marie.eklund-lowinder@iis.se Twitter: @amelsec Webbplats: https://www.iis.se Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se] Skickat: den 3 juni 2014 22:56 Till: listan@lists.dfri.semailto:listan@lists.dfri.se Ämne: [DFRI-listan] E-legitimation ... och här en fråga om e-legitimation:
I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden står:
Felaktigt utformat skulle ett system för samordning av elektronisk identifiering och signering kunna leda till risker för den personliga integriteten, t.ex. om uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på samma ställe ...
- Visste Du att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner
till vilka tjänster användarna identifierar sig på? (Se BankIds hemsidahttp://www.bankid.com/sv/statistik/, punkterna 7 och 8 i statistikrapporterna)
- Visste Du att i det nya förslaget till Svensk e-legitimation känner inte bara
utfärdarna till de tjänster användarna identifierar sig på utan även E-legitima- tionsnämnden (en myndighet under Skatteverket) samlar in samma uppgifter (för att proportionera identifieringskostnaderna på de myndigheter som levererar tjänsterna)?
Vänliga hälsningar
Eri Mjöberg
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hej Erik,
Jag svarar inline.
On 06/04/2014 05:33 PM, Erik Mjöberg wrote:
Hej Tobias!
Bra att Du tog upp frågan om samtycke.
I avtalet med min bank, Handelsbanken, finns ingenting om samtycke till att samla in uppgifter om besökta tjänster. Jag känner inte heller till att någon annan legitimationsutfärdare skulle ha en sådan friskrivning. Slutligen kan utfärdaren begära samtycke till insamling av adressen till den anlitade tjänsten i samband med att tjänsten anlitas, men inte heller det har skett i någon av de tjänster som jag har anlitat.
Jag saxar från Handelsbankens villkor[1]
- --8<---------------cut here---------------start------------->8--- Banken behandlar i egenskap av utfärdare av betalningsinstrumentet sådana personuppgifter om kunden som krävs för att administrera dessa tjänster och för att kontrollera att betalningsinstrumentet är giltigt och inte spärrat samt för att bevaka bankens rätt med anledning av kundens användning av betalningsinstrumentet. Kunden har rätt att efter skriftlig begäran till banken få information om vilka personuppgifter som banken behandlar om kunden. Kunden har också rätt att kräva rättelse av de personuppgifter som banken behandlar om kunden om de skulle vara felaktiga eller missvisande. Kunden kan i sådant fall vända sig till sitt bankkontor eller till Handelsbanken, Centrala revisionsavdelningen, 106 70 Stockholm. Genom att godkänna dessa villkor samtycker kunden till att banken i egenskap av utfärdare av kundens betalningsinstrument lämnar ut sådana personuppgifter om kunden – till exempel kundens personnummer eller annat motsvarande identifieringsnummer och uppgift om kundens banktillhörighet – till andra som accepterar av banken utfärdade betalningsinstrument som är nödvändiga för att de ska kunna kontrollera att betalningsinstrumentet är giltigt och inte spärrat och för att de ska kunna bevaka sin rätt med anledning av användningen av betalningsinstrumentet. - --8<---------------cut here---------------end--------------->8---
- --8<---------------cut here---------------start------------->8--- Dessa villkor gäller för Handelsbankens inloggningskort som kan användas av bankens kunder för elektronisk identifiering och godkännande av uppdrag i banken och hos annan som accepterar av banken utfärdade betalningsinstrument. Villkoren gäller också för annan elektronisk ID-handling eller rutin som banken anvisar för inloggning till och godkännande av uppdrag i Handelsbankens Internettjänst eller annat kommunikationssätt som banken tillhandahåller. - --8<---------------cut here---------------end--------------->8---
Jag är inte jurist (jag gissar att du inte heller är det), men som jag tolkar det där så har Handelsbanken ganska explicit sagt sig ha rätten att lagra och behandla uppgifter gällandes elektronisk ID-handling. Vidare gissar jag att Handelsbanken i egenskap av en bank har _väldigt_ god koll på reglerna kring deras tjänster, helt enkelt därför att banker tjänar pengar på att ha koll på reglerna och finstilt i avtal ;)
Så jag känner mig ganska kränkt av hanteringen ... Men det har en mycket ringa betydelse i sammanhanget. Det väsentliga är att den klart strider mot Person- uppgiftslagen (PuL)! Och inte bara mot PuL utan även mot t.ex. EU-stadgans skydd av personuppgifter i artikel 7 och 8. Om man tillämpar samma metod som EU- domstolen gjorde beträffande upphävandet av ändringarna i Datalagringsdirektivet (proportionalitetsprincipen i artikel 52:1) skulle insamlingen av adresserna till de av användarna anlitade tjänsterna vara /ett "allmänt samhällsintresse som erkänns av unionen"/ om hanteringen skulle godkännas av EU-domstolen. Det har jag svårt att tro.
Jag tror att legitimering och identitetskontroller anses vara ett allmän samhällsintresse som erkänns av unionen - även/särskilt med direktkontroll via utgivande part. Återigen - jag är ingen jurist. EU ställer (eventuellt, osäker på om förslaget röstades igenom) vissa krav på att man ska spara minimal mängd data för att kunna sköta sitt jobb[2]. Det kan troligen ses som fullt legitimt att behålla loggar över var någon identifierade sig, dels för fakturering och dels för att kunna undersöka omständigheterna om en konflikt uppstår.
Du har som Handelsbanken säger rätt att begära ut information om vad de sparar om dig. Har du gått till din bank och bett om det skriftligt? Det _ska_ vara gratis en gång om året.
Det finns sedan flera år tillbaka färdiga lösningar på hur legitimationsutfärdaren kan styrka användarens identitet utan att känna till var styrkandet ska användas -- precis som i den analoga världen. Se t.ex. Identity 2.0 från 2006 eller user-centric IDs.
Det är en jättebra idé med den typen av lösningar, problemet är - hur säljer man in till EU och riksdagen att det här är ett reellt problem? Jag tror att regeringar runt om i världen är väldigt förtjusta i att be sina medborgare lita på sina egna banker - tyvärr är det i dagens informationstäta samhälle fullt möjligt för bankerna att småjustera dina räntor efter ett besök på t.ex. en HIV-klinik eller återupprepade autenticeringar hos Marlboros kundklubb.
Som tekniker är det svårt att säga "Det mest realistiska är troligen att förbjuda den här typen av särbehandling i lag snarare än att förbjuda den i kod". Det är såklart viktigt att vi långsiktigt jobbar för en bättre lösning i och med e-legitimation 2.0, men som det är nu så har vi den lösningen vi har idag, och det kommer troligen inte att ändras. Kortsiktigt så är det viktigt att kommunicera med maktcenter som styr över det här, banker, riksdag/parlament, regeringar, EU-parlamentet, USAs kongress m.fl. för att skriva relevant lagstiftning för att göra missbruk av personuppgifter olagligt och skapa transparenta modeller för t.ex. att sätta räntor (förslagsvist att bankerna måste ange vilka profiler en kund har för att få en viss ränta och sen strikt följa detta, vilket såklart skulle göra många som är vana att förhandla väldigt upprörda)
Det är ett litet delikat problem att börja peta i bankindustrin ;)
Vänliga hälsningar
Erik Mjöberg
Ha en bra kväll - -- Emil Tullstedt
[1] http://www.handelsbanken.se/shb/inet/icentsv.nsf/vlookuppics/a_bankid_bankid... [2] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0238:FIN:en:H...
Hej igen!
Beträffande frågan om *samtycke* i e-legitimationer, kan man inte bygga upp ett legitimeringssystem som förutsätter att de legitimerade samtycker till att personuppgifter används i strid med PuL.
Om jag inte samtycker till att mina besök hos anlitade tjänster registreras av legitimationsutfärdarna, får jag inte vara med då? Får jag inte vara med om jag inte samtycker till att banken känner till att jag tidsbokat på en HIV-klinik?
Och slutligen en fråga till Anne-Mari Eklund Lövinder: Anser Du att integritetskravet i direktivet 2010:69 är uppfyllt, om adresserna till de av användarna anlitade tjänsterna samlas in av e-legitimationsnämnden i enlighet med SAML-idp-discovery-standarden, men användarna skalas av vid rapporteringen till faktureringen?
Vänliga hälsningar
Erik Mjöberg
-------- Original Message -------- Subject: Re: Ang.: SV: [DFRI-listan] E-legitimation Date: Wed, 04 Jun 2014 17:33:12 +0200 From: Erik Mjöberg erik.mjoberg@xml.se Organization: AB XML Sweden To: Tobias Pulls tobias.pulls@kau.se, listan@lists.dfri.se
Hej Tobias!
Bra att Du tog upp frågan om samtycke.
I avtalet med min bank, Handelsbanken, finns ingenting om samtycke till att samla in uppgifter om besökta tjänster. Jag känner inte heller till att någon annan legitimationsutfärdare skulle ha en sådan friskrivning. Slutligen kan utfärdaren begära samtycke till insamling av adressen till den anlitade tjänsten i samband med att tjänsten anlitas, men inte heller det har skett i någon av de tjänster som jag har anlitat.
Så jag känner mig ganska kränkt av hanteringen ... Men det har en mycket ringa betydelse i sammanhanget. Det väsentliga är att den klart strider mot Person- uppgiftslagen (PuL)! Och inte bara mot PuL utan även mot t.ex. EU-stadgans skydd av personuppgifter i artikel 7 och 8. Om man tillämpar samma metod som EU- domstolen gjorde beträffande upphävandet av ändringarna i Datalagringsdirektivet (proportionalitetsprincipen i artikel 52:1) skulle insamlingen av adresserna till de av användarna anlitade tjänsterna vara /ett "allmänt samhällsintresse som erkänns av unionen"/ om hanteringen skulle godkännas av EU-domstolen. Det har jag svårt att tro.
Det finns sedan flera år tillbaka färdiga lösningar på hur legitimationsutfärdaren kan styrka användarens identitet utan att känna till var styrkandet ska användas -- precis som i den analoga världen. Se t.ex. Identity 2.0 från 2006 eller user-centric IDs.
Vänliga hälsningar
Erik Mjöberg
On 2014-06-04 15:39, Tobias Pulls wrote:
Hej,
Värt att notera är också att det här troligen inte är ett brott mot personuppgiftslagen _förutsatt_ att samtycke är inhämtat av t ex banken vid utfärdandet av BankID. Det sagt så är det knappast något positivt att denna spårbarhet finns i systemet och troligen är det många fler än Erik som upplever detta som ett intrång. Denna läcka baserat på samtyckte (som i dagsläget är långt från informerat i något annat än juridisk mening) borde ha tagits bort av e-legitimationsnämnden genom att förbjuda annan användning än strikt nödvändigt eftersom identitetsleverantörer redan får betalt. Tyvärr gjordes inte detta så det är bara att hoppas att öppna och moderna tekniska lösningar som anonymous credentials används för nästa generation, för det finns ingen stark vilja att lägga in juridiskt personskydd utöver det minimala som krävs. Trevlig sits för identitetsleverantörerna dock, de får betalt för att skapa profiler av folk.
Vad gäller punkt 2 från Erik så ska man vara väldigt försiktig med att underskatta tom vad den aggregarade informationen har för inverkan på personers privatliv. Det behövs inte mycket extra information för att skapa skrämmande scenarion. En av de få sakerna ur integritetssynpunkt som SAML förbättrar är möjligheten att bara ge ut relevant information till tjänster istället för allt på ett certifikat. Utöver det bör man nog vara försiktig om man vill kalla SAML lösningen integritetsvänlig.
Mvh, Tobias
On 04/06/14 14:49, Anne-Marie Eklund-Löwinder wrote:
Jag fann ingen anledning att kommentera 1. Det är nog allmänt känt att det är personnummer i certifikatet och därmed är spåret tydligt för banken med flera i dagens system. /amel
Skickat från min HTC
----- Reply message ----- Från: "Erik Mjöberg" erik.mjoberg@xml.se Till: "listan@lists.dfri.se" listan@lists.dfri.se Rubrik: SV: [DFRI-listan] E-legitimation Datum: ons, jun 4, 2014 14:25
Hej DFRI-listan!
Äntligen har jag fått ett svar i sak på vad jag hela tiden påstått. Det är första gången på två år! Låt mig ta upp sakfrågorna.
- För det första har Anne-Marie Eklund-Löwinder hittills inget att erinra mot min beskrivning att e-legitimationsutfärdarna (bankerna, Telia, m.fl.)
samlar in adresserna till de av användarna anlitade e-tjänsterna i dagens e-legitimationssystem. Det är allvarligt nog! I det föreslagna nya systemet med Svensk e-legitimation bekräftas tidigare adressinsamling genom användning av standarden SAML-assertion.
Om jag har gjort en tidsbokning på en HIV-klinik eller hos en psykiater med min e-legitimation, vill jag inte att banken ska få reda på det. Om jag har varit inne på mina apoteksrecepttjänster vill jag inte att banken ska känna till det. Om min hustru har haft flera tidsbokningar för kontroll av bröstcancer vill jag inte att banken ska känna till det. Jag vill inte heller att banken ska kunna sälja dessa uppgifter till det försäkringsbolag där min hustru eller jag har våra livförsäkringar. Om jag t.ex. har anlitat Svenska Spels tjänster ofta vill jag inte att banken ska komma till mig och begära omförhandling av räntan på mitt bostadslån eftersom banken då bedömer sig ta en högre risk. Om bolånet ligger i en annan bank vill jag inte att banken ska sälja samma uppgifter till den banken. Om jag är medlem i ett politiskt parti vill jag inte att banken ska känna till att jag loggar in mig med e-legitimation på partiets medlemstjänst. Jag anser att dessa förhållanden gravt kränker min personliga integritet. Jag har därmed lidit skada. Detta gäller även 2 miljoner andra e-legitimationsinnehavare som med mig har förvägrats det skydd som tillkommer oss enligt Personuppgiftslagen (1998:204).
Om jag i den analoga världen vill legitimera mig med mitt körkort, har Transportstyrelsen, som utfärdat mitt körkort, ingen aning om var, när och i vilken omfattning jag identifierar mig med körkortet. Då borde det självklart vara ett anständighetskrav att den digitala lösningen uppfyller minst samma integritetskrav. Men om det fungerade med mitt körkort som det fungerar på nätet med e-legitimation skulle den expedit som granskar mitt körkort säga: "Vänta ett tag, jag ska bara skicka information till Transportstyrelsen om att Du har legitimerat Dig här." Då skulle jag fråga mig: "Vad angår det Transportstyrelsen var jag legitimerar mig med mitt körkort?"
- Punkt 2 stämmer exakt med felet i principen att E-legitimationsnämnden samlar de adresser användaren anlitar när hon/han identifierar
sig i en e-tjänst. E-legitimationsnämnden hämtar/samlar dessa adresser enligt SAML-idp-discovery-standarden. Det är detta som kommittédirektivet 2010:69 skjuter in sig på. Insamlandet! Och direktivet utgår då från Personuppgiftslagen (1998:204), som slår ned på "behandling av personuppgifter" (3 §) som innefattar "Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, ... t.ex. insamling, ... inhämtande ... av uppgifter ...". Att sedan det rapporterade statistikunderlaget har skalat av individerna har inte med saken att göra, det handlar om kosmetik - inte om integritetsskydd.
Jag överlåter åt läsaren av detta att avgöra om mina påståenden är ogrundade eller om jag har fått saker och ting rejält om bakfoten.
Till Sven Ruin vill jag säga att det ligger mycket i vad Du säger. Naturligtvis går det att omformulera frågorna. T.ex.: Anser Du att det är bra att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på?
Vänliga hälsningar
Erik Mjöberg
On 2014-06-04 10:51, Anne-Marie Eklund-Löwinder wrote: Hej, Din punkt 2 stämmer inte ett enda dugg, där behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns publicerat för allmän beskådan, och för varje läskunnig att ta till sig.
Ni hittar det på http://www.elegnamnden.se/ eller närmare bestämt här: http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a8...
Jag kan varmt rekommendera alla intresserade att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här:
Se Bilaga J – Rapporteringsrutiner, punkten 7.5:
"Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst".
Se även Bilaga A - Ersättning och fakturering, punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller. De anger i praktiken enbart antal unika användare per e-tjänst.
Min slutsats är att du har fått saker och ting rejält om bakfoten.
Med vänlig hälsning, Anne-Marie Eklund Löwinder Säkerhetschef .SE (Stiftelsen för Internetinfrastruktur) Adress: Ringvägen 100 Postadress: Box 7399, 103 91 Stockholm Växel: 08-452 35 00 Direkt: 08-452 35 17 Mobil: 0734-31 53 10 E-post: anne-marie.eklund-lowinder@iis.semailto:anne-marie.eklund-lowinder@iis.se Twitter: @amelsec Webbplats: https://www.iis.se Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se] Skickat: den 3 juni 2014 22:56 Till: listan@lists.dfri.semailto:listan@lists.dfri.se Ämne: [DFRI-listan] E-legitimation ... och här en fråga om e-legitimation:
I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden står:
Felaktigt utformat skulle ett system för samordning av elektronisk identifiering och signering kunna leda till risker för den personliga integriteten, t.ex. om uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på samma ställe ...
- Visste Du att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner
till vilka tjänster användarna identifierar sig på? (Se BankIds hemsidahttp://www.bankid.com/sv/statistik/, punkterna 7 och 8 i statistikrapporterna)
- Visste Du att i det nya förslaget till Svensk e-legitimation känner inte bara
utfärdarna till de tjänster användarna identifierar sig på utan även E-legitima- tionsnämnden (en myndighet under Skatteverket) samlar in samma uppgifter (för att proportionera identifieringskostnaderna på de myndigheter som levererar tjänsterna)?
Vänliga hälsningar
Eri Mjöberg
Hej!
På frågan riktad till mig:
Frågan är egentligen hypotetisk eftersom det inte är så det fungerar. Om det är anvisningstjänsten du är upprörd över, så har den flera gränssnitt - endast ett av dessa innebär att användarens UA hämtar listan över valbara utgivare och därmed lämnar spår efter sig i form av IP-adresser. I andra situationer hämtar e-tjänsten listan regelbundet och presenterar den själv. Och i andra fall används inte anvisningstjänsten alls. Anvisningstjänsten är dessutom federationsspecifik, och ger därför inte den helhetsbild av användningen som du försöker göra gällande. Det är inte heller dessa uppgifter som ligger till grund för vare sig debitering eller statistik, du har helt enkelt förstått det hela väldigt fel.
Jag är inte jurist, men det finns inga indikationer på att den här anvisningstjänsten skulle vara oförenlig med svensk och europeisk persondataskyddslagstiftning. Tror du inte på det så får du ställa samma fråga till ansvariga myndigheter.
Så min slutsats: Här finns inget att se, cirkulera. Rikta din energi på något som faktiskt är problematiskt. Det finns gott om sådant. Det behöver i alla fall jag göra. Så jag avslutar den här diskussionen från min sida.
Med vänlig hälsning,
Anne-Marie
Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se] Skickat: den 5 juni 2014 09:51 Till: listan@lists.dfri.se Ämne: Fwd: Re: Ang.: SV: [DFRI-listan] E-legitimation
Hej igen!
Beträffande frågan om samtycke i e-legitimationer, kan man inte bygga upp ett legitimeringssystem som förutsätter att de legitimerade samtycker till att personuppgifter används i strid med PuL.
Om jag inte samtycker till att mina besök hos anlitade tjänster registreras av legitimationsutfärdarna, får jag inte vara med då? Får jag inte vara med om jag inte samtycker till att banken känner till att jag tidsbokat på en HIV-klinik?
Och slutligen en fråga till Anne-Mari Eklund Lövinder: Anser Du att integritetskravet i direktivet 2010:69 är uppfyllt, om adresserna till de av användarna anlitade tjänsterna samlas in av e-legitimationsnämnden i enlighet med SAML-idp-discovery-standarden, men användarna skalas av vid rapporteringen till faktureringen?
Vänliga hälsningar
Erik Mjöberg
-------- Original Message --------
Subject:
Re: Ang.: SV: [DFRI-listan] E-legitimation
Date:
Wed, 04 Jun 2014 17:33:12 +0200
From:
Erik Mjöberg erik.mjoberg@xml.se mailto:erik.mjoberg@xml.se
Organization:
AB XML Sweden
To:
Tobias Pulls tobias.pulls@kau.se mailto:tobias.pulls@kau.se , listan@lists.dfri.se mailto:listan@lists.dfri.se
Hej Tobias!
Bra att Du tog upp frågan om samtycke.
I avtalet med min bank, Handelsbanken, finns ingenting om samtycke till att samla in uppgifter om besökta tjänster. Jag känner inte heller till att någon annan legitimationsutfärdare skulle ha en sådan friskrivning. Slutligen kan utfärdaren begära samtycke till insamling av adressen till den anlitade tjänsten i samband med att tjänsten anlitas, men inte heller det har skett i någon av de tjänster som jag har anlitat.
Så jag känner mig ganska kränkt av hanteringen ... Men det har en mycket ringa betydelse i sammanhanget. Det väsentliga är att den klart strider mot Person- uppgiftslagen (PuL)! Och inte bara mot PuL utan även mot t.ex. EU-stadgans skydd av personuppgifter i artikel 7 och 8. Om man tillämpar samma metod som EU- domstolen gjorde beträffande upphävandet av ändringarna i Datalagringsdirektivet (proportionalitetsprincipen i artikel 52:1) skulle insamlingen av adresserna till de av användarna anlitade tjänsterna vara ett "allmänt samhällsintresse som erkänns av unionen" om hanteringen skulle godkännas av EU-domstolen. Det har jag svårt att tro.
Det finns sedan flera år tillbaka färdiga lösningar på hur legitimationsutfärdaren kan styrka användarens identitet utan att känna till var styrkandet ska användas -- precis som i den analoga världen. Se t.ex. Identity 2.0 från 2006 eller user-centric IDs.
Vänliga hälsningar
Erik Mjöberg
On 2014-06-04 15:39, Tobias Pulls wrote:
Hej, Värt att notera är också att det här troligen inte är ett brott mot personuppgiftslagen _förutsatt_ att samtycke är inhämtat av t ex banken vid utfärdandet av BankID. Det sagt så är det knappast något positivt att denna spårbarhet finns i systemet och troligen är det många fler än Erik som upplever detta som ett intrång. Denna läcka baserat på samtyckte (som i dagsläget är långt från informerat i något annat än juridisk mening) borde ha tagits bort av e-legitimationsnämnden genom att förbjuda annan användning än strikt nödvändigt eftersom identitetsleverantörer redan får betalt. Tyvärr gjordes inte detta så det är bara att hoppas att öppna och moderna tekniska lösningar som anonymous credentials används för nästa generation, för det finns ingen stark vilja att lägga in juridiskt personskydd utöver det minimala som krävs. Trevlig sits för identitetsleverantörerna dock, de får betalt för att skapa profiler av folk. Vad gäller punkt 2 från Erik så ska man vara väldigt försiktig med att underskatta tom vad den aggregarade informationen har för inverkan på personers privatliv. Det behövs inte mycket extra information för att skapa skrämmande scenarion. En av de få sakerna ur integritetssynpunkt som SAML förbättrar är möjligheten att bara ge ut relevant information till tjänster istället för allt på ett certifikat. Utöver det bör man nog vara försiktig om man vill kalla SAML lösningen integritetsvänlig. Mvh, Tobias On 04/06/14 14:49, Anne-Marie Eklund-Löwinder wrote:
Jag fann ingen anledning att kommentera 1. Det är nog allmänt känt att det är personnummer i certifikatet och därmed är spåret tydligt för banken med flera i dagens system. /amel Skickat från min HTC ----- Reply message ----- Från: "Erik Mjöberg" erik.mjoberg@xml.se mailto:erik.mjoberg@xml.se Till: "listan@lists.dfri.se" mailto:listan@lists.dfri.se listan@lists.dfri.se mailto:listan@lists.dfri.se Rubrik: SV: [DFRI-listan] E-legitimation Datum: ons, jun 4, 2014 14:25 Hej DFRI-listan! Äntligen har jag fått ett svar i sak på vad jag hela tiden påstått. Det är första gången på två år! Låt mig ta upp sakfrågorna. 1. För det första har Anne-Marie Eklund-Löwinder hittills inget att erinra mot min beskrivning att e-legitimationsutfärdarna (bankerna, Telia, m.fl.) samlar in adresserna till de av användarna anlitade e-tjänsterna i dagens e-legitimationssystem. Det är allvarligt nog! I det föreslagna nya systemet med Svensk e-legitimation bekräftas tidigare adressinsamling genom användning av standarden SAML-assertion. Om jag har gjort en tidsbokning på en HIV-klinik eller hos en psykiater med min e-legitimation, vill jag inte att banken ska få reda på det. Om jag har varit inne på mina apoteksrecepttjänster vill jag inte att banken ska känna till det. Om min hustru har haft flera tidsbokningar för kontroll av bröstcancer vill jag inte att banken ska känna till det. Jag vill inte heller att banken ska kunna sälja dessa uppgifter till det försäkringsbolag där min hustru eller jag har våra livförsäkringar. Om jag t.ex. har anlitat Svenska Spels tjänster ofta vill jag inte att banken ska komma till mig och begära omförhandling av räntan på mitt bostadslån eftersom banken då bedömer sig ta en högre risk. Om bolånet ligger i en annan bank vill jag inte att banken ska sälja samma uppgifter till den banken. Om jag är medlem i ett politiskt parti vill jag inte att banken ska känna till att jag loggar in mig med e-legitimation på partiets medlemstjänst. Jag anser att dessa förhållanden gravt kränker min personliga integritet. Jag har därmed lidit skada. Detta gäller även 2 miljoner andra e-legitimationsinnehavare som med mig har förvägrats det skydd som tillkommer oss enligt Personuppgiftslagen (1998:204). Om jag i den analoga världen vill legitimera mig med mitt körkort, har Transportstyrelsen, som utfärdat mitt körkort, ingen aning om var, när och i vilken omfattning jag identifierar mig med körkortet. Då borde det självklart vara ett anständighetskrav att den digitala lösningen uppfyller minst samma integritetskrav. Men om det fungerade med mitt körkort som det fungerar på nätet med e-legitimation skulle den expedit som granskar mitt körkort säga: "Vänta ett tag, jag ska bara skicka information till Transportstyrelsen om att Du har legitimerat Dig här." Då skulle jag fråga mig: "Vad angår det Transportstyrelsen var jag legitimerar mig med mitt körkort?" 2. Punkt 2 stämmer exakt med felet i principen att E-legitimationsnämnden samlar de adresser användaren anlitar när hon/han identifierar sig i en e-tjänst. E-legitimationsnämnden hämtar/samlar dessa adresser enligt SAML-idp-discovery-standarden. Det är detta som kommittédirektivet 2010:69 skjuter in sig på. Insamlandet! Och direktivet utgår då från Personuppgiftslagen (1998:204), som slår ned på "behandling av personuppgifter" (3 §) som innefattar "Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, ... t.ex. insamling, ... inhämtande ... av uppgifter ...". Att sedan det rapporterade statistikunderlaget har skalat av individerna har inte med saken att göra, det handlar om kosmetik - inte om integritetsskydd. Jag överlåter åt läsaren av detta att avgöra om mina påståenden är ogrundade eller om jag har fått saker och ting rejält om bakfoten. --- Till Sven Ruin vill jag säga att det ligger mycket i vad Du säger. Naturligtvis går det att omformulera frågorna. T.ex.: Anser Du att det är bra att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på? Vänliga hälsningar Erik Mjöberg --- On 2014-06-04 10:51, Anne-Marie Eklund-Löwinder wrote: Hej, Din punkt 2 stämmer inte ett enda dugg, där behöver du göra din hemläxa, och andra också kanske? Vilken tur då att det är så lätt att kontrollera fakta. Regelverket för svensk e-legitimation finns publicerat för allmän beskådan, och för varje läskunnig att ta till sig. Ni hittar det på http://www.elegnamnden.se/ eller närmare bestämt här: http://www.elegnamnden.se/regelverketgallandeversion.4.77dbcb041438070e039a8... Jag kan varmt rekommendera alla intresserade att sätta sig in i hur det ser ut. Det ger tvärtom mot vad Erik (vad jag kan se helt ogrundat) påstår. Jag pekar på några av de viktigaste sakerna här: Se Bilaga J Rapporteringsrutiner, punkten 7.5: "Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst". Se även Bilaga A - Ersättning och fakturering, punkterna 2, 4.1 och 4.2, om vilken information som fakturorna innehåller. De anger i praktiken enbart antal unika användare per e-tjänst. Min slutsats är att du har fått saker och ting rejält om bakfoten. Med vänlig hälsning, Anne-Marie Eklund Löwinder Säkerhetschef .SE (Stiftelsen för Internetinfrastruktur) Adress: Ringvägen 100 Postadress: Box 7399, 103 91 Stockholm Växel: 08-452 35 00 Direkt: 08-452 35 17 Mobil: 0734-31 53 10 E-post: anne-marie.eklund-lowinder@iis.se mailto:anne-marie.eklund-lowinder@iis.se mailto:anne-marie.eklund-lowinder@iis.se mailto:anne-marie.eklund-lowinder@iis.se Twitter: @amelsec Webbplats: https://www.iis.se Från: Erik Mjöberg [mailto:erik.mjoberg@xml.se] Skickat: den 3 juni 2014 22:56 Till: listan@lists.dfri.se mailto:listan@lists.dfri.se mailto:listan@lists.dfri.se mailto:listan@lists.dfri.se Ämne: [DFRI-listan] E-legitimation ... och här en fråga om e-legitimation: I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden står: Felaktigt utformat skulle ett system för samordning av elektronisk identifiering och signering kunna leda till risker för den personliga integriteten, t.ex. om uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på samma ställe ... 1. Visste Du att utfärdarna av dagens e-legitimationer (banker, Telia m.fl.) känner till vilka tjänster användarna identifierar sig på? (Se BankIds hemsidahttp://www.bankid.com/sv/statistik/ http://www.bankid.com/sv/statistik/ , punkterna 7 och 8 i statistikrapporterna) 2. Visste Du att i det nya förslaget till Svensk e-legitimation känner inte bara utfärdarna till de tjänster användarna identifierar sig på utan även E-legitima- tionsnämnden (en myndighet under Skatteverket) samlar in samma uppgifter (för att proportionera identifieringskostnaderna på de myndigheter som levererar tjänsterna)? Vänliga hälsningar Eri Mjöberg
-
Anne-Marie Eklund-Löwinder -
Emil Tullstedt -
Erik Mjöberg -
Tobias Pulls