Statsstyret (@Statsstyret)
Stine (@MizzMonetary)
Kim Springborg (@KimSpringborg)
Mikkel K (@MikkelSmed1)
Heinrich Von Host (@Rothkeen)
Walsted (@kentwalstedkgm1)
RT @Statsstyret (Statsstyret): BREAKING: Statens tegnebogsap/aldersverificerinsapp indeholder sessionslogning. Jeg har fået aktindsigt i selve systemdesignet til løsningen fra Digitaliseringsstyrelsen og det er ret tydeligt at der foretages sessionslogning og logning af de virksomheder som modtager beviser. Systemet er som udgangspunkt bygget via privacy-by-design, så en forretning ikke kan se hvem en borger er, når de bruger beviset. Dette er dog ikke helt tilfældet på statens side. Det er f.eks. vist i systemoversigten, at de beviser som udstedes til brugeren er bundet op på deres MitID eller pas. Derudover er der indbygget to moduler til log aggregering og statistik i den del af løsningen som udsteder beviser for borgerne, også kendt som den såkaldte Bevisudstedelsesservice (BUS). Disse to moduler er ikke beskrevet resten af i systembeskrivelsen. Ligeledes benytter staten et modtagepartregister, som registrerer alle de virksomheder, der modtager beviser fra brugerne i forbindelse med at de bruger appen til f.eks. at købe spiritus. Modtagepartregisteret skal ifølge Digitaliseringsstyrelsen være designet så virksomhederne selv oprette sig med MitID Erhverv. ”Modtagerpartregistreret vil også kunne anvendes til at klargøre, hvilken information om slutbrugeren der deles med modtagerparten i brugssituationer”, skriver Digitaliseringsstyrelsen, ligesom systemet kan bruges til at udelukke virksomheder ved "misbrug" At der foregår logning, er også understøttet af Digitaliseringsstyrelsens egen risikovurdering, som siger følgende: ”Et andet opmærksomhedspunkt ved løsningen er, at ved uønsket adgang til platforme for DK Tegnebog vil uønskede personer kunne se og få adgang til, hvor beviser har været anvendt, og der kan derfor ske brud på persondatasikkerheden. Derfor vil projektet sikre en effektiv adgangsstyring til alle platforme.” Dette er også understøttet af de krav til kompetencer, som er udsendt til i forbindelse med udbuddet, hvor et af kravene beskrives som: ”Logning og overvågning: Implementering af robust logning, overvågning og alarmering, så der kan reageres på sikkerhedshændelser og performance-problemer.” Et andet krav går ud på at: “Bistå Kunden med at sikre, at relevante sikkerhedskrav overholdes, herunder ISO270001, NIS2 og de tekniske minimumskrav for statslige myndigheder på både organisations-, proces- og applikationsniveau. Dette omfatter bl.a. sikker datatransmission og datalagring, etablering og udstilling af relevante revisionsspor (fx transaktionslogning), etablering af relevante backups og reetableringsprocesser.” Digitaliseringsstyrelsen beskriver også hvilke data der bliver behandlet i løsningen. Dette er følgende: - Personoplysninger i forbindelse med en brugers oprettelse af sin tegnebog - Personoplysninger i bevisudstedelsesservicen samt for behandling af personoplysninger i forbindelse med transmission og levering af udstedt bevis, indtil beviset ligger i brugerens tegnebog - CVR-numre i modtagerpartregistret, der henviser til en enkeltmandsvirksomhed Digitaliseringsstyrelsen sig med at denne information kun er midlertidigt lagret til sikkerhedsformål under ISO270001. Men hvis det bliver midlertidigt lagret, kan det også trækkes ud. Det skal dog siges, at det stadig er usikkert om staten er i stand til at kunne kæde data sammen. Det er dog mit indtryk, at det relativt nemt ville kunne lade sig gøre, forudsat man ønsker det. Det er klart min vurdering, med en Phd i Informationssystemer i baggrunden og mange års erfaring med dataanalyse, at sammenkædningen mellem transaktion og borgerens identitet, blot kræver at det bevis som er udsendt på borgerens enhed, bliver synkroniseret via forretningen til et fælles register, når borgeren foretager en verifikation af alder. Beviset i sig selv, vil således kunne fungere som et unikt ID, der registrerer brugeren, forretningen og selve transaktionen. Så selvom Digitaliseringsstyrelsen måske holder dette adskilt lige nu, er der ingen garantier for at dette ikke kan samles i fremtiden. #dkpol #dkmedier #overvågning #aldersverifikation
Mikkel Madsen (@MMadsenDK)
RT @Statsstyret (Statsstyret): Jeg har fået aktindsigt i den nye aldersverificeringsapp. Mere information følger... #dkpol #dkmedier #overvågning
Stine (@MizzMonetary)
RT @Statsstyret (Statsstyret): BREAKING: Statens tegnebogsap/aldersverificerinsapp indeholder sessionslogning. Jeg har fået aktindsigt i selve systemdesignet til løsningen fra Digitaliseringsstyrelsen og det er ret tydeligt at der foretages sessionslogning og logning af de virksomheder som modtager beviser. Systemet er som udgangspunkt bygget via privacy-by-design, så en forretning ikke kan se hvem en borger er, når de bruger beviset. Dette er dog ikke helt tilfældet på statens side. Det er f.eks. vist i systemoversigten, at de beviser som udstedes til brugeren er bundet op på deres MitID eller pas. Derudover er der indbygget to moduler til log aggregering og statistik i den del af løsningen som udsteder beviser for borgerne, også kendt som den såkaldte Bevisudstedelsesservice (BUS). Disse to moduler er ikke beskrevet resten af i systembeskrivelsen. Ligeledes benytter staten et modtagepartregister, som registrerer alle de virksomheder, der modtager beviser fra brugerne i forbindelse med at de bruger appen til f.eks. at købe spiritus. Modtagepartregisteret skal ifølge Digitaliseringsstyrelsen være designet så virksomhederne selv oprette sig med MitID Erhverv. ”Modtagerpartregistreret vil også kunne anvendes til at klargøre, hvilken information om slutbrugeren der deles med modtagerparten i brugssituationer”, skriver Digitaliseringsstyrelsen, ligesom systemet kan bruges til at udelukke virksomheder ved "misbrug" At der foregår logning, er også understøttet af Digitaliseringsstyrelsens egen risikovurdering, som siger følgende: ”Et andet opmærksomhedspunkt ved løsningen er, at ved uønsket adgang til platforme for DK Tegnebog vil uønskede personer kunne se og få adgang til, hvor beviser har været anvendt, og der kan derfor ske brud på persondatasikkerheden. Derfor vil projektet sikre en effektiv adgangsstyring til alle platforme.” Dette er også understøttet af de krav til kompetencer, som er udsendt til i forbindelse med udbuddet, hvor et af kravene beskrives som: ”Logning og overvågning: Implementering af robust logning, overvågning og alarmering, så der kan reageres på sikkerhedshændelser og performance-problemer.” Et andet krav går ud på at: “Bistå Kunden med at sikre, at relevante sikkerhedskrav overholdes, herunder ISO270001, NIS2 og de tekniske minimumskrav for statslige myndigheder på både organisations-, proces- og applikationsniveau. Dette omfatter bl.a. sikker datatransmission og datalagring, etablering og udstilling af relevante revisionsspor (fx transaktionslogning), etablering af relevante backups og reetableringsprocesser.” Digitaliseringsstyrelsen beskriver også hvilke data der bliver behandlet i løsningen. Dette er følgende: - Personoplysninger i forbindelse med en brugers oprettelse af sin tegnebog - Personoplysninger i bevisudstedelsesservicen samt for behandling af personoplysninger i forbindelse med transmission og levering af udstedt bevis, indtil beviset ligger i brugerens tegnebog - CVR-numre i modtagerpartregistret, der henviser til en enkeltmandsvirksomhed Digitaliseringsstyrelsen sig med at denne information kun er midlertidigt lagret til sikkerhedsformål under ISO270001. Men hvis det bliver midlertidigt lagret, kan det også trækkes ud. Det skal dog siges, at det stadig er usikkert om staten er i stand til at kunne kæde data sammen. Det er dog mit indtryk, at det relativt nemt ville kunne lade sig gøre, forudsat man ønsker det. Det er klart min vurdering, med en Phd i Informationssystemer i baggrunden og mange års erfaring med dataanalyse, at sammenkædningen mellem transaktion og borgerens identitet, blot kræver at det bevis som er udsendt på borgerens enhed, bliver synkroniseret via forretningen til et fælles register, når borgeren foretager en verifikation af alder. Beviset i sig selv, vil således kunne fungere som et unikt ID, der registrerer brugeren, forretningen og selve transaktionen. Så selvom Digitaliseringsstyrelsen måske holder dette adskilt lige nu, er der ingen garantier for at dette ikke kan samles i fremtiden. #dkpol #dkmedier #overvågning #aldersverifikation
Kim Springborg (@KimSpringborg)
RT @Statsstyret (Statsstyret): BREAKING: Statens tegnebogsap/aldersverificerinsapp indeholder sessionslogning. Jeg har fået aktindsigt i selve systemdesignet til løsningen fra Digitaliseringsstyrelsen og det er ret tydeligt at der foretages sessionslogning og logning af de virksomheder som modtager beviser. Systemet er som udgangspunkt bygget via privacy-by-design, så en forretning ikke kan se hvem en borger er, når de bruger beviset. Dette er dog ikke helt tilfældet på statens side. Det er f.eks. vist i systemoversigten, at de beviser som udstedes til brugeren er bundet op på deres MitID eller pas. Derudover er der indbygget to moduler til log aggregering og statistik i den del af løsningen som udsteder beviser for borgerne, også kendt som den såkaldte Bevisudstedelsesservice (BUS). Disse to moduler er ikke beskrevet resten af i systembeskrivelsen. Ligeledes benytter staten et modtagepartregister, som registrerer alle de virksomheder, der modtager beviser fra brugerne i forbindelse med at de bruger appen til f.eks. at købe spiritus. Modtagepartregisteret skal ifølge Digitaliseringsstyrelsen være designet så virksomhederne selv oprette sig med MitID Erhverv. ”Modtagerpartregistreret vil også kunne anvendes til at klargøre, hvilken information om slutbrugeren der deles med modtagerparten i brugssituationer”, skriver Digitaliseringsstyrelsen, ligesom systemet kan bruges til at udelukke virksomheder ved "misbrug" At der foregår logning, er også understøttet af Digitaliseringsstyrelsens egen risikovurdering, som siger følgende: ”Et andet opmærksomhedspunkt ved løsningen er, at ved uønsket adgang til platforme for DK Tegnebog vil uønskede personer kunne se og få adgang til, hvor beviser har været anvendt, og der kan derfor ske brud på persondatasikkerheden. Derfor vil projektet sikre en effektiv adgangsstyring til alle platforme.” Dette er også understøttet af de krav til kompetencer, som er udsendt til i forbindelse med udbuddet, hvor et af kravene beskrives som: ”Logning og overvågning: Implementering af robust logning, overvågning og alarmering, så der kan reageres på sikkerhedshændelser og performance-problemer.” Et andet krav går ud på at: “Bistå Kunden med at sikre, at relevante sikkerhedskrav overholdes, herunder ISO270001, NIS2 og de tekniske minimumskrav for statslige myndigheder på både organisations-, proces- og applikationsniveau. Dette omfatter bl.a. sikker datatransmission og datalagring, etablering og udstilling af relevante revisionsspor (fx transaktionslogning), etablering af relevante backups og reetableringsprocesser.” Digitaliseringsstyrelsen beskriver også hvilke data der bliver behandlet i løsningen. Dette er følgende: - Personoplysninger i forbindelse med en brugers oprettelse af sin tegnebog - Personoplysninger i bevisudstedelsesservicen samt for behandling af personoplysninger i forbindelse med transmission og levering af udstedt bevis, indtil beviset ligger i brugerens tegnebog - CVR-numre i modtagerpartregistret, der henviser til en enkeltmandsvirksomhed Digitaliseringsstyrelsen sig med at denne information kun er midlertidigt lagret til sikkerhedsformål under ISO270001. Men hvis det bliver midlertidigt lagret, kan det også trækkes ud. Det skal dog siges, at det stadig er usikkert om staten er i stand til at kunne kæde data sammen. Det er dog mit indtryk, at det relativt nemt ville kunne lade sig gøre, forudsat man ønsker det. Det er klart min vurdering, med en Phd i Informationssystemer i baggrunden og mange års erfaring med dataanalyse, at sammenkædningen mellem transaktion og borgerens identitet, blot kræver at det bevis som er udsendt på borgerens enhed, bliver synkroniseret via forretningen til et fælles register, når borgeren foretager en verifikation af alder. Beviset i sig selv, vil således kunne fungere som et unikt ID, der registrerer brugeren, forretningen og selve transaktionen. Så selvom Digitaliseringsstyrelsen måske holder dette adskilt lige nu, er der ingen garantier for at dette ikke kan samles i fremtiden. #dkpol #dkmedier #overvågning #aldersverifikation
Heinrich Von Host (@Rothkeen)
RT @Statsstyret (Statsstyret): BREAKING: Statens tegnebogsap/aldersverificerinsapp indeholder sessionslogning. Jeg har fået aktindsigt i selve systemdesignet til løsningen fra Digitaliseringsstyrelsen og det er ret tydeligt at der foretages sessionslogning og logning af de virksomheder som modtager beviser. Systemet er som udgangspunkt bygget via privacy-by-design, så en forretning ikke kan se hvem en borger er, når de bruger beviset. Dette er dog ikke helt tilfældet på statens side. Det er f.eks. vist i systemoversigten, at de beviser som udstedes til brugeren er bundet op på deres MitID eller pas. Derudover er der indbygget to moduler til log aggregering og statistik i den del af løsningen som udsteder beviser for borgerne, også kendt som den såkaldte Bevisudstedelsesservice (BUS). Disse to moduler er ikke beskrevet resten af i systembeskrivelsen. Ligeledes benytter staten et modtagepartregister, som registrerer alle de virksomheder, der modtager beviser fra brugerne i forbindelse med at de bruger appen til f.eks. at købe spiritus. Modtagepartregisteret skal ifølge Digitaliseringsstyrelsen være designet så virksomhederne selv oprette sig med MitID Erhverv. ”Modtagerpartregistreret vil også kunne anvendes til at klargøre, hvilken information om slutbrugeren der deles med modtagerparten i brugssituationer”, skriver Digitaliseringsstyrelsen, ligesom systemet kan bruges til at udelukke virksomheder ved "misbrug" At der foregår logning, er også understøttet af Digitaliseringsstyrelsens egen risikovurdering, som siger følgende: ”Et andet opmærksomhedspunkt ved løsningen er, at ved uønsket adgang til platforme for DK Tegnebog vil uønskede personer kunne se og få adgang til, hvor beviser har været anvendt, og der kan derfor ske brud på persondatasikkerheden. Derfor vil projektet sikre en effektiv adgangsstyring til alle platforme.” Dette er også understøttet af de krav til kompetencer, som er udsendt til i forbindelse med udbuddet, hvor et af kravene beskrives som: ”Logning og overvågning: Implementering af robust logning, overvågning og alarmering, så der kan reageres på sikkerhedshændelser og performance-problemer.” Et andet krav går ud på at: “Bistå Kunden med at sikre, at relevante sikkerhedskrav overholdes, herunder ISO270001, NIS2 og de tekniske minimumskrav for statslige myndigheder på både organisations-, proces- og applikationsniveau. Dette omfatter bl.a. sikker datatransmission og datalagring, etablering og udstilling af relevante revisionsspor (fx transaktionslogning), etablering af relevante backups og reetableringsprocesser.” Digitaliseringsstyrelsen beskriver også hvilke data der bliver behandlet i løsningen. Dette er følgende: - Personoplysninger i forbindelse med en brugers oprettelse af sin tegnebog - Personoplysninger i bevisudstedelsesservicen samt for behandling af personoplysninger i forbindelse med transmission og levering af udstedt bevis, indtil beviset ligger i brugerens tegnebog - CVR-numre i modtagerpartregistret, der henviser til en enkeltmandsvirksomhed Digitaliseringsstyrelsen sig med at denne information kun er midlertidigt lagret til sikkerhedsformål under ISO270001. Men hvis det bliver midlertidigt lagret, kan det også trækkes ud. Det skal dog siges, at det stadig er usikkert om staten er i stand til at kunne kæde data sammen. Det er dog mit indtryk, at det relativt nemt ville kunne lade sig gøre, forudsat man ønsker det. Det er klart min vurdering, med en Phd i Informationssystemer i baggrunden og mange års erfaring med dataanalyse, at sammenkædningen mellem transaktion og borgerens identitet, blot kræver at det bevis som er udsendt på borgerens enhed, bliver synkroniseret via forretningen til et fælles register, når borgeren foretager en verifikation af alder. Beviset i sig selv, vil således kunne fungere som et unikt ID, der registrerer brugeren, forretningen og selve transaktionen. Så selvom Digitaliseringsstyrelsen måske holder dette adskilt lige nu, er der ingen garantier for at dette ikke kan samles i fremtiden. #dkpol #dkmedier #overvågning #aldersverifikation
