Dec 20, 2012

God Jul 2012






Links med Nissefar og Rudolf: :

God Jul 2011
God Jul 2010

Gi en gave for Personvernet

Gi personvernet en gave til jul:



Du kan også betale over nettet, printe ut kvitteringen og laste ned tegninger du finner hos Digitalt Personvern. Sett sammen til en pent gavekort og gi til noen du er glad i.





God Jul 2012

Dec 2, 2012

Hvor er dataene fra 22.juli 2011 - "Bildebeviset"

Det kom tidlig frem at politiet lekket til pressen.
Eksempelvis tidspunktet for "rekonstruksjonen med Breivik på Utøya" og bildemateriale fra overvåkingskameraet som filmet øyeblikket da personer ble drept utenfor regjeringskvartalet. Selv husker jeg best bildene fra ABCnyheter september 2011. Data og bilder som ikke hadde vært kjent for bistandsadvokatene hadde blitt publisert i media. (Dette er bekreftet av statsadvokatene.)
Og lekkasje av den rettspsykiatriske rapporten, husker vel de fleste ...


"Bildebeviset" i media

I februar skrev media at politiet hadde bedt Oslo tingrett trekke tilbake oppnevnelsen av en bistandsadvokat etter mistanke om lekkasjer til mediene. Politiet mente fotoer i pressen opprinnelig hadde blitt utlevert denne bistandsadvokat. I følge politiet hadde de utlevert elektronisk sporbart materiale ved at samtlige bistandsadvokater fikk dokumenter med et unikt nummer representert med vannmerking av elektroniske bilder. Følgelig kunne de avlese det elektroniske vannmerket fra nettavisens bilder, og sjekke dette vannmerket mot hver enkelt bistandsadvokat.
I prinsippet høres dette greit ut, og det kunne ha vært så om politiet hadde nyttet en etterrettelig prosedyre, noe de beviselig ikke gjorde.

Forut for dette hadde bistandsadvokatene bedt om etterforskning av lekkasjer fra politiet. Saken ble henlagt, og mens en bistandsadvokat får bot for å (muligens kunne) ha lekket til pressen, så lekker politiet risikofritt.
Rapporten fra Spesialenheten bekrefter at politiet har lekket data. De omtalte data har vært tilgjengelig for svært mange personer (fra et perspektiv om datasikkerhet; omtrent på størrelse med en middels stor landsby) og saken henlegges.

Politi har også tilbudt salg av informasjon og etterforskes for mulig korrupsjon.


Produksjon av elektronisk sporbare feller (e-felle)

En kan lett forstå at planting av elektroniske feller kan være nyttige for å sikte seg inn mot kilder, i leting etter nålen i høystakken.
En må skille mellom metoder som elliminerer høystrå og metoder som identifiserer nålen.
Om en e-felle skal ha verdi som bevismateriale, må den garantere for autentitet og være etterprøvbar. En må kunne dokumentere hele prosessen for syklusen fra data inngår for produksjon av e-fellen og til den innhentes som "e-bevis".
Ved utlevering av data bør det være krav at der foreligge prosesser for behandling av innhentet data, registrering av disse, med sporings-mekanismer av videre dataflyt og behandling, kontroll med og logging av hvem som har aksess til dataene, hva dataene nyttes for - og en sikker, etterprøvbar kontroll av dataenes behandling gjennom hele syklusen, fra innhenting til sletting.
Tilsvarende som en krever revisjon av regnskap, må en kunne redegjøre for transaksjoner av data.
I beste fall har en her eliminert noen høystrå slik at en sitter igjen med noe mindre høystakk enn den opprinnelige. Det gjenstår mye etterforskning bl.a. relatert "bildebeviset" for å kunne, med rimelig overbevisende sannsynlighet, identifisere kilden til lekkasjen.

I verste fall dømmes feil person.

Jeg har lest de rapporter og dokumentasjon som foreligger offentlig tilgjengelig. Jeg sitter igjen med flere ubesvarte spørsmål enn svar.
Et tilfeldig eksempel: hvordan har det seg at pressen kunne ha upubliserte data 2 dager før "billedbeviset" dukket opp i media, men ventet med å publisere til bistandsadvokatene hadde fått sine CDer med upubliserte data?

Jeg ser dette fra en teknologisk ståsted, og anser politiets eksperiment kun egnet som egenopplæring av de som utførte dette, men absolutt ikke egnet for bevisførsel i en rettsak.
(Dette fremkommer av de dokumenter som er tilgjengelig, se også de tekniske rapportene fra Hannemyr og Møllerhaug.)


Alvorlig
Data som feilbehandles, havner hos feile personer og/eller som blir manipulert (tilsiktet eller utilsiktet) kan ha store økonomiske, sosiale, personlige og/eller politiske konsekvenser for de berørte parter.
Det er en svært alvorlig handling å fremme egen-produserte elektroniske bevis for bevisførsel i en rettsak.
Den som gjør dette bør være rustet med tilstrekkelig kunnskap og der foreligge en fullstendig logg og dokumentasjon som er etterprøvbar, og som sikrer dataenes integritet.

En kan ikke bruke én enkelt politipersons utsagn, kunnskapsnivå, vurderingsevne og/eller troverdighet som eneste bevisførsel, som vel er hva dette koker ned til.


Politiet tviler på egen metode

Politiet er muligens bevisst at dette tullebeviset mot bistandsadvokatene henger i en syltynn selvspunnet tråd, og sier:
"Det kan komme flere lekkasjer fra 22. julietterforskningen til tross for rettens avgjørelse" (...om at bistandsadvokaten ikke får fortsette.) (Lytt selv her

I tilleg forsøkte politiet, på ulovlig vis, å sikret seg trafikkdata fra fem telefoner tilhørende advokatens kontor, blant disse er telefoner med advokatkontorets klienter.

"Billedbeviset" er ikke så vanntett som vannmerkingen kan villede noen til å tro, og en bør spørre om det forsøkes å rette baker for smed (da politiet er under sterkt press).


Rettsak og etterprøving fra offentligheten

Få rettsaker vekker medias interesse. Langt færre vekker Hvermannses interesse.
Den som er tiltalt bør ha krav på at ens sak kan etterprøves.
Med unntak av informasjon av høyst personlig karakter, så tjener det ikke tiltalte at dokumentasjon (eller mangel på sådan) skjules fra offentligheten.
Riktignok kan en henvise til at en rettsak er åpen for publikum og presse, men en rettsal er ikke egnet for å stille/besvare spørsmål fra publikum, samt at materialet gjerne er komplisert.

Om en skal nytte e-feller og e-bevis i rettssak, sa krever dette at dokumentasjon er tilgjengelig for etterprøving - på forhånd.

Ved å produsere et e-bevis som bryter med de fleste profesjonelle regler for etterprøvbarhet og etterrettelig sikkerhet - som den tiltalte selv må motbevise, så har en snudd bevisbyrden på hodet.

Rettsvernet svekkes og blir overlatt til tilfeldigheter - noe som ikke er en rettstat verdig.


Bekymringsverdig

En tenker seg at e-bevis kan kunne få tiltagende plass i rettssaker.
Men har en tenkt hvordan dette skal dokumenteres og etterprøves og vurderes av den dømmende makt?
Vil aktor eller dommer forstå forskjell mellom hjemmelagde MikkeMus-bevis og etterprøvbare e-bevis? 

Hvordan skal offentligheten kunne etterprøve e-bevis som blir produsert og/eller nyttet som bevis i rettsak?
Hvordan kan en kritisk pressen kunne vurdere dette?

Hvordan skal vi sikre oss mot misbruk av elektroniske data - data som ingen kan eller får etterprøve, men som vil ha stor betydning for det enkelte individ?

Hvilket samfunn ønsker vi?


Oppdatering feb.2013

Det har kommet frem i tingretten januar 2013 at politimannen som produserte "billedbeviset" - hadde PC med auto-kobling til åpne trådløse nett og konto for filedeling.
Kilde, fra rettsaken Advokatbladet nr.2/2013, side 4-9 


For ordens skyld:
Jeg har ingen formening om hvem som står bak lekkasje av det omtalte materialet utover at det tilgjengelige materialet tilsier at der er (altfor) mange mulige kilder.
Etterforskning kreves for å peile seg mot denne kilden.



Links:

Relatert lekkasjer til pressen
Etterforsker mulig korrupsjon i 22. juli-saken
Politiet får ikke adgang til Klomsæts telefon (Aftenposten)
Politiet får ikke adgang til Klomsæts telefon  (Hegnar)
Politiet hadde ikke rettslig kjennelse - Tok Klomsæts klienttelefoner
Henlagt lekasje «Men grunn til å tro at bildene er lekket fra politiet...»
Polititjenestemann tilbød salg av 22. juli-dokumenter
Bildebevis Slik var politiets hemmelige plan
Ingen likhet for loven
Melder Oslo-politiet til spesialseininga for politisaker
Fikk tilbud om å kjøpe 22. juli-dokumenter fra politiet
Polititjenestemann tilbød salg av 22. juli-dokumenter
NRK: Fikk tilbud om å kjøpe 22. juli-dokumenter
Bistandsadvokater frykter kollegaer lekket Breivik-avhør
Bistandsadvokat påklager henleggelsen til Riksadvokaten
Det kan komme flere lekkasjer
Politiet lekker risikofritt (2.mars 2012)
Ikke en eneste tanke om kildevern
Utviklet program for 22.juli-enhet
Kan vi stole på alle i politiet?

Rapporter
Bevisets stilling - Hvor kommer de lekkede bildene fra? Hannemyr 2012-09-21
Lekkasjesaken - Datasakkyndig rapport, Hannemyr 2.11.2012
Angivelig lekkasje av politimateriale - Datasakkyndig rapport, Møllerhaug 2.11.2012
Spesialenhetens vedtak 22. oktober 2012 - Lekkasje av bildemateriale fra 22. juli 2011

Diverse
Dette monsteret finner passordet ditt- Går gjennom 350 milliarder kombinasjoner – i sekundet.

Hvor er dataene fra 22.juli 2011

I en kjennelse fra Oslo tingrett, der bistandsadvokatene ble nektet innsyn i en rekke politidokumenter, går det fram at politiet sitter på 1,4 millioner registrerte samtaler som er en del av etterforskningen.

Ifølge kjennelsen er dette samtaler som knyttes til Breiviks bevegelser forut for 22. juli .... og andre elektroniske spor:

Politiadvokaten sier samtalene ikke bare er knyttet til Breivik, men også alt som skjedde 22. juli:
- Dette er ikke kun samtaler som knyttes til Breivik. Dette er alle samtaler som er registrert på basestasjoner i tilknytning til både bomba i Regjeringskvartalet og aksjonen på Utøya. Vi må analysere tid, lengde og fra hvilke basestasjoner de er registrert på. Vi prøver å finne ut hvem som har ringt til en hver tid, også i dagene før, sier politiadvokat til Dagbladet.

En slik stor datamengde vakte interesse hos EU, som - siden våren 2009 - ikke har klart å oppfylle egne juridiske forpliktelser relatert evaluering av Datalagringsdirektivet
Article 14 (Directive 2006/24/EC) :
Evaluation
1. No later than 15 September 2010, the Commission shall submit to the European Parliament and the Council an evaluation of the application of this Directive and its impact on economic operators and consumers, taking into account further developments in electronic communications technology and the statistics provided to the Commission pursuant to Article 10 with a view to determining whether it is necessary to amend the provisions of this Directive, in particular with regard to the list of data in Article 5 and the periods of retention provided for in Article 6. The results of the evaluation shall be made public.
2. To that end, the Commission shall examine all observations communicated to it by the Member States or by the Working Party established under Article 29 of Directive 95/46/EC.

EU ønsket derfor innsyn i data-etterforskningen av Breivik i håp om å finne noe fra datamengden som de kunne bruke i evaluering av datalagringsdirektivet.


Store datamengder

EU drømmer om en sunami av data skal gi myndighetene ubegrensede muligheter til detaljovervåking av borgerne.  (ref. rapport The shape of things to come - EU FutureGroup ).
“Every object the individual uses, every transaction they make and almost
everywhere they go will create a detailed digital record. This will generate a
wealth of information for public security organisations, and create huge
opportunities for more effective and productive public security efforts." 

(EU Council Presidency paper)                   
Aftenposten omtalte nylig den "tidevannsbølge av data" som 22.juli etterlot seg. Politiet druknet i data og livsviktig informasjon kom ikke frem. (ref. Aftenposten Innsikt, 8.nov.2012).

Det er en god regel å begrense innhenting av data til hva som er strikt nødvendig for det formålet de legitimt skal tjene - og ha en veldokumentert, fungerende prosess som sikrer autentit, integritet, sporbar dataflyt og helhetlig sikkerhet for dataene.

Jeg er av den oppfatning at samtlige som befant seg innen de aktuelle områder hvor millioner av data ble akkumulert fra, bør få en redegjørelse for hva som skjedde med deres data, hvem behandlet dataene, og hvordan - og en bekreftelse på at deres data er slettet - uten distribuerte kopier.


Data som bevismateriale

Ved utlevering av data bør det være krav at der foreligge prosesser for behandling av innhentet data, registrering av disse, med sporings-mekanismer av videre dataflyt og behandling, kontroll med og logging av hvem som har aksess til dataene, hva dataene nyttes for - og en sikker, etterprøvbar kontroll av dataenes behandling gjennom hele syklusen, fra innhenting til sletting.


Tilsvarende som en krever revisjon av regnskap, må en kunne redegjøre for transaksjoner av data:
Data som feilbehandles, havner hos feile personer og/eller som blir manipulert (tilsiktet eller utilsiktet) kan ha store økonomiske, sosiale, personlige og/eller politiske konsekvenser for de berørte parter.

Men vi husker jo Faremo hadde en kommentar under DLD-høringen om at overskudd-dataene fra DLD kunne i fremtiden bli brukt...til noe. Til hva, sa hun intet om.



Dec 1, 2012

En menneskerett: Pasientens data er ikke Statens eiendom

Vi husker all nytale fra DLD-debatten, hvor statlig overvåking for datalagring av borgernes private kommunikasjon ble nytalt som personverntiltak.
Helseministerens siste newspeak er at sentralisert pasientdata akkumulert i en database under statlig kontroll = pasientsikkerhet.


Der er svært mange som ønsker våre høyst private helserelaterte data;
Forskere ønsker aksess
Legemiddelindustrien ønsker aksess (teste nye medikamenter, forskning, selge produkter). 
Bioteknologi tilsvarende.
Apotekene ønsker aksess.
Fastlegen med hele legekontoret, samarbeidspartnere og sekretærer har aksess. 
Bl.a. Microsoft har lenge lobbyet intenst for sine konsepter, det ene verre enn det andre.
Demente skal GPS-tagges
Eldreomsorgen skal betjenes via SMS
og/eller Roboter med "varme hender"
De som er totalt hjelpesløse skal få sensorer som kan detektere om de faller, om de ikke kommer seg til/fra toalettet, om kroppstemperaturen faller, osv.
Nye boliger skal være rustet for totalovervåking av beboerne. 
Implanterte multisensorer kan bidra til ny innovasjon.
Tele-monitorering av medikamentbruk, nanoteknologi i implantater har biomarkører som sender (trådløst) informasjon om pasientens tilstand.
(Ingen vil nevne farene, men planlegger for trådløs både i, og ved menneskekroppen...)
Om konseptet skal fungere må all pasientdata akkumuleres og sentraliseres - fra de første blodprøver fra de nyfødtes "nyfødtscreening" fram til den døendes siste urinprøve.
Politikere tror de kan delfinansiere helsebudsjettet ved å "leie ut" borgernes helsedata samtidig som byråkratene kan, bokstavelig talt,  monitorere og datamine statlig helse...

Dette er noe spissformulert, men er dog litt av hva som planlegges... (se også NOU 2011:11 og Digital Agenda om e-helse).

Sensitive pasientdata lagres i "cattle class" (nettskyen).

Elektroniske pasientjournaler og biologisk data flyter nærmest fritt i Cyberspace, og selges nå på det åpne markedet. En kan t.o.m. bestille data - de kommer i grupper av tusener...
Bare fra siste uke: Har fått tilgang til pasientinformasjon om flere hundre tusen mennesker 
- og "Mangelfull tilgangsstyring til elektronisk pasientjournal truer taushetsplikten" har Helsetilsynet tidligere skrevet.

Når statlig sentraliserte helseregistre og pasientjournaler nytales som "pasientsikkerhet", burde kanskje noen hviske Helseministeren i øret at han ikke er så smart som han tilsynelatende tror.

Ikke så ulikt den arroganse en har vist relatert menneskerettigheter generelt:
Norge kan miste talerett og bli degradert til observatør i FNs menneskerettighetsorganer.
FN har degradert Norges nasjonale institusjon for menneskerettigheter fra A- til B-status.



Fra Privacy International:

Surveillance Monitor 2011: Assessment of surveillance across Europe
(the project was funded with the support of the Fundamental Rights and Citizenship Program of the European Commission.) 


Key findings :
The Good ...  The Heroic ... The Awkward ... The Bad ...
and - finally -

The Ugly :
  • Direct access to information held by third parties without warrants or oversight, conducted by unaccountable bodies. (e.g. Bulgaria, Croatia, ) 
  • Inability to audit and review the actions of security services. (e.g. Lithuania, Croatia, Estonia, Hungary, Sweden) 
  • Medical databases are emerging with centralised registries. (e.g. Croatia, Czech Republic, Denmark, Sweden, Norway, UK).