Jump to content
Redaksjonen.

KOMMENTAR: Offentlige virksomheters nye samfunnsansvar

Recommended Posts

Dette er et ansvar politikerne må ta innover seg. Det kunne også med fordel være fokus på holdninger til personvern/sikkerhet når det ansettes teknologer, spesielt i ledende stillinger / stillinger med beslutnings/innstillingsansvar. For jeg tror IKKE den gjengse politiker på lokalt eller nasjonalt nivå har hverken kunnskap nok eller tilstrekkelig forståelse for utfordringene.

 

Jeg etterlyser et større kollektiv av offentlige institusjoner som samarbeider om sikre og nasjonalt kontrollerte løsninger.  Nå har vi jo etterhvert fått noen sentraliserte enheter som har mulighet til å ivareta slike interesser for sine områder, men desentraliserte institusjoner som kommuner, fylker, helse mm bør også fokusere på samme måte. Utvikle SIKRE løsninger som beskytter offentlige institusjoners, bedrifters og privatpersoners informasjon.

 

I hvilken grad en skal fokusere på om informasjonen er sensitiv eller ei bør strengt tatt ikke være det offentliges vurdering. Kanskje grunnregelen bør være: "Dersom informasjonen ikke er lovbestemt offentlig tilgjengelig, så skal den behandles som om den er sensitiv", med sporbarhet for all tilgang eller forsøk på tilgang.

Share this post


Link to post

GDPR gir privat næringsliv ganske gode incentiver til å behandle personinformasjon riktig ved at et selskap kan ilegges bot på opp mot 4% av forrige års omsetning ved alvorlige brudd (og opp mot 2% for mindre alvorlige brudd).

Share this post


Link to post

GDPR gir privat næringsliv ganske gode incentiver til å behandle personinformasjon riktig ved at et selskap kan ilegges bot på opp mot 4% av forrige års omsetning ved alvorlige brudd (og opp mot 2% for mindre alvorlige brudd).

....næringslivets svar på GDPR er gnagsår og seneskjedebetennelse.

  • Like 1

Share this post


Link to post

Det offentliges rolle er å lage retningslinjer. Det offentliges oppgave er ikke å oppbevare eller diktere hvordan oppbevaring skal skje.

Det offentlige er ikke og vil ikke kunne være i stand til å følge med på den teknologiske utviklingen. Om du virkelig er interessert i gode løsninger så konsentrere deg om funksjonalitet.

Tjenestene Google og AWS tilbyr er infrastruktur og tilbudene er veldig gode. Infrastrukturtjenester som tilbys av det offentlige og av norske og europeiske aktører er dessverre ikke i samme klasse. Kvaliteten på de amerikanske tjenestene er dessverre så mye bedre og sikrere at det nå er stupid å argumentere for å basere tjenestetilbud på avleggs norsk og europeisk infrastruktur.

Ta gjerne forholdsregler, lage sikkerhetsmekanismer, krypter data osv men ta i bruk mulighetene som finnes. Ingen kommer til å takke deg for at du holdt igjen utviklingen på området du helt klart brenner for.

Hilsen en som har bygget store IT infrastrukturer i Norge i 25 år.

Share this post


Link to post

Nåhja. -Ikke stole på private aktører? -Skal vi så stole på offentlige institusjoner?!?

Hmmm. Hva med å gå noen år tilbake i tid, hvor man tok ansvar for sine egne ting? -I stedet for å stole på andre, -‘fordi det er praktisk’?

 

Faen, altså, folk er blitt så dumme og korttenkte.

Edited by Sandormen

Share this post


Link to post

Det offentliges rolle er å lage retningslinjer. Det offentliges oppgave er ikke å oppbevare eller diktere hvordan oppbevaring skal skje.

Det er selvsagt det offentliges oppgave å forvalte den informasjonen de har om borgere og bedrifter. Ikke minst fordi de pålegger borgere og bedrifter å gi dem sensitiv informasjon.

 

Det offentlige bestemmer selv hvor og hvordan de skal oppbevare og evt tilgjengeliggjøre informasjon. De overordnede retningslinjene er det politikerne som bestemmer, og det innebærer også at de både kan og bør instruere forvaltningen om hvilke kriterier som gjelder.

 

Private nasjonale/internasjonale tilbydere av tjenester har ikke noen beslutningsmyndighet mht hvilke lover, regler og forskrifter som skal gjelde. De har å rette seg etter det som er besluttet.

Share this post


Link to post

Aktører som Google tilbyr fullstendige økosystemer der offentlige og private kan kryptere og lagre informasjon og håndtere krypteringsnøkler etter egne krav.

Ta det i bruk og utnytte tilgjengelig teknologi til å lage best mulige tjenester, i stedet for å fortsette å argumentere for langt mindre sikre og utidsmessige løsninger.

Share this post


Link to post

Nei, det bør være norskutviklet, norskeid og norskdriftet. Jeg har ingen tro på at Google og andre ikke har bakdører eller måter å snappe opp info før kryptering eller etter dekryptering. Etter Snowden-avsløringene vet vi at USA (og garantert flere) har omfattende spionasje gjennom blant annet Googles tjenester (Angela Merkel-saken). Googles "offentlige" tjenester kan i beste fall bygge bro mellom de mer åpne tjenestene og en helnorsk tjeneste.

 

Første steg i sikring av det nasjonale digitale gullet er å bygge skikkelige opp skikkelige norske tjenester og deretter begynne å stramme inn på Google og andre tjenester fra utlandet. På lang sikt bør fremmede tjenester blokkeres helt.

Share this post


Link to post

Mitt inntrykk er at teknologer setter dagsorden, og jeg kan ikke se at majoriteten blant teknologene er spesielt opptatt av skal vi si mer overordnet filosofisk/prinisippiell tilnærming til (i dette tilfellet det offentliges) behov for vern av informasjon. Mitt inntrykk er at holdningen generelt er utpreget naiv.

 

Dette er en av grunnene til at rent teknokratiske samfunn ikke er ønskelig.

Edited by 1J7HHBGW
  • Like 1

Share this post


Link to post

Ett perspektiv som også ofte oversees når det kommer til "datagullet" er jo også at vi skal få noe verdi ut av det, vi tar jo ikke vare på dataene bare for å sikre dem. Var målet bare å stoppe innsyn kunne vi bare slettet dataen.

 

Og det er her jeg er mest bekymret for fremtiden til data som det offentlige forvalter, det er ett problem i dag at vi ikke har nok data i god nok kvalitet til å sette i gang med maskin læring og AI. Men når mange ledere og politikere vil sende våre data spredd rundt omkring verden hos hvem enn leverandør som er billigst på hvert anbud for å spare noen småkroner på kort sikt, vil vi ende opp med så fragmentert løsning at data blir ubrukelig og at vi i effekt aldri vil komme til det punktet hvor vi kan på en god måte kan automatisere oppgavene det offentlige utfører.

 

Heldigvis er det noen lyspunkter, jeg har hørt at de har ett datasjø-prosjektet i Bergen kommune for eksempel, kjenner ikke så mye til prosjektet men er jo fint at de har begynt å tenke på å hente ut verdi av dataene de lagrer. 

Share this post


Link to post

Målet er selvsagt å anvende informasjonen innenfor gitte rammer, men sikring av data og kontroll med tilgang er en forutsetning som må ligge til grunn hele veien. Data skal heller ikke anvendes til formål de ikke er innsamlet for. Banalt men tydelig eksempel: Kemneren skal ikke ha adgang til helseinformasjon. Sikring og kontroll med tilgang er en grunnleggende forutsetning for at informasjon som utveksles legitimt faktisk kan bli delt.

 

Så er jeg helt enig med deg at fragmentering er lite ønskelig - mht formater/struktur spesielt - og også tildels mht lokalisering, spesielt utenfor landets grenser.

Share this post


Link to post

Tilgangskontroll og at data ligger trygt er jeg mindre redd for, når det kommer til den delen virker det offentlige til å være ganske greit stilt om vi sammenligner opp mot det private næringsliv.

 

Å si at "Kemneren skal ikke ha adgang til helseinformasjon" er ikke nødvendigvis det beste for innbyggerene, de skal definitivt ikke ha ukritisk tilgang til all helseinformasjon(ingen skal ha det) men jeg vil ikke se bort i fra at om de har tilgang til spesifikk helseinformasjon kan dette føre til en bedre tjeneste ovenfor innbyggerene.

 

Vi burde ikke drepe all innovasjon bare fordi at det er noen utfordringer som man må finne ut av før det kan settes i produksjon.

Share this post


Link to post

Kemnere skal IKKE ha tilgang til helseopplysninger fra helseregistre. Punktum.

 

Tilgangskontroll for lagret informasjon innen det offentlige har helt klart blitt bedre, men det gjenstår fortsatt en hel del. Forbedringene har medført at personale faktisk kan bli tatt for f.eks snoking - men det er fortsatt mulig å gjøre det, så sikkerheten er ikke god nok.

 

Offentlige systemer som håndterer informasjon borgere, bedrifter og finansinstitusjoner er pålagt å oppgi, er ikke her for at det skal innoveres. Det skal innoveres i den grad det er nødvendig for at systemene skal være hensiktsmessige, men innovasjon i seg selv skal altså ikke være selve drivkraften.

 

 

  • Like 1

Share this post


Link to post

Tilgangskontroll og at data ligger trygt er jeg mindre redd for, når det kommer til den delen virker det offentlige til å være ganske greit stilt om vi sammenligner opp mot det private næringsliv.

Her har du et eksempel på at offentlig sektor ikke er moden for å håndtere personopplysninger som er sensitv for den personen det gjelder.

 

https://www.nrk.no/rogaland/xl/kampen-for-pasientjournalen-1.14614317

 

Første bud er et skikkelig lovverk med tilhørende forskrifter som beskytter informasjonen og inneholder harde sanksjoner ved brudd på lov/forskrifter.

 

Det neste punktet er tekniske løsninger som sikrer informasjonen 100% slik at det i praksis er umulig både å ta seg inn og å dele sensitiv informasjon.

 

Det tredje er å etablere en kultur og en praksis der holdningen er at informasjonen er hellig.

 

2 forhold regnes som "hellig" mht deling av fortrolig informasjon. Forholdet mellom advokat og klient, og forholdet mellom lege (helsepersonell) og pasient. Det er irrelevant hva stat og institusjoner ønsker seg av godbiter til annet bruk. Det er tillitsforhold som ikke skal brytes.

 

Inntil det offentlige har forstått konseptet er det all grunn til å være ytterst skeptisk til å la det offentlige dele informasjon med andre offentlige institusjoner/avdelinger osv osv.

Share this post


Link to post

Her har du et eksempel på at offentlig sektor ikke er moden for å håndtere personopplysninger som er sensitv for den personen det gjelder.

 

https://www.nrk.no/rogaland/xl/kampen-for-pasientjournalen-1.14614317

Ingen sa at det var perfekt, jeg sa at det offentlige var bedre enn det private. At det ikke er mange av disse type saker viser at det offentlige er modent og tar slikt på alvor.

Første bud er et skikkelig lovverk med tilhørende forskrifter som beskytter informasjonen og inneholder harde sanksjoner ved brudd på lov/forskrifter.

Når jeg leser dette følger jeg du har ett litt begrenset syn på sikkerhet, når det kommer til helseopplysninger er tilgjengelighet langt viktigere enn konfidensialitet.

 

Det neste punktet er tekniske løsninger som sikrer informasjonen 100% slik at det i praksis er umulig både å ta seg inn og å dele sensitiv informasjon.

Som jeg nevnte tidligere, sletter man all data er det helt sikkert, alle andre løsninger skaper utfordringer for sikkerheten.

 

Det tredje er å etablere en kultur og en praksis der holdningen er at informasjonen er hellig.

Denne kulturen er allerede på plass i de fleste helseforetakene, selvfølgelig er det avvik men igjen er det naivt å tro at alt skal fungere perfekt.

 

2 forhold regnes som "hellig" mht deling av fortrolig informasjon. Forholdet mellom advokat og klient, og forholdet mellom lege (helsepersonell) og pasient. Det er irrelevant hva stat og institusjoner ønsker seg av godbiter til annet bruk. Det er tillitsforhold som ikke skal brytes.

Det eneste som er "hellig" er loven, og som det meste annet er det også rom i loven for forbedringer.

 

Inntil det offentlige har forstått konseptet er det all grunn til å være ytterst skeptisk til å la det offentlige dele informasjon med andre offentlige institusjoner/avdelinger osv osv.

Igjen, det offentlige er ikke perfekt, men jeg synes ikke vi skal drepe innovasjon i jakten på det perfekte.

Share this post


Link to post

Dette har fint lite med innovasjon å gjøre.

 

Det dreier seg om elementær teknologi og "filosofiske prinsipper".

 

Man vet jo fint lite om hvor mange slike saker det er. Dersom det blir opprettet saker for snoking og sakene er initiert av den som er eksponert, så er det et tegn på at systemene ikke fungerer. Det finnes ikke unnskyldninger for at slikt ikke er ivaretatt. Dette skal være en integrert del av systemene, og en sykepleier/politimann som ikke har tilknytning til sak/behandling skal ikke kunne snoke fordi systemene skal forhindre det.

 

Fortrolighetsprinsippet er dypt forankret i de juridiske prinsippene og i legenes hippokratiske ed. Steingammel og relevant altså

 

""Jeg sverger ved legen Apollon, ved Æsculap, Hygeia (Helsen), og Panakeia, og jeg tar til vitne alle gudene, alle gudinnene, til å holde i samsvar med min dyktighet og dømmekraft, denne Ed. «Å holde ham som lærte meg denne kunst like kjær for meg som mine foreldre; å leve sammen med ham og om nødvendig dele mitt gods med ham; å anse hans barn som mine egne brødre, å lære dem denne kunst hvis de ønsker uten betaling eller skriftlig løfte; å overlevere kunnskapen til mine sønner og min læremesters sønner og disiplene som har vervet seg og har godtatt yrkets regler, men til ingen andre. Jeg vil bruke mine evner for det beste for mine pasienter i samsvar med min dyktighet og min dømmekraft og aldri volde noe skade. Jeg vil ikke gi dødelig gift til noen som ber om det, heller ikke gi råd til hvordan de kan avslutte sitt liv. Ei heller vil jeg gi noen kvinne en substans som fører til at hun aborterer. Men jeg vil holde både mitt liv og min kunst ren. Jeg vil ikke kutte etter stein, selv for pasienter hvor sykdommen viser seg; jeg vil overlate denne operasjonen til å bli utført av praktiserende, spesialister i denne kunst. I ethvert hus jeg kommer til vil jeg gå inn bare for pasientenes beste, holde meg selv langt fra all forsettelig skade og all forlokkelse til å elske med kvinner eller menn, fri eller trell. Alt som kommer til min viten under utøvelsen av mitt yrke eller i daglig samkvem med mennesker, som ikke burde bli kjent for andre, vil jeg holde hemmelig og aldri avsløre. Hvis jeg holder denne ed trofast, vil jeg kunne nyte mitt liv og utøvingen av min kunst, respektert av alle mennesker i all tid; men hvis jeg bli avledet fra min ed eller bryte den, måtte så det motsatte bli min byrde.»""

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...