Search This Blog

Populære indlæg

Monday, June 19, 2017

debatten om borgernes data censureres og kvæles

læs følgende artikel: https://www.version2.dk/artikel/professor-mine-sundhedsdata-skal-ikke-bruges-uetisk-forskning-1077634

det er sjovt nok det jeg har skrevet om her: https://helenepigen.blogspot.dk/2017/06/disruptions-radet-og-dansk-statslig-it.html - ordvalget har måske ikke været det pæneste men det fortjener emnet ikke da det konstant nedprioriteres!

indtil videre vil hverken jp, eb eller v2 tage den debat jeg prøver at rejse. de er åbenbart imod større kontrol til borgerne - altså større kontrol over vores egne data.

Disruptions rådet og Dansk statslig it fuck-ups

Hvis jeg havde magt som jeg havde akt med hensyn til statslig it her i landet så ville jeg
starte med at finde nogle ligesindede og bare blive enige om at erklære den måde det
foregår på nu for highway to hell!

Jeg ville nedsætte et it råd bestående af en styregruppe der som de eneste har
beslutningsmagt når det kommer til statslig it. Derudover skal rådet have faste eksperter
og mulighed for at hyre ekstern rådgivning. Om dette råd skal være et selvstændigt
ministerie med egen minister eller et statsligt organ udenfor den politiske arena er der
argumenter for og imod.

Ved et selvstændigt ministerie er der et tættere parløb med regeringen (det er jo en del af
samme) hvor det ved et konsortium er udenfor politik da chefen ikke skiftes ved hver ny
regering. Afvejningen er altså kortere vej til magten eller højere grad af kontinuitet.

Borgerens data. Vi leverer alle til statens data opsamling. Når vi går til lægen, i skole,
trafiktællinger, straffeattester, pas-billeder og så videre.

Vi kan lige så godt omdefinere begrebet cpr-nummer. Det er ikke noget der er hemmeligt
og det kan ikke bruges til autentikering men kun identifikation. Altså at cpr-nummeret er en
offentlig nøgle man bruger som id i systemerne.

Vi har ingen kontrol over de data. Overhovedet. Når først staten har fået dem er det ude af
vores hænder, akkurat som Facebook og Google (som nogle politikere er efter netop
omkring privatliv og databeskyttelse). Der skal skabes et udvekslings interface der
håndterer data udveksling med andre systemer. Dette er en form for personlig datawall
under den enkelte borgers kontrol. Her kan folk vælge om deres data må deles med
andre, for eksempel til forskning, statistik og analyser. Dette er overordnet da der er
mange ting ind over: nogle vil gerne donere data til kræftforskning men kunne aldrig
drømme om at levere noget som helst til private analyse institutter, andre igen vil sige intet
skal deles og nogle vil sige bare tag løs. Faktisk skal borgeren som minimum have
mulighed for at data kun deles anonymt og at deres data ikke forlader landets grænser.
Begge dele vil give udfordringer. Kun anonym deling kræver at der laves en form for
hashing eller scrambling af data således at den enkelte ikke entydigt kan identificeres
(dette er ekstremt svært når man har data nok om den enkelte) og ved ikke at tillade data
forlader landets grænser kan man afskære sig fra lægeundersøgelser ved hjælp af for
eksempel IBM Watson.

En kategori bør være adskilt fra de andre: udvikling af statslige it systemer. Her bør man
kunne vælge om man ønsker at ens data bruges i test af statslige it systemer. Man bør
også kunne vælge at det kun må ske anonymt. Dette kan løses ved at alle der ønsker
anonymitet får deres data byttet om, efternavne, cpr-numre, adresse, ja alle felter. En gang
om måneden kan man køre en scramble algoritme på test-data der gør det sværere at
identificere den enkelte (faktisk noget nær umuligt).

Når det kommer til udvikling kan enkelte virksomheder udpeges som statslige udviklere
hvilket betyder at de får ansvar for at udvikle en standard løsning der skal være dækkende
for opgaven.

For eksempel at lægen både har adgang til patientjournal og receptsystem. den nemmeste
løsning er nok en vpn og et webbaseret bruger interface da det så vil kunne køre på stort
set alle enheder. Alle de projekter statslige udviklere laver skal være open source.
Grunden til at jeg ønsker både statslige og private udviklere er ganske simpel: når man har
statslige udviklere kan man ganske enkelt sætte en standard. Helt ærligt hvem betaler for
et produkt når den statslige open source udgave er milevidt bedre?

En statslig udvikler kan sagtens udvikle private løsninger med ekstra funktionalitet. Derfor
skal grund løsningen være open source da det ellers vil give en uhensigtsmæssig
skævvridning overfor små udviklere der til gengæld kan specialisere sig indenfor nicher.

Der skabes altså et fælles api alle kan benytte. Det vil være klogt at bruge små objekter
der kan en ting men til gengæld kan det rigtig godt. Der laves en analyse af opgaver og så
udvikles det som små atomare systemer der trækker på samme datakilder. Med hensyn til
gui så kan man samle de enkelte undersider i for eksempel læge-main.aspx, addresse-
main.html eller hvad der nu dukker op.

Dette vil sikre bedre integration systemerne imellem. Data udveksling er ultra vigtigt i dag,
derfor skal der fastsættes sikkerhedskriterier der skal overholdes før et stykke software
kan godkendes. Denne godkendelse fås hos styregruppen.

Det vil være dumt at låse sig fast på bestemte sprog da man givetvis afskærer sig selv fra
en bedre delløsning. Et sprog er ikke bedst til alt og det bør udnyttes. Desuden giver det
større muligheder for at få udviklet noget der sparker røv i den private sektor.

Meget tidlig indragelse af brugere og borgere i udviklingsfasen. Et stykke papir og en
blyant og et par timer med en medarbejder fra skat vil nok give større chance for succes
når man udvikler løsningen.

Og så en meget vigtig funktion - måske den vigtigste, nemlig funktionen til at terminere et
projekt der er kørt af sporet. we're creating a monster - kill it! kill it! Destroy!

Det er nogenlunde hvad jeg har overordnet. Går vi længere ned i design og implantation
begynder det at blive mere teknisk og vil være alt for langt til et enkelt debatindlæg.
Derudover er min viden på specielt sikkerhedsområdet lidt rusten da jeg valgte at afvæbne
mig selv omkring 2012 ;-)

Jeg lagde et udkast her https://www.facebook.com/groups/sikkerhed/permalink/10155373638202641/ og
derfra stammer brugerindragelse tidligt i processen. Jeg havde valgt at lægge det under analyse og design.

No comments:

Post a Comment