I valgkampens innspurt høsten 2013 sjekket jeg om de politiske partiene i Norge overholdt personopplysningsloven og de krav/anbefalinger som er gitt av Datatilsynet. Det jeg fant var såpass overraskende at jeg tipset Aftenposten, som selv kontrollerte, og fikk en klar tilbakemelding om lovbrudd for partiene da de henvendte seg til Datatilsynet. Saken til Aftenposten ligger tilgjengelig her.
I tillegg kritiserte jeg også partiene Høyre og Venstre for svak epost sikkerhet, også dette gjennom Aftenposten.
Nå, 6 måneder senere, var det tid for å sjekke hvilke partier som har holdt sine løfter og etablert den sikkerheten de er lovmessig pålagt å ha.
La oss ta det positive først;
MDG, Venstre, Høyre og Frp har etablert kryptering for å sikre personvernet ved innmelding i partiene. Høyre har også flyttet sin epost tjeneste hjem til Norge. Der slutter de gode nyhetene.Kryptering på websider for innmelding
[Klikk på bildet for full størrelse] |
NKP, Rødt, Senterpartiet, Krf, Pensjonistpartiet og Demokratene har fortsatt ikke etablert det lovpålagte minimum for å beskytte sensitive personopplysninger (her: politisk oppfatning og evt medlemskap).
Piratpartiet har en for meg akseptabel måte å håndtere innmelding på (innbetaling via bank), mens De Kristne ber om å få innmelding tilsendt via ukryptert epost.
Selv om Venstre har etablert en kryptert løsning (venstre.alreadyon.com), så vil innmelding via deres vanlige hjemmeside fortsatt gå ukryptert. Jeg håper at dette bare er snakk om en kort overgangsperiode før den nye løsningen er den eneste i bruk.
Samtlige partier benytter digitale sertifikater fra ulike utenlandske leverandører for å bekrefte sin identitet. Det er gjennomgående billige eller til og med gratis sertifikater som er tatt i bruk, i den grad tillit skal diskuteres. Det skal sies at en norsk leverandør av digitale sertifikater er tilgjengelig, og som ellers både anbefales og benyttes for bl.a. ALTINN og andre tjenester.
Mest overraskende er dog oppsettet fra Høyre; selv om de benytter kryptering på sin side dugnad.hoyre.no, så tillater oppsettet uautorisert avlytting av absolutt all kommunikasjon på en relativt enkel måte. En konfigurasjonsfeil som en kvalitetskontroll enkelt burde ha fanget opp. Det gjør ikke saken bedre at de annonserer på siden at alt innhold nå går kryptert, slik konfigurasjonen er pr dags dato.
Plassering av webserver
Personvern på tvers av landegrenser kan være en utfordring grunnet ulik lovgivning, hvor Norge står sterkt sammenlignet med de fleste land. I så måte er det grunn til å stille spørsmål om hvorfor SV har sin webserver plassert i Tyskland, MDG står i Nederland, Høyre har valgt å bruke Amazon (EU), mens Frp er plassert i Finland. Er det mulig å be om innsyn i databehandleravtalen disse partiene skal ha etablert med sine leverandører for mottak og behandling av sensitive personopplysninger?
De øvrige partier har sine webservere plassert i Norge, enten hos en ekstern leverandør eller under egen kontroll. Like fullt er databehandleravtale også aktuelt her.
Epost sikkerhet
[Klikk på bildet for full størrelse) |
Når man ønsker å sende epost til de politiske partiene går de fra din maskin via din epost leverandør til partiets epost server, og derfra til mottaker. Som i august 2013 finner jeg at Venstre sender sin epost via Google i USA. Det gjør også SV og MDG, mens Krf sender sin epost via Microsoft i England.
De øvrige partiene har sine epost servere plassert i Norge.
NKP, Rødt, Senterpartiet, Pensjonistpartiet, og De Kristne støtter ikke slik epost kryptering.
Arbeiderpartiet har støtte for epost kryptering, men oppsettet muliggjør allikevel full avlytting av all kommunikasjon grunnet konfigurasjonsfeil som en kvalitetskontroll burde ha fanget opp. Det samme gjelder Piratpartiet.
Oppsummering
Både de svakheter og lovbrudd som her påpekes kan enkelt og raskt korrigeres av kvalifisert personell. I flere av tilfellene ligger det ingen eller beskjedne eksterne investeringer for å overholde krav og anbefalt god praksis. Etter 6 måneder ville jeg ha forventet at dette for lengst var utbedret.
Jeg håper virkelig at partiene vil ta dette seriøst, og ikke skylder på små budsjetter eller mangel på tid. Flere, om ikke samtlige partier, har involvert seg stort i personverndebatten i løpet av de siste 1-2 år. Jeg er glad for det, men ønsker virkelig å se at man også tar ansvar i eget hus for egne uttalelser.
No comments:
Post a Comment
All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.