[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] E-legitimation



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hej Erik,

Jag svarar inline.

On 06/04/2014 05:33 PM, Erik Mjöberg wrote:
> Hej Tobias!
> 
> Bra att Du tog upp frågan om samtycke.
> 
> I avtalet med min bank, Handelsbanken, finns ingenting om samtycke
> till att samla in uppgifter om besökta tjänster. Jag känner inte
> heller till att någon annan legitimationsutfärdare skulle ha en 
> sådan friskrivning. Slutligen kan utfärdaren begära samtycke till
> insamling av adressen till den anlitade tjänsten i samband med att
> tjänsten anlitas, men inte heller det har skett i någon av de
> tjänster som jag har anlitat.

Jag saxar från Handelsbankens villkor[1]

- --8<---------------cut here---------------start------------->8---
Banken behandlar i egenskap av utfärdare av betalningsinstrumentet
sådana personuppgifter om kunden som krävs för att administrera dessa
tjänster och för att kontrollera att betalningsinstrumentet är giltigt
och inte spärrat samt för att bevaka bankens rätt med anledning av
kundens användning av betalningsinstrumentet. Kunden har rätt att
efter skriftlig begäran till banken få information om vilka
personuppgifter som banken behandlar om kunden. Kunden har också rätt
att kräva rättelse av de personuppgifter som banken behandlar om
kunden om de skulle vara felaktiga eller missvisande. Kunden kan i
sådant fall vända sig till sitt bankkontor eller till Handelsbanken,
Centrala revisionsavdelningen, 106 70 Stockholm. Genom att godkänna
dessa villkor samtycker kunden till att banken i egenskap av utfärdare
av kundens betalningsinstrument lämnar ut sådana personuppgifter om kunden
–
till exempel kundens personnummer eller annat motsvarande
identifieringsnummer och uppgift om kundens banktillhörighet
–
till andra som accepterar av banken utfärdade betalningsinstrument som
är nödvändiga för att de ska kunna kontrollera att
betalningsinstrumentet är giltigt och inte spärrat och för att de ska
kunna bevaka sin rätt med anledning av användningen av
betalningsinstrumentet.
- --8<---------------cut here---------------end--------------->8---


- --8<---------------cut here---------------start------------->8---
Dessa villkor gäller för Handelsbankens inloggningskort som kan
användas av bankens kunder för elektronisk identifiering och
godkännande av uppdrag i banken och hos annan som accepterar av banken
utfärdade betalningsinstrument. Villkoren gäller också för annan
elektronisk ID-handling eller rutin som banken anvisar för inloggning
till och godkännande av uppdrag i Handelsbankens Internettjänst eller
annat kommunikationssätt som banken tillhandahåller.
- --8<---------------cut here---------------end--------------->8---

Jag är inte jurist (jag gissar att du inte heller är det), men som jag
tolkar det där så har Handelsbanken ganska explicit sagt sig ha rätten
 att lagra och behandla uppgifter gällandes elektronisk ID-handling.
Vidare gissar jag att Handelsbanken i egenskap av en bank har
_väldigt_ god koll på reglerna kring deras tjänster, helt enkelt
därför att banker tjänar pengar på att ha koll på reglerna och
finstilt i avtal ;)

> Så jag känner mig ganska kränkt av hanteringen ... Men det har en
> mycket ringa betydelse i sammanhanget. Det väsentliga är att den
> klart strider mot Person- uppgiftslagen (PuL)! Och inte bara mot 
> PuL utan även mot t.ex. EU-stadgans skydd av personuppgifter i
> artikel 7 och 8. Om man tillämpar samma metod som EU- domstolen
> gjorde beträffande upphävandet av ändringarna i
> Datalagringsdirektivet (proportionalitetsprincipen i artikel 52:1)
> skulle insamlingen av adresserna till de av användarna anlitade
> tjänsterna vara /ett "allmänt samhällsintresse som erkänns av 
> unionen"/ om hanteringen skulle godkännas av EU-domstolen. Det har
> jag svårt att tro.

Jag tror att legitimering och identitetskontroller anses vara ett
allmän samhällsintresse som erkänns av unionen - även/särskilt med
direktkontroll via utgivande part. Återigen - jag är ingen jurist. EU
ställer (eventuellt, osäker på om förslaget röstades igenom) vissa
krav på att man ska spara minimal mängd data för att kunna sköta sitt
jobb[2]. Det kan troligen ses som fullt legitimt att behålla loggar
över var någon identifierade sig, dels för fakturering och dels för
att kunna undersöka omständigheterna om en konflikt uppstår.

Du har som Handelsbanken säger rätt att begära ut information om vad
de sparar om dig. Har du gått till din bank och bett om det
skriftligt? Det _ska_ vara gratis en gång om året.

> Det finns sedan flera år tillbaka färdiga lösningar på hur 
> legitimationsutfärdaren kan styrka användarens identitet utan att 
> känna till var styrkandet ska användas -- precis som i den analoga
> världen. Se t.ex. Identity 2.0 från 2006 eller user-centric IDs.

Det är en jättebra idé med den typen av lösningar, problemet är - hur
säljer man in till EU och riksdagen att det här är ett reellt problem?
Jag tror att regeringar runt om i världen är väldigt förtjusta i att
be sina medborgare lita på sina egna banker - tyvärr är det i dagens
informationstäta samhälle fullt möjligt för bankerna att småjustera
dina räntor efter ett besök på t.ex. en HIV-klinik eller återupprepade
autenticeringar hos Marlboros kundklubb.

Som tekniker är det svårt att säga "Det mest realistiska är troligen
att förbjuda den här typen av särbehandling i lag snarare än att
förbjuda den i kod". Det är såklart viktigt att vi långsiktigt jobbar
för en bättre lösning i och med e-legitimation 2.0, men som det är nu
så har vi den lösningen vi har idag, och det kommer troligen inte att
ändras. Kortsiktigt så är det viktigt att kommunicera med maktcenter
som styr över det här, banker, riksdag/parlament, regeringar,
EU-parlamentet, USAs kongress m.fl. för att skriva relevant
lagstiftning för att göra missbruk av personuppgifter olagligt och
skapa transparenta modeller för t.ex. att sätta räntor (förslagsvist
att bankerna måste ange vilka profiler en kund har för att få en viss
ränta och sen strikt följa detta, vilket såklart skulle göra många som
är vana att förhandla väldigt upprörda)

Det är ett litet delikat problem att börja peta i bankindustrin ;)

> Vänliga hälsningar
> 
> Erik Mjöberg

Ha en bra kväll
- -- 
Emil Tullstedt

[1]
http://www.handelsbanken.se/shb/inet/icentsv.nsf/vlookuppics/a_bankid_bankid_och_shbid_villkor/$file/bankid_shbid_villkor.pdf
[2]
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0238:FIN:en:HTML

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=AHor
-----END PGP SIGNATURE-----

-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan