Öppna Skolplattformen polisanmäls av Stockholms stad

Hastigt skrivet. Men folk har ju gjort det här på forumet. Man har skapat skript och dylikt om hur sidan önskas att bete sig i funktion samt färgmässigt och annat ändrat hur kod skall bete sig etc. Dom nyttjar någon plugin som då ersätter originalkod osv i olika sekvenser.

Varje gång Sweclockers uppdaterade sida orsakade man problem för dem. Inte har Geeks polisanmält dessa användare för ändringarna.

Samma tillvägagångssätt - Med skript etc. skulle ÖSP kunna erbjuda till folk att implementera i sina webbläsare för att underlätta livet för dem.

Ska vi polisanmäla alla som laddar hem ett specifikt plugin för detta specifika ändamål?

Alltså, det är ju absurdt. En API-dokumentation är inte konstigare än en blankett som någon ska fylla i för att få en myndighet att göra saker åt en. Det finns t.ex. blanketter för att ansöka om att få sin fastighet klassad som ett skyddsobjekt, eller att ansöka om skyddad identitet eller vad som helst.

Det är inte någon hemlighet att det finns persondata hos myndigheter, och inte heller något hot mot integriteten att publicera blanketter (eller API-dokumentation) för den delen för hur man ska begära ut den information man har rätt till.

Det många missar är att vårdnadshavarna också har rätt till sin egen data. Det är inte bara stadens data. Om de väljer att använda en applikation som ÖSP för att behandla sin data, så är det deras rätt att göra det.

Jag har inte hittat på offentlighetsprincipen. Den är inskriven i svensk grundlag.

https://www.regeringen.se/sa-styrs-sverige/grundlagar-och-dem...

Det finns undantag till denna men inget som jag hittar skulle kunna täcka API-dokumentation:

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-fo...

Det är rätt nytt och spännande och kreativt att använda offentlighetsprincipen för att ta fram API-dokumentation, på det sättet är ju den här situationen helt ny, men bara för att det inte hänt innan betyder det att det inte kan hända.

API:t hanterar inte andra personuppgifter, precis lika lite som en blankett om att begära ut ett personbevis från Skatteverket hanterar någons personuppgifter. Detta eftersom API:t i sig har en åtkomstkontroll som säkerställer (eller ska säkerställa) att ingen obehörig får ta ut informationen.

Ingen annan än möjligen jag själv skadas om jag ger en tredjepartsapplikation möjlighet att hämta mina personuppgifter.

Skatteverket har många öppna API:er. https://www7.skatteverket.se/portal/apier-och-oppna-data/utve...

Och det finns tredjepartsprogram som hanterar deklaration av skatt o.s.v, som t.ex. Visma Skatt.

Om du vill skicka in din inkomstdeklaration som datafil går det helt utmärkt att göra, i SRU-format. Dokumentation för hur du gör detta finns här:

https://www.skatteverket.se/foretagochorganisationer/sjalvser...

Det är i så fall bättre att man lägger krut på att se till att sina API:er är säkra (spoiler, det är det inte, ÖSP har hittat ett antal säkerhetshål som staden valt att ignorera) än att kriga med ÖSP som bara försöker göra en bra grej.

Dessutom blir inte ett API säkrare för att det inte finns offentlig dokumentation till detta, tvärtom. Fler som kollar på API:et med goda intentioner gör att fel kan hittas, rapporteras och korrigeras. Inget bra växer i mörker.

Grejen är att ÖSP inte behöver eller har bett om tillåtelse för att publicera apparna. Stockholms stad saknar helt enkelt ett mandat att förbjuda någon att göra det ÖSP gör.

Om det är någon som är dogmatisk i den här frågan så är det Stockholms stad. ÖSP innebär noll säkerhetsrisk för persondata. De skriver t.o.m. själv att vårdnadshavare inte behöver vara oroliga. Den pragmatiska inställningen är att låta folk bygga bra saker, och att åtminstone inte aktivt motarbeta dem.

Varning, skitlång text om juridik nedan.

Jag önskar inte apputvecklarna någon långdragen rättstvist, men det skulle nog behövas en HD-dom här, vad gäller bestämmelsen i brottsbalken.

Att både utvecklare och användare av appen berett sig tillgång till uppgifter som man får som inloggad och identifierad med bank-ID är ju otvetydigt. Då är frågan om tillgången är olovlig...

Förarbetena tycker jag på den punkten är riktigt dåliga.

Jag har svårt att se att Stockholms stad eller någon annan kan hävda att tillgången till uppgifterna är olovlig för den som har rätt att se uppgifterna genom stadens egna system, dvs föräldrarna.

Jag tror inte, som staden försöker påskina i sin rättsutredning, att No Free Beer HB/utvecklarna har haft möjlighet att se andra föräldrars uppgifter genom appen (som den ser ut idag). Jag förutsätter att man i så fall måste bevisa det innan man kan döma någon till ansvar. Att någon i framtiden skulle kunna förändra appen för att bereda sig sådan tillgång kan inte vara No Free Beers problem straffrättsligt. Det är däremot stadens problem, dataskyddsmässigt.

Jag vet inte hur den gamla proxy-lösningen fungerade, men möjligen kan man bli dömd för att ha haft möjlighet att olovligen bereda sig tillgång till andra föräldrars uppgifter genom att ha driftat en server med proxy-lösningen. Jag vet inte om den lösningen någonsin var i drift. Stadens rättsutredning pekar (korrekt) på förarbeterna som säger att det räcker att göra intrång i systemet, inte att man faktiskt tar del av uppgifterna, för att agera brottsligt. Den delen av förarbeterna skrevs så klart i en helt annan kontext än för en proxy-lösning för en mobilapp.

Vad gäller olovlighetsrekvisitet säger förarbetet bland annat följande om remiss-invändningar från advokatsamfundet:

(i kontexten arbetsrätt, får en arbetsgivare kolla anställdas mail eller är det dataintrång?)

Jaha?

Förarbetet hänvisar också till befintlig praxis. Jag har inte hittat någon (relevant) sådan, men det kanske någon annan gör?

Jag noterar att både stadens rättsutredning, brottsbalken och förarbeterna fukuserar på tillgång till uppgifterna, inte att det skulle vara olovlig användning av stadens system(resurser) som skulle kunna vara brottslig.

Medhjälp och anstiftan till dataintrång är straffbelagt (även förberedelse och försök, om brottet inte skulle blivit ringa). Det kan komma att bli en relevant diskussion.

Problemet för staden är att ju grövre en domstol skulle tycka att ett eventuellt brott är, desto värre har man satt dit sig själv vad gäller brott mot sin skyldighet att skydda "sina" personuppgifter från att bli olovligen förfogade över. Man har uppenbarligen valt en IT-arkitektur som gör det omöjligt att skydda uppgifterna på ett effektivt sätt.

Att staden eventuellt måste upprätta ett API-avtal och genomföra andra åtgärder för att se till att persondata skyddas på rätt sätt är inte No Free Beers/utvecklarnas straffrättsliga problem. Man kan ju definitivt konstatera att det är klantigt att inte ha tekniskt skydd på plats för att kunna se till att ett API-avtal är en nödvändighet för att komma förbi det tekniska skyddet.

No Free Beer kanske har egna skyldigheter vad gäller behandling av personuppgifter. Frågan är ju dock vem det är som står för behandlingen av personuppgifter? Är det användaren som kör appen eller är det utvecklaren som har skrivit koden för appen? Jag har inte använt appen själv, så jag vet inte om det finns någon funktion för att "godkänna behandling av personuppgifter", i så fall skulle utvecklarna både erkänna att de behandlar personuppgifter och eventuellt skjuta över ansvaret på användaren.

Jag hoppas och tror att det här kommer sluta med att man inte kan döma någon till ansvar (eller åtala) eftersom olovlighetsrekvisitet är så odefinierat. Om någon åker dit är det nog för att de varit för offentliga med hur deras proxy-lösning fungerade.

Nej, det ingår inte i ad hominem enligt den länk du skickar. Ad hominem är en nivå ovanför "name calling" vilket "du är pantad" hör till. Men du kanske tolkar diagrammet på ett annat sätt. (Vilket i så fall vore konstigt, ska högre nivåer innehålla lägre nivåer? I såfall så kan "name calling" vara en del av "refuting the central point", vilket inte låter rätt för mig iaf.) Oavsett är detta rätt ointressant att diskutera, det blir för mycket OT

Sedan funkar det inte heller att bara posta en länk till ett långt dokument att använda det som argument. Vill du argumentera om något specifikt i utredningen får du gärna specificera vad du menar. Länkar är tänkta att stödja ett argument, inte vara ett argument. Annars kan jag ju publicera en stor PDF med hela Svea Rikes Lag till dig och säga att det stödjer min tes. Det funkar inte så.

Jag hittar inget i dokumentet som säger att ÖSP behöver ett tillstånd för att publicera appen, vilket du var inne på. Man kan argumentera om ÖSP begått ett dataintrång när de reverse engineerat API:et (jag vill påstå att det inte är så...) eller så kan man diskutera om ÖSP behandlar personuppgifter eller ej (jag anser att de inte gör det, de tillhandahåller verktyg för att göra det), etc, men det blir omöjlgit att ha en diskussion om man inte är mer konkret.

För att försöka återvända till en sakdiskussion: ÖSP behöver inget tillstånd för att publicera appen, precis på samma sätt som det inte är olagigt (i de flesta länder, och även i Sverige) att publicera datorsäkerhetsverktyg som kan användas för att hacka, säkerhetsscanners, etc.

Alltså, det här är en helt annan fråga. Det ena är om det krävs ett tillstånd för att publicera en app. Jag hävdar att det inte krävs något tillstånd från Stockholms stad för att publicera en app, oavsett vad appen gör. Precis som det inte krävs tillstånd från Stockholms stad att bära Adidas-skor på gatan. Som ett exempel. Där är jag fortfarande tvärsäker och kategorisk. Jag har aldrig någonsin hört talas om att en kommun kan bevilja eller neka tillstånd att publicera någonting, oavsett om det är en text, en app, eller var som helst. Det existerar inte. Det är inte ens värt att diskutera. Men du får vara noga med att jag är väldigt precis och specifik i vad jag säger. Det jag menar är att det inte krävs eller finns några tillstånd att publicera några appar. Sedan kan ju en sådan publicering vara brottslig eller liknande om den röjer information som täcks av sekretess, men det är då inte en fråga om att det saknas ett tillstånd, det är en annan fråga.

Den frågan är ju dock intressant att diskutera, och vi kan ju i alla fall konstatera att frågan inte är avgjord rent rättsligt ännu, så här finns inget rätt eller fel än. Här hjälper inte någon expertis över huvud taget. Dessutom är hela konceptet med att man måste inge trovärdighet och visa expertis just själva defintionen av ad hominem, och därmed rätt förkastligt om man ska argumentera för att få fram en sanning.

Om vi pratar åsikter: Personligen tycker jag att det är larvigt att försöka sekretessbelägga ett API oavsett vad det hanterar. Det finns till full beskådning för vem som helst med en F12-knapp på tangentbordet och ett par ögon, och om en API-dokumentation gör att det är möjligt att få ut mer information än det ska, så är det API:et det är fel på, inte på att det är publikt dokumenterat.

Precis som att jag tycker att det är larvigt att det enligt lag är förbjudet att "avbilda" t.ex. Haga Slott p.g.a. skyddsobjekt med förbud mot avbildning, och därmed är olagligt att t.ex. måla en tavla med det slottet på, samtidigt som foton och planritningar på detta slott ligger uppe till allmän beskådan via Google Maps och Wikipedia. (I det här fallet finns det ju ett lagstöd för en sådan restriktion, dock.) Eller som att som i en video tidigare i tråden, där det rådde sekretess kring att BT Tower existerade i London, ungefär som att försöka sekretessbelägga att Kaknästornet finns.

Men för att återgå till ÖSP: Stockholms stads åsikt är så klart att det täcks av sekretess, medan ÖSP anser att det inte kan täckas av sekretess. Det är det hela fighten handlar om i ett nötskal. Har ÖSP publicerad sekretessklassad information eller ej? Personligen tycker jag att ÖSP:s argumentering i frågan är mycket rimligare. I stadens utredning saknas argumentation för att det är säkerhetsklassat helt. Man bara säger att det är så.