Öppna Skolplattformen polisanmäls av Stockholms stad

Ditt exempel gällde Skolplattformen, inte ÖSP.

"Öppna skolplattformen som webbläsare", jovisst men de är återigen ansvariga för koden som dem tillhandahåller.

Du vet väl att datainspektionen även granskar mobilappar? Ansvar behöver inte innebära bötfällning, vi lever inte i USA... Datainspektionen kan utge varningar och kräva åtgärder. I din värld är det okej att Skatteverkets app har kända säkerhetshål som läcker persondata. "Vadå, det är ju en app?" spelar ingen roll.

Jag är med dig fram till det sista här. Skolplattformen S har säkerhetsansvar bara så långt som deras kontroll sträcker sig. Om Google har ett säkerhetshål i Chrome som gör att alla uppgifter läcker ut så är det inte skolplattformens problem, däremot om deras API medger åtkomst till data man inte har rätt till, som andra barns personuppgifter. Ö har ansvaret mellan API och till och med deras app. Sen tar användaren över ansvaret.

Jo det finns absolut likheter med ditt scenario och det här, men också skillnader. Säg om swec hade en betalnivå på medlemskapet, och betalning gjorde att man slapp annonser, hade det då varit ok att bygga en app eller anpassad webbsida för att komma åt swec utan annonser som bara fungerade för de som var inloggade med betalkontot? Eller om man behöll alla annonser till vanliga swec och registrerade användarstatistik och liknande som riktiga swec, bara med ett annat gränssnitt? Att man betalar för appen kan göra skillnad, men det vet inte jag.

Här är det dock fråga om en offentlig tjänst, alla har "betalat" för detta via skattsedeln och utvecklarna eller informationsägarna får inte betalt per användning, annonsvisning eller så. Däremot kanske utvecklarnas rykte försämras om färre använder deras app och istället väljer den inofficiella, men det är ju för att deras app är sämre så det är ju inget konstigt.

Och de hade förstås kunnat blocka detta rätt enkelt om de hade velat. Jag minns inte exakt men Twitter gjorde ju något liknande. Tidigare kunde utvecklare bygga egna appar mot Twitters API, jag vet inte exakt hur det fungerade med annonser och så, men i alla fall. Sen begränsade Twitter så att en tredjepartsapp fick en maxgräns på antalet användare, så en inofficiell Twitter-app kunde inte ha fler användare. Jag vet inte vad som hände sen dock.

Låst plattform innebär att man "signerar" sin mjukvara, både app och webbsida, sen tillåter man bara den signerade appen och/eller webbsidan åtkomst till API:et. Detta betyder dock inte att det inte är ett öppet API, beroende på definition förstås. En del har öppna API:er som de ger åtkomst till men man måste be om åtkomsten först, på så vis kan de ställa vissa krav eller i alla fall hålla koll på vilka som använder API:t och så.

Det beror på användaravtal, du vet den där saken du antagligen tryckte förbi då installerade Microsoft Exchange, eller valde ignorera att läsa då du hämtade apache. Där står att de inte tar ansvar för saker som det du listar.
Däremot blir det en annan sak som du har en tjänst som de lovat en viss upptid på eller en viss säkerthet (som alla molntjänster likt MS 365). Men där brukar inte åtal komma särskilt långt om man inte kan visa att företaget gjort "allt de kan så snart de kan" då det är vad som brukar stå i de avtalen.

Plus Microsoft har blivit stämda för sin hantering av säkerhet i sina mjukvaror, men det är sådär 10-20 år sedan minst. Minns dock inte hur det slutade, men min gissning är att det antagligen inte ledde till något mer än kanske en settlement. Det är nämligen där det brukar sluta. Privatpersoner mot företag i den storleken har inte resurserna att komma någonvart, och när de privata företagen stämmer varandra brukar det i slutändan löna sig för alla om man inte gör upp i domstolen så man inte i rampljus behöver stå för vem som gjorde rätt och fel offentligt.

Ja det är en viktig punkt. Det handlar inte om någon annans data utan ens egen.

Det här togs upp av en annan. Användaren väljer själv vilken webbläsare de vill köra, så jag anser inte att Skolplattformen har något ansvar för det. Om man däremot använder webbläsarens APIer på ett osäkert sätt, då har man ett ansvar för det

Klart att Ö(SP) har ansvar även i appen. Om ex. Kivra appen har kända säkerhetshål som läcker mina e-brev / personuppgifter är det klart att dem är ansvariga. Bara för att det är en app frånsäger det inte ansvaret.

Har inte ändrat min uppfattning. Det jag skrev var hur Stockholm stad resonerar och att jag håller med om att integrationer mot deras system måste ske i samråd. Huruvida det är rätt / fel är ganska tydligt att vi är oense om och att varken jag eller du kommer ändra på oss i det avseendet.

Jag vet inte vad du har sett eller vad du har för erfarenhet. Själv har jag utvecklat en webbapp som hanterar känsliga personuppgifter (och loggar in via BankID), kan intyga att i vårt fall måste säkerhetsgranskningar utföras av en tredje part (som inte vi väljer) och vi måste åtgärda eventuella problem som dyker upp om det berör personuppgifterna. Vi har dessutom samråd med de som tillhandahåller APIet, har svårt att se att vi kan strunta i allt det här och köra vårt eget race.

Huruvida Stockholm stad har grund för att polisanmäla ÖSP är utjatat. Du hävdar att dem inte har någon grund öht, jag säger att de tar upp vissa viktiga poänger gällande säkerhetsrisken men att en domstol måste avgöra om det är korrekt. Vi kan lämna det så.

En sak jag börjar undra över är just att APIet är sekretessbelagt. Har sett folk snacka om propretära lösningar, men det är inte det som staden hade hänvisat till, och är en annan sak.
Om man har sekretessbelagt något måste det göras med hänsyftning till varför och baserat på vilken lag man lutar sig mot, och det detta beslutet är offentlig uppgift. Detta för att du skall kunna veta om och isåfall hur du skall kunna överklaga sekretessklassningen, och veta när den gjordes pga preskriptionstid.

Så antingen har någon gjort en booboo och sekretessbelagt något de egentligen inte får sekretessbelägga, då man inte får hur som helst sekretessbelägga ett helt dokument bara för delar av det kan innehålla känslig information, och hela APIet kan omöjligt vara känslig information.
Den andra möjligheten är att APIet i sig tillåter åtkomst till information som du inte borde ha tillgång till. Vilket snarare öppnar upp för en stämning mot staden över vilken info de exponerar genom sina apier.

Jag är förvånad över att många i forumet är så pass trygga i sina juridiska kunskaper. Själv har jag inte sysslat med juridik och kan inte hävda att varken det ena eller det andra är juridiskt korrekt.

Rättsutredningen för den intresserade (9 korta sidor). Jag hittade där ingen direkt motivering till varför ett API skulle vara sekretessbelagt. Mest relevanta jag kunde hitta:

Sekretess och integritetsskäl i offentlighets- och sekretesslagen (2009:400) förkortat OSL, dataskyddsförordningen, registerförfattningar eller av immaterialrättsliga skäl kan dock inskränka vidareutnyttjandet.