søndag 19. august 2007

Årets mash-up








"Lars", 16 år, har laga årets mash-up der han kombinerer fødselsnr.-verifisering med påfølgjande oppslag på Tele2 si nett-teneste. Skremmande enkelt!

Mash-up er ein av dei viktigaste ingrediensane i Web 2.0 og handlar om samankopling av nett-tenester.

Saka set søkjelys på viktige sider ved personvern og sikkerheit. Framfor alt set den søkjelys på lemfeldig omgang med fødselsnummer og at tenestetilbydarar på nettet framleis ikkje ser ut til å ha fått med seg at deira teneste ikkje eksisterer i eit vakuum, men lett kan koplast til andre tenester.

Fødselsnummeret er ikkje sensitiv informasjon i seg sjølv, men er sjølvsagt nøkkelen til svært mykje sensitiv informasjon. Datatilsynet har difor vore skeptisk til (unødvendig) bruk av fødselsnummer som unik id. Denne saka viser at det er god grunn til slik skepsis.

Den andre lærdommen av denne saka er at tenestetilbydarar må sjå tenestene sine i lys av andre tenester og at informasjon kan koplast nokså enkelt. Det hjelper ikkje om eit system isolert sett fungerer tilfredsstillande dersom opplysningar frå systemet kan brukast som input i eit anna system. I dette tilfellet er utforminga av feilmeldingar viktig: Det kan liggja mykje informasjon i ei opplysning om at fødselsnummeret ikkje er gyldig, sjølv om det på overflata kan sjå uskuldig ut.

Om ikkje anna har "Lars" sett i gang ein viktig diskusjon om personvern, og det er bra.

PS.
Personvern på nettet er oppdatert med denne og andre saker. Det blir m.a. vist til ein interessant artikkel av André N. Klingsheim og Kjell J. Holes ved UiB om uheldig bruk av fødselsnummer på norske nettstader.

Ingen kommentarer: