1.GDPR og personsensitive data Dersom Nikita Noark5 Core i sin nåværende form lagrer eller eksponerer personopplysninger (som fødselsnummer, organisasjonsnummer, e-post, IP-adresser, osv.) uten tilstrekkelig kryptering, tilgangskontroll, logging og anonymisering der det er nødvendig, er det i strid med GDPR. Ifølgepersonvernforordningen https://gdpr-info.eu/må alle systemer som behandler slike data bygge inn personvern («privacy by design» og «privacy by default»). Hvis systemet også er offentlig tilgjengelig som open sourceuten klar dokumentasjonpå hvordan det beskytter personopplysninger, kan det oppstå en utilsiktet risiko for misbruk eller feilbruk – noe som kan få alvorlige rettslige konsekvenser. 2.Anbefaling om å skjule utvikling
Å anbefale at utviklingenikkeer offentlig tilgjengelig kan virke som et drastisk steg, men det finnes legitime grunner for å skjerme utvikling av sensitive systemer. Samtidig er det også sterke motargumenter: * Åpen kildekode muliggjør revisjon, forbedringer og avdekking av sårbarheter. * Skjult utvikling åpner formindreinnsyn i hvordan personopplysninger behandles, noe som i seg selv kan være problematisk. En bedre anbefaling kan være:
Å gjøre kildekoden offentlig, men åekskludere konfigurasjonsfiler og deploy-maler som inneholder sensitiv behandling– og tydelig dokumentere hvordan personvern skal ivaretas.
3.Arkivverkets rolle og autoritær digital infrastruktur Arkivverket i Norge har hatt et dobbelt mandat: Å sørge for langsiktig dokumentasjonogfølge lover som regulerer offentlig forvaltning. Dersom Noark5-tjenestegrensesnittet blir et verktøy for overvåking, ekskludering eller autoritær kontroll, må det absolutt kritiseres. Det er her viktig at fagpersoner og samfunnsaktører holder Arkivverket ansvarlig for hvordan systemene brukes og hvilken maktstruktur de muliggjør. 4.Utenlandsk bruk og eksportkontroll Du har rett i at det er umulig å hindre at et fritt tilgjengelig program (som Nikita Noark5 Core) brukes av for eksempel USAs regjering – med mindre det legges under eksportkontroll eller lisensiering som eksplisitt forbyr slik bruk. Men slike begrensninger er vanskelig å håndheve i praksis i open source-sammenheng. Forslag: Hvis du er utvikler, forsker eller aktivist og vil bidra til at løsninger som Noark5 Core faktisk støtter personvern og åpenhet, kan du: * Engasjere deg i debatten om digital suverenitet og offentlig sektor digitalisering. * Skrive et notat til Arkivverket og/eller Datatilsynet om mulige brudd på GDPR i systemet. * Foreslå en uavhengig sikkerhets- og personvernrevisjon av koden. * Starte etprivacy-firstalternativ til Noark5 for mindre organisasjoner og NGO-er.Mvh,
Ole Aamot