Datatilsynet vil ha flere svar

Som Aftenbladet melder – Datatilsynet vil ha flere svar av Sandnes og Stavanger. Etter det ble klart at adresselister i GSuite for Education er tilgjengelig for brukerne har det blitt en hel sak av det. Når jeg nå leste de spørsmålene som Datatilsynet ville ha svar på er det vanskelig å la være å mene noe (som er hele drivkraften i denne bloggen :-).

Og bare for å svare enkelt ut fra forholdene i Randabergskolen – så ser dette slik ut. Så kan lesere av Aftenbladet se at det ikke er vanskelig å svare på og at de heller ikke avslører noe farlig. Også kommer det jeg mener helt til slutt…

Hva slags informasjon fremkommer av e-postadressen? Alder? Skole?
For Randabergskolen sin del – ingenting. Epostadressen er de tre første bokstavene i fornavn og de tre første i etternavn, f.eks odinos@randabergskolen.no (min epost). Og hvis det noen gang skulle dukke opp en Odinella Nosetta i Randabergskolen så ville denne eposten bli odinos1@randabergskolen.no. Det er ikke mulig å se forskjell på om det er en lærer eller om det er en elev heller.

Ligger alle navn og adresser i en katalog, og er denne åpen for alle elever i og lærere? Eller må de enkelte navn søkes opp for å kunne sende e-post?
Alle navn og adresser ligger i en katalog som er åpen for alle brukere av systemet. I prinsippet må denne katalogen være åpen, hvis ikke ville det ikke være mulig å søke i den. Jeg kan gå inn i «Til:»-feltet i epostklienten og begynne å skrive noen bokstaver og da vil jeg få opp forslag til hvem det kan være jeg vil ha tak i – og det er i prinsippet det samme som denne katalogen som enkelt lister opp alle navn/adresser. Det er meningsløst å begynne å lete manuelt i en katalog med mer enn 2000 navn (og godt over 10 000 i Sandnes og Stavanger). Du kommer til å søke deg frem uansett – og det er det som må være tilgjengelig i systemet. Uansett måter å vise / hente informasjonen på er resultatet den samme – du har enkel tilgang til alle.

Spørsmålet er ikke om de ligger i katalogen (det gjør de) eller hvilke måter du kan få opp katalogen på – det er om du skal ha tilgang til hele katalogen eller bare deler av den. Og det er der Datatilsynet må mene noe – ut over at de synes det er for mye. Som det står i Aftenposten mener kommunene at det er nødvendig å ha tilgang til et nokså bredt felt i katalogen for å være sikker på at du sender epost (og tildeler rettigheter) til rett person. Det er faktisk vanskelig nok å vite om du sender til rett Marius Viste i Randaberg kommune, siden vi ikke kan se forskjell på årstrinn eller rolle ut fra epostadressen til brukeren.

Hvor lagres sendte e-poster, chatter og videosamtaler?
GSuite er en skytjeneste. Alt lagres derfor hos Google i deres datasentre ett eller annet sted i verden – og selvfølgelig innenfor rammene til databehandleravtalen vi har. Med det er bare eposter og lynmeldinger som lagres etter at de er skrevet, sendt og/eller mottatt. Videosamtaler lagres i utgangspunktet ikke. Eposter og lynmeldinger i tillegg lagres etter regler kommunen har satt opp (mer om det litt senere). Videosamtaler i Meet lagres ikke uten at noen av deltakerne, som har anledning til dette, tar et opptak av videosamtalen. Denne lagres så i Google Disk-området til denne brukeren. Men ingen har noen garanti for hva den enkelte deltaker gjør av opptak lokalt på sin egen maskin!

Når blir e-poster, chatter og videosamtaler slettet?
Det er alt opp til hvilke regler kommunen har lagt inn i systemet. Videosamtaler tas ikke opp automatisk, så disse må den brukeren som tok opp en samtale slette manuelt selv. I Randaberg kommune slettes ingen eposter eller lynmeldinger før brukeren selv gjør det. Men vi har vi skrudd på en velv-funksjon som sikrer at brukere data brukere sletter vil bli tatt vare på ett år etter at det er slettet – og da lagres det på et sikkert område som bare administrator i kommunen har tilgang til. Dette er ingen sikkerhetskopi, men en funksjon som sikrer juridiske forpliktelser skolen har for informasjon som lagres i systemet.

Hvem har tilgang til sendte e-poster, chatter og videosamtaler? Har for eksempel Google tilgang – og kan analysere dette?
Det er vanskelig å forstå helt hva spørsmålet her handler om. Den som mottar eposten har tilgang til eposten, fordi den blir liggende i innboksen. Den som er med i lynmeldingene har tilgang til innholdet i samtalen. Den som har tatt opp videosamtalen har tilgang til opptaket. Ingen andre har tilgang.

Selvfølgelig har Google prinsipielt tilgang – det ligger lagret kryptert og oppdelt i deres datasentre, men det er deres tjenester som leverer og viser det til sluttbrukeren. Det ligger i databehandleravtalen at Google ikke bruker dette på noen måter ut over det som ligger i avtalen og der knyttet til at de skal levere tjenesten til oss som organisasjon – og ingenting mer. Den eneste analysen som foregår er ift med epost, der Google analyserer innhold og vedlegg for å stoppe søppelpost, nettfisking, skadevare og liknende. Dette er ikke knyttet til den enkelte bruker i systemet, men blir en del av epostfilteret Google bruker. Dette er også beskrevet i databehandleravtalen. Lynprat og videosamtaler blir ikke analysert. Men – administrator for systemet kan sette opp regler som snuser i lynmeldinger og eposter (og dokumenter i Google Disk) for å avdekke eventuelle brudd på regler organisasjonen måtte ha. Da er det administrator som ber om det og naturlig nok Google som utfører beskjeden.

Og selvfølgelig har også administrator i kommunen mulighet til å skaffe seg tilgang til alt som ligger i domenet til kommunen. Men for å få tilgang må administrator aktivt hente frem informasjonen og det blir logget i en logg som ingen (heller ikke administrator) kan endre eller slette.

Men…

Nå kommer det som gjør meg arg (og det kommer i store bokstaver) – ALT DETTE VET DATATILSYNET ALLEREDE – OM DE HADDE LEST DET SANDNES OG STAVANGER HAR SENDT DEM! Så hvorfor spør de? Dette er så kompetanseløst av Datatilsynet at det er helt absurd. Er de dumme? Leser de virkelig ikke de dokumentene de får av kommunen? Eller godtar de ikke ting uten at det er på et unødvendig smått detaljnivå med en bittebittebitteliten teskje? Vil Datatilsynet ha en vurdering av hva som skjer når jeg trykker på den enkelte knapp eller lenke i de ulike tjenestene i GSuite? Er det ikke mulig å si noe generelt om tjenestene? Blir neste spørsmål fra Datatilsynet om hvor dokumenter i Google Disk lagres? Og så hvor lydfilene lagres? Og så hvor bilder lagres? Må vi forklare for dem hva en skytjeneste er?

Også har jeg lyst til å utfordre folk til å tenke på at kanskje disse adresselistene med personopplysninger ikke er så utfordrende som andre ting de har foran seg på jobben. Hva med adresselisten i Outlook i Microsoft 365? (søksøksøk) Jaha… så Kari Normann har fått jobb som vaskehjelp i her kommunen, ja. Randaberg er en såpass liten kommune at mange kjenner mange – og kontaktinformasjonen i Outlook er et godt kartotek over hvilke jobber mange innbyggere i kommunen har i kommunen. Og heisann – Outlook har også en «Global adresseliste» hvor alle navn er med epost, telefonnummer, hvor de jobber og hva de jobber som. Trenger jeg all den informasjonen? Nei. Så hvorfor har jeg tilgang til hva denne informasjonen til de 1000 ansatte i kommunen? Og hvordan er dette i Stavanger, Sandnes… og Oslo?

Dessuten – det er viktigere ting Datatilsynet burde henge seg opp i enn dette. Nå virker det som om Datatilsynet leter med lys og lykte etter småting. Hva med de store tingene? Og nå skal jeg komme med et eksempel som har plaget meg en stund.

Den 17. januar 2020 fikk jeg en epost fra Microsoft til Outlook-kontoen min i kommunen:

En ny tjeneste var aktivert, og det viste seg at MyAnalytics var skrudd på automatisk i Office 365 av Microsoft – ikke kommunen. Denne tjenesten lager en automatisk profil på meg ut fra hvordan jeg jobber i Office 365 – hvor mye tid jeg bruker på ulike oppgaver, hvilke dokumenter jeg jobber i, hvem jeg samarbeider med, hvilke eposter jeg sender (og mottar) osv. Og alt dette uten at jeg har gitt noen som helst form for samtykke til det. Jeg tok det opp med IT-avdelingen, som ikke ante noe om tjenesten. Dette var en tjeneste Microsoft bare hadde skrudd på uten å spørre dem – eller meg. Jeg ba IT-avdelingen om å ta vekk / stoppe tjenesten for min del – og at de egentlig burde stoppe den for alle. Det tok dem over en uke å få stoppet tjenesten, fordi det var vanskelig å gjøre det – og de måtte kontakte support hos Microsoft for å få gjort det.

Noen dager seinere sjekket jeg med IT-folk jeg kjenner i Sandnes og Stavanger kommune – og akkurat det samme hadde skjedd der. Og de ante heller ikke at denne tjenesten var skrudd automatisk på av Microsoft. De hadde bare registrert at de hadde fått en lik epost – og så hadde de ikke tenkt mer på det.

Og bare så det er sagt – dette er en ordentlig brudd på GDPR – og forhåpentligvis også på databehandleravtalen med Microsoft. Det første er at du kan ikke ha en avtale hvor slike tjenester kan bli skrudd på uten at du som ansvarlig blir gjort oppmerksom på det. Det andre er at i GDPR er dette et vesentlig brudd på det å gjøre automatisert profilering av personopplysninger – uten samtykke. Det er ikke lov å gjøre automatisert profilering uten brukerens samtykke – uansett. Og her ble det startet en massiv og detaljert innsamling av alt jeg gjør i Office 365 på jobb, som så ble systematisert og gjort om til en profil om hvordan jeg jobber på jobb (og hvem jeg jobber med). Så den systematiserer ikke bare meg, men dem jeg jobber med også. I utgangspunktet kan tjenesten ikke skrus av for en person, fordi om den skrus av for meg vil jeg vel måtte bli en del av andres profil hvis de samarbeider med meg?

Og så det som er det største problemet: Ble det sendt melding om avvik til Datatilsynet? Nei. Hverken fra Randaberg, Sandnes eller Stavanger. Jeg tror denne funksjonen enda er på i svært mange kommuner som bruker Office 365 – det er bare ingen som vet det. Om denne funksjonen også ble aktivert for kommuner som bruker Microsoft 365 for elever også vet jeg ikke, men det hadde vært spennende om noen har kunnskap om det (som bruker M365 for elevene).

Om Google hadde gjort noe slikt i GSuite-tjenestene vi har for elevene hadde det blitt ramaskrik og Google kunne bare takket for seg i norsk skole…

En kommentar til “Datatilsynet vil ha flere svar

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.