Det er lett å glemme å følge loven…

Tenkt deg at du jobber i en kommune (eller en annen organisasjon) som bruker Microsoft365. Denne kommunen er en helt vanlig kommune som gjør så godt den kan i alt det en kommune holder på med, som de fleste andre store og små kommuner. Så ved en tilfeldighet oppdager du (en helt vanlig ansatt i kommunen) at det har dukket opp en ny tjeneste for deg kalt Microsoft Viva Insights, og så lurer du på hva den gjør for noe. For ordens skyld – i det videre er det viktig å påpeke at dette i utgangspunktet ikke er kritikk mot Microsoft. Dette handler om hvordan en organisasjon forholder seg til at en tjeneste (Microsoft365) utvider seg selv med nye tjenester (Viva Insights).

Microsoft beskriver Viva Insights slik… (den het før MyAnalytics)

Dette er i korte trekk en tjeneste som henter inn og sammenstiller data fra mange ulike Microsoft365-tjenester (med mer!) og tilbyr ny innsikt i hvordan du (eller de under deg!) jobber. Microsoft skriver (delvis) godt om hva tjenesten samler inn data, og er meget oppmerksomme på hvilke vurderinger kommunen bør/må gjøre før de innfører den… (legg merke til det som står i Obs!-feltet)

Det er ikke småplukk Viva Insights samler inn av opplysninger…

Ja, du leser riktig når det står at Insights også samler inn hva du holder på med i Windows og ikke bare i Microsoft365. Insights samler også inn det du gjør av private ting på maskinen din. Insights får nemlig vite hva du egentlig holder på med når du skulle vært aktiv og konsentrert på et Teams-møte! (Som Microsoft høflig beskriver som «multitasking in meetings».)

Microsoft opplyser også selv om at Insights kommer til å samle inn personopplysninger og at ulike roller i kommunen kommer til å ha tilgang til disse personopplysningene i ulike analyser, selv det som gjelder aggregerte analyser.

Det er viktig å huske at når Microsoft selv skriver at tjenesten etterlever GDPR, så handler det om hvordan Microsoft behandler opplysningene. Det handler ikke om kommunen som behandlingsansvarlig har lov til å behandle personopplysningene eller ikke! Dette er noe mange glemmer. Det er kommunen som er behandlingsansvarlig og som skal beskrive hvilke personopplysninger som skal samles inn, hva de skal brukes til og hvilken hjemmel kommunen har for å gjøre det i GDPR Artikkel 6 punkt 1. Microsoft er i dette tilfelle bare en databehandler som behandler personopplysningene på vegne av kommunen, og Microsoft prøver så godt de kan å beskrive hvordan de ivaretar sin del av forpliktelsen som databehandler – ikke som behandlingsansvarlig. Microsoft tar for gitt at kommunen har lov til å gjøre det de ber Microsoft om å gjøre! Og dette prøver Microsoft å gjøre kommunen klar over når de skriver følgende…

Hva er det som er så galt med dette da? Jo, det viser at i denne helt vanlige kommune ikke har gjort noe av det Microsoft ber dem om å gjøre før Insights ble aktivert. Kommunen har bare godtatt alle tjenester i Microsoft365 når de satte i gang og regnet med at alt var ok, fordi de har en databehandleravtale med Microsoft. Det er ikke gjort noen ROS, DPIA eller vurdering av DPIA i forbindelse med Viva Insights.

Det at alle personopplysninger i Insights er hentet fra andre tjenester i Microsoft365 (og Windows) gir ikke kommunen lov til å bruke disse personopplysningene til et annet formål enn det de er godkjent for i den tjenesten de originalt ble godkjent til. Sagt på en annen måte – det at kommunen kan begrunne lagring av personopplysninger i knyttet til bruk av Outlook/epost ut fra et punkt i GDPR artikkel 6 gir dem ikke automatisk lov til å bruke de samme personopplysningene i Insights, fordi Insights har et annet formål enn å sende og motta epost/kommunikasjon. Når formålet med innsamling/lagring av personopplysninger endres må det gjøres en ny vurdering for å sikre lovligheten av denne behandlingen. Dette skriver Datatilsynet godt om her og her.

Med alt du nå har lest skjønner du nok at Insights bruker eksisterende personopplysninger på helt andre måter enn de var originalt tiltenkt i utgangspunkt, og at kommunen gjennom å ha aktivert tjenesten for alle ansatte ikke har sitt på det tørre. Vel, jeg tar ett forbehold. Jeg er ikke administrator for Microsoft365 i en slik kommunen og vet ikke nøyaktig hvilke innstillinger som er satt til hva i forhold til Viva Insights. Samtidig er det nok slik at ingen i kommunen har gjort noe arbeid i forhold til tjenesten, så uansett hvilke innstilliger som gjelder er dette ikke noe som skal skje. Hvis ingen har oversikt over tjenesten skal den heller ikke være aktivert, men det er den.

Dette er et klart avvik fra personopplysningsforordningen/-loven og skal meldes til Datatilsynet innen 72 timer etter det ble oppdaget, sammen med en rapport om hva som har skjedd og hvordan kommunen skal lukke avviket. Ingen har gjort dette enda i denne helt vanlige kommunen.

Kommer noen til å gjøre noe med dette eller kommer noen til å melde dette som et avvik? Tja, ikke uten at noen høyere oppe i systemet i kommunen blir klar over det, at de lytter til de som la merke til det og så gjør noe med det. Av erfaring vil denne problemstillingen i mange av disse helt vanlige kommunene bli møtt med at det ikke er et problem. (Kommunen har jo en avtale med Microsoft? Har vi ikke det?) Da viser de at de ikke skjønner hva GDPR handler om. Samtidig risikerer den som maser om dette å bli den der ansatte som alltid gurper om noe som vi andre ikke synes er så ille. Fra egen erfaring er det er fristende å si at vi i grunnskolen har stått i større stormer på grunn av adskillig mindre alvorlige ting når det gjelder Google-systemene i skolen, så vi vet hva vi snakker om når noe ikke ser bra ut.

Tror du at ansatte i denne helt vanlige kommunen synes det er ok at alt de gjør i Microsoft365 og i Windows blir lagret, analysert og delt med lederne i kommunen? Det er ingen som har informert dem om at Insights eksisterer eller hva det gjør. Lederne deres vet heller ikke at systemet eksisterer. Kanskje heller ikke IT-avdelingen i kommunen. Noen ansatte har fått med seg at Insights i ny og ne sender den enkelte ansatte en epost om hva de holder på med på jobben, og flere av dem lurer på hva dette er og hvorfor de får denne eposten. Uten at den ansatte vet hva Insights-systemet holder på med, er dette i praksis ren avlytting av hva den ansatte holder på med på jobb og er ikke ulikt å ha satt opp et overvåkingskamera på kontoret.

Det er en ting til. Alle kommuner mottar epost, og deler Teams, med andre utenfor organisasjonen. Disse blir også en del av personopplysningene Insights samler inn som en del av analysen. Det betyr at alle som tar kontakt med kommunen via Microsoft365 får brukt sine personopplysninger til et annet formål enn det de trodde når de sendte en epost til kommunen, ble med i en chat eller et Teams-møte kommunen har opprettet.

Og helt til slutt. Dette gjelder ikke bare for ansatte i denne ene kommunen. Det gjelder mange kommuner som har innført Microsoft365, store som små. Hvis du jobber i en organisasjon som bruker Microsoft365 kan du enkelt ta en liten test og se hva du får opp om du følger lenken under. Får du opp noe annet enn at «Det gjeldende abonnementet gir ikke tilgang til Microsoft Viva Insights-instrumentbordet» må du tenke over at alt du gjør blir samlet inn, lagret, analysert og presentert i forhold til hvor effektiv du er på jobben din – og at denne informasjonen er tilgjengelig for flere enn deg…

https://insights.viva.office.com/

PS! Microsoft har litt skyld i dette også, fordi flere kommuner (som har orden på tingene) opplever det som en utfordring at slike tjenester blir automatisk skrudd på fra Microsoft sin side og må aktivt skrus av. Det er ikke slik det skal fungere.

Oppdatering 25. september 2022 – Dette blogginnlegget ble skrevet 30. juni 2022 og da var nærmeste kommunalsjef til denne vanlige ansatte i kommunen informert om avviket, og også kommunedirektøren. Ingen har gjort noe, meldt noe til Datatilsynet eller snakket mer med aktuelle personer i saken.

Kommentarer

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.