Zoom er blevet en livslinje under COVID-19: Men er dine data beskyttet?
Boris Johnson ledte tirsdag den 24. marts sit første kabinet-videomøde nogensinde via den omstridte tjeneste Zoom. Kun få dage forinden havde det engelske forsvarsministerium ellers ifølge Press Association sendt en mail ud til ansatte med beskeden om, at brugen af Zoom var sat på pause ”med øjeblikkelig effekt, mens vi undersøger forbundne sikkerhedsspørgsmål”. © Andrew Parsons/Downing Street 10
Brugen af videomøde-tjenesten Zoom er eksploderet under corona-krisen, men firmaet bag Zoom beskyldes samtidig for at lænse brugerne for private data.
Skype for Business, Microsoft Teams eller Zoom?
Forbruget af videomøder er eksploderet, og sidstnævnte tjeneste er både på Twitter og i en række medier blevet beskyldt for at tilegne sig omfattende adgang til brugernes private data.
Kate O'Flaherty, der skriver om cybersikkerhed for Forbes, er en af mange, der har peget på sikkerhedsproblemer ved at benytte Zoom.
"Ligesom eksempelvis Facebook og Google indsamler Zoom personlige data, som deles med tredjeparter, fx annoncører", skriver hun. "Men Zooms persondatapolitik inkluderer også såkaldt 'customer content'", dvs. det indhold, der deles af mødedeltagerne.
Hvilket kan være for eksempel video, beskeder, automatisk generede udskrifter af samtaler, delte dokumenter og navne på dem, der deltager i opkaldet.
Interessen for Zooms indsamling af data er også nået til Danmark - og med god grund.
Alene på universitetsområdet er brugen af Zoom på kort tid tyvedoblet, oplyser Martin Bech, der er divisionsdirektør på DTU og samtidig ansvarlig for sikkerhed i DeiC, der koordinerer den nationale digitale forskningsinfrastruktur som paraplyorganisation for de danske universiteter.
Det betyder, at der dagligt er 3.000-4.000 samtidige brugere af Zoom på danske uddannelses- og forskningsinstitutioner, der benytter videotjenesten via DeiC.
Og her kommer en vigtig pointe: DeiC har sammen med nordiske universiteter indgået en leveranceaftale med Zoom, der indeholder alle de betingelser om databeskyttelse, som man kan forvente i en europæisk sammenhæng.
”Det vil sige, at hvis du som underviser på et dansk universitet bruger Zoom via DeiC, ja så er du ikke underlagt de samme betingelser, som hvis du bruger gratisversionen med 40 minutters adgang, eller hvis du køber en licens online til cloud-versionen af Zoom”, siger Martin Bech.
Og i modsætning til individuelle brugere passerer video og lyd fra ’Zoom via DeiC-brugere’ en fællesnordisk serverpark i København, og den oplagres ikke. Det gør til gengæld chat og filer, der uploades via den såkaldte IM-klient i Zoom.
Kun Roskilde Universitet er endnu ikke omfattet af aftalen, men ifølge Martin Bech arbejdes der på højtryk for at få universitetet med. Desuden er en række uddannelsesinstitutioner omfattet (se hvilke her).
Det er helt uklart, hvilke vilkår der gælder privatansatte. Her står det enkelte firma på mål for dataindsamlingens karakter.
Du skal stadig være opmærksom
Så langt så godt. Der er imidlertid et lille benspænd, fortæller Martin Bech.
”Det er ret vigtigt, at man er bevidst om, hvorvidt man er blevet inviteret til et Zoom-møde via DeiC eller et, hvor de kommercielle vilkår gælder, og hvor Zoom kan bruge data til hvad som helst. Det er faktisk lidt svært, og der er man nødt til at følge en bestemt opskrift”, siger han.
Vigtigst er, at du som vært for et møde skal logge ind via DeiCs Zoom-tjeneste. Modtager du en invitation til et møde, kan du i videomøde-klienten klikke på det lille (i) i øverste venstre hjørne og se, om møde-URL'en er knyttet til DeiC.
Opskriften findes her.
Amerikanske medier som Mashable har kritiseret, at værter til et opkald i Zoom kan se, om en deltager ikke har haft Zoom åbent i mere end 30 sekunder.
Og hvad så, spørger divisionsdirektør Martin Bech.
”Jeg deltager i mange Zoom-møder, men jeg har ikke lagt mærke til det. Og det kan vel være meget relevant, at man under et opkald sidder og skriver i et andet program. Det er vel udtryk for en meget amerikansk tankegang, hvor man har et møde med sine foresatte, og nu skal de høre, hvad jeg siger. Men det har jo intet at gøre med dansk pædagogisk tænkning”, siger han.
Hvilke data opbevares i Zoom via DeiC?
Metadata om mødet (navn, mail, brugernavn, institutionsnavn, evt. gruppetilhørsforhold som afleveret via WAYF, IP-adresser, klienttyper og tidspunkter) opbevares af Zoom til statistikformål og til kontrol af, at DeiC lever op til licensaftalen.
Det fremgår af aftalerne, at Zoom ikke må bruge disse data til andre formål - herunder ikke dele dem med andre parter.