Vi beskytter dine persondata

IT-afdelingen i Nordens Hus har modtaget bekymrede henvendelser fra flere sider i forhold til valget af løsning for videomøder. Der har også været en række skriverier i forskellige medier om dårligt sikkerhedsniveau og salg af data til tredjepart fra Zoom.

Når man nu oplyser, at dette er en sikker løsning, er det vigtigt at forstå, at den Zoom-løsning, der bruges inden for det nordiske samarbejde, ikke er den samme som for private brugere. Man kan dermed ikke sige, at der ikke har været datasikkerhedsproblemer med Zoom, men vores løsning er sikker.

IT-afdelingen i Nordens Hus køber Zoom-tjenesten af NORDUnet. Det er et samarbejdsorgan for de fem nationale forsknings- og uddannelsesnetværk i Norden og er ejet af de nordiske lande. NORDUnet leverer netværk og e-infrastruktur i verdensklasse til hele den nordiske forsknings- og uddannelsessektor. Det er således vanskeligt for Nordisk Ministerråd og Nordisk Råd at finde en mere kompetent samarbejdspartner inden for dette område.

For at svare på bekymringerne har vi samlet de mest almindelige spørgsmål her. Det er også muligt at kontakte IT-afdelingen direkte.

Alle deltagere i et videomøde har adgang til lyd og billede. Mødeværten kan give den enkelte deltager adgang til at optage mødet på sin egen pc – og kun dér. I vores løsning er det ikke muligt at optage og gemme et møde i skyen. Trafikken er krypteret og bliver ikke lagret på nogen servere nogen steder.

Som udgangspunkt skal alle, som ønsker at deltage, kende mødets id. Det er typisk et tal på 7-8 cifre, men det kan også indeholde andre tegn, som defineres af mødeværten.

Alle deltagere kan se, hvem de andre deltagere er. Det er således let for mødeværten at se, om der dukker deltagere op, som ikke er velkomne.

Zoom-bombing er en betegnelse for hackere, som gætter på mødets id og prøver at komme ind, men det er som nævnt let at opdage.

Hvis man ønsker yderligere sikkerhed, kan man bruge muligheden for at oprette en adgangskode, og at mødeværten lukker hver enkelt deltager ind til mødet. Zoom har udarbejdet en udførlig vejledning, som du finder her:

Ja – trafikken fra din browser og Zoom-klient er altid krypteret (med TLS 1.2 eller AES-256). Se detaljer i Zooms Encryption Whitepaper (link under dette afsnit).

Der er altså ikke belæg for påstandene om, at Zoom ikke er har kryptering. Man skal dog være opmærksom på, at hvis man ringer ind i et zoom-møde fra en gammeldags analog telefon, så er trafikken naturligt nok ikke krypteret, før den rammer den infrastruktur, der hører til Zoom-tjenesten.

Det samme gælder, hvis man kobler sig på et Zoom-møde via tredjepartsløsninger som for eksempel Skype, ZIP-telefoner, GSM-telefoner eller H.323 videokonferenceudstyr. I disse tilfælde er det tredjepartsløsningen, som eventuelt håndterer krypteringen.

En mødevært kan selv afgøre, om man vil tillade den slags forbindelser ind i mødet. Det er kun muligt at acceptere H.323-endepunkter, der forbinder sig krypteret til mødet. Det er muligt for alle deltagere at se, hvilken type forbindelse de andre deltagere har.

Nordisk Ministerråd har gennem NORDUnet indgået en aftale om Zoom. Aftalen er fulgt op af en databehandleraftale, og der er tilsvarende aftaler gennem hele leverandørkæden.

Aftalerne handler primært om de aftaler, som leverandøren behandler for brugerne, altså konfiguration vedrørende administratorer og møder samt chat og filer, der deles i IM-klienten og brugeroplysninger, som gives til Zoom i forbindelse med brugerens login.

Aftalerne slår fast, at disse data ikke må deles med nogen uden for leverandørkæden, og at de ikke må bruges til andre formål.

Zoom indsamler en række data såsom brugernavn, IP-adresse, OS-version og tidspunkter. Zoom deler ikke disse data med nogen og bruger dem heller ikke selv til markedsføring.

Zooms politik er ikke i strid med de aftaler, som er indgået med NORDUnet og derigennem også med Nordisk Ministerråd. Zooms politik blev opdateret den 29. marts 2020, for at der ikke skulle kunne herske tvivl om, hvilke data der bliver indsamlet, og hvad Zoom må bruge dem til.

Nej – mødetitler er en del af de data, som opbevares på en dedikeret serverpark, der drives af NORDUnet til formålet i København. Mødeindkaldelser bliver sendt fra klient til klient.

Nej – når man benytter Zoom hos NORDUnet, indgår der ingen kreditkortdata.

Nej – data, som Zoom indsamler (både som databehandler og dataansvarlig) må ikke bruges til andre formål, end de er indsamlet til. De må ikke deles med andre, og de må ikke bruges til markedsføring fra Zoom selv.

Enhver type af service, som man skal tilgå via URL, kan udsættes for såkaldt spoofing – altså at hackere laver en URL, som ligger tæt på den rigtige. Målet er, at man ikke opdager det og klikker på linket. Zoom er ingen undtagelse. Det er ikke noget, som man kan laste Zoom for, men en generel egenskab ved links, som sendes i e-mails.

Hvis man er nervøs for, om man kan huske eller genkende URL-invitationen hver gang, kan man i stedet starte klienten selv og klippe møde-id'et ind i den.

Nej – tidligere har Zoom brugt et Facebook-toolkit som en del af deres iOS-klienter, men i forbindelse med en softwareopdatering den 27. marts 2020 er dette fjernet. Ingen af Nordisk Ministerråds brugere har nogensinde haft mulighed for at logge ind i Zoom med Facebook-credentials.

Nej – men der er rapporteret en fejl (det såkaldte "UNC link issue"), som måske/måske ikke muliggjorde dette for andre konferencedeltagere. Dette er blevet rettet ved en softwareopdatering den 1. april 2020.

Zoom har en funktion, som kaldes "attention tracking". Den er som udgangspunkt deaktiveret i NORDUnets Zoom-tjeneste. Funktionen giver mødeværten en indikator på, om deltagere har Zoom-vinduet aktivt under skærmdeling. Mødeværten kan ikke få andre oplysninger fra deltagernes pc. Den er blevet deaktiveret i forbindelse med en softwareopdatering den 1. april 2020.

Ja – så vidt det er muligt at vurdere er Nordisk Ministerråd og NORDUnet overbevist om dette.

Vi kan ikke garantere, at der ikke vil opstå situationer, som kan skabe bekymringer i fremtiden. Som med alle tilsvarende produkter eller tjenester skal man altid være påpasselig. Det er vigtigt, at vi samarbejder med leverandører, som har en fornuftig sikkerhedskultur, og som reagerer hurtigt på eventuelle problemer.

Hvis du har yderligere spørgsmål eller ønsker mere information, kan du kontakte vores IT-ansvarlige, Kasper Hartø.