Vi skyddar dina personuppgifter

IT-avdelningen på Nordiska ministerrådets och Nordiska rådets sekretariat har fått orosanmälningar från flera håll i samband med valet av lösning för videomöten. Olika medier har också skrivit mycket om dålig säkerhetsnivå och försäljning av uppgifter till tredje part från Zoom.

När man nu konstaterar att detta är en säker lösning så är det viktigt att förstå att Zoom-lösningen som används inom det nordiska samarbetet inte är densamma som lösningen för privata användare. Det kan alltså ha funnits vissa datasäkerhetsproblem med Zoom, men den lösning sekretariatet använder är säker.

Sekretariatets IT-avdelning köper Zoom-tjänsten av Nordunet. Det är ett samarbetsorgan för de fem nationella forsknings- och utbildningsnätverken i Norden och ägs av de nordiska länderna. Nordunet driver nätverk och e-infrastruktur i världsklass för hela den nordiska forsknings- och utbildningssektorn. Det är således svårt för Nordiska ministerrådet och Nordiska rådet att hitta en mer kompetent samarbetspartner inom detta område.

För att möta oron har vi samlat de vanligaste frågorna här. Det är också möjligt att kontakta IT-avdelningen direkt.

Alla deltagare i ett videomöte har tillgång till ljud och bild. Mötesvärden kan ge varje deltagare tillgång till att spela in mötet på sin egen dator och bara där. I vår lösning är det inte möjligt att spela in i molnet. Trafiken krypteras och lagras inte på någon server någonstans.

Alla som vill delta måste veta mötets id. Det består vanligtvis av sju eller åtta siffror men kan också innehålla andra tecken som bestäms av mötesvärden.

Alla deltagare kan se vilka de andra deltagarna är. Mötesvärden kan därmed lätt se om det dyker upp obehöriga deltagare.

Zoom-bombning är en term som syftar på hackare som gissar på mötets id och försöker ta sig in, men det är som sagt lätt att upptäcka.

Om man vill ha ytterligare säkerhet kan man ange ett lösenord med vilket mötesvärden släpper in endast behöriga deltagare på mötet. Zoom har tagit fram en detaljerad beskrivning av hur man går till väga:

Ja. Trafiken från din webbläsare och Zoom-klient är alltid krypterad (med TLS 1.2 eller AES-256). Se detaljer i Zoom encryption whitepaper (länk under detta avsnitt).

Det finns alltså inga belägg för påståendena om att Zoom inte har kryptering. Men man ska ändå vara medveten om att om man ringer till ett Zoom-möte från en gammaldags analog telefon, så är trafiken inte krypterad innan den är inom Zooms infrastruktur.

Detsamma gäller om man kopplar upp sig till ett Zoom-möte via tredjepartslösningar som Skype, SIP-telefoner, GSM-telefoner eller H.323-videokonferensutrustning. I dessa fall är det tredjepartslösningen som hanterar eventuell kryptering.

En mötesvärd kan själv avgöra om den här typen av anslutningar ska tillåtas. Man kan till exempel välja att bara släppa in H.323-utrustning som använder kryptering.  Alla deltagare kan se vilken typ av anslutning de andra deltagarna har.

Nordiska ministerrådet har genom Nordunet ingått avtal om Zoom. I avtalet ingår ett avtal om behandling av personuppgifter, och motsvarande avtal finns genom hela leverantörskedjan.

Avtalen handlar i första hand om de uppgifter som leverantören behandlar för användarna, det vill säga inställningar för administratörer och möten, chattar och delade filer samt användaruppgifter som ges till Zoom vid inloggning.

Avtalen slår fast att uppgifterna inte får delas med någon utanför leverantörskedjan och att de inte får användas för något annat ändamål.

Zoom samlar in olika uppgifter om användaren såsom användarnamn, IP-adress, OS-version och tidpunkter för användning. Zoom delar inte uppgifterna med någon eller använder dem i sin egen marknadsföring.

Zooms policy strider inte mot de avtal som har ingåtts med Nordunet och därigenom med Nordiska ministerrådet. Zooms integritetspolicy uppdaterades den 29 mars 2020 just för att det inte skulle råda några tvivel om vilka uppgifter Zoom samlar in och vad de kan användas till.

Nej. Mötesnamn tillhör de uppgifter som lagras i en för ändamålet avsedd serverpark i Köpenhamn som drivs av Nordunet. Möteskallelser skickas från ett klientprogram till ett annat.

Nej. När man använder Zoom hos Nordunet behövs inga kreditkortsuppgifter.

Nej. Uppgifter som Zoom samlar in (både som uppgiftsbehandlare och registeransvarig) får inte användas för andra ändamål än de samlats in för. De får inte delas med andra eller användas i Zooms marknadsföring.

Alla typer av tjänster som man ansluter till via en URL kan utsättas för IP-adressförfalskning, så kallad spoofing. Det innebär att hackare skapar en URL som är mycket lik den riktiga. Målet med ”spoofing” är att lura mötesdeltagare att klicka på den falska länken. Zoom utgör inget undantag i det avseendet. Det är inte heller något man kan klandra Zoom för, utan gäller alla länkar som skickas med e-post.

Om man är orolig för att inte komma ihåg eller känna igen URL-inbjudan för varje gång kan man i stället själv starta Zoom och klistra in mötets id i programmet.

Nej. Tidigare har Zoom använt ett Facebook-toolkit i sina IOS-klientprogram, men det togs bort i samband med en programuppdatering den 27 mars 2020. Ingen av Nordiska ministerrådets användare har någonsin kunnat logga in på Zoom med sin Facebook-inloggning.

Nej. Däremot har det rapporterats om ett programfel – det så kallade ”UNC link issue” – som kan ha avslöjat inloggningsuppgifter för andra mötesdeltagare. Men felet åtgärdades i en programuppdatering den 1 april 2020.

Zoom har en funktion som kallas ”attention tracking”. I Nordunets Zoom-tjänst är funktionen inaktiverad som förinställning. Funktionen ger mötesvärden en indikation på om deltagarna har Zoom-fönstret aktivt under skärmdelningen. Mötesvärden kan inte få andra uppgifter från deltagarnas datorer. Funktionen inaktiverades i en programuppdatering den 1 april 2020.

Ja. Nordiska ministerrådet och Nordunet är övertygade om det utifrån alla tillgängliga uppgifter.

Vi kan dock inte garantera att det inte kommer att uppstå situationer som kan skapa problem i framtiden. Som med alla produkter och tjänster av den här typen måste man alltid vara försiktig. Det viktiga är att vi samarbetar med leverantörer som har en förnuftig säkerhetskultur och som snabbt reagerar på de problem som kan uppstå.

För ytterligare frågor eller information, kontakta vår IT-chef Kasper Hartø.