Visma in School bryt med GDPR

Eg ser Visma in School vart omtalt på Digi i dag. Eg har skrive mykje om følgjene av Schrems II-domen og det at ein i noverande rettstilstand i praksis fins ingen gode tiltak som gjer at ein kan ta i bruk amerikanskeigde skytenester. Først sjekka eg personvernerklæringa til Visma. Inndelinga «Når benytter vi underleverandører» var veldig vag.

Ved bruk av underleverandører vil Visma inngå en databehandleravtale (DBA) for å beskytte dine rettigheter til personvern i henhold til gjeldende personvernlovgivning. Dersom underleverandører befinner seg utenfor EU, vil Visma sørge for at det inngås gyldige overføringsmekanismer med disse på dine vegne ved å benytte ordninger godkjent av EU kommisjonen, herunder EU Model Clauses.

For å identifisere kor løysinga køyrer, sjekka eg kor lillehammernord-vgs.inschool.visma.no tok meg. IP-adressa er 34.241.207.162. Ho høyrer til EU West 1 til Amazon som geografisk har tilhøyr i Dublin, Irland. Amazon er eit amerikansk selskap som er underlagt amerikanske lover.

Eg gjekk vidare og såg på lenka knytt til Schrems 2 og tiltak. Her rotar Visma til bildet med å dra inn CLOUD act. Problemet ligg i FISA (Foreign Surveillance Act). I FISA er det ingen uavhengig dommar som tek stilling til om etterretninga kan pålegge ein amerikansk «electronic communications service provider», som Amazon, å utlevere informasjon. Dersom etterretning har behov for informasjon om individ, kan dei instruere selskapet til å hente ut informasjon kor som helst den er i verda på selskapet sine serverar. Leverandøren blir pålagt ein «gag order» som gjer at dei ikkje kan informere om dette til nokon, inkludert individet eller for den del Visma, om dei finn informasjonen i deira tenester.

Det er ikkje noko som tydar på at Visma har på plass tekniske tiltak for å sikre informasjonen mot innsyn. EDPB i si rettleiing Use Case 6 – handsaming av informasjon i klartekst/ukryptert – er tydeleg på at i slike tilfeller fins det ikkje tekniske tiltak. Ein kan ikkje avtale seg vekk frå den amerikanske lova, det er difor eit nødvende at ein har på plass tekniske tiltak som kryptering og/eller pseudonymisering.

  • Mi vurdering er at Visma in School med stort sannsyn er ei teneste som er i strid med GDPR.

Ei bonussak er at opplæringsportalen er levert på inschool.zendesk.com. Om du sjekkar IP-adressa – 104.16.53.111 – vil du sjå at trafikken vert sendt gjennom den amerikanske trafikkstyringstenesta Cloudflare. Dette blir vanlegvis gjort for å sikre tenesta si mot ulike former for skadelege angrep, som tenestenektangrep (DDoS). IP-adressa ser ut til å vere geografisk plassert i USA, som betyr at du i tillegg til å sende via ein leverandør underlagt FISA, også sender trafikk til USA. Executive Order 12 333, som FRA-lova i Sverige, gjer at ein kan avlytte trafikk inn til landet/USA. Metadata rundt trafikken kan plukkast opp. Etterretning for medlemsland innanfor EU/EEA er unnateke etter GDPR artikkel 23. USA og mange andre land er ikkje med i EU/EEA. Dersom TLS, på grunn av djup pakkeinspeksjon, blir terminert hos Cloudflare, vil trafikken mellom Cloudflare og sluttenesta kunne vere lesbar for Cloudflare og kan då bli samla inn etter FISA. Det kan leggast til at Zendesk er eit amerikansk selskap. Lista ligg ikkje høgt for å koma inn under omgrepet «electronic communications service provider» som gjer at dei kjem inn under FISA.

  • Einaste løysinga er at USA endrar sine lover, før vi kan bruke tenestene lovleg.

Eg held ikkje pusten!

Legg att eit svar

Fill in your details below or click an icon to log in:

WordPress.com logo

Du kommenterer no med WordPress.com-kontoen din. Logg ut /  Endre )

Google photo

Du kommenterer no med Google-kontoen din. Logg ut /  Endre )

Twitter-bilde

Du kommenterer no med Twitter-kontoen din. Logg ut /  Endre )

Facebook-foto

Du kommenterer no med Facebook-kontoen din. Logg ut /  Endre )

Koplar til %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.