Visma in School bryt med GDPR

Eg ser Visma in School vart omtalt på Digi i dag. Eg har skrive mykje om følgjene av Schrems II-domen og det at ein i noverande rettstilstand i praksis fins ingen gode tiltak som gjer at ein kan ta i bruk amerikanskeigde skytenester. Først sjekka eg personvernerklæringa til Visma. Inndelinga «Når benytter vi underleverandører» var veldig vag.

Ved bruk av underleverandører vil Visma inngå en databehandleravtale (DBA) for å beskytte dine rettigheter til personvern i henhold til gjeldende personvernlovgivning. Dersom underleverandører befinner seg utenfor EU, vil Visma sørge for at det inngås gyldige overføringsmekanismer med disse på dine vegne ved å benytte ordninger godkjent av EU kommisjonen, herunder EU Model Clauses.

For å identifisere kor løysinga køyrer, sjekka eg kor lillehammernord-vgs.inschool.visma.no tok meg. IP-adressa er 34.241.207.162. Ho høyrer til EU West 1 til Amazon som geografisk har tilhøyr i Dublin, Irland. Amazon er eit amerikansk selskap som er underlagt amerikanske lover.

Eg gjekk vidare og såg på lenka knytt til Schrems 2 og tiltak. Her rotar Visma til bildet med å dra inn CLOUD act. Problemet ligg i FISA (Foreign Surveillance Act). I FISA er det ingen uavhengig dommar som tek stilling til om etterretninga kan pålegge ein amerikansk «electronic communications provider», som Amazon, å utlevere informasjon. Dersom etterretning har behov for informasjon om individ, kan dei instruere selskapet til å hente ut informasjon kor som helst den er i verda på selskapet sine serverar. Leverandøren blir pålagt ein «gagorder» som gjer at dei ikkje kan informere om dette til nokon, inkludert individet eller for den del Visma, om dei finn informasjonen i deira tenester.

Det er ikkje noko som tydar på at Visma har på plass tekniske tiltak for å sikre informasjonen mot innsyn. EDPB i si rettleiing Use Case 6 – handsaming av informasjon i klartekst/ukryptert – er tydeleg på at i slike tilfeller fins det ikkje tekniske tiltak. Ein kan ikkje avtale seg vekk frå den amerikanske lova, det er difor eit nødvende at ein har på plass tekniske tiltak som kryptering og/eller pseudonymisering.

  • Mi vurdering er at Visma in School med stort sannsyn er ei teneste som er i strid med GDPR.

Ei bonussak er at opplæringsportalen er levert på inschool.zendesk.com. Om du sjekkar IP-adressa – 104.16.53.111 – vil du sjå at trafikken vert sendt gjennom den amerikanske trafikkstyringstenesta Cloudflare. Dette blir vanlegvis gjort for å sikre tenesta si mot ulike former for skadelege angrep, som tenestenektangrep (DDoS). IP-adressa ser ut til å vere geografisk plassert i USA, som betyr at du i tillegg til å sende via ein leverandør underlagt FISA, også sender trafikk til USA. Exectuvie Order 12 333, som FRA-lova i Sverige, gjer at ein kan avlytte trafikk inn til landet/USA. Metadata rundt trafikken kan plukkast opp. Dersom TLS, på grunn av djup pakkeinspeksjon, blir terminert hos Cloudflare, vil trafikken mellom Cloudflare og sluttenesta kunne vere lesbar for Cloudflare og kan då bli samla inn etter FISA.

  • Einaste løysinga er at USA endrar sine lover, før vi kan bruke tenestene lovleg.

Eg held ikkje pusten!

Youtube pressar på for å få meg til å betale

Dei siste åra har eg følgt med på ulike innhaldsleverandørar som brukar Youtube som plattform. Gradvis har reklamen blitt meir framtredande. Det byrja så smått med 5 sekundars klipp eller lengre klipp som kunne hoppast over etter 5 sekundar. Etter ei tid auka tida på annonsene noko til 6-7 sekund, samt at dei lengre kunne hoppast over etter 5-7 sekundar. Heilt greitt det også. Eg var godt nøgd, sopass må eg tåle og eg såg med blide auge på annonsørane. Det var ikkje nokon grunn til å betale Google eit månadleg abonnement for å sleppe reklamen.

Når vi nærmar oss notid, byrja det å dukke opp lengre reklamar som eg ikkje kunne hoppe over. Frustrasjonen auka når eg fekk servert slike. Eg stoppa starta videoen eg ville sjå heilt til eg slapp meir annonser eller det kom reklame eg kunne hoppe over etter ca. 5 sekundar. Irritasjonen overfor Youtube og verksemdene med desse reklamane auka.

I notid har det vorte aldeles gale. Vi er på veg mot dei håplause reklamane vi får servert på TV. No er det meir regelen enn unntaket at ein blir servert reklame på 15 sekundar, utan moglegheit å hoppe over det. Alternativt er 2 reklamar som til saman spelar opp mot 15 sekundar når du hoppar over kvar av dei. Irritasjonen med Youtube og verksemdene som reklamerer har nådd nye høgder. Om de vil irritere publikum, må de berre gjere det. De får ikkje meir velvilje frå meg.

På iPad er det håplaust i appen. Eg må tilbake på PC for å sjå på Youtube. Her kan eg installere tillegget uBlock Origin i nettlesaren. uBlock Origin kuttar alt av reklamepausar som Youtube/Google legg på videoane.

Kva er algoritma?

Denne veka var det igjen ei høyring USA av huset med toppsjefane for Google, Twitter og Facebook. Eg såg deler av direktesendinga på Engadget og ei kortare oppsummering seinare. Eg kunne drege fram mykje sidan du får ein del brusing med fjøra frå politikarane. Dei krev ja- eller nei-svar på kompliserte spørsmål. Men eit sentralt spørsmål rundt tenestene er «algoritma» som var med å radikalisere folk.

Facebook forlot eg for eit par år sidan. Twitter har aldri interessert meg. Men eg har framleis ein konto hos Google og kjenner godt til søketenesta, annonsenettverk og Youtube.

Annonsenettverket deira lærer av aktiviteten din med tanke å levere deg annonser du er interessert i. Ideen er at dei som kjøper annonser skal være sikra ein større sjanse for at du klikkar på annonsa og handlar hjå dei. For ein del år sidan slo eg det av. Eg handla for ungane på nettet og bli servert annonser på ungeklede i veker etter ein handlerunde var irriterande. Når det er sagt, har nettannonser over tid blitt å skjemmande at eg blokkerer dei med uBlock Origin. Eg orkar ikkje lenger den visuelle støyen frå annonsene.

Google Search er kort og godt den beste søketenesta. Microsoft Bing har eg prøvd, sidan eg også har Microsoft-konto, men Google leverer best. Med ein Google-konto, vil Google bruke din søkeaktivetet til å filtere og føre opp dei lenkene som dei meiner vil vere mest relevante med tanke på tildlegare aktivitet. For eigen del er det til stor nytte når eg er på jakt etter fakta innanfor IKT, bilar osv. Eg blir betre til å formulere meg over tid på søka på eit tema, men saman med hjelpa i bakkant frå Google får eg mine relevante treff høgt oppe i dei første 10 søketreffa. Eg har prøvd DuckDuckGo og Qwant som er meir personvernretta, men det hjelper lite når treffa ikkje er like gode. Det kan vere verd å nemne at eg ser same tendens frå statistikken min. Google er standard for brukarane som finn sidene mine. Innslaget av andre søketenester, som Bing og Kvasir, kan samla teljast på ei hand i løpet av ei veke.

Youtube har også ei tilsvarande algoritme som lærer av kva du har sett på. I hovedsak er interessa mi innafor IKT, men det hender at deg tek avstikkarar innanfor andre tema som historie, bilar, filmvurdering, musikk osv. Avhengig av kor lenge avstikkaren varer, vil det auke på med framlegg til lignande videoar innanfor tema. Det kunne være irriterande når eg ikkje var interessert i tema lenger. Løysinga er simpel. Tek du ein avstikkar på eit tema utanfor ditt ordinære interesseområda, stoppar du berre logginga. Har du gløymt stoppe kan du berre slette oppføringane i loggen og framlegga vil felle bort.

Der eg har stor nytte av gode verktøy, som gir det eg fagleg er interessert i, ser eg at den same støtta kan grave deg ned i konspirasjonsteoriar. Startar du eit slikt løp vil f.eks. Youtube hjelpe deg å finne lignande innhald. Algoritma trur du er interessert i dette sidan du har sett (mykje) lignande innhald tidlegare. Det blir som om bibliotekaren finn andre lignande bøker til deg basert på det du har lånt tidlegare. Eller Netflix som gir det framlegg på filmar som du bør sjå basert på filmar du allereie har sett.

PS! Under Data og personlig tilpassing kan du justere innstilingane for kva Google loggar og kor lenge dei tek vare på det. Du kan også slå det av, om du ikkje vil ha støtte.

Ta vare på personvernet

Eg viser til mine tidligare postingar om Schrems II-domen:

Tenkte eg skulle ta oppfordringa på strak arm og sjå kva som måtte til for å sikre tilstrekkeleg personvernvernet mitt.

E-post

Det var det enklaste å få styr på. All e-post tilbake til 1.1.2008 er flytta heim til norsk leverandør og køyrer på norske servarar. Adresseoppføringar rundt omkring er oppdatert. No er det berre litt reklame og uvesentleg e-post som kjem via mine gamle e-postadresser sendt vidare til ny e-postadresse. Intet bli lagra hos amerikanske skyleverandørar.

Backup

Eg har store diskar til å lagre filer og backup. Skya for meg har i det store og heile vorte brukt som eit backup-område for mine data. Eg har flytta backup av data til eit norsk selskap.

Skylagring

Sidan eg har att eit par år med 6 TB med lagring hos ein amerikansk leverandør, har eg flytta personleg data som eg må arbeide med til eiga løysing omtala under. Det personlege videoarkivet er no kryptert med min PGP-nøkkel, som eg har full kontroll på. Eg måtte børste støv av gamal kunnskap om kommandolina og lage til eit skript som handsama tusenvis av filer ved å kryptere dei og slette orginalen etterpå. Det var berre å setje det på og la det gå. Når filene var bytta ut med krypterte filer, tømte eg papirkorga på skytenesta.

Det er ikkje mogleg for uvedkommande å låse opp filene. Ulempa er at eg heller ikkje kan sjå på filene ved hjelp av framvisingsfunksjonalitet i skyløysinga.

Andre filer; som programvare, musikk-, filmsamlinga samt råvideo og ferdigredigert video frå turar i Leikanger du finn på kanalen min på Youtube, såg eg ikkje behov for å låse ned.

Filsynkronisering mellom mine PCar

For dokument og bilete måtte eg ha ei løysing på for å ha dei lett tilgjengeleg og synkronisert mellom einingane mine. Eg vurderte ulike løysingar, men enda opp på ei enkel og sikker synkroniseringsprogramvare som eg kan setje opp og ha full kontroll på: Syncthing

Eg har ein liten Intel NUC ståande og køyre OpenMediaVault, som er basert på Debian Linux. La til programvarekilda for Syncthing, installerte og sette opp «navet» for synkroniseringa på denne maskina. Alla andre maskiner synkar mot denne sidan ho står på døgnet rundt. Deretter lasta eg ned Syncthing på alle andre maskiner og kobla dei saman for synkronisering av Dokumenter og eventuelt Bilder. Syncthing består av ei programvarefil som du kan legge i oppstarten på Windows. All administrasjon skjer via eit grensesnitt i nettlesaren på adressa localhost:8384. Det betyr at du berre når grensesnittet lokalt maskin for maskin, med mindre du endrar på konfigurasjonen. Det har eg gjort på Intel NUC fordi den står utan tilkobling til skjerm eller tastatur og kan kun fjernadministrerast.

Enklare alternativ for deg

Eg gjorde dette for eiga underhaldning. Vil du gjere noko tilsvarande, er det enklaste å kjøpe e-post hos norske Runbox. Her får du enkel hjelp til å overføre alle din post frå andre e-posttenester som Google og Microsoft. For filsynkronisering kan du bruke sync.com og eller mega.nz. Begge tilbyr kryptering av dine data før dei blir lagra hos dei. Samstundes er selskapa heimehøyrande i land, Canada og New Zealand, EU har vurdert personvernet til å vere tilstrekkeleg i.

Kva vil Datatilsynet?

Eg viser til mine tidlegare postingar rundt Schrems II-domen og personvernrådet i Europa (EDPB) sine tilrådingar:

EU har vore tydeleg i dommen og i etterkant:

…must ensure that the data subject is granted a level of protection essentially equivalent to that guaranteed by the General Data Protection Regulation (GDPR) and the EU Charter of Fundamental Rights (CFR) – if necessary with additional measures to compensate for lacunae in protection of thirdcountry legal systems. Failing that, operators must suspend the transfer of personal data outside the EU.

… Furthermore, the EDPB announced that it will not suspend enforcement for a regulatory grace period.

EDPB, som Datatilsynet i Norge er medlem av, er krystallklare i talen. Ein har ikkje innvilga nokon form for friperiode. Greier ein ikkje å etablere eit tilsvarande nivå som innafor EU, må ein avslutta overføring av data til USA-baserte/-eigde tenester. Basert på tilrådinga fra EDPB, er det ingen moglegheit å sikre informasjon på nemde tenester og stette kravet som er sett. Datatilsynet i Norge er utydelege, men kanskje vi kan sjå eit par lyspunkt frå dei.

Det første lyspunktet finn eg i breva frå Datatilsynet til kommunane dei kontrollerte bruken av G-Suite for Education i skulen. Breva er datert 7. desember 2020, nesten 5 månadar etter domen og 1 månad etter utkast til tilrådingar frå EDPB vart publisert. Etter å ha skumma breva, er det ein ting eg har bite meg merke til: Datatilsynet har ikkje skrive at kommunane skal avslutte bruken av G-Suite for Education.

Det andre lyspunktet er rettleiaren for bruk av Google Chromebook og G Suite for Education (og andre skytenester) i grunnskulen. Dei har utarbeidd ei rettleiing for ei USA-basert/-eigd teneste som etter mi, og mange andre si, forståing av Schrems II-domen og EDPB sine tilrådingar, ikkje kan levere tilstrekkeleg personvern og er i strid med EU sitt lovverk. Personinformasjon vil kunne hentast ut av amerikansk etterretning, f.eks. etter PRISM-paragrafen, som gjer at etterretninga kan pålegge Google å hente ut informasjon som ligg kor som helst i verda på Google sine tenester.

Før du blir blenda av lyset, skal eg like godt blåse det ut. Datatilsynet har lagt til grunn ei tilnærming som er risikobasert. Slik det står no frå EU er det ikkje anledning å gjere ei risikobasert tilnærming. Ergo framstår Datatilsynet i Norge sine handlingar som mildt sagt forvirrande, når alt er avhengig av ei politisk løysing. USA må endre sine lover slik at USA-baserte/-eigde tenester kan levere tilstrekkeleg personvern.

DuckDuckGo – personvern?

Som ei oppfølging til postinga i går, tenkte eg at eg skulle ta ein titt på DuckDuckGo, ein søkemotor som held høgt fana for privatlivet og ikkje sporar deg slik som Google og Bing (Microsoft). Om du som verksemd vel å endre standard søkemotor i dine system til DuckDuckGo, vil personvernet for dine tilsette bli tilstrekkeleg teke i vare? Det DuckDuckGo skriv på sidene sine tyder på det, men djevelen er skjult i detaljane du ikkje ser.

Om du pingar adressa duckduckgo.com, vil du få svar frå ip-adressa 52.142.124.215. Deretter gjer du eit oppslag på IP-adressa for å finne kven som eig ho. Overraskinga var stor. Eg sette kaffien i halsen og måtte sjekke IP-adressa ved hjelp av fleire tilsvarande tenester.

Duckduckgo.com køyrer på Microsoft Azure 😂.

Eg kan verkeleg ikkje tru det, ei teneste som marknadsførar seg på personvern, køyrer på infrastruktur som EU har funne ikkje ivaretek personvernet tilstrekkeleg! Bonusen er at duckduckgo.com er amerikansk….

Du får heller prøve Qwant, ein fransk søkemotor, om du vil ta vare på personvernet.

Kan det bli verre, EU?

Eg viser til innlegget mitt rundt Schrems II-dommen og tilrådingane som er godt frå personvernrådet i EU (EDPB). Høyringsfristen er ute for tilrådingane og innspel er no publisert. Eg har lest gjennom mange gode innspel frå ulike aktørar, men skal ein sjå på retninga vi kan forvente, trur eg innspelet frå noyb (Max Schrems sin organisasjon) vil vere sentralt med tanke på kva som blir den endelege tilrådinga frå EDPB. For å summere det opp:

Stopp og full retrett i bruk av (sky)tenester som har drift eller eigarskap utanfor EU/EØS, samt nokre få land EU meiner har tilstrekkeleg personvern.

La meg plukke fram nokre moment frå noyb sine innspel på tilrådingane frå EDPB:

  • Side 2: «The European Legislator has de facto established an export ban for personal data…. is nevertheless the current state of the law.»
  • På side 3 peikar noyb på at ein er forplikta til å stoppe og avvikle overføringar der personvernet ikkje er tilstrekkelig ivareteke (f.eks. USA-baserte tjenester).
  • På side 5 får Datatilsyn i landa peppar for å ikkje å være klare nok. Alle ventar på at nokon gjer det første trekket. noyb minner om at Datatilsyna er forplikta til å bidra til stopp og avvikling av overføringar. Eg kan leggje til at noyb på side 7, avsnitt 2 ytrar ein viss frustrasjon over mangelen på handling, berre skriving av rapportar, dokument og vurderingar.
  • På side 8 er noyb krystallklar på at risikobasert tilnærming ikkje er eit alternativ.
  • På side 10 peikar noyb på at man ikkje skal ta omsyn til sannsynet for at nokon nyttar seg av retten og moglegheita for tilgang. I anbefalingene i slutten av kapittelet vert det peika på ein ved tvil alltid skal leggje til grunn at personvernet i landet IKKJE er godt nok.
  • Eg tolkar at noyb meiner at pseudonymisering ikkje er tilstrekkelig og ber om at det vert fjerna om eit mogleg tiltak.
  • I kapittel 11 peikar noyb på alle som kjem med «deceptive promises all the way to fraudulent behavior». Det vert illustrert med lovnadene til Microsoft som punktvis blir gått gjennom og punktert. noyb ber Datatilsyna i EU/EØS ta tak i slik villeiande informasjon.
  • Om det er noko positivt her er det at noyb (i kap. 12) ber om at EDPB eller lokale Datatilsyn, direkte eller indirekte, tilbyr informasjon om ulike land (utanfor EU/EØS).

Legg vi til grunn at det ikkje blir dei store endringane, men presiseringar frå EDPB, som følgje av innspelet frå noyb, betyr det i praksis at private og offentlege norske verksemder skal, eller faktiskt allereie skulle ha, slutta å bruke løysingar eller tenester som:

  • Microsoft 365
  • Google Worksuite (Gmail osv.)
  • Google Analytics
  • Vimeo
  • Youtube
  • Zoom
  • WordPress
  • Microsoft Azure
  • Amazon Web Services
  • Google Cloud
  • Oracle Cloud
  • Telefonar som krev knytning til Google eller Apple
  • Cloudflare eller Akamai for å beskytte sine nettsider mot DDoS
  • Andre tenester som har eigarskap utanfor EU/EØS og nokre få land
  • osv.

PS! Alle Tesla-bilar blir deaktivert, medan prisane på Nissan Leaf vil stige til uante høgder sidan Japan er vurdert til å ha tilstrekkeleg personvern.

Papirkorg som skjold

Vi har konspirasjonsteoriar rundt 5G og påstått sensitivitet mot trådlause nettverk. Nokon veit å tena pengar på godtruande sjeler. Produktet vert marknadsført som eit skjold rundt din ruter som skal beskytte deg mot stråling.

Eit Faradaybur er eit rom eller boks med vegger av metallplater eller finmasket metallnett som vert brukt til å å skjerme mot elektriske felt. Går du inn i eit skikkeleg Faradaybur med mobiltelefonen din, vil du merke at mobiltelefonen ikkje lenger har kontakt med mobilnettet lenger. Ein del nyare kontorbygg slit med mobilsignal inne, sidan nokre bygningsplater inneheld eit finmaska metallnett. Du har kanskje erfaringar med dette.

Kva trur du vil skje om du set din trådlause nettverksruter i eit Faradaybur?

Her har produsenten teke utgangspunkt ei papirkorg som dei har tilpassa. Eit større alternativ til solid pris finn du her.

  1. Papirkorga fungerer ikkje noko spesielt godt som Faradaybur.
  2. Kor absurd er det å setje ein trådlaus ruter i eit Faradaybur?
  3. Redusering av sendestyrke kan du som oftast justere på ruteren din.

Du kan finne moglegheita til å justere sendestyrke på ruteren din under innstillingar for trådlaust nett eller under avanserte innstillingar knytt til trådlaust nett. Her er eit eksempel frå ein rimeleg D-link-ruter:

Du finn routeren din via innstillingane i Windows:

  • Trykk på Windows-knappen
  • Søk etter innstillinger
  • Vel Innstillinger-appen
  • Vel Nettverk og Internett
  • Vis maskinvare og tilkoblingsegenskaper
  • Noter adressa til Standard gateway, f.eks. 192.168.0.1
  • Opne nettlesaren og skriv inn http://adresse til standard gateway/, f.eks. http://192.168.0.1/ eller 192.168.80.1/.
  • Kjenner du ikkje passordet, kan du prøve brukar: admin og passord: admin eller søke etter default password for router <<navn på produsent og evt. modell>>. Google har svaret.

Når det er sagt, må det nemnast at radiobølgene til ein nettverksruter, eller for den del 5G, ikkje er ioniserande og kan ikkje påvirke menneskeleg DNA. Ikkje-ioniserende stråling har ikkje høg nok energi på strålinga til å ionisere atom i eit materiale. Ruteren sender med låg effekt. Det er ikkje langt han rekker. Ioniserande stråling har høge frekvensar, høg energi, og kan bryte kjemiske bindingar i det bestråla materialet. Arbeidstilsynet har informasjon om stråling og følgjande plakat som viser forskjellen mellom ikkje-ionserande og ioniserande energi:

Lei lus i Cryptomator

Etter grundige testar av Cryptomator, eg omtala tidlegare i år, har eg kome over ei lei lus. Tidstempelet på enkelte filer blir endra utan at eg kan forklare det.

I eit utval på tusenvis av filer som samla utgjorde 1 TB, var det ca. 155 GB der tida ikkje stemde overeins med originalen. Eg testa fleire gonger og det var akkurat den same samlinga filer eg fekk problem med. Det var heller ikkje noko spesielle filtypar som skilte seg. Feilen oppstod på enkelt filer, medan resten av same typen filer var OK.

Eg hadde ei anna samling eg hadde kopiert tidlegare, som eg sjekka med originalen. Her også var det skilnad på nokre filer. Her var det snakk om ca. 34 GB av 1 TB med filer som hadde feil tidsstempel. Eg er 100% sikker at alt var OK når eg kopla ned samlinga i Cryptomator for å låse av arkivet i går kveld.

Inntil denne lusa er løyst, kan eg ikkje bruke Cryptomator. Eg aksepterer ikkje at endringar skjer vilkårleg.

Ikkje so gale detta

Eg har tidlegare skrive om Google Chromebooks og G Suite for Education. Les deg gjerne opp på tryggleik og personvern for produktet G Suite for Education før du les vidare. Google tek personvernet på alvor når det snakk om born og ungdomar.

No har Datatilsynet kika Bergen kommune i korta. Kommunen har fått 4 merknader.

  • De har ikke gjennomført en risikovurdering som er i samsvar med personvernforordningen.
  • De har ikke gjennomført en vurdering av personvernkonsekvensene av bruken av Chromebook og G Suite for Education i skolen.
  • Kommunen har ikke gitt informasjon som er egnet til å gjøre elever og foresatte i stand til å ivareta sine interesser og sitt personvern ved bruk av Chromebook og G Suite for Education.
  • De har ikke ført protokoll over aktivitetene som foregår på elevenes Chromebook og i G Suite for Education.

Dette er formalitetskrav som anten ikkje er gode nok eller ikkje vorte gjort. Informasjonen til borna er ikkje godt nok tilpassa alder. Det er også ueinigheit rundt risikovurderinga. Det eg tek med meg frå saka er at kommunen ikkje har fått beskjed om å slutta med å bruka G Suite for Education. Ein må kunne lese mellom linjene og leggje til grunn at G Suite for Education er mest sannsynleg er godt nok når ein får på plass formalitetane.

No må ikkje de sitja her og tru at ein kan lure seg unna detta om ein hadde basert på seg på Microsoft 365 for Education. Ja, du kan installere den trauste programvara på ein PC, men nett som G Suite for Education er desse ein del av ei skyteneste. Microsoft har datasenter rundt om i verden, nett som Google. I begge tilfelle er det mogleg å avgrense lagringa til Europa, sjå her for Google under «Set a data region policy».

OK, du kunne ha unngått dette om PCane berre hadde hatt tilgang til nett på skulen og ikkje internett, men kven vil skru tida 25 år tilbake?

NRK har hatt fleire avsløringar over innsamling av personinformasjon dei siste åra. Kvar informasjonsbit kan ikkje avsløre personen, men den samla mengda kan lett avsløre person og kor dei bur, arbeidar, ferierer osv.:

Det er korkje Microsoft, Google eller Apple, eigarane av dei store plattformane, som er syndaren. Nei, her er det snakk om «gratis» appar som du lastar ned og installerer av eigen fri vilje. Prisen er at utviklaren av appen får lov å selje informasjon om din bruk vidare. Sjølv om ein strippar ting ned, kan samlinga av informasjonen vere med å avsløre kven du er.

Mi vurdering er at G Suite for Education betre egna til å strypa inn maksimalt enn ein Windows-plattform. Der Windows er eit fullverdig operativsystem, er Chromebooks berre «dumme» einingar som køyrer ein nettlesar som må halde seg til dei ressursane (appar, tillegg og nettsider) skulen gir lov til å bruke. Med andre ord strupe dei ned til berre å kunne buke Google teksthandsamar, rekneark osv. og dei sidene elevane kan bruke. Du kan setje opp eit liknande styringsregime for Windows-maskiner, men det har sine utfordringar sidan Windows køyrer meir enn ein nettlesar.

For ikkje å gløyme, kor mange virus og vellukka dataangrep har du høyrt om for Chromebooks? Chromebooks køyrer på eit nedstrippa Linux-basert operativsystem som tilbyr noko så simpelt som ein nettlesar. Chromium OS, ein versjon utan kopibeskytta kode som ligg i Google ChromeOS, er tilgjengeleg som open kjeldekode som du eller dei med interesse kan kontrollere. Windows kan du ikkje kontrollere sidan kjeldekoden ikkje er tilgjengeleg. Har du ein gamal PC liggande, kan du installere Chromium OS som er lagt til rette av Neverware og teste kva ei Chromebook er.