Athugið þessi frétt er meira en 2 mánaða gömul.

Ekki tekið afstöðu til lögmætis Microsoft Teams

Mynd með færslu
 Mynd: mika baumeister/unsplash
Fjarfundarbúnaður getur falið í sér margvíslega áhættu um öryggi persónuupplýsinga, segir forsvarsmaður Persónuverndar. Þeir sem ákveða að nota búnaðinn verði að meta hvort hann samræmist persónuverndarlögum. Persónuvernd hefur ekki tekið afstöðu til þess hvort fjarfundakerfið Microsoft Teams standist evrópsk persónuverndarlög. Í Svíþjóð hafa margar stofnanir hætt að nota forritið því persónuleg gögn um notendur eru geymd í Bandaríkjunum. 

Óttast njósnir

Svíar óttast að persónulegar upplýsingar geti lent inn á borði bandarísku leyniþjónustunnar en Evrópudómstóllinn komst nýverið að þeirri niðurstöðu að skýjaþjónusta í Bandaríkjunum stæðist ekki öryggisskilyrði persónuverndarreglugerðar Evrópusambandsins. Daniel Melin hjá sænsku skattstofunni segir að núverandi uppsetning Teams sé ólögleg.

Áhættumat

Helga Sigríður Þórhallsdóttir, sviðsstjóri eftirlits hjá Persónuvernd, segir að hér hafi ekki verið ályktað sérstaklega um forritið Teams. „Persónuvernd hefur ekki tekið afstöðu til þess hvort þetta forrit eða tiltekin forrit uppfylli skilyrði persónuverndarlöggjafarinnar en fjarfundabúnaði geta fylgt ýmsar áhættur tengdar öryggi persónuupplýsinga og út frá því getur til dæmis þurft að framkvæmd áhættumat og svokallað mat á áhrifum á persónuvernd áður en ákvörðun er tekin um að nota tiltekinn hugbúnað,“ segir Helga Sigríður. 

Ábyrgðin lögð á stjórnendur

Það eru þeir sem ákveða að nota búnaðinn sem eiga að meta hvort hann samræmist persónuverndarlögum, ábyrgðin er þannig lögð á forsvarsmenn stofnana eða fyrirtækja og matið er aðstæðubundið. Ef forstjóri ríkisstofnunar hyggst meta hvort óhætt sé að nota Teams eða annan búnað til að eiga samskipti innanhúss þarf hann að gaumgæfa hugbúnaðinn sjálfan, hvernig vinnslu persónuupplýsinga er háttað, hvaða upplýsingar eru skráðar og geymdar og hvar. Eðli samskiptanna sem forritið er nýtt til skiptir líka máli. „Þegar um er að ræða viðkvæmar persónuupplýsingar þarf til dæmis að gera mjög strangar kröfur til upplýsingaöryggis,“ segir Helga Sigríður. 

Bannað að nota forrit sem standast ekki lög

Ef niðurstaðan er sú að forritið standist ekki persónuverndarlög þarf að finna eitthvert annað forrit. Í Svíþjóð leitar vinnuhópur nú að fjarfundalausnum sem standast evrópskar persónuverndarkröfur. Microsoft hefur heitið því að kippa þessu öllu í liðinn fyrir lok árs 2022, með því að færa þjónustu sína frá Bandaríkjunum til Evrópu.