Deltager du Zoom møde, kursus, videokonference, webinar eller digital fredagsbar? Så er der risiko for, at følsomme eller fortrolige informationer om dig eller din business bliver delt med andre. Men det er ikke Zooms sikkerhed, du skal være mest bekymret for.
Her er min lynguide til at komme i gang med Zoom og holde sikre møder.
Uanset du er mødedeltager eller mødearrangør kan du selv gøre meget for at gøre det sikkert at bruge Zoom.
Du kan tage sølvpapirshatten på, når du skal til møde via Zoom og lignende systemer. Men du behøver ikke!
Mange mennesker er (blevet) overdrevent bekymrede for, hvordan det står til med privatliv og sikkerhed, når man deltager via Zoom i møde, webinar, workshop, event…
Der er mange gode grunde til at passe på, hvad man deler online. Også når man deltager i møder og kurser via Zoom.
Største og værste problem er, at Zoom er så nem at bruge, at stort set hvem som helst både kan være mødedeltager og mødearrangør. Uden at ane en disse om it-sikkerhed, privatlivspolitik, opbevaring af data, jura og anstændig omgang med andres informationer.
Tip til dig, der vil gå med seler og sølvpapirshat:
Stil krav til mødearrangører - og din egen adfærd.
Det har du langt mere kontrol over end Zooms politik og sikkerhed.
Dette indlæg har råd til både mødearrangører og mødedeltagere.
Corona-krisen har fået brugen af Zoom til at eksplodere.
Det er i sig selv lig med en ikke ubetydelig risiko, at mange Zoom-mødearrangører er ganske uerfarne.
Programmet er så nemt at bruge, at mange bare går i gang - og konkluderer, at de ikke behøver undervisning i at bruge Zoom og holde online møder.
At gå i gang med Zoom uden at sætte sig ind it-sikkerhed, persondata, følsomme informationer og etik svarer til at give børn tændstikker og tændvæske og sige: prøv dig frem. Du finder hurtigt ud af det.
Brændt barn lugter ilde….
Hvordan bliver dine data (mis)brugt efter mødet i Zoom?
Forleden fik jeg et nyhedsbrev med link til et webinar.
Det var sendt fra en undervisningsvirksomhed, der strengt taget bør have styr på både teknik, sikkerhed, jura og håndtering af deltagernes personlige data. Og det så de slet ikke ud til at have.
Virksomhedens markedsføring via webinar bryder tvært imod adskillige fornuftige sikkerhedsprincipper og - så vidt jeg kan se - også persondataloven.
De bruger webinaret til markedsføring og publicerer i den forbindelse webinar-deltagernes navne og alt, hvad deltagerne har skrevet i chatten. Uden at sikre sig webinar-deltagernes tilladelse forud, ser det ud til.
Forvent og forlang at du bliver informeret
Hvis jeg er mødedeltager og aktiv i en chat synes jeg eksempelvis det er rimeligt at forvente, at chatten er væk, når mødet er slut.
Hvis det er hensigten efterfølgende at publicere chattens indhold - eksempelvis spørgsmål til mødearrangør og deltagernes indbyrdes chat - bør deltagerne naturligvis informeres på forhånd. Og acceptere delingen! Ikke bare stiltiende, men aktivt.
Det er slet ikke usædvanligt, at webinarer bruges på den måde.
Sådan foregår det næsten altid. Og så ofte, at de fleste formodentlig glemmer alt om persondataloven.
Sådan gør mange af dem, der tilbyder webinarer.
Det bliver det bare ikke mere lovligt eller rigtigt af.
Man skal i øvrigt også være opmærksom på, at amerikanske videokonferencesystemer og mødearrangører ikke nødvendigvis lever fuldt op til europæiske krav. Her kan du læse om Zoom og GDPR.
Vær bange - men gør det alligevel
Hensigten med dette indlæg er ikke at gøre dig bange for at holde møder via Zoom! Hverken som arrangør eller deltager. Men vi kan med fordel tage sølvpapirshatten af og tænde for omtanken.
Jeg bruger Zoom dagligt. Både som mødearrangør og deltager. Uden sølvpapirshat. Jeg underviser endog i at bruge Zoom.
Et hurtigt tip til bekymrede mødedeltagere: Hvis du går op i sikkerheden ved webinarer, videokonferencer og online møder via Zoom, så er din egen adfærd og mødearrangørers uvidenhed ofte det største og værste problem. Og de forhold er mere kontrollable for dig end Zoom privatlivspolitik og interne datasikkerhed.
Skal du være særligt bange for Zoom?
Næh. Det tror jeg helt ærligt talt ikke. Jeg bruger det ubekymret. Men jeg har pillet ved adskillige sikkerhedsindstillinger, når jeg holder Zoom-møder.
Jeg optager eksempelvis ikke chatten, når jeg holder webinarer.
Jeg optager heller ikke møder uden deltagernes udtrykkelige accept.
Du kan finde masser af advarsler om risikoen ved at bruge Zoom:
“Brugen af videomøde-tjenesten Zoom er eksploderet under corona-krisen, men firmaet bag Zoom beskyldes samtidig for at lænse brugerne for private data.“
Sådan skriver eksempelvis Magisterbladet
Adskillige andre blogindlæg, danske og udenlandske, advarer om samme risiko: at Zoom indsamler data og deler med 3. part.
Og ja! Det gør Zoom.
Men HVAD deler de. Hvornår. Og med hvem?
Måske ikke mere, end du har det fint med?
Og næppe mere end Facebook, Google og andre deler om os.
Facebook og Google bruger vores data til at målrette reklamer. Det gør Zoom måske også.
Det kan selvfølgelig være slemt og bekymrende nok.
Men det er næppe Zoom, der er farligst, hvis vi taler om at beskytte følsomme eller fortrolige data!
Jeg synes du skal holde mere øje med en helt anden trussel.
Og være opmærksom på, at du - som mødedeltager - kan sikre dig på adskillige måder.
En mødearrangør kan også gøre en hel del.
Zoom kan bruges til at samle data
Det er helt korrekt, at vores personlige data og privatliv er udsat, når vi deltager i webinarer og videokonferencer. Uanset det foregår via Zoom, Skype, Microsoft Event, Hangout Meets fra Google… eller andre. Ligesom når vi bruger Facebook, Twitter, Gmail etc.
Men skal du være bekymret?
Lad mig sige det sådan: Jeg deltager i rigtig mange Zoom-møder uden hat.
Men der er Zoom-møder JEG aldrig vil deltage i med fuld navn.
Og jeg har set Zoom-møder lagt online, som jeg undrer mig voldsomt over, at mødearrangør vil være bekendt at offentliggøre.
En psykolog, psykiater, læge, coach eller terapeut offentliggør naturligvis ikke sine samtaler med patienter og klienter. Mødet bliver næppe optaget og slet ikke publiceret på YouTube eller Facebook. Men mange arrangerer, optager og publicerer møder, som afgjort er på kanten af både det lovlige og rimelige.
Vi kan absolut ikke regne med, at alle Zoom-mødearrangører behandler vores data fornuftigt. Derfor skal vi selv være bevidste om, hvad vi deler med hinanden online.
Skal du være bekymret næste gang du kaldes til møde i Zoom? Det afhænger af flere ting:
- Hvilke private, personlige, fortrolige informationer ender du med at dele under mødet?
- Hvem deler du informationerne med? Kender du dem, der deltager i mødet? Kan du se, hvem de er og kan du være sikker på, at de dem, de giver sig ud for? Deltager dine konkurrenter i mødet? Gør dine kunder, klienter, patienter?
- Hvor og hvordan deler du informationer i Zoom - i chatten, på whiteboard, via din stemme, via webcam?
- Har mødeleder styr på tekniske opsætning af Zoom (eller andet konferencesystem)
- Hvordan bliver dine informationer brugt efter mødet? Bliver der lavet video- og lydoptagelse - og bliver de efterfølgende delt på sociale medier eller med andre?
- Kan du stole på den eller dem, du holder møde med? På mødearrangør og mødedeltagere!?
Du kan selv styre en stor del af sikkerheden
Det værste sikkerhedsproblem er vores egen ofte sløsede tilgang til, hvad vi deler via Zoom. Hvem vi deler med. Og hvordan mødet bliver brugt.
Du kan se dagligt på Facebook, at mange ikke overhovedet har styr på ret & vrang, farligt og ufarligt - på hvordan deres data bliver brugt og hvordan de kan sikre sig.
Det problem vender jeg tilbage til snart - med tip til, hvordan du SELV sikrer dig i Zoom.
Først et tip til mødearrangører:
Mødearrangør kan gøre meget for sikkerheden
Lige så slemt - og værre end virksomhederne bag videokonferencesystemerne - er desværre mødearrangørerne. De har nemlig sjældent styr på jura, sikkerhed, netikette.
Det handler ofte om tankeløshed og manglende viden. Sjældent om ond vilje.
Mødedeltager har ikke nødvendigvis styr på de sikkerhedsmæssige indstillinger i Zoom. Og bruger derfor ikke mulighederne for at skabe sikkerhed.
Hvornår har du eksempelvis oplevet en mødearrangør informere mødedeltagere om indstillinger og valg, der kan være afgørende for sikkerheden:
- Mødedeltagere bør eksempelvis have besked, hvis møde og/eller chat optages - så de selv kan vælge, om de ønsker at deltage i mødet. Mange mødearrangører ved formodentlig ikke engang, om chatten optages.
- Mødedeltagere bør have besked - og give accept - hvis mødes optages og efterfølgende deles med andre. Det er så udbredt, at mange mødearrangører næppe engang tænker over, at det kræver tilladelse fra deltagerne.
Sikkerhed online handler rigtige meget om hvad du selv gør:
Del ikke private/personlige informationer, som du helst vil holde i en snæver kreds. Slet ikke under et møde, der bliver optaget. Og heller ikke i et møde, hvor du ikke har styr på, hvem de øvrige deltagere er.
Følger du det ret simple princip, øger du sikkerheden gevaldigt. Og beskytter dit privatliv og/eller dine forrretningshemmeligheder.
De data som Zoom helt sikkert får fat i (og måske deler med andre) er primært såkaldte metadata.
Altså ikke de data du deler med mødeleder og andre deltagere under et møde, men informationer Zoom får, når du bliver inviteret og logger ind på et møde: dit navn, din emailadresse, dit brugernavn, din IP-adresse, din skærmtype, hvornår du logger på og hvem du holder møde med.
Vagthunde holder øje med Zoom og sikkerheden
Det er ikke virksomhederne bag videokonferencesystemerne den enkelte deltager først og fremmest skal være bekymret for. Det klarer organisationer, it-journalister og it-eksperter fra de store virksomheder og undervisningsinstituationer, der bruger Zoom.
Naturligvis skal virksomhederne konstant ses efter i sømmene, holdes i ørerne, tjekkes, stilles krav til.
Og det gør mange allerede. Sikkerheden er konstant til debat. Usikkerheder og urimeligheder bliver løbende opdaget, kritiseret - og korrigeret.
Hvor usikkert er det at bruge Zoom
Lad os lige kigge på virksomheden bag Zoom. Hvad de gør for at sikre brugerne.
Der har blandt været kritik af, at når en bruger logger på et Zoom-møde via smartphone, så deles data med Facebook - informationer om hvem der logger på, hvorfra etc. Så vidt jeg ved handlede det kun om de brugere, der loggede på via smartphone. Det datahul er, så vidt jeg kan læse mig til, blevet lukket af Zoom efter offentlig debat og kritik.
Den form for kritik fører ofte til - trods alt - at en virksomhed som Zoom griber ind og justerer software, sikkerhed og datapolitik.
Virksomhederne bag systemerne kan dårligt leve med massiv kritik af sikkerheden og tilsidesættelse af folks krav på privatliv. Vi kan derfor være rimeligt sikre på, at de retter ind. Måske ikke altid hurtigt nok. Måske ikke i et omfang, der passer til alle landes forskellige krav til datasikkerhed.
Men den største fare ligger desværre et helt andet sted end hos de virksomheder, der udvikler og tilbyder videokonferencesystemerne.
Husk at passe på dig selv og dine data
Uanset vi bruger Zoom, Facebook, Googles Gmail eller andre programmer - skal vi være opmærksomme på, at visse af vores data bliver delt. Eksempelvis de såkaldte metadata: navn, emailadresse, IP-adrese, maskine….
Bruger du en af de mange integrationer Zoom har med f.eks. Google eller Skype, accepterer du, at Zoom videregiver data. Du vil dog i langt de fleste tilfælde ikke finde det bekymrende.
Og du kan selv gøre en del for at passe på vores data, når vi er almindelige deltagere i et Zoom-møde:
- Del aldrig personfølsomme, fortrolige eller følsomme informationer om dig selv online. Ikke medmindre du ved, at det foregår via en sikker forbindelse.
- Del ikke ANDRES private, personlige eller forretningsfølsomme data uden at være sikker på, at dem du deler med har styr på sikkerhed, jura og almindelig hensynsfuld adfærd.
- Har du webcam tændt under et Zoom møde, så tjek lige, hvad du har i baggrunden. Er der billeder af børn eller andre, som ikke skal og ikke må deles… Står der kostbare antikviteter eller udstyr, der er synligt på billedet.
- Videregiv aldrig ikke offentligt tilgængelige informationer om andre, medmindre du har deres tilladelse. Er du mødearrangør, kan du ikke bare publicere Zoom-møder på sociale medier. Heller ikke selvom det foregår i en lukket gruppe på Facebook eller Linkedin.
Deler du billeder eller video uden andres tilladelse
Ifølge Persondataloven er det ikke tilladt at dele billeder, video eller personlige informationer om andre, medmindre de frivilligt og tydeligt har givet dig lov.
Det krav tilsidesættes så hyppigt, at mange vist har glemt, at sådan er det.
Vi har ikke lov til at tage billeder af andre eller optage videoer med dem - og poste billeder eller video på sociale medier. Det gælder naturligvis også, når vi holder møde via Zoom eller andre konferencesystemer.
“Offentliggørelse af billeder på internettet af genkendelige personer betragtes som en behandling af personoplysninger. Det gælder, uanset om billedet er ledsaget af en tekst, der identificerer den pågældende. Et billede med genkendelige/identificerbare personer udgør således oplysninger om disse personer.
De databeskyttelsesretlige regler skal derfor være opfyldt, for at en sådan behandling (offentliggørelse af billedet) lovligt kan finde sted. Det indebærer bl.a., at du – inden du offentliggør billedet - skal have et grundlag for at gøre det, ligesom du skal sørge for, at den eller de personer, der er på billedet, er vidende om, at du har tænkt dig at offentliggøre billedet på internettet, så de har mulighed for at reagere, f.eks. gøre indsigelse imod det.” Kilde: Datatilsynet
Det er altså ikke tilladt at optage mødet og offentliggøre det - ikke uden eksplicit tilladelse fra alle deltagere.
Mødearrangør kan øge sikkerheden ved Zoom-møder
En mødeleder skal have et såkaldt samtykke, hvis vedkommende vil optage mødet og efterfølgende dele det med andre. Så del aldrig med andre uden tilladelse. Og selv da bør du tjekke - før du offentliggør - om det vil være sikkert og rimeligt at dele indholdet.
Kravet om samtykke til offentliggørelse gælder for både video og helt almindelige portrætbilleder. Også for optagelser af møde eller webinarer, der er foregået på Zoom eller et andet system.
Deltagere kan med rimelighed forvente og forlange, at en vært har styr på reglerne - og overholder dem.
Hold øje med om mødes bliver optaget
Deltagere i et Zoom møde kan i øvrigt se det på skærmen, hvis en mødeleder (eller andre) optager et Zoom-møde.
Det er dog langt fra sikkert, at alle lige lægger mærke til det. Der vises i form af en lillebitte rød knap i øverste højre hjørne med teksten “Recording”.
Mødedeltager kan - under opsætning af sin konto - indstille, at mødedeltagere skal acceptere optagelse. Eksempelvis efter at være blevet præsenteret for en forklarende tekst. De skal som minimum have mulighed for at forlade mødet, hvis de ikke kan godkende, at mødes - og deres eventuelle deltagelse i mødes - bliver en del af optagelsen.
Mødedeltagere har også krav på, at data - herunder videoptagelse og/eller lydoptagelser - bliver opbevaret sikkert og slettet efter ønske. Også selvom de har givet tilladelse til, at mødet optages. Det er mødearrangøres pligt at sikre, at det krav kan og vil blive overholdt.
Deltager du i en chat under et møde skal du også være opmærksom på, at den måske bliver optaget og gemt. Mødelederen bør informere, hvis det sker. Og indhente eksplicit tilladelse før det sker.
Måske bliver optagelsen delt med kolleger eller andre via et fildelingssystem - måske endda med mange andre end dem, der deltog i mødet. Og måske vil du bidrage med færre eller andre oplysninger, hvis du på forhånd ved, hvem de bliver delt med.
Spørg dig selv, om du er OK med, at en optagelse af mødet bliver postet på YouTube eller andre sociale medier.
Stil krav til de værter, der inviterer til møde, webinar eller event via Zoom og lignende videokonferencesystemer. Forvent af dem, at de har styr på persondataloven. At de tager hensyn til andres privatliv. At de ikke deler mødet med fremmede. At de informerer fyldestgørende.
Tillid er godt - kontrol er til tider bedre
Allerstørst er risikoen nok, hvis din Zoom-vært er en du kender og/eller har tillid til. Det indebærer uundgåeligt, at du er mindre bekymret, mindre skeptisk, mindre forsigtig.
At du har tillid til en person er desværre ikke på nogen måde garanti for, at vedkommende har styr på persondatalov, sikkerhed, risikoen ved at bruge Zoom, sikkerhedsindstillinger i Zoom etc.
Zoom’s privatlivspolitik er ikke meget anderledes end den mange andre digitale platforme har. De forbeholder sig ret til at samle personlige data og dele med eksempelvis annoncører. Det er der med andre ord intet usædvanligt i. Det betyder ikke, at det er acceptabelt eller risikofrit. Det er vigtigt at være bevidst om, at det sker. Dagligt.
Især når vi bruger gratis services.
Så bliver vi selv - data om os - til en værdifuld vare.
Zoom’s krav til, hvad brugerne skal acceptere omfatter ikke kun adgang til forskellige informationer om brugerne.
Zoom forbeholder sig også retten til at bruge det virksomheden kalder “customer content”. Altså “the content contained in cloud recordings, and instant messages, files, whiteboards … shared while using the service.”
Consumerreports om Zoom og privatliv
Altså kort sagt: Zoom forbeholder sig ret til at bruge det indhold, der lagres i Zoom’s cloud.
Vi taler om det indhold, der deles via chat, via filer og det såkalde whiteboard.
Ikke mindst derfor skal du - som mødedeltager - være særdeles opmærksom på den virksomhed eller person, der bruger Zoom til at afvikle et møde, et webinar, et event. Sikrer de sig og dig, som du ønsker?
Mødeværten kan eksempelvis optage mødet og dele det med andre. Uden at informere dig.
Optagelser af møde kan ende hvorsomhelst.
Uden mødedeltagernes tilladelse eller vidende.
Sådan spotter du, om mødet optages
Hvis en mødevært - eller en anden deltager - optager under et møde, kan deltagerne se det i form at et lille rødt ikon - en lille rød knap med teksten “Recording”. Den er så diskret og lille, at mange mødedeltagere sandsynligvis overser den. Eller ikke tænker over den.
Man kunne med rimelighed forvente og forlange, at hverken mødevært eller mødedeltager kan optage uden direkte tilladelse fra deltagere. Zoom kunne eksempelvis indføre den begrænsning, at der slet ikke kan optages, medmindre alle mødets deltagere aktivt har accepteret det.
Muligheden er der, men den er slået fra som udgangspunkt.
Mødeværten kan aktivere, at der ikke kan optages uden deltagernes tilladelse. Men det gør sandsynligvis kun få mødearrangører. Jeg har ikke set nogen gøre det.
Er du mødevært, bør du - anstændigvis - slå til, at mødedeltagere skal acceptere, at der optages. Og at optagelsen måske deles med andre. Eksempelvis brugt i markedsføring, offentliggjort på sociale medier…
Mange mødearrangører forestiller sig tydeligvis, at det er helt i orden - og lovligt - at gøre det. Det sker næppe at ligegyldighed - snarere på grund af manglende omtanke.
Gør dine Zoom-mødedeltagere den tjeneste at informere grundigt om, hvad du gør.
- Optager du mødet - fortæl det og bed om tilladelse
- Fortæl, hvor du gemmer en evt. optagelse
- Fortæl det, ved mødets start, hvis du gemmer chatten
- Overvej, om du kan garantere for sikkerheden - for at optaget indholdet ikke misbruges af fremmede.
- Hvis du har tænkt dig at publicere, så fortæl det på forhånd.
- Fortæl deltagerne hvordan de skal forholde sig, hvis de ikke ønsker at optagelserne af dem og deres eventuelle tekst i chatten bliver delt med andre.
Tip: Deltager du i webinarer, hvor du ikke kan være sikker på, at arrangør har styr på datasikkerhed, så lad være med at registrere dig med fulde navn, når du logger på. Og være bevidst om, hvilke informationer du skriver i chatten.
Vil du optage et webinar og siden dele det med andre, så få deltagernes specifikke og udtrykkelige tilladelse. Fortæl dem - før webinaret går i gang - hvad der sker med de data deltagerne leverer undervejs. Slå evt. til, at chatten IKKE skal optages.
At placere optagelsen i Zooms cloud kan være bekymrende. Det er langt fra sikkert, at det er sikkert. Et af de voldsomme kritikpunkter mod Zoom er nemlig, at de forbeholder sig ret til også at snage i det indhold arrangør og deltager leverer og gemmer i Zooms cloud.
Zoom kræver adgang til de data vi lagrer hos Zoom. Det er uvist, om disse data sælges til markedsføringsformål.
At bruge sådanne data til markedsføring vil slet ikke være svært. Bestemte nøgleord - fra chat eller webinar - kædes sammen med deltagernes emailadresse. Og voila kan virksomheder målrette annoncer via eksempelvis Facebook til personer, der bruger bestemte og relevante nøgleord.
Farlige mødearrangører
Det bekymrer mig ikke voldsomt, at Zoom samler metadata. Det er mere bekymrende, hvis et webinar med optaget chat publiceres med deltagerne navne og samtale.
Selvom webinaret, som jeg fik link til via email, blev afviklet af en undervisningsvirksomhed med masser erfaring i online kurser, bryder virksomhedens webinar og markedsføring adskillige sikkerhedsprincipper. Så vidt jeg kan se - også persondataloven.
Deltagerne ser ikke ud til, at skænke det en tanke, at masser af mennesker (måske endda i årevis fremover) får adgang til deres informationer, spørgsmål og kommentarer. Og intern debat med hinanden.
Deltagerne i webinaret ser ikke ud til være blevet informeret om, deres (fulde!) navn og data efterfølgende bliver lagret hos Zoom og brugt til at markedsføre kurser i at holde online kurser.
Det er langt fra ualmindeligt at gøre det sådan. Metoden er mere smitsom end Corona.
Det er desværre helt almindelig, at mødearrangører og deltagere ikke bekymrer sig om sikkerhed og personlige data.
Dét er ikke kun bekymrende, dumt og farligt.
Det er nemt at gøre det bedre og mere sikkert. Uden sølvpapirshat.
