Digital distansundervisning och GDPR
Särskilt om Zoom vid Sveriges universitet och högskolor efter Schrems II-målet
Pontus Andersson Rosengren
Juridiska institutionen Examensarbete 30 hp. Ämnesinriktning: Rättsinformatik Vårterminen 2021
Grupphandledare: Katarina Fast Lappalainen
Engelsk titel: Distance learning and GDPR – Especially about Zoom at Swedish universities after the Shrems II judgement
3
Abstract
The ongoing Covid-19 pandemic has led to society being forced to switch to a digital presence, where physical meetings have been replaced by digital ones. For universities, this has meant that teaching and examinations have taken place through a special installation of the video conferencing service Zoom.
Zoom is offered in a so-called on-premises installation which largely runs on private servers or instance, in Denmark. NORDUnet and Sunet are the provid-ers of the special installation which has been given the “Sunet E-meeting”. For the service to work, personal data is processed. This data includes names and e-mail addresses, but also meeting data, gathered by the camera and audio feed, and IP-addresses. All personal data should be processed on the private instance according to the service description. To connect to the service, various options are provided, including installing a client provided by Zoom on a com-puter or smartphone. Another way to connect that does not require any instal-lation is through a web client, also provided by Zoom.
One of Sweden’s universities recently discovered that a student who joined the meeting via the web client was connected to a public Zoom data center in the United States. Through network analyzes and the study below, it turns out that the web client is a form of exception in the service where traffic does not go directly to the private cloud. Instead, the traffic goes via Zoom's public cloud where traffic is at risk of going to various data centers both outside and within the European Union.
This study of the service is based on the data protection legislation. Ques-tions concerning the division of roles and responsibilities between the data controller and the processor, security concerns, the use personal data, pro-cessing, and third-country transfers has been done.
Following the Schrems II judgment, where the European Court of Justice ruled that the United States does not have an adequate level of protection re-garding the protection of individuals' personal data, the possibilities of transfer-ring personal data to the country were limited. Determining whether the usage of the cloud service means that personal data is transferred to the United States or not is therefore of great importance. This study concludes that a third coun-try transfer has occurred at least once, which is not compatible within the data protection regulation. The study also shows the importance of knowledge of the service being used both by the controller and processor to ensure correct processing of the data.
Nyckelord/ keywords
Zoom, Videokonferens, GDPR, IT-säkerhet, tredje land, tredjelandsöverföring, Schrems II, personuppgiftsbehandling, personlig integritet.
Zoom, Video conference, GDPR, IT security, third country, third country transfer, Schrems II, personal data processing, privacy.
Förord
Denna uppsats sätter punkt för mina studier vid Stockholm universitet och det känns märkligt att spenderat nästan ett år med hemstudier efter pandemins utbrott. Jag hade aldrig kunnat föreställa mig att efter 4,5 år så skriver jag mina sista ord på juristprogrammet om programvaran som jag använt på daglig basis sedan utbrottet.
Med de inledande orden vill jag passa på att tacka framför allt Ulrika och Jo-han på Integritetsskyddsmyndigheten där jag har fått möjlighet göra praktik vid sidan av examensarbetet och som inneburit många lärorika insikter och lärdo-mar!
Jag vill också tacka min handledare Katarina på universitetet som har lagt ner extra tid på oss två som skriver inom ämnesområdet samt Ellinor för konstruk-tiv feedback under arbetets gång. Jag vill även ge ett extra tack till Cecilia för värdefull feedback och synpunkter på arbetet, samt även till Jonas som var den som för flera år sedan introducerade mig för rättsinformatiken och som har bidragit med många bra synpunkter och uppslag!
7
Förkortningar
Artikel 29 - gruppen Arbetsgrupp för skydd av personuppgifter under det tidigare dataskyddsdirektivet
Dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
Dataskyddsförordningen Europaparlamentets och rådets förordning EU 2016/617 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personupp-gifter och om det fria flödet av sådana upppersonupp-gifter
DSO Dataskyddsombud
EDPB European Data Protection Board
EU Europeiska Unionen
FEUF Fördraget om Europeiska unionens funktionssätt GDPR General Data Protection Regulation, se
Dataskydds-förordningen
HD Högsta domstolen
IP-adress Internetprotokoll, där IP-adressen eller IP-numret används som ett verktyg för adressering av datapaket vid internettrafik.
NJA Nytt Juridiskt Arkiv
Privacy Shield Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparla-mentets och rådets direktiv 95/746/EG om huruvida
ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna.
PuL Personuppgiftslag (1998:204)
SOU Statens offentliga utredningar
Sunet Swedish University Computer Network
SvJT Svensk Juristtidning
9
Innehåll
Abstract ... 3 Förkortningar ... 7 1 Inledning ... 11 1.1 Ämnesintroduktion ... 111.2 Syfte och problemformulering ... 13
1.3 Avgränsning ... 14
1.4 Metod och material ... 15
1.5 Felkällor ... 16
1.6 Disposition ... 17
2 Molntjänster & Zoom Meetings ... 19
2.1 Bakgrund ... 19
2.1.1 Vad är en molntjänst? ... 19
2.2 Generellt om Zoom Meetings ... 21
2.2.1 Vilka uppgifter behandlas vid användandet? ... 23
2.2.2 Zoom Basic, Licensed & On-premises ... 23
2.3 Sunet E-möte - Zoom på Sveriges universitet och högskolor ... 25
2.3.1 Sunet E-möte – on-premise ... 26
2.3.2 Sunet E-möte – Tjänsteavtal och personuppgiftsbiträdesavtal ... 28
2.4 Analys av nätverkstrafik ... 29
2.4.1 Zooms moln – Anslutning genom installerad respektive webbaserad klient... 31
2.4.2 NORDUnets moln – Anslutning genom installerad respektive webbaserad klient 32 2.4.3 Diagram över mottagande servrar ... 33
2.4.4 Webbklientens samtyckeskrav ... 34
2.5 Extern uppmärksammad tredjelandstrafik ... 35
2.5.1 Jämförelse mellan övriga svenska lärosäten ... 37
2.6 Säkerhetsinställningar vid användning av Sunet E-möte ... 38
2.6.1 Felkällor vid användandet av tjänsten ... 39
2.7 Sammanfattning och analys ... 40
3 Rättighetslagstiftning ... 42
3.1 Rätt till skydd av den personliga integriteten ... 42
3.2 Rätt till skydd enligt Europeiska konventionen och Regeringsformen ... 43
3.3 Rätt till skydd enligt EU:s stadga om de grundläggande rättigheterna ... 45
4 Dataskyddslagstiftning och molntjänster ... 48
4.1 Dataskyddslagstiftning – en tillbakablick... 48
4.2 GDPR – den gällande förordningen ... 49
4.2.1 Tillämpningsområde ... 50
4.3 Rollfördelning och ansvar enligt förordningen ... 51
4.3.1 Personuppgiftsansvarig ... 51
4.3.2 Personuppgiftsbiträde och underbiträde ... 53
4.3.3 Dataskyddsombud ... 53
4.4 Personuppgifter ... 54
4.5 Behandling av personuppgifter ... 56
4.5.1 Definition av behandling ... 57
4.5.2 Principer för behandling av personuppgifter ... 57
4.5.3 Särskilt om allmänt intresse, myndighetsutövning och samtycke ... 59
4.6 Tredjelandsöverföringar av personuppgifter ... 61
4.6.1 Vad är en tredjelandsöverföring? ... 61
4.6.2 Principer för lagliga tredjelandsöverföringar ... 63
4.6.3 Artikel 45 – beslut om adekvat skyddsnivå ... 63
4.6.4 Tredjelandsöverföring utan beslut om adekvat skyddsnivå ... 64
4.7 Tredjelandsöverföringar till USA ... 66
4.7.1 Safe Harbor och Schrems I ... 66
4.7.2 Privacy Shield och Schrems II ... 67
4.7.3 Tredjelandsöverföringar till USA i praktiken ... 70
4.8 Privacy by design - inbyggt dataskydd ... 72
4.9 Informationsskyldighet ... 72
4.10 Juridiska risker att beakta vid användandet av molntjänster... 73
4.10.1 Integritetsskyddsmyndighetens tillsyn av molntjänster ... 74
4.11 Tredjelandsöverföringar och Privacy by design i Sunet E-möte... 75
4.12 Sammanfattning och analys ... 77
5 Avslutande reflektioner ... 79
5.1 Många fördelar med tjänsten ... 79
5.2 Några tankar om frågeställningarna ... 79
5.3 Slutord ... 82
Källförteckning ... 84
11
1 Inledning
1.1 Ämnesintroduktion
Det är senhöst år 2020 när examensarbetet påbörjas och det talas på flera håll i världen om en ”andra våg” av den globala pandemin som coronaviruset SARS-CoV-2 orsakat.0F0F0F1 I flera länder, både globalt och här i Europa ökar
smittsprid-ningen exponentiellt och flera regeringar sätter sina respektive land under olika former av ”lockdowns” tillsammans med restriktioner av varierande art. I spå-ren av pandemin har både företag och myndigheter tvingats övergå från fysiska möten till att använda olika digitala lösningar för kommunikation. Digitala mö-testjänster såsom Skype, Microsoft Teams, Zoom Meetings1F1F1F2, Google Meet och
Jitsi har för många stått nära till hands.3 Den digitala omställningen har i takt med den snabba smittspridningen på många håll, både nationellt och internat-ionellt, varit tvungen att ske skyndsamt. Inom utbildningsväsendet och särskilt vid universitet och högskolor i Sverige har omställningen inneburit att både föreläsningar och seminarium har hållits genom mjukvaran Zoom.4 Lärosätena har dock inte använt den publika versionen, utan en särskild installation av Zoom, vilken tillhandahålls av Sunet (Swedish University Computer Network) och som har givits namnet Sunet E-möte.5 Sunet ansvarar även för driften av tjänsten.5F5F5F6
1 BBC, Covid: The second wave is here – but how bad will it be?, www.bbc.com/news/health-54362994,
hämtad 2020-11-18.
2 Under uppsatsen kommer ordet Zoom användas för att generellt beskriva programvaran
”Zoom Client for Meetings” vilket härrör från det amerikanska bolaget Zoom Video Communi-cations, Inc.
3 Internetstiftelsen, Välj rätt videokonferenstjänst,
https://internetstiftelsen.se/nyheter/valj-ratt-videokonferenstjanst, hämtad 2020-12-15.
4 Stockholms universitet, Information om distansundervisning med anledning av Coronaviruset,
https://www.su.se/big/information-f%C3%B6r-l%C3%A4rare/information-om-distansundervisning-med-anledning-av-coronaviruset-1.490564, hämtad 2020-12-05.
5 Ordet Zoom användas på ett mer övergripande plan, detta då lärosätena själva benämner
tjäns-ten med den terminologin. Sunet E-möte kommer däremot att användas när det handlar om den specifika installation som Sunet erbjuder.
6 Sunet är en del av Vetenskapsrådet och har ansvar över den övergripande driften för
IT-infrastrukturen för Sveriges universitet och högskolor. Zoom används av merparten av
högsko-lorna och Universitet i Sverige för vilka är anslutna till Sunet,
12
Zoom och liknande videokonferenstjänster bygger på datakommunikation mellan användarna som sitter bakom en s.k. klient och servrar bakom en moln-baserad arkitektur, en så kallad molntjänst.6F7 Zoom själva beskriver tjänsten som
en ”cloud-based video conferencing service”.7F7F7F8 Genom användandet av
mjukva-ran och tjänsten Zoom behandlas flertalet personuppgifter som härrör från användarna. För det specifika fallet med ”Zoom-användning” på högre lärosä-ten är det framför allt personuppgifter från studenter och universitetslärare som behandlas. När programvaran förutom vid undervisning används för obligato-riska- och poänggivande seminarium sker myndighetsutövning gentemot stu-denterna. I och med den snabba omställning som pandemin medförde, upp-kommer frågan om Sunet och Sveriges universitet och högskolor tagit vara på studenters integritet eller har integriteten i någon mån förbigåtts till förmån för en snabb omställning?
För att lagligt behandla personuppgifter krävs en rättslig grund, vilket beak-tas mot den sedan maj 2018 införda allmänna dabeak-taskyddsförordningen, General Data Protection Regulation, förkortat och ofta hänvisat till genom akronymen GDPR.8F8F8F9 Förordningen innehåller krav som måste uppfyllas när
personuppgif-ter behandlas. Förordningen stipulerar att personuppgifpersonuppgif-ter är information som kan härledas till en specifik fysisk person.9F9F9F10 Beroende på hur
Zoom-installationen ser ut, kan även personuppgifter riskera att överföras till tredje-land vilket innebär hårdare reglering.10F10F10F11 Dataöverföringar till tredjeland, så
kal-lade tredjelandsöverföringar från den Europeiska unionen, EU, till ett utomstå-ende land kan exempelvis vara godtagbart i de fallen där landet och tjänsten påvisade en adekvat skyddsnivå.11F11F11F12 För tredjelandsöverföringar till de Förenta
staterna, USA grundade sig överföringen tidigare på ett av EU och USA tecknat avtal med regelverk rörande personuppgiftsbehandlingar i de fall där en adekvat skyddsnivå kunde erhållas. Amerikanska tjänster som uppnådde en sådan hög skyddsnivå gällande personuppgiftsbehandlingen kunde ansluta sig till avtalet
7 Begreppet molntjänst definieras bland annat i 2 § 7 p. i lagen (2018:1174) om
informationssä-kerhet för samhällsviktiga och digitala tjänster för vilket det framgår att en molntjänst är ”är en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.”. Se vidare avsnitt 2.1.1. för definition av molntjänster.
8 Zoom, About Zoom, https://www.zoom.us/about/ hämtad 2020-10-20.
9 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för
fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av såd-ana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (cit: GDPR).
10 Artikel 4.1 GDPR.
11 Se kapitel V GDPR samt avsnitt 4.4 i arbetet rörande tredjelandsöverföringar och den
registre-rades rätt till skydd mot att sina personuppgifter används på ett otillåtet sätt.
12 Länder som uppvisar en adekvat skyddsnivå, European Commission,
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en, hämtad 2020-12-16.
13
och åtog sig att följa viss EU-lagstiftning. Förfarandet fick namnet Privacy Shi-eld, eller skölden för skydd av privatlivet.12F12F12F13
EU-domstolen meddelande dock under hösten 2020 i det viktiga Schrems-II avgörandet att Privacy Shield i sin helhet döms ut som rättslig grund för per-sonuppgiftsbehandling i de fall där data skickas till USA.13F13F1314 Vid användandet av
molntjänster, exempelvis Zoom, för undervisning sker onekligen flertalet per-sonuppgiftsbehandlingar. Att datan och personuppgiftsbehandlingen stannar och sker inom EU är av stor vikt.
Ur ett globalt perspektiv är det av intresse för uppsatsen att påpeka att Zoom under det senaste året fått motta kritik för både bristande kryptering gällande användarnas datakommunikation och dess behandling av personupp-gifter samt att trafik utan användarnas vetskap gått via servrar i bland annat Kina.14F15 Hur det föreligger för Stockholms universitet och övriga universitet i
Sverige är därav en mycket intressent fråga som ämnas besvaras under uppsat-sen.
1.2 Syfte och problemformulering
Det övergripande syftet med denna framställning är att analysera lärosätenas användning av Zoom som verktyg för undervisning gentemot dataskyddsför-ordningen med studenters integritet, de registrerade enligt GDPR i förgrunden. En lagstadgad personuppgiftsbehandling är grundläggande för att säkerställa stundernas integritet när undervisning sker digitalt. Syftet är vidare att bredda både studenters och universitetens kunskaper gällande integriteten online och de risker som medföljer. För att uppnå dessa övergripande syften kommer framställningen vidare att centreras kring följande frågeställningar:
I Hur fungerar tjänsten samt hur och vilka personuppgifter behandlas?
II Vad är en dataöverföring och sker det i någon form till land utanför det europeiska ekonomiska samarbetsområdet, EES eller EU vid användandet av tjänsten?
13 Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt
Europaparla-mentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna.
14 Mål C-311/18 Data Protection Commissioner mot Maximillian Schrems och Facebook
Ire-land, dom av den 16 juli 2020 (cit: Schrems II).
15 Gällande trafik till Kina, Zoom, Response to research from the University of Toronto citizen lab,
https://blog.zoom.us/response-to-research-from-university-of-torontos-citizen-lab/, hämtad
2020-11-19. Gällande krypteringskritik, The Intercept, Zoom meeting encryption,
14
III Hur förhåller sig lärosätenas Zoom-användning mot GDPR efter Schrems II-domen? Finns det något att anmärka på gällande användningen?
På grundval av det resultat som ovan framförda delfrågor ger, är ändamålet att analysera om universiteten har agerat på basis av en korrekt rättslig grund med tydlighet eller om det kan finnas anledning anmärka något på användning-en.
1.3 Avgränsning
Under uppsatsen kommer enbart molntjänsten Zoom behandlas, trots att det finns flertalet molnbaserade programvaror som utför liknande uppgifter på området. Denna avgränsning baseras på det faktum att det är den version av Zoom som Sunet tillhandahåller och som de högre lärosätena i Sverige använ-der. Denna avgränsning är nödvändig för att hålla arbetet koncist. Uppsatsen kommer att belysa eventuell problematik kring användningen av tjänsten i den form högre lärosäten använder tjänsten, för framför allt undervisningsändamål samt vid myndighetsutövning, varpå fri användning av Zoom utav andra fysiska eller juridiska personer som inte direkt kan härledas till utbildning kommer att av förklarliga skäl att lämnas utan hänseende när juridiska ställningstaganden appliceras.
Tjänsten kommer att beskrivas utifrån ändamålet med uppsatsen, med en sådan teknisk beskrivning som är nödvändig för att uppnå syftet, det innebär att vissa tekniska detaljer gällande programvaran som inte är direkt relevanta kommer att lämnas däran. Avslutningsvis kommer en avgränsning göras utifrån GDPR:s relevanta avsnitt rörande framför allt dataskyddsprinciperna, de rätts-liga grunderna samt tredjelandsöverföringar. Utgångspunkten är således att GDPR är tillämpligt på de uppgifter som diskuteras i uppsatsen. Avgränsningar kommer även att göras sett till andra aspekter på programvaran, exempelvis kommer inte problematik kring kameraövervakning, inspelningar, examination på distans eller utbildningens kvalité att behandlas.
Relevanta bestämmelser i Europeiska konventionen om skydd för de mänsk-liga rättigheterna, EKMR, och Regeringsformen, RF, kommer att behandlas i den mån de är nödvändiga vilket även gäller EU-stadgan. Andra bestämmelser såsom datalagringsdirektivet 2006/24/EG av den 15 mars 2006 samt lagen om elektronisk kommunikation kommer inte behandlas då de ligger utanför upp-satsens syfte och tidsrymd.
Vidare kommer nätverksanalyser att utföras med vilket inkluderar fyra olika analysmetoder, där Zooms respektive Sunets datormoln kommer att användas tillsammans med en webbaserad klient för det första tillfället och Zooms instal-lerade klient för det andra tillfället. Här avgränsas exempelvis nätverksanalys vid användning av tjänsten med smartphone och mobila enheter dels på grund av
15
praktiska problem att erhålla en nätverksanalys med bra signifikans, dels att sådana analyser är svårare att genomföra utan specialistkompetens.
1.4 Metod och material
Uppsatsen kommer av sin karaktär bestå av olika rättsliga metoder som kom-mer att appliceras på olika frågor för att uppnå uppsatsens syfte. De metoder som kommer att användas är den rättsanalytiska metoden tillsammans med den EU-rättsliga metoden och den rättsinformatiska metoden.
Den metod som ligger till grund för denna framställning och till stora delar av analysen är den rättsanalytiska metoden. Metodvalet är centralt för uppsatsen och valt eftersom syftet är vidare än att endast fastställa gällande rätt. Den rätts-analytiska metoden används dels för att tolka och fastställa gällande rätt, dels för att systematisera och precisera den gällande rättens innehåll.15F15F15F16
Rättsdogma-tiken är den vanligaste och kanske rent av den viktigaste metoden för verk-samma jurister för att förklara hur den gällande rätten ser ut, de lege lata. Den rättsdogmatiska metoden kan dock bli en aning begränsande just i ett sådant snabbt föränderligt rättsområde som just rättsinformatiken, eftersom dess rätt-skällelära endast inbegriper ett begränsat antal rättskällor och kan därav kritise-ras för att vara alltför snäv för vetenskapliga arbeten.16F16F16F17 Eftersom material som
direkt härrör från lagtext, förarbeten, praxis och doktrin inte ger ett fulländat underlag till uppsatsen, har den traditionella rättsdogmatiska metoden valts bort till förmån för den rättsanalytiska metoden.17F17F17F18
Den valda rättsanalytiska metoden omfattar ett vidare upphämtningsområde jämfört med den rättsdogmatiska metoden, och inkluderar även andra rättskäl-lor såsom riktlinjer, myndighetsuttalanden, interna manualer, statistik, förunder-sökningar, praxis från lägre instanser osv. vilket kan definieras som soft law.18F18F18F19
Målet är att redovisa ett allsidigt material för att sedan analysera materialet och ställa olika källor mot varandra. Rättsanalysen är en viktig del i uppsatsen och kommer att tillämpas såsom att olika avsnitt vägs mot varandra och analysera rätten ur ett vidare perspektiv.
Dataskyddsförordningen är en förordning som gäller inom hela EU och är grundläggande för uppsatsens uppbyggnad och resultat. För att kunna applicera förordningen och dess skäl tillsammans med riktlinjer från den Europeiska dataskyddssyrelsen (EDPB) kommer en EU-rättslig metod att behöva
använ-16 Sandgren, Claes, Rättsvetenskap för uppsatsförfattare – Ämne, material, metod och argumentation,
Norstedts juridik, Stockholm, 2018, s. 49.
17 Olsen, Lena, Rättsvetenskapliga perspektiv, SvJT 2004, s. 112.
18 Kleineman, Jan, Rättsdogmatisk metod, Nääv, Maria & Zamboni, Mauro (red.), Juridisk
metod-lära, Studentlitteratur, Lund, 2018, s. 21.
16
das.19F19F19F20 Med en rättslig metod menas användningen och hanterandet av
EU-rättsliga källor. Både avgöranden från EU-domstolen och riktlinjer och rekom-mendationer från EDPB kommer att vara av största vikt för att förstå rättsläget. Trots att riktlinjer och rekommendationer från EDPB inte är bindande rättsak-ter är deras tolkningar av GDPR:s bestämmelser av en sådan normerande natur att de bör tillmätas ett rättsvetenskapligt värde.
Uppsatsen kommer även av sin natur att präglas av den rättsinformatiska metoden. Stundtals kommer rent IT-tekniska frågor och aspekter att beröras. Ämnet har en sådan stark koppling mellan informations- och kommunikations-tekniken och dess samspel med juridiken att ett vidare perspektiv än vad rätts-dogmatiken och den EU-rättsliga metoden kan uppbringa, behöver tillsättas. Med en rättsinformatisk metod menas framför allt de metoder och tillväga-gångssätt som används och utvecklas för att tekniken och juridiken ska sam-spela och fungera tillfredställande tillsammans i samhället.20F20F20F21 Inom ramen för
den rättsinformatiska metoden kommer en teknisk undersökning och analys av nätverkstrafik vid användning av tjänsten att utföras genom användning av programmet Glasswire.21F21F21F22
Då rättsinformatiken av dess natur är tvärvetenskaplig och där fakta ofta be-höver inhämtas från andra vetenskapsgrenar, framför allt datavetenskapen, måste andra källor än de traditionella rättskällorna ofta användas.22F22F22F23 Detta
tvär-vetenskapliga förhållningssätt med andra typer av källor är en nödvändighet för rättsinformatiken, men kan även medföra problem då beslut ofta härrör från underinstanser och myndigheter som ofta saknar prejudikatvärde. Mot detta bör framläggas att i och med den snabba teknikutvecklingen blir beslut från myndigheter och underinstanser, ”soft law” inom rättsinformatiken av stor vikt för att förstå den gällande rätten på området. Med hjälp av den valda metoden kommer även dataskyddsombud vid lärosäten samt tekniker vid Sunet att kon-taktas för att uppnå syftet med uppsatsen.
1.5 Felkällor
Inför användandet av elektroniska källor behöver alltid en kritisk granskning göras av källan och författaren. Av arbetets natur följer att flertalet elektroniska källor kommer att behöva användas då det i många avseenden saknas litteratur på området. Det är framför allt i de avsnitt som särskilt behandlar tekniken och
20 Reichel, Jane, EU-rättslig metod. Bidrag till Korling, Fredric och Zamboni, Mauro (Red.)
Juridisk metodlära, 1.3 uppl., Studentlitteratur AB, Lund, 2013, s. 109.
21 Magnusson Sjöberg, Cecilia, (red.), Rättsinformatik, Juridiken i det digitala informationssamhället, 4
uppl., Studentlitteratur, Lund, 2021, s. 24 ff.
22 För nätverksanalys används Glasswire 2.2. på en PC körandes Windows 10.
23 Seipel, Peter, Juridik och IT; Introduktion till rättsinformatiken, 8 u., Norstedts Juridik AB,
17
programvaran. En korrekt beskrivning av de tekniska aspekterna är av stor vikt så att läsaren ges möjlighet att bilda sin egen uppfattning utifrån presenterat material.
När teknik presenteras måste hela tiden avvägningar göras, hur tydligt, för-enklat eller detaljerat en författare skriver blir det ofta svårt att få med alla tek-niska aspekter och detaljer. Med en sådan arbetsform måste författaren hela tiden väga olika tekniska aspekter mot vad som är nödvändigt och korrekt. Det resulterar i sin tur i ett beskrivningsproblem som präglar tvärvetenskapliga arbe-ten. Detta då grundvalen består i att man först måste beskriva den tekniska verklighet som anses föreligga innan det är möjligt att applicera gällande rätts-regler. Mot bakgrund av problemet har stort fokus under arbetet lagts på att genom ett förenklat, men korrekt sätt, beskriva den faktiska tekniken och data-flödet vid användandet av tjänsten. Av vikt är även att författaren ger läsaren möjlighet att utifrån arbetet förstå hur den gällande tekniken fungerar. Miss-lyckas författaren med att spegla tekniken på ett verklighetstroget sätt, exem-pelvis om källor visar sig felaktiga, så finns det risk att uppsatsen som sådan faller och att slutsatserna inte håller. För att försöka förhindra ett sådant ske-ende har vikt lagts vid att utforma och genomföra en egen analys av nätverks-trafiken.
1.6 Disposition
För att förstå de rättsliga problem som uppstår vid användandet av Sunet E-möte och Zoom vid universitet och högskolor erfordras först en inledande genomgång av tekniken och hur programvaran de facto fungerar göras. Denna kommer presenteras genom en deskriptiv karaktär i avsnitt två som är tänkt att ge både en introduktion till tekniken rörande molntjänster i stort och som se-dan kommer avgränsas ner till att handla om just den gällande tjänsten. Här kommer bland annat presenteras hur tjänsten fungerar, vilka uppgifter som behandlas vid användandet och hur nätverkstrafiken ser ut. Även frågor som rör säkerheten kring tjänsten kommer uppmärksammas.
I det följande avsnittet kommer en introduktion till skydd gällande den per-sonliga integriteten presenteras. Här ges en överblick av relevant lagstiftning från EKMR, EU-stadgan och RF som rör den personliga integriteten inbegripet personuppgifter.
I avsnitt fyra kommer dataskyddslagstiftning och särskilt GDPR att behand-las. Avsnittet inleds med en kort tillbakablick på lagstiftningen för att sedan avhandla relevanta avsnitt i lagstiftningen som är av vikt för rättsläget. Av vikt är dataskyddsprinciper, rättslig grund för behandling av personuppgifter och tredjelandsöverföringar. Avsnittet kommer förutom att redogöra för valda delar i lagstiftningen ställas användandet av tjänsten mot regleringen i varje underav-snitt.
18
I avsnitt fem kommer användningen av programvaran såsom den ser ut stäl-las mot de tidigare avsnitten, rättsfrågor besvaras och en övergripande analys samt slutsatser gällande arbetet kommer att presenteras.
I slutet av varje avsnitt kommer en sammanfattning och analys göras för att underlätta för läsaren att förstå viktiga delar och problematik på området.
19
2 Molntjänster & Zoom Meetings
2.1 Bakgrund
Under den rådande pandemin har både distansarbete och distansundervisning ökat. För många har de digitala möjligheterna som molntjänster erbjuder varit direkt avgörande för att omställningen under de rådande förutsättningarna har skett relativt smärtfritt. Kontor har blivit hemmakontor och lärosäten har gått från en fysisk undervisning till att majoriteten av all undervisning sker genom olika former av digital distansundervisning.
I takt med teknikutvecklingen har möjligheterna för distansundervisning och distansarbete ökat markant. Nya tjänster och program drar ständigt nytta av den tekniska utveckling som sker samtidigt som bandbredd och kapacitet hos klien-terna, servrarna och framför allt nätverken har ökat. Sammantaget har det inne-burit att flertalet molntjänster etablerats, och nya ständigt lanseras på mark-naden. Tjänsterna täcker ett brett spann med allt ifrån lagringstjänster till video-konferenstjänster. Mer specifikt gällande videokonferensverktyg är det tjänster såsom Skype, Microsoft Teams, Zoom Meetings, Google Meet och Jitsi Meet som är de dominerande på marknaden.23F23F23F24 Samtliga av tjänsterna bygger på en
molnbaserad IT-plattform med stöd för bland annat videotelefoni med chatt-funktioner.24F24F24F25
2.1.1 Vad är en molntjänst?
Molntjänster eller datormoln härstammar från engelskans ”Cloud computing” och finns definierat med många olika definitioner och standarder. Generellt erbjuder nästan varje molntjänstleverantör en egen form av definition, vilket tidigare har lett till att begreppet kan anses abstrakt. För att råda bot på detta har det tagits fram generella tekniska definitioner av begreppet. I lagen om in-formationssäkerhet för samhällsviktiga och digitala tjänster, definieras en moln-tjänst såsom ”en moln-tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.”25F25F25F26 Med en skalbar elastisk pool menas datorresurser som
24 Internetstiftelsen, Välj rätt videokonferenstjänst,
https://internetstiftelsen.se/nyheter/valj-ratt-videokonferenstjanst, hämtad 2020-12-15.
25 Ibid.
26 Definition återges i 2 § 7 p. i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och
20
leverantören av tjänsten fördelar på ett flexibilitet sätt för att hantera rådande efterfrågan, oberoende av serverns placering.26F26F26F27 Även Swedish Standards
Insti-tute, SIS har antagit en liknande definition och en svensk standard vilket fastslår att en molnbaserad datortjänst är ett ”koncept som möjliggör nätverksåtkomst till en skalbar och elastisk pool av delade fysiska eller virtuella resurser som via självbetjäning levereras och administreras på begäran.”27F27F27F28
I en global kontext är det framför allt det amerikanska standardiseringsorga-net National Institute for Standards and Technology, NIST som sedan 2011 publicerat en egen tolkning av definitionen gällande datormoln:28F28F28F29
” Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., net-works, servers, storage, applications, and services) that can be rapidly provi-sioned and released with minimal management effort or service provider interac-tion.”29F29F29F30
Ett datormoln ska enligt definition ha fem specifika särdrag som egenskaper: användaren ska genom självservice kunna bestämma kapacitet utifrån rådande behov, bred tillgänglighet till molnet oavsett placering på jorden genom en nätuppkopplad standardenhet. Vidare ska användaren dela molnets resurser med andra användare genom konsolidering där användaren inte heller behöver känna till hur molntjänsten är uppbyggd.30F30F30F31 Slutligen ska resurserna som
använ-daren har tillgång till kunna skalas upp och ned elastiskt samt resursutnyttjandet kunna mätas och den faktiska användningen faktureras.31F31F31F32
Vidare delas molntjänster vanligen upp i tre leveranskategorier beroende på vilken kontroll av tjänsten som köparen eftersträvar. Denna uppdelning härrör också från NIST och benämns som SPI-modellen. Modellen kategoriserar tjänsterna under begreppen Software as a Service, SaaS, Platform as a Service, PaaS och Infrastructure as a Service, IaaS. Dessa kan något förenklat motsvaras av de olika möjligheter till kontroll över molntjänsten som kunden fogar över.32F32F32F33
SaaS innebär i stora delar ett färdigt datorprogram som kan implementeras hos kunden, ett PaaS innebär en plattform för utveckling och drift av egna applikat-ioner och ett IaaS innebär en infrastruktur med beräkning- eller
lagrings-27 SOU 2021:1, Säker och kostnadseffektiv IT-drift, s. 42.
28 Ibid.
29 Magnusson Sjöberg, Cecilia (red), 2021, s. 227. NIST är en förkortning för National Institute
of Standards and Technology). NIST är en del av den amerikanska myndigheten U.S Departe-ment of Commerce.
30 Mell, Peter, Grance, Timothy, The NIST Definition of Cloud Computing Recommendations of the
National Institute of Standards and Technology, Special Publication 800–145, s. 2.
31 Magnusson Sjöberg, Cecilia (red), 2021, s. 227 ff.
32 SOU 2021:1, Säker och kostnadseffektiv IT-drift, s. 43.
21
kapacitet.33F33F33F34 På flera håll talas det även om Video Conferencing as a Service
(VCaaS), vilket faller inom NIST definition av begreppet molntjänst, men utom deras standardiserade leveranskategorier. Med VCaaS talar man om en specifik typ av molntjänst som levererar konferensmöjligheter över nätverket med möj-ligheter till flertalet deltagare som interagerar samtidigt.34F34F34F35 Vidare är en
VCaaS-tjänst flexibel på så sätt att kan levereras med olika konfigurationsmöjligheter och kontrollmöjligheter beroende på vad köparen efterfrågar samt vilken IT-infrastruktur som tjänsten ska använda. Mot bakgrund av ovan och den stora inbyggda flexibiliteten såsom VCaaS tjänsterna erbjuder kan dessa placeras både under SaaS, PaaS och IaaS definitionerna. VCaaS inkluderar tjänster såsom Skype, Microsoft Teams, Zoom Meetings, Google Meet och Jitsi Meet utan att begränsas till dessa. Under uppsatsen kommer med molntjänst avses den glo-bala definitionen av begreppet som NIST företar och gällande specifik video-kommunikationsmolntjänst kommer begreppet VCaaS att användas.
2.2 Generellt om Zoom Meetings
Programvaran Zoom Meetings, ofta benämnd som endast Zoom är en molntjänst för digital videokommunikation, VCaaS, utvecklad av det amerikanska bolaget Zoom Video Communications, Inc. med säte i San Jose, Kalifornien.35F35F35F36 Bolaget
bildades år 2011 och två år senare släpptes den första skarpa, publika versionen av ”Zoom Client for Meetings”, benämnt som Zoom 1.0. Flertalet uppdate-ringar av programvaran har skett sedan första skarpa versionen och i dagsläget är det version 5.5.4 som är den senast gällande.36F36F36F37 Plattformen har blivit mycket
populär för dess lätta gränssnitt och används i stor utsträckning i samband med videokonferenser, distansarbete och distansundervisning runt om i världen. Under den rårande pandemin har Zoom-användningen globalt sett ökat mångfallt. Zoom själva har talat om att det under våren 2020 varit över 300 miljoner mötesdeltagare som använt programvaran dagligen.37F37F37F38
Zoom kan, beroende på både användartyp, avtal och installationstyp konfi-gureras för att användas på olika skilda sätt, vilket kan motsvaras mot SaaS respektive PaaS enligt SIP-modellen med en sådan terminologi.38F38F38F39 Generellt sett
använder sig Zoom av en i huvudsak av moln-baserad arkitektur där trafiken skickas mellan klienten det vill säga användaren som kör programvaran, till en
34 Ibid.
35 UcToday, VCaaS, https://www.uctoday.com/collaboration/video-conferencing/vcaas/,
hämtad 2021-02-07.
36 Zoom, About Zoom, https://www.zoom.us/about/, hämtad 2020-11-26.
37 Zoom, Download, https://zoom.us/download, hämtad 2021-03-07.
38 Zoom, Zoom Blog, 90-Day Security Plan Progress Report: April 22,
https://blog.zoom.us/90-day-security-plan-progress-report-april-22/, hämtad 2020-12-15.
22
molnserver och vidare till övriga klienter. I de fall det endast är två mötesdelta-gare använder Zoom sig i stället av en P2P-teknik, det vill säga en teknik där trafik skickas direkt mellan de två anslutna klienterna utan att använda sig av en mellanliggande server.39F39F39F40
För ett illustrativt syfte kan nedan förenklade schematiska bild användas för att generellt förstå dataflödet under en pågående videokonferens med tre delta-gare fördelat på tre klienter.40F40F40F41
Ett standardförfarande vid användandet av tjänsten och Zooms egen klient är att trafik skickas till olika servrar beroende på placering, servertillgång samt val av anslutningsklient.41F41F41F42
Vidare bör nämnas att programvaran genom sin arkitektur och höga använ-darantal kräver stora mängder bandbredd, med snabba svarstider för att fun-gera.42F42F42F43 Zoom globalt har löst problemet genom att använda sig av geolocation
för att med hjälp av klientens IP-adress avgöra var klienten befinner sig och kunna designera en ledig server-resurs på kortast möjliga fysiska avstånd för att på så sätt minska svarstiderna vid användningen.43F43F43F44
40 Zoom – Architected for Reliability, September 2019, s. 4.
41 Zoom Blog, Encryption,
https://blog.zoom.us/facts-around-zoom-encryption-for-meetings-webinars/encryption/, hämtad 2020-12-20.
42 Se vidare avsnitt 2.4 för utförlig beskrivning av datatrafiken.
43 Svarstid är den tid det tar innan en klient får svar från servern, IDG IT-ord, hämtad
2021-02-15.
44 Zoom – Architected for Reliability, September 2019, s. 3.
Molntjänst och tillgänglig serverresurs
Klient
1
Klient
3
Klient
2
23
2.2.1 Vilka uppgifter behandlas vid användandet?
Det faktiska användandet av videokonferenstjänster innebär att flertalet uppgif-ter, därtill personuppgifter behandlas, eller riskerar att behandlas, som härleds från användaren. För att Zoom som videokonferensverktyg ska fungera behö-ver olika typer av uppgifter behandlas. Dessa uppgifter kan delas upp i tre un-derkategorier44F44F44F45, mötesdata, användardata och driftsdata som i sin tur innehåller
olika typer av mötesmetadata.45F45F45F46
Mötesdatan är data innehållande information som direkt kan härledas från den pågående videokonferensen. Hit räknas bland annat klienternas egna video-feed (kamera), röst (mikrofon), chatt, inloggade klienter samt eventuell fildel-ning och skärmdelfildel-ning.46F46F46F47
Användardata innehåller för- och efternamn, födelsedatum, e-postadress, inloggningsinformation, valt språk samt av användaren eventuellt angivet tele-fonnummer, profilbild, kalender, och titel.47F47F47F48
Driftsdata innehåller bland annat mötesmetadata vilket innehåller IP-adresser och geografisk placering utifrån geolocation. Under driftsdata finns även data som härleds från konfigurationen av Zoommötet, data som rör pre-standan, data som innehåller information om vilka funktioner som används samt serviceloggar som innehåller information om status och händelser som skett under konferensen. Zoom samlar även in data som anger bredbandsleve-rantör (ISP), vald webbläsare inklusive version, operativsystem och version samt datum och tid.48F48F48F49 Juridiska ställningstaganden måste hela tiden göras vid
användandet av molntjänster. På vilken laglig grund lärosätena använder Zoom, samt var uppgifterna skickas och behandlas är avgörande för att sätta tjänsten i relation till dataskyddslagstiftningen.49F49F49F50
2.2.2 Zoom Basic, Licensed & On-premises
Zoom erbjuder som utgångspunkt tre olika användartyper; Basic, Licensed och On-prem.50F50F50F51 Zoom Basic innebär en gratis version som är fri för gemene man att
använda efter genomförd registrering. Här finns en begränsad funktionalitet samt begränsningar gällande bland annat längden på videokonferensen både i tid samt rörande antalet maximala deltagare. Vid användandet av programvaran med en Basic-användare används Zooms publika moln, varpå all form av
datatra-45 Zoom, Privacy, https://zoom.us/privacy, hämtad 2020-12-16.
46 Metadata kan beskrivas såsom ”data om data” det vill säga beskriver andra filer, datamängder
och dess innehåll. IDG IT-ord ”metadata”.
47 Zoom, Privacy, https://zoom.us/privacy, hämtad 2020-12-20.
48 Ibid.
49 Ibid.
50 Se vidare i avsnitt 2.2.2.
51 Zoom Support, Account Types,
24
fik skickas genom deras molntjänst som även hanterar trafik och beräknings-kapacitet. Vid användandet av tjänsten med en Basic-användare ges ingen möjlig-het för användaren själv att välja till vilka eller vilket av Zooms publika datacen-ter för vilken datatrafiken gällande konferensen ska behandlas. I stället använ-der sig Zoom av geolocation tillsammans med belastningskalkyler för att för-dela datatrafiken till närliggande servrar med låg belastning.51F51F51F52 Detta innebär i
praktiken att datatrafik riskerar att hanteras på servrar utanför EU eller EES-samarbetet beroende på aktuell trafik vid varje given tidpunkt.
Den andra typen av användare är vad Zoom benämner som en Licensed-användare, vilka till skillnad från Basic är en betalade användartyp. Här erbjuds full funktionalitet av programvaran. För en Licensed-användare används generellt Zoom publika moln och datacenter för datahantering, även om hybridlösningar med egna servrar också kan erbjudas. Vid användningen av Zooms moln ges dock möjlighet för användaren att välja till vilket av företagets datacenter nät-verkstrafiken för konferensen ska hanteras på. För närvarande finns fysiska datacenter i USA, Kanada, Europa, Indien, Australien, Kina, Latinamerika, och Japan/Hong Kong som valbara alternativ.52F52F52F53 Under december månad 2020
lans-erande Zoom en uppdatering vilket innehöll en fullständig end-to-end krypte-ring, E2EE för både Basic och Licensed användare.53F53F53F54
Den sista användargruppen är On-prem eller On-Premise vilket är en betalande företagsanvändarlicens. Företagsanvändare med en On-Prem-licens har till skill-nad mot de övriga användartyperna stora möjligheter att flexibelt konfigurera både installationen och tjänstens funktionalitet. Exempelvis kan tjänsten konfi-gureras till att köras på en egen, från Zoom fristående, molntjänst på egna fy-siska eller virtuella servrar. Detta innebär en stor flexibilitet då företaget eller organisationen bakom On-Prem-installationen själva i stora delar kan styra ser-verarkitekturen inklusive var datatrafik från videokonferensen ska skickas och hanteras samt vem som har tillgång till systemet. Då mötestrafiken vid en On-Prem inte generellt går via Zooms servrar är det upp till tillhandahållaren att avgöra var molnet, innehållande servrar med beräkningskapacitet ska placeras och med vilken form av kryptering, om någon, som ska användas.54F54F54F55
Gemensamt för ovan nämnda användartyper är att det finns flera olika möj-ligheter att ansluta till en pågående videokonferens. Förutom att använda Zooms egna mjukvara Zoom Client for Meetings, som finns till Windows, Mac, Linux och Chromebook finns det även möjlighet att delta genom att använda Zoom Web Client vilket är en mötesklient som körs genom användarens
webblä-52 Zoom Blog, Coming april 18 control your zoom data routing,
https://blog.zoom.us/coming-april-18-control-your-zoom-data-routing/, hämtad 2020-12-12.
53 Ibid.
54 Zoom, Support,
https://support.zoom.us/hc/en-us/articles/360048660871-End-to-end-E2EE-encryption-for-meetings, hämtad 2021-03-07.
55 Zoom Support, Account types
25
sare.55F55F55F56 Mötesklienter finns även tillgängliga till smartphones och läsplattor som
kör Android och IOS.56F56F56F57 Utöver ovan nämnda programvaror finns det även
möjlighet att använda Skype (for business), H.323, samt SIP/VoIP57F57F57F58 för att
koppla upp sig på konferensen.58F58F58F59 Dessa olika tillvägagångsätt för anslutning
medför att olika typer av protokoll för trafik används.
2.3 Sunet E-möte - Zoom på Sveriges universitet och
högskolor
Sveriges Universitet och högskolor använder, i likhet med många andra nor-diska universitet och högskolor Zoom för distansundervisning.59F59F59F60 Bakom
an-vändandet av tjänsten ligger dels det svenska universitetsdatanätet Sunet, dels det samnordiska datanätet NORDUnet vilka har upphandlat tjänsten av Zoom centralt. NORDUnet erbjuder sedan den färdiga on-prem lösningen av program-varan till läroverk genom Sunet.
Sunet, akronym för Swedish University Computer Network är ett statligt datanät-verk och forskningsinfrastruktur som tillgodoser Sveriges universitet och högs-kolor med IT-infrastruktur och tillhörande IT-relaterade tjänster.60F60F60F61 Bland annat
ansvarar Sunet för driften och nätverksstrukturen till lärosätena, med snabba redundanta nätverk i egen fiber.61F61F61F62 Sunet är en del av Vetenskapsrådet som i sin
tur lyder under Utbildningsdepartementet.62F62F62F63 Genom regleringsbrev är Sunet
anslutet till respektive svenska lärosäte. Överordnat Sunet finns NORDUnet som i sin tur knyter samman de nationella forsknings och universitetsnätverken i Norden. Förutom Sunet i Sverige ingår nätverk i Danmark, Finland, Island och Norge. NORDUnet agerar central knytpunkt för de nordiska nätverken
56 Webbklienten ger användarna möjlighet att ansluta till en konferens utan att behöva installera
någon form av programvara, och kan vara en viktig länk för att möjliggöra att alla användare kan
delta oavsett anslutningsmetod., se vidare
https://support.zoom.us/hc/en-us/articles/214629443-Zoom-Web-Client, hämtad 2021-03-05.
57 Zoom Support, Joining av meeting,
https://support.zoom.us/hc/en-us/articles/201362193-Joining-a-meeting, hämtad 2021-01-12.
58 SIP & VoIP är en teknik för att sända telefonsamtal över internet, i stället för det allmänna
telefonnätet. IDG IT-Ord ”VoIP”.
59 Zoom Support, Getting started with H-323, SIP-room Connector,
https://support.zoom.us/hc/en-us/articles/201363273-Getting-Started-With-H-323-SIP-Room-Connector, hämtad 2021-01-13.
60 NORDUnet, Status, https://status.nordu.net/zoom.html, hämtad 2021-01-13.
61 Sunet, Om Sunet, https://www.sunet.se/om-sunet hämtad, 2020-12-12.
62 Sunets nuvarande nätverksstruktur Sunet-C erbjuder hastigheter på upp till 100Gbit/s genom
trippelredudanta fiberoptiska fiber, Sunets nät, https://www.sunet.se/tjanster/nat/sunets-nat, hämtad 2020-12-12.
26
samt hubb för nätverkstrafiken genom datacenter placerade i Danmark.63F63F63F64
NORDUnet har vidare internetåtkomst via hubbar i Stockholm och Köpen-hamn. Nätverket är även sammanlänkat med GÈANT vilket är det pan-europeiska datanätverket för forskning och utbildning.64F64F64F65
Användningen av Zoom startade med en gemensam nordisk upphandling av e-konferenstjänster vilket NORDUnet genomförde under 2017. Under mitten av juni 2019 avropade Sunet tjänsten Zoom av NORDUnet.65F65F65F66 Den
Zoom-installation som erbjuds via Sunet körs på egna servrar i det egna molnet be-nämnt ”NORDUnet Cloud” genom en On-prem installation av Zoom.66F66F66F67 I
Sve-rige döptes tjänsten till Sunet E-möte.67F67F67F68 Kort tid efter att Sunet, genom
NOR-DUnets upphandling, kunde erbjuda lärosätena tjänsten så anslöt sig bland annat Stockholms universitet genom ett tjänsteavtal och personuppgiftsbiträ-desavtal med Sunet i september 2019.68F68F68F69 Även övriga högre lärosäten i Sverige
som med regleringsbrev är anslutna till Sunet fick tillgång till tjänsten efter upphandlingen genom separata avtal.69F69F69F70
2.3.1 Sunet E-möte – on-premise
Avtalet om Sunet E-möte innefattar en s.k. on-premise installation av Zoom med en så kallad corporate user licence för slutanvändare.70F70F70F71 Varje användare ges en
mö-teskapacitet på upp till 300 deltagare med möjlighet att ansluta genom Zooms fristående applikation på dator, smartphone, surfplatta eller direkt i webbläsa-ren.71F71F71F72 Det är idag 48 Sunet-anslutna kunder som Sunet benämner det som
an-vänder tjänsten Sunet E-möte, där majoriteten är högre lärosäten i form av universitet och högskolor.72F72F72F73 Av tjänstebeskrivningen hos Sunet och
NORDU-64 NORDUnet, Network map, https://www.nordu.net/content/nordunet-network-map, hämtad
2020-12-12.
65 NORDUnet, Global Outreach, http://nordu.net/content/global-outreach hämtad 2020-12-12.
66 Avtal mellan NORDUnet A/S och Sunet. Daterad 2019-06-12.” NORDUnet / SUNET
Agree-ment Addendum no. 28C”.
67 NORDUnet Support, What Is The Difference Between Zoom User Types,
https://support.nordu.net/hc/en-us/articles/360018002293-What-Is-The-Difference-Between-Zoom-User-Types, hämtad 2020-12-12
68 Sunet, Wiki, https://wiki.sunet.se/pages/viewpage.action?pageId=59572391, hämtad
2020-12-12.
69 Tjänsteavtal mellan Vetenskapsrådet genom Sunet och Stockholms universitet rörande Sunet
E-möte. Daterad 2019-08-19. ”ZM-029”.
70 Samtliga högre lärosäten som är anslutna till Zoom genom Sunet E-möte, totalt 48 kunder som
benämns hos Sunet erbjöds tjänsten vid samma tid, Sunet, Wiki,
https://wiki.sunet.se/pages/viewpage.action?pageId=21921850, hämtad 2021-02-15.
71 Sunet, Säkerhet i Zoom, https://wiki.sunet.se/pages/viewpage.action?pageId=78218735, hämtad
2021-02-15.
72 Ibid.
73 Sunet, Sunet E-möte kunder, https://wiki.sunet.se/pages/viewpage.action?pageId=21921850,
27
net framgår att vid användningen av Zoom genom Sunets E-möte så används inte Zooms servrar och deras moln för nätverkstrafik utan istället NORDUnets egna hybrida molntjänst, som tidigare nämnt placerat fysiskt på datacenter i Danmark.73F73F73F74 Under pandemin har användandet av tjänsten ökat kraftigt och
under perioder med hög belastning på tjänsten har som komplement till NORDUnets moln ett ytterligare moln använts. Detta i form av extra beräk-nings- och nätverkskapacitet genom särskilda virtuella servrar som körs på Amazon Web Services molntjänst i Stockholm användas.74F74F74F75
Varje kund får en egen virtuell Zoom-instans, en s.k. meeting connector som se-dan kunden själv administrerar och konfigurerar. NORDUnets hybridmoln innehåller en Zoom meeting connector per kund som är placerat på deras egna serv-rar i framför allt Danmark. Molnet är ett hybridmoln då användardata samt mötesmetadata hanteras i det publika Zoom-molnet samtidigt som mötestrafi-ken bestående av video, röst och data går inom den privata Zoom meeting connec-torn, vilket innebär att mötesdata från konferensen ska hanteras på den privata instansen.75F75F75F76
Kunderna, lärosätena, ges möjlighet att själva exempelvis koppla samband en befintlig identitetshantering i form av Swamid76F76F76F77 alternativt SSO, single sign on,
tillsammans en egen domänadress till tjänsten.77F77F77F78
Att notera är att Sunet inte erbjuder en separat klient, utan det är samma kli-ent som används både vid det vanliga publika Zoom och för Sunets E-möte. Det leder till att användaren, både studenter och anställda vid lärosäten, noga behöver uppmärksamma att inloggning genom Swamid eller SSO sker. Skapar en användare ett Zoom-möte utan inloggning kommer trafiken att gå via det publika molnet, vilket innebär att trafik och uppgifter hanteras på Zooms pub-lika molntjänst.
74 NORDUnet, The NORDUnet operated Zoom service, http://nordu.net/content/zoom, hämtad
2020-12-12.
75 Sunet, Protokoll Sunets kommitté 2020 09-22.
76 NORDUnet, The NORDUnet operated Zoom service, http://nordu.net/content/zoom, hämtad
2020-12-12.
77 SWAMID, Swedish Academic Identity Federation, är en tjänst som tillhandahålls av Sunet och
är en identifieringsfederation för vilket majoriteten av de svenska lärosätena är ansluta, Sunet,
SWAMID, https://wiki.sunet.se/display/SWAMID, hämtad 2020-12-12.
78 Samtliga lärosäten har en egen registrerad domänadress för inloggning och användandet av
Zoom/Sunet E-möte. Stockholms universitet innehar domännamnet ”stockholmuniveri-sty.zoom.us”.
28
2.3.2 Sunet
E-möte
–
Tjänsteavtal
och
personuppgiftsbiträdesavtal
Som en del av tjänsteavtalet mellan Sunet och respektive lärosäte rörande Sunet E-möte har även ett personuppgiftsbiträdesavtal, PUBA78F78F78F79 antagits. Av avtalet
följer att det är lärosätet som bär ansvaret som personuppgiftsansvarig med Vetenskapsrådet, för vilket Sunet är en del av, som personuppgiftsbiträde.79F79F79F80 De
personuppgiftsansvariga lärosätena ansvarar för och ska säkerställa att behand-lingen av personuppgifter sker i enlighet med gällande dataskyddslagstiftning. Det innebär att det är lärosätena som bland annat ansvarar för att det finns en rättslig grund för personuppgiftsbehandlingen, att inga personuppgifter lämnar unionen och att en adekvat skyddsnivå upprätthålls. Biträdarna Sunet och NORDUnet, ska i sin tur i så stor utsträckning som möjligt bistå med kompe-tens och information om tjänsten så lärosätena kan säkerställa att regelefterlev-nad sker. Biträdet ska vidare tillämpa tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot bland annat otillåten spridning, otillåten till-gång och varje slag av otillåten behandling.80F80F80F81 Biträdet har dessutom genom
användandet av PUBA krav att säkerställa en lämplig säkerhetsnivå i förhållan-det till riskerna med personuppgiftsbehandlingen. Av bilagan gällande PUBA mellan Sunet och lärosätet beträffande tjänsten framgår vidare att för att åstad-komma den föreskrivna säkerhetsnivån ska särskilda säkerhetskrav ställas på biträdet, dessa inkluderar:
• ”arbetsrutiner och arbetsuppgifter är utformade på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet, • där det är möjligt använda pseudonymisering och kryptering av
person-uppgifter,
• ha förmågan att fortlöpande säkerställa konfidentialitet, integritet, till-gänglighet och motståndskraft hos de system och tjänster som behand-lar personuppgifter,
• har förmågan att återställa tillgängligheten och tillgången till person-uppgifter i rimlig tid vid en fysisk eller teknisk incident,
• ha ett förfarande för att regelbundet testa, undersöka och utvärdera ef-fektiviteten hos de tekniska, administrativa och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet,
• personalen informeras om vikten av att följa gällande säkerhetsrutiner, • nödvändiga åtgärder vidtas för att förhindra att personuppgifter
för-störs, ändras, blir otillgängliga, förvanskas eller otillåtet sprids,
• ha ett system för behörighetskontroll för att förhindra obehörig åt-komst, och
79 Se vidare kapitel 4.3 angående rollfördelningen enligt dataskyddsförordningen och
personupp-giftsbiträdesavtal.
80Personuppgiftsbiträdesavtal mellan Stockholms universitet och Vetenskapsrådet rörande Sunet E-möte. Daterat 2019-08-15, Dnr. 4.5-2019-6434-2, s.8.
29
• att utrustningen som är ansluten till internet eller annat öppet nät skyd-das från obehörig trafik.”81F81F81F82
Vad gäller överföringar av personuppgifter till tredjeland stadgas att om be-handlingen innebär att personuppgifter överförs till länder utanför EU och EES ska den rättsliga grunden för överföring av personuppgifter till tredje land i första hand vara ett beslut om adekvat skyddsnivå från EU-kommissionen och i andra hand standardiserade dataskyddsbestärnmelser eller en godkänd uppfö-randekod.82F82F82F83 I avtalet stadgas vidare att ”Om personuppgifter ska överföras till
tredjeland ska den personuppgiftsansvarige , efter samråd med personuppgifts-biträdet och i enlighet med dataskyddsförordningens bestämmelser (artikel 44-46), besluta om ett förfarande som gör behandlingen tillåten”.83F83F83F84 Av avtalet
följer att särskilda förfaranden måste införlivas om personuppgifter ska överfö-ras till tredjeland.
Utöver PUBA och tjänsteavtal mellan Sunet och respektive lärosäte finns även tjänsteavtal inklusive underbiträdesavtal mellan NORDUnet och Sunet, där NORDUnet är underbiträde och respektive lärosäte är, genom PUBA-avtalet med Sunet, personuppgiftsansvariga.84F84F84F85
2.4 Analys av nätverkstrafik
Vid användandet av Zoom, oavsett installationstyp, skickas data från klienten till en mottagande server i ett konstant datautbyte. Datan skickas antingen till Zooms servrar som finns fysiskt placerade på olika datacenter runt jorden eller till privata servrar i ett eget moln bakom en On-prem installation. Beroende på vilken klient som används för att ansluta till mötet skiljer sig datatrafiken i den mån att olika servrar ansluts till klienten.
Datatrafiken kan rent tekniskt upp i två delar, beroende på när den sker under brukandets gång. De olika delarna av nätverkstrafik är data som härrör från inloggningsförfarandet samt den faktiska datatrafiken från videokonferen-sen.
Genom att använda programvara för nätverksanalys, i form av Glasswire kan nätverkstrafiken synliggöras. Programmet är ett kombinerat nätverksana-lysprogram och brandvägg som erbjuder en förenklad nätverksanalys genom att mottagande servrar, portar och datamängd samt uppskattad geografisk position
82Personuppgiftsbiträdesavtal mellan Stockholms universitet och Vetenskapsrådet rörande Sunet E-möte. Daterat 2019-08-15, Dnr. 4.5-2019-6434-2, s.8.
83 Ibid.
84 Ibid s. 5.
85 Personuppgiftsbiträdesavtal mellan NORDUnet och Sunet rörande Sunet E-möte, daterat 2017-10-01 ”PX-03”.
30
synliggörs.85F85F85F86 Programmet delar även upp trafiken utifrån inkommande och
utgående trafik och tidsstämpel. Programmet delar upp trafiken genom ett tyd-ligt GUI86F86F86F87 som gör det lämpligt att använda utifrån uppsatsens syfte.
Mot bakgrund av molntjänsters inbyggda flexibilitet och komplexitet är det möjligt, och troligt att tjänsten använder sig av någon form av ett CDN, Content Delivery Network87F87F87F88 vilket gör att vid varje tillfälle skiljer det sig vilken virtuell,
eller fysisk server och dess IP-adressen mot vilken klienten uppkopplas.88F88F88F89 Trots
den inbygga komplexiteten är de gjorda nätverksanalyserna ett steg för att se och förstå mot vilken IP-adress respektive klient kopplar upp sig på och dess geografiska placering i den mån det är möjligt. Trots att Zoom är knapphändiga med att beskriva dess nätverksarkitektur är det för handen att anta att trafiken gör stopp vid flertalet servrar, både fysiska och virtuella vid användandet av tjänsten innan trafiken når sin slutgiltiga destination.89F89F89F90 De utförda analyserna
ska därav tolkas i samband med övriga fakta som presenteras i uppsatsen och inte som ensamstående evidens.
Fyra nätverksanalyser görs där de första två kommer att ske bakom inlogg-ning till Sunets E-möte, medan övriga två kommer att ske på samma sätt men utan SSO-inloggning, vilket innebär att Zooms publika molntjänst kommer att användas. Vid den första analysen skapas en videokonferens av en Basic använ-dare som ansluter omgående. Kort där på ansluter en andra använanvän-dare genom att ansluta via inbjudningslänken, också via Zoom-klienten på en separat enhet. Zoom-klienten startas sedan på en extern tredje dator, vilket innebär att sam-manlagt tre deltagare kommer att ansluta till konferensen via tre olika enheter för att säkerställa att trafik inte går via P2P.90F90F90F91 På datorn som utför
nätverksana-lysen, på den tredje externa datorn, startas Glasswire innan även denna klient ansluter till konferensen. I Glasswire väljs sedan Zoom-applikationen i det gra-fiska gränssnittet och den efterfrågade information ges grafiskt. Vid den andra analysen sker stegen i samma ordning, men här ansluter analysdatorn till konfe-rensen genom webbläsaren i stället för den installerade klienten. De sista två
86 För nätverksanalys används Zooms installerade respektive webbaserade klient tillsammans med
Glasswire 2.2. på en PC körandes Windows 10. Se även
https://www.glasswire.com/userguide/#Firewall_Tab, gällande Glasswires funktionalitet.
87 GUI, ”Graphical user interface”, engelska för ”grafiskt användargränssnitt” IDG IT-ord ”
grafiskt användargränssnitt”.
88 Ett CDN, Content Delivery Network eller ett innehållsleveransnätverk på svenska är geografiskt
utspridda internetservrar som samordnat överför data. Systemet använder ofta geolocation för att välja en den server som är närmast geografiskt för att få kortast möjliga svarstid. IDG IT-Ord” Innehållsleveransnätverk”.
89 Se vidare NORDUnet, Why does it look like my traffic ends up in the US,
https://support.nordu.net/hc/en-us/articles/360013023880-Why-does-it-look-like-my-traffic-ends-up-in-the-US-, hämtad 2020-12-12, och Zoom – Architected for Reliability, September 2019.
90 Zoom – Architected for Reliability, September 2019, s.4.
91 Ibid. Vid färre än 3 mötesdeltagare finns risk inte klienterna till molnet utan att trafiken skickas
31
analyserna kommer att ske med samma förfarande men skilda förutsättningar, här är det en inloggad On-prem användare som har skapat videokonferensen som sedan den installerade- respektive webbaserade klienten på analysdatorn ansluter till. Här läggs alltså videokonferensen på NORDUnets privata moln. Resultatet är tänkt att grafiskt visa vilka servrar i vilka länder som används vid de olika tillvägagångsätten. Huvudsaklig mötestrafik torde gå igen port 8801 och 403.91F91F91F92 Som komplement kommer även den information som klienten
läm-nar att redovisas, det vill säga grundläggande information om uppkopplat data-center.
2.4.1 Zooms moln – Anslutning genom installerad respektive
webbaserad klient
Vid den första nätverksanalysen med Glasswire används Zooms installerade klient med en Basic-användare som kopplar upp sig på ett publikt Zoom-möte, skapat av en annan Basic-användare. Denna analys görs för att skapa referensvär-den att jämföra följande analyser på. Här visar analysen att IP-adresser till serv-rar som står under Zooms egna moln används. Med en Basic-användare etableras vid analysen samtliga kontakter med Zooms-servrar, som utifrån de givna IP-adresser och Glasswires geolocation antas vara fysiskt placerade i USA. Denna information verifieras även av Zooms klient som tydligt anger att: ”You are connected to Zoom Global Network via data centers in the United States (Cloud)” under “Meeting information” i klienten.92F92F92F93
Den av klienten ansluta server med port 8801 uppvisar en stor ökning av dataanvändningen vilket bör innebära att mötesdatan i form av bild, ljud och chatt hanteras eller passerar genom denna server. Slutsatsen kan dras att all mötesdata vid tillfället hanterades på en server i USA, det vill säga utom EU/EES.93F93F93F94 I samband med att videokonferensen avslutas så upphör även
data-trafiken till de anslutna servrarna omgående.
Vid nästkommande analys används i stället för Zooms installerade klient fö-retagets webbaserade klient, under webbadressen ”https://zoom.us/join”. Denna analys sker i övrigt under samma förutsättningar som analysen ovan. Syftet är att se om mottagande servrar och trafik skiljer sig beroende på vilken typ av klient som används. Även här används Zooms publika tjänst och företa-gets egna moln. Här visar analysen att webbklienten är uppkopplad mot två servrar, som utifrån geolocation antas vara placerade i USA respektive Tysk-land.94F94F94F95 Av de två servarna är det troligt att mötestrafiken har hanterats i första
92 Se vidare
https://support.zoom.us/hc/en-us/articles/202342006-Network-Firewall-Settings-for-Meeting-Connector, för tjänstens användning av portar.
93 Bilaga 6.2. Nätverkstrafik med en Basic-användare genom Zooms installerade klient.
94 Ibid.
