Furesø Kommune har droppet Chromebooks: Risikoen var for høj

31. august kl. 22:0030
Skoleelever, Folkeskole, Chromebook-sagen, klasselokale
Eleverne i Furesø Kommune har siden december 2021 ikke brugt Chromebooks, fordi kommunen vurderede, at risikoen for elevernes datasikkerhed var for høj. Illustration: Signe Goldmann/Ritzau Scanpix.
Allerede i februar valgte Furesø Kommune at droppe brugen af Chromebooks på kommunens folkeskoler. En sikkerhedsbrist i 2018 var medvirkende til, at kommunen vurderede, at risikoen ved at bruge tjenesten var for høj for elevernes datasikkerhed.

Mens kommunale Chromebook-kunder over hele landet prøver at finde det rigtige ben at stå på efter den senest afgørelse fra Datatilsynet, kan de tage det anderledes roligt i Furesø Kommune.

Usikkerhed omkring overførsel af børnenes persondata til tredjelande fik nemlig allerede i februar kommunen til at stoppe brugen af de omdiskuterede Google-maskiner.

Det skriver Furesø Kommune i en redegørelse om beslutningen, som kommunen har sendt til Datatilsynet, og som Version2 er i besiddelse af.

Få fuld adgang til EduTech

EduTech skriver til professionelle, der arbejder med digitale- og teknologiske uddannelsesløsninger.

Få 3 uger gratis prøve abonnement til EduTech. Betalingskort er ikke påkrævet, og du vil ikke blive flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Abonnementsfordele
vpn_key
Fuld adgang til EduTech
Alt indhold på EduTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
30 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
23. august kl. 13:33

Det virker ærligt talt som om at de hos Furesø bare hellere vil køre Windows. De har ikke løst noget. Microsoft er ligeså underlagt amerikansk lovgivning som Google og der er derfor ingen forskel på en Microsoft sky eller Google sky.

Det der skal til er helt at fravælge amerikanske skyløsninger. Det er ikke hardwaren eller operativsystemet der gør forskellen. Om det er Linux, ChromeOS, Mac OS eller Windows er alt sammen ok, bare de har fravalgt at computeren kobler op til amerikaneres sky!

Der ER alternativer. Hvorfor er der ingen kommune der har arbejdet med det?

14
23. august kl. 13:39

Om det er Linux, ChromeOS, Mac OS eller Windows er alt sammen ok, bare de har fravalgt at computeren kobler op til amerikaneres sky!

Forståelsesspørgsmål: Er det clouden, der er problemet? Er det ikke ligeså meget ejerskabet, dvs. at programmerne som sådan er underlagt amerikansk lov?

29
24. august kl. 16:43

Forståelsesspørgsmål: Er det clouden, der er problemet? Er det ikke ligeså meget ejerskabet, dvs. at programmerne som sådan er underlagt amerikansk lov?

USA har ikke en lov der kræver at amerikanske virksomheder indbygger en bagdør i programmer. Nogle mener at det er sandsynligt at den amerikanske spiontjeneste NSA har bagdøre alligevel, men eftersom at disse i såfald er hemmelige, så udgør de typisk ikke det helt store problem. Der er også andre måder stater kan hacke dig på uanset hvem der ejer eller har lavet programmet.

Et program der aktivt sporer dig vil være ligeså forbudt som de amerikanske skyløsninger. Windows kan indstilles så at der ikke overføres data der er problematisk. Derfor kan Windows - og Chromebook - være lovligt bare de indstilles korrekt.

Det er klart at så snart du starter en browser og surfer forbi stort set et hvilket som helst website, inklusiv version2, så bliver der sat cookies og du bliver sporet på den måde. Hvis du er en elev i den danske folkeskole, så er der trods alt ganske meget der ikke umiddelbart afsløres om dig på den måde. Modsat en skyløsning hvor de automatisk har adgang til alle dine skoleopgaver, og hvem ved om du bliver stoppet i lufthavnen på ferie en dag, fordi myndighederne ikke kan lide hvad du skrev i en opgave i historie i 7. klasse?

15
23. august kl. 14:27

Ja, det er clouden som er problemet, hvis programmerne var problemet kunne vi ikke benytte de fleste OS'er, Windows, OSX, En del Linux varianter ville være dømt ude. Problemet er at data lagres på US servere, og derfra har USA snablen nede i data. Problem nummer 2 er så også Googles (mis)brug af data til alle mulige formål.

17
23. august kl. 16:51

Nej, problemet er at data uanset hvor i verden de lagres kan tilgås af de amerikanske myndigheder hvis firmaet er amerikansk. Og selve OS'et kan også være et problem hvis det sender data som er kan identificere personen der bruger det. Så alt andet end clouden er ikke fredet.

18
23. august kl. 16:55

Tak, Jesper Jepsen - det var det, jeg havde en tåget forestilling om.

16
23. august kl. 15:29

Tak for svar, Kenneth Graulund. Så det eneste sted disse firmaer har adgang til brugernes data, er via clouden? Der sendes ikke noget direkte fra computeren til Google/Microsoft/Apple, eks. via cookies?

Jeg spørger, fordi jeg gør,, hvad jeg kan for at undgå cloud - jeg vælger det aldrig frivilligt. Alligevel kommer der da jævnligt automatiske opdateringer etc. til min computer - men det er måske der, kommunerne kan afskære den forbindelse via opsætningen?

22
23. august kl. 23:29

Der sendes ikke noget direkte fra computeren til Google/Microsoft/Apple, eks. via cookies?

Det gør der, men desværre ikke kun relateret til anonymiserede statistik og sikkerhed, men også til reklamer og profilering. Der er ting man kan gøre manuelt med indstillinger og ellers er der DNS-filtrering. F.eks. til Windows findes der forskellige programmer til at styre indstillingerne mere automatisk, samt med forklaringer til hvad hver enkelt indstilling gør. Jeg kan klart anbefale https://www.oo-software.com/en/shutup10

Alligevel kommer der da jævnligt automatiske opdateringer etc. til min computer - men det er måske der, kommunerne kan afskære den forbindelse via opsætningen?

Det vil ikke være så godt ift. sikkerhedsopdateringer. Men ligesom med overnævnte, så er der tiltag man som administrator/DPO for en organisation kan foretage i indstillingerne med nogle få klik. For i det mindste at minimere uønsket datadeling. Det kan være minimere mængde og indhold af telemetri, pseudonymisering (bedre end ingenting…), minimere “forbundne oplevelser” som de kalder det, deaktivere integrering af tredjepartsservices (f.eks. Giphy) og andre ting (se f.eks.: https://www.privacycompany.eu/blogpost-en/new-dpia-for-the-dutch-government-and-universities-on-microsoft-teams-onedrive-and-sharepoint-online).

24
24. august kl. 06:28

Tak for svar, Emil Bock Nielsen.

" i det mindste at minimere uønsket datadeling."

Ja, det er her, min bekymring kommer ind - at man måske kun kan minimere det, ikke fjerne det.

20
23. august kl. 21:16

Det er noget helt andet - fravælger du "div. opdateringer" fravælger du også sikkerhed.

Clouden er hvor data gemmes og/eller behandles. Din mailserver er f.eks. enten i cloud: gmail, O365 eller på din ISP's servere (som ofte bare er frontend for en cloudservice), på din egen server i din kælder (hvis du syntes det er sjovt) eller på din virksomheds servere (forudsat det ikke også ligger i cloud). Mailserveren ved i sagens natur alt om de mails du sender og modtager så det gør ejeren af serveren principielt set også - det er altså et spørgsmål om du stoler på ejeren af serveren som du i øvrigt slet ikke kender hvis der er en mellemmand. Nu siger lovgivningen så at du skal dokumentere at det som ejeren af serveren siger også passer - det er så umuligt uden at bruge det som ejeren af servern fortæller dig... og vi er så ikke nået til Schrems og FISA702 endnu.

23
24. august kl. 06:24

Tak for svar, Maciej Szeliga.

Mailserveren ved i sagens natur alt om de mails du sender og modtager så det gør ejeren af serveren principielt set også

Ja, det er jo f.eks. der, jeg forestiller mig, at problemet med FISA også kan komme ind i Chromebooks - men de indbefatter måske slet ikke mail?

25
24. august kl. 10:44

Jeg tog mails fordi det er noget de fleste bruger og færreste tænker hvor serveren er. Hvis vi ser på f.eks. Google Docs så gemmes dokumenterne i skyen og behandlingen foregår i skyen (man har typisk kun et browser front end), det samme gælder O365 men her kan man have lokal installation og man kan gemme lokalt - så går luften bare af konceptet.

FISA problemet er at DHS/NSA kan trappe op hos Microsoft i Redmond (nu tager vi Microsoft som eksempel) og bede om at få udleveret data jf. FISA 702 og så kan Microsoft bare klappe hælene sammen og udlevere - og Microsoft må ikke sige noget om det til nogen, sådan er loven formuleret.

Så kan Microsoft vælge at sige at de data ligger i krypteret tilstand og de har ikke nøglen - problemet er bare at det kan de kun om de data de ikke selv bearbejder for teknologien til at bearbejde krypterede data uden at dekryptere dem først er ikke helt på plads endnu - og nogen påstår den aldrig kommer.

Dette gælder naturligvis også for Amazon, Google, IBM, Oracle etc.

De kan så kun gennemføre det hvis datacentrene kan tilgås fra USA og personale sidder i USA.

11
23. august kl. 10:58

Problem er jo ikke hvilket cloud løsning der bliver brugt Problemet er at de it ansvarlige ikke har forstået GDPR

10
23. august kl. 10:39

Problemet ligger kun i GDPR og så er det sku lige meget hvilken Firmas Cloud løsning man bruger.

GDPR er ikke noget statisk der når det er gjort så kam man læne sigtilbage som Hel

9
23. august kl. 10:22

ikke nødvendigvis selve leverandøren eller amerikansk cloud den er gal med.

Jo, det er det, hvis de ikke kan eller vil ændre deres tekniske opsætning og samtidig amerikansk lovgivning. Så er det nemlig leverandøren, som den er gal med (selvom jeg forstår den meget spinkle teoretiske mulighed). Hvorfor skulle f.eks. Google og Microsoft ændre på nogle af deres største indtjeningsmuligheder? De har ikke rigtig gjort det andre steder i verdenen, så hvorfor i en kommune i Danmark?

Der er ingen af de to som leverer på alle punkter her:

  • Fuld brugeradgang og ejerskab med krypteringsnøgle til data gemt på servicen.
  • Indsamling af den data som kan indsamles, vil ikke blive brugt til formål, som ikke kan stilles op imod det oprindelige formål - andre formål kunne være profilering, reklamer m.m.
  • CLOAD Act er svær at komme udenom, medmindre de kan sikre, at de ikke kan levere data om brugerne. Det vil sige leverandørerne ikke skal have adgang til særlig mange data, fordi ellers kan de ikke komme udenom CLOAD Act. Det gælder uanset om de har datacenter i USA, Irland eller DK.
  • Mulighed for indsigt i hvor data PRÆCIST ender. Ikke bare det første stoppested, men alle steder “data-ruten” ender og videresføres til. Mulighed for indsigt i hvad data PRÆCIST blir brugt til.

Jeg ville ønske at de kunne tilbyde overstående, da de har mange gode features. Men hvis det nogensinde sker, så er der minimum gået 10 år, fordi hele Googles og Microsofts forretningsstruktur skal ændres på samt evt. lovgivning. Pøj pøj med at få en lovlig aftale i hus, siger jeg bare.

12
23. august kl. 11:29

Jeg er sådan set enig i din betragtning, men det har bare intet med sagen at gøre - Helsingør er IKKE dumpet på den tekniske løsning, men på deres manglende risikovurdering. Du skal huske at ultimativt har enhver virksomhed eller institution selv ansvaret, også selvom nogle mener af man kan exportere problemet til andre.

Det er vigtigt at skelne mellem hvad der er teknisk muligt, og hvad der ligger indenfor lovens rammer - Selvom det altid høster flere likes at skælde ud på cloud;-) Cloud har sin berettigelse, men det har GDPR også, så udfordringen ligger i arbejde i spændet mellem dem.

8
23. august kl. 10:00

Det er lidt pest eller kolera om det er Google eller Microsoft - men i det mindste kan man sætte on-premise mail/fil/sharefile server op og lade Office 365 bruge den, så der ikke skal noget ud i cloud'en og ligge og dermed Microsoft ikke kan snage - ihvertifald ikke så meget, for med 365, skal licensstyring stadig ligge i cloud'en, men alt andet kan man bare slå fra.

21
23. august kl. 21:42

Det er lidt pest eller kolera om det er Google eller Microsoft - men i det mindste kan man sætte on-premise mail/fil/sharefile server op og lade Office 365 bruge den, så der ikke skal noget ud i cloud'en og ligge og dermed Microsoft ikke kan snage - ihvertifald ikke så meget, for med 365, skal licensstyring stadig ligge i cloud'en, men alt andet kan man bare slå fra.

Hvorfor så vælge en løsning som man skal betale i dyre domme for? OK, jeg ved godt at software leverandører har en tendens til mere eller mindre at næsten forære deres software til skolerne. Hvis alt skal være on-premise, hvorfor betale til en af gitanterne for en løsning som lige så godt kan klares med en Linux server? Den kunne man kvit og frit kopiere ud til alle skoler. LibreOffice en glimrende kontorpakke, prisen .... gratis.

Det er en fejl at tro at man ikke kan klare sig uden Microsoft. Klient maskinerne kunne da også anvende Linux. Eneste udfording med Linux ville være de undervisningsprogrammer som oftest kun eksisterer til Windows. Her kunne man implementere en Citrix eller lignende løsning.

Problemet ved en sådan løsning er at den ansvarlige på skolerne ikke er IT fagfolk, så Linix er ukendt område og derfor på forhånd fravælges. Den enkelte lærer kender hjemme fra kun Windows og Office, hvilket gør at det er det de ønsker at anvende. Men det er et helt andet problem, at skolerne oftest overlades til sig selv med hensyn til IT i stedet for at man havde globale support centre.

19
23. august kl. 18:34

Skal alle børns bærbare så være låst ned og kun have netværk gennem VPN til skolen? For ellers er man jo lige vidt - hvis hver computer frit kan sende data til Microsoft.

27
24. august kl. 16:02

Har lige afprøvet en lille utility som hedder WDP, som kan gå ind og vise hvilke informationer Windows 10 "deler med Microsoft". Der er skræmmende mange punkter. I WDP kan man så deaktivere de ting man ikke ønsker skal sendes til Microsoft.

[https://wpd.app]

28
24. august kl. 16:06

hvilke informationer Windows 10 "deler med Microsoft". Der er skræmmende mange punkter.

Spændende - og skræmmende - Gert Agerholm.

"I WDP kan man så deaktivere de ting man ikke ønsker skal sendes til Microsoft."

Men kan man så regne med, at det bliver overholdt?

3
23. august kl. 06:56
  1. Er problemstillingen ift. Datatilsynet og risikovurdering ikke den samme på Windows / Office365 som for Chromebook?
7
23. august kl. 08:42

ja og nej - problemet opstår når man ikke har lavet en tilstrækkelig risikovurdering, og det er dermed ikke nødvendigvis selve leverandøren eller amerikansk cloud den er gal med. I tilfældet med Helsingør, er man simpelthen bare kørt over for fuld stop, og har ikke lavet den nødvendige vurdering, hvor man i tilfældet i artiklen her, aktivt har taget stilling og vurderet at Google ikke levede op til kravene. Om det så er korrekt, eller man iøvrigt er enig, er en helt anden sag.

2
23. august kl. 06:54

Det kan godt være at man med få klik kan se hvor datacentrene ligger, men Microsoft er stadigvæk et firma med hovkontor i USA. Derudover er det lidt skræmmende at læse deres bruger betingelser og meget uigennemsigtigt, hvad de faktisk trækker af data fra den enkelte bruger

4
23. august kl. 07:09

Det lyder som om, Furesø har taget opgaven mere alvorligt end de fleste andre, og det er jo glædeligt. Men jeg har også svært ved at se, at man har løst problemet med tredjelandsoverførsler og NSA's tilstedeværelse i baggrunden.

Det bliver interessant at se, om Datatilsynet faktisk har lovet kommunerne, at de ikke behøver bekymre sig om dette aspekt, som Helsingør for nylig hævdede.

Men Furesøs forklaring peger på det, jeg også har undret mig over: Helsingørs Chromebooks må være tæt på at være udtjente, så de ville jo under alle omstændigheder været nødt til at ofre mange penge snart. har de indregnet det i det omkostninger ved skift fra Google, som de har fremlagt i offentligheden?

Hvor stor en del af skolernes slunkne budgetter går efterhånden - løbende, år for år - til IT - og Chromebooks?

5
23. august kl. 07:50

USA-firmaer brude være no go:

"et stort antal medarbejdere i mange af de store banker har anvendt personlige kanaler som WhatsApp, privat-telefoner og personlige og ubeskyttede mail-adresser i kommunikation i deres arbejde. Ifølge Reuters ligger fokus ikke mindst på, at bankerne ikke har haft faste procedurer for tracking, logning, arkivering og kontrol af medarbejderens brug af digitale kommunikations-midler, når det gælder deres arbejde. Bankerne er blandt andet JPMorgan, Morgan Stanley, Bank of America, Citi, Barclays og Deutsche Bank."https://www.computerworld.dk/art/261949/banker-staar-over-for-kaempe-boeder-medarbejdere-har-anvendt-whatsapp-og-private-mail-adresser-i-stor-stil

Jeg ved ikke, om danske banker og firmaer er bedre, men det er vel i det mindste lettere at kontrollere dem og komme efter dem.

Gad vide, hvordan det står til hos gode, gamle Epic?

1
23. august kl. 06:24

Hvor er det trist, at vi opdrager vores børn til, at man skal betale abonnement til en eller anden techgigant. Tænk, hvis vi lærte dem at bruge fri og gratis software, og at ens filer ligger bedst på egen harddisk, og backup på USB-pind.

6
23. august kl. 08:28

Vi betaler også abonnement for strøm, vand og alt muligt andet infrastruktur. Skal vi også til at pumpe vores egen vand op og producerer vores egen strøm? - Det er langt mere effektivt at centraliserer og deles om udgifterne i stedet for at vi hver især opfinder vores egen (USB)løsning.

Der er intet galt med could løsninger, heller ikke chromebooks. vi er bare ved at gå fra et wild west til en mere kontrolleret verden og det kræver noget tilpasning både i lovgivningen, hos udbyderne og hos kunderne. Det kommer til at tage lidt tid men skal nok komme på plads.