Din firmaudleverede telefon overvåger dit privatliv.

I begyndelsen af januar 2018 kunne man bla. læse i Frederiksborg Ams avis, at byrådsmedlemmet Jan Ryberg i Helsingør kommune valgte at returnere sin netop udleverede iPhone tilbage til kommunen (link 1, 2) fordi han mente at kommunen overvågede hans privatliv.

Kommunen havde iPhonen administreret med et MDM*system (Device Management System, læs definitioner her ), som betød at kommunens IT-folk havde indblik i Jan Rybergs privatliv.

De fleste MDM systemer giver netop personer ,med adgang til administrations værktøjet, mulighed for at se fx. hvor denne smartphone befinder sig, når den ansatte reelt har fri. Ligeledes vil de kunne se, hvilke apps, som personen har installeret på sin smartphone!

Er det et problem ?

Ja, det er det! For her er tale om informationer om mit privatliv, som skal beskyttes iht. Persondataforordningen (GDPR), som træder i kraft 25. maj 2018.

Lad mig komme med nogle scenarier for at belyse dette:

Medarbejderen – dig – installerer forskellige apps, som du bruger i dit privatliv, på den smartphone, som du har fået udleveret af din arbejdsgiver. Du installerer appen Scor, Dating.dk og Tinder. Måske installerer du også Grinder (som er Tinder for homoseksuelle).

MDM-administratoren eller personen i IT-helpdesk kan inde på systemet se at du har disse apps installeret. Personen her ved, at du er gift og har kone og 2 børn. Måske er du ikke “sprunget ud af skabet” endnu. Disse apps fortæller reelt noget om dit privatliv!

Lad os nu sætte det lidt mere på spidsen. Du er måske HR-chefen og står foran at skulle opsige pågældende IT-medarbejder, der kender til nogle af dine hemmeligheder.

Måske bryder IT-medarbejderen sig blot ikke om dig, og kommer til at lufte denne viden under julefrokosten…..

Scenarie 2: Lad os nu også sige, at virksomheden (og fagforeningerne) tillader at IT-afdelingen kan hjælpe dig med at finde din forlagte eller stjålne iPhone ved hjælp af funktionen “find My iPhone”, som er implementeret ind i mange MDM-løsninger.

Nu kan ovennævnte IT-medarbejder også se hvor din smartphone befinder sig ud fra det GPS signal, som din telefon indrapporterer til MDM-løsningen.

Måske var du til jobsamtale hos konkurrenten – måske endda i arbejdstiden, hvor du lige var “gået til tandlægen”.

Og sat lidt mere på spidsen: måske kommer du ofte i en svingerklub i weekenderne….. den information kan også være tilgængelig for denne IT-medarbejder.

Så igen Ja, byrådsmedlem Jan Ryberg har faktisk ret. Mange MDM løsninger “overvåger” faktisk de administrede smartphones og tablets.

Så noterede jeg mig godt, at en ekspert fra firmaet Check-Point Jan Johannesen udtalte til TV-2 (link), at “det er noget pjat” at Jan Ryberg ønskede at beskytte sit privatliv. Men her er jeg aldeles uenig med Jan Johannesen.

Jeg har arbejdet med MDM* løsninger siden 2006 og er en af Danmarks førende eksperter indenfor dette specifikke sikkerheds område. Jeg har arbejdet med alle de førende MDM løsninger, så som VMware-AirWatch, Microsoft Intune, Citrix Xenmobile, MobileIron, og også haft fingrene i mange af de mindre løsninger.

Alle disse systemer giver IT-afdelingens folk mulighed for at se hvilke private apps, som du har installeret, og mange af disse systemer understøtter også bla. “Find My iPhone”.

Når IT-medarbejderen går ind i MDM-systemet for at se om en medarbejder har fået en app rullet ud på enheden, så vil han/hun skulle finde den app på den liste, som viser alle apps, som er at finde på enheden, altså også de privat installerede apps.

En  kommunes IT afdeling har endda lavet en mobil portal til medarbejderne, hvor man kan se Top 10 lister for de meste benyttede apps.

Disse data er trukket ud fra MDM systemet.

 

Jo, Jan Johannesen vedkender da, at MDM-værktøjet kan misbruges, men opfordrer så blot til, at man blot skal bede sin arbejdsgiver om en “skriftlig forsikring om at disse data ikke misbruges”….. Jo, men IT-medarbejderen har alligevel set, at du har Tinder, Scor, Stepstone, mv.  installeret sammen med virksomheden apps på din enhed!

Stil krav til virksomhedens MDM system!

Nogle af de bedre MDM* løsninger har allerede en løsning på ovenstående!

Nogle løsninger kan netop håndtere enheder (både tablets og smartphones), som også må bruges privat. Disse løsninger har fjernet IT-medarbejderens mulighed for at se både GPS position og privat installerede apps, netop for at tilsikre at virksomheden (og MDM løsningen) overholder Persondataforordningen.

Vel og mærket uden at disse løsninger på nogen måde kompromitterer virksomhedens data!

De fleste MDM løsninger giver slet ikke IT-medarbejderen adgang til de dokumenter, referater, mv. som ligger på den ansattes mobile enhed. Så her er der ingen grund til at være nervøs for et databrud.**

Med til historien skal nævnes, at kommunens har understreget, at kommunen kun registrerer de mest nødvendige dataspor, men betyder “registrerer” også at ikke kan se de private installerede apps?

Post 25. maj scenarie:

Jeg tror, at vi vil se medarbejdere, der vil kræve dokumentation for at virksomhedens MDM løsning IKKE viser GPS-positioner og/eller privat installerede apps for nogen som helst med adgang til MDM løsningen.

Jeg tror også, at vi må forvente at der vil være vrede ansatte eller endda fyrede og frustrerede tidligere ansatte, der vil udfordre virksomhederne på dette, nu da Persondataforordningen ligger op til klækkelige bøder for overtrædelse af forordningens krav om at beskytte private data.

Jeg hører allerede om advokatkontorer, der er ved at køre sig i stilling til at føre disse sager for de ansatte!

Mange virksomheder er slet ikke påbegyndt at tage sikre sig, dvs. sikre deres medarbejdere.

I forbindelse med persondatafordningens ikrafttrædelse 25. maj ’18, så har mange virksomheder haft travlt med at forholde sig til kunne håndtere personfølsomme data, f.eks. jobansøgninger, billeder af tidligere ansatte, beskyttelse af fortrolige oplysninger, så som cpr-numre, osv.

Persondataforordningen formål er i alt sin enkelthed at beskytte den enkelte borgers private data.

Virksomheder og offentlige institutioner og instanser skal derfor drage omsorg for at de ikke får adgang til vores private data (som de ikke skal bruge).

Og derfor oplever jeg, at det kommer bag på mange organisationer, at de faktisk får ovenstående oplysninger på de udleverede smartphones og tablets, og derfor har travlt med at håndtere dette her kort før deadline.

 

Kan man ikke skrive sig ud af det ?

Men så kan virksomheden vel blot skrive sig ud af det, hører jeg af og til.

Virksomheden kan vel betinge sig, at såfremt medarbejderen vil have adgang til virksomhedens mail, kontakter, kalender og andre data på deres private enheder, jamen så skal medarbejderen acceptere at management løsningen kan se disse ovennævnte ting.

For det første så tror jeg ikke, at den holder ift. forordningen, men jeg har har indtil videre ikke kunne finde nogen, der tør forholde sig endegyldigt til dette.

For det andet, så tror jeg konsekvensen bliver, at medarbejderne vælger at købe deres egen smartphone, som de bruger, når de har fri. Herved mister virksomhederne den effektivitet, det har betydet at firmatelefonen og privat telefonen er en og samme enhed. Jeg tror de fleste lige har svaret på en firma mail, mens de sad til et mindre spændende forældremøde eller lignende.

Hør mere om dette på Computerworlds gå hjem møde d. 28. februar (link)

*Note: Jeg vælger i dette indlæg, at bruge betegnelsen MDM (Mobile Device Management), da det er den mest benyttede betegnelse, om end det ville være mere korrekt at omtale løsningerne i dag, som EMM eller endda UEM løsninger. Læs dette indlæg, som forklarer forskellen.

** Omvendt er jeg meget mere nervøs for at virksomhederne ikke har forholdt sig til at deres medarbejdere tager en privat iCloud backup af den iPhone, som også indeholder virksomhedsdata. Dette skriver jeg et blog indlæg om i næste uge.


Læs også disse indlæg:

Del dette:

11 tanker om “Din firmaudleverede telefon overvåger dit privatliv.”

  1. Jeg kan følge din pointe om GPS data, men mht. hvilke apps som personen har installeret på sin smartphone; hvorfor er det anderledes end at IT kan trække en liste over installeret software på en firma bærbar, selv hvis den pågældende software ikke er pushed ud af IT afdelingen, men installeret af brugeren til privat brug. Altså set i forhold til GDPR?

    1. Virksomhederne begrænser allerede deres brugere i at benytte deres bærbare til private formål, bla. for at være compliant med GDPR. Flere og flere fjerner lokal administrator rettighederne på de bærbare og gør det klart for medarbejderne at de bærbare er et arbejdsredskab. Virksomhederne ønsker ikke at deres medarbejdere fx. installerer pirat software på virksomhedens bærbare eller at medarbejderne har private ting på denne bærbar, som kan være ulovlige, kritiske, osv. Derfor melder mange virksomheder også ud, at medarbejderen skal lave private ting på deres egne enheder, samt at virksomheden fx. kan se webtrafikken ud af huset.

      Hertil kommer at medarbejderen yderst sjældent har den bærbare med rundt, når denne har fri. Men deres smartphone har du på dog stort set 24/7 og bruger den til private sager.

      For god ordens skyld, så skelner jeg mellem COD-enheder (corporate owned devices) og BYOD eller POD-enheder (Bring-Your-Own-devices eller Privately owned devices). I sidste gruppe har vi også de COD-enheder, som brugerne må bruge privat (enten fordi at de er betalt over bruttoløn-ordninger eller medarbejderen betaler skat* af enhederne). Jeg taler derfor udelukkende om smartphones og tablets i den sidste gruppe.

      GDPR går i store træk ud på at beskytte forbrugerens (men også medarbejdernes) privatliv (og derved private data).
      Såfremt du kan se hvilke apps, som den ansatte har downloaded og bruger i fritiden, så giver dette dig et indblik i den ansattes privatliv. Er personen jobsøgende, og derfor har apps, som Stepstone, Jobzonen, osv, downloaded, så kan virksomheden bruge disse informationer. Hvis du ydermere kan GPS-tracke din medarbejders smartphone, når denne har fri, så vil du ligeledes være i besiddelse af en viden om medarbejderes privatliv.

      Jeg tror at mange medarbejdere vil have sig frabedt at virksomheden har dette indblik, og derfor vælger at anskaffe sig deres egne private enheder. Med mindre at virksomhedens MDM-system kan sikre at man ikke har dette inblik i POD-enheder (hvilket nogle af dem kan i dag).

  2. Som jeg læser forordningen er det bare en udvidelse af persondatalovgivningen og mig bekendt er de eksempler du nævner ikke ulovlige at indsamle hvis det har et formål.

    I forhold til indsamling af data omkring installerede APPS, kan disse oplysninger være nødvendlige i forhold til fejlsøgning. Man kan jo vælge at kun få har adgang til disse informationer via rollebaseret adgang.

    At lokalisere en enhed placering kan bruges i forbindelse med geofencing eller som et led i sikringen af ens udstyr. Som udgangspunkt logger MDM systemet ikke positionen, men gemmer kun den sidste registrerede position i modsætning til ens teleudbyder der gemmer historikken.

    Så jeg mener at man sagtens kan udføre ovenstående så længe det er synligt hvad der indsamles, hvorfor det indsamles og hvor data befinder sig. Man skal så bare huske at slette data igen når den ikke længere er relevant i forhold til opgaven.

    1. Forordningen har til formål at beskytte forbrugernes private data. Den private borger kan nu med forordningen kræve at virksomhederne begrunder hvilke data de indsamler og ligger inde med, men også give den private borger ret ikke at lade virksomhederne indsamle disse data (eks.: “Right to be forgotten”).
      I mine øjne, så skal du vende billedet om: Vil dine medarbejdere bryde sig om at du kan se hvilke private apps, så som Tinder, Stepstone, mv, som de bruger i deres privatliv. De vil henvise til forordningen og kræve at du ikke gemmer (og analyserer) disse private data. Jeg tvivler på at en ansat vil lade dig se, hvor denne er henne i fritiden. Ville det være OK med dig at din direktør kan se hvad hvor du er henne (fx. når du er “syg” eller holder fri? Eller kan se at du bruger apps, som Stepstone, Jobzonen, mv flittigt?) Min påstand er at det vil de fleste gerne have sig frabedt. Og her får de nu hjælp til dette i form af forordningen).

      Hele GPS-tracking problematikken debatteres fx ofte i faggrupper, hvor virksomheden gerne vil overvåge deres biler, værktøj, mv. Men det er ikke det samme, som at vide hvor medarbejderesn “private” smartphone befinder sig uden for arbejdstid.
      Din teleudbyder er underlagt ganske stramme regler mht. adgang til disse data, som nu også rammer virksomhederne.

      De bedste MDM systemer, som jeg har set, giver kun en “DPO” (Data Protection Officer) adgang til disse data, og adgangen logges og skal dokumenteres, og må altså kun blive benyttet i ganske særlige tilfælde. Det er ikke nok med en klassisk rollebaseret adgang, hvis dette ikke logges. Tænk blot på Nets – Se & Hør skandalen.
      De gode systemer opdeler enhederne i to grupper COD-enheder og POD-enheder (se forklaring i svar til Alex ovenfor). Systemerne “indsamler” bla. oplysninger om apps og måske også GPS positioner på POD-enheder, men gør dem ikke tilgængelige af folk med adgang til systemet. Systemerne bruger disse oplysninger til fx. at sikre at installerede apps, der fx. indeholder skadelige virus, straks lukker for enhedens adgange ind til virksomhedens data (fjerner mails, mv). Ligledes kan GPS-positionen benyttes til at give medarbejdere adgang til virksomhedsdata, når de befinder sig indefor en given radius af en GPS position. Heller ikke her vises GPS-positionen for systemfolkene.

  3. Vil gerne understrege at jeg mener COD enheder og ikke POD enheder, hvor jeg er helt enig i at det ikke har noget formål at indsamle disse oplysninger.

    Jeg forstår dog ikke helt det “hysteri” omkring at MDM systemer skulle krænke folks privatliv, så længe man konfigurerer det med omtanke og kun indsamler data der kan argumenteres for.

    Kan da nok finde mange andre scenarier hvor “overvågningen” er mere omfattende.

    1. Der er forskel på folk. Der er dem, der er ligeglade med overvågning, Big Data, osv. Og så er der den modsatte side, som jeg selv repræsenterer, der gerne vil værne om mit privatliv, og som ser overvågning, som et stigende problem. Min mening fremgår jo netop af denne blog 😉

      Mht. at konfigurere MDM løsningerne, så kommer det jo an på OM løsningen kan konfigureres, så den derved værner om de private oplysninger (på POD enheder). Det er der desværre en hel del, der ikke kan (p.t.).

      Jeg vil gerne høre hvad du skal bruge oplysninger til mht. mine og mine kollegaers private apps? Hvem vil have adgang til disse indsamlede oplysninger ? Og endelig så tror jeg at du vil møde en del medarbejdere, som i en eller anden grad over mod min side, som gerne vil have sig denne overvågning frabedt.

      Og ja, overvågning andre steder kan være mere omfattende, men de områder omhandler dette blog indlæg ikke om.

  4. Er helt med på at det er din mening, ligesom det er min, jeg udtrykker og jeg tror faktisk at vi er enige langt af vejen. Jeg går på ingen måde ind for at indsamle data der ikke skal bruges og slet ikke privat data.

    Min hoved pointe er at GDPR giver ikke den enkelte meget mere “privatliv”, men sætter mere nogle rammer for hvordan vi skal behandle den data vi indsamler, hvor tendensen nok har været “jo mere jo bedre”, men nu tvinger, qua bøder, virksomhederne til at tænke over hvilken data de indsamler, hvorfor de indsamler og hvordan de opbevarer og sletter den.

    I forhold til APPS, kan det være en redskab i en fejlsøgning via en Administrator, der fx skal fejlsøge på “sager omkring stort batteriforbrug” eller et andet problem, der kan opstå pga. en kendt APP der er dårlig lavet. I disse tilfælde kan man lave en midlertidig skanning af APPS, fejlsøge og så slå det fra igen. Det vil være logget hvem der udførte opgaven, hvorfor den blev udført og hvilken data der er indsamlet.

    Derudover tror jeg at det bliver meget svært for den almindelige forbruger at få indsigt i disse sager, hvorimod audits kan have en god effekt i forhold til at få virksomhederne til at tænke over netop de ting du skriver om.

    Sidst men ikke mindst, så læser jeg jo din blog fordi emnerne interesserer mig og jeg har en mening om dette.

  5. Pingback: Har du styr på data? Dine medarbejderes arbejdstelefoner er tikkende GDPR-bomber. – Min Mening om IT sikkerhed og mobilitet

  6. Pingback: "Chefen kan kigge med på din telefon" - Min Mening om IT sikkerhed og mobilitet

  7. Findes der slet ikke løsninger, som kan skjule ens færden for arbejdsgiverens overvågning?

    1. Jo. Gudskelov findes der flere.
      Der findes jo mange løsninger på markedet, men det er ikke alle, der har adresseret netop denne (GDPR-)problematik og indarbejdet den i deres løsning.
      Og endelig så er det også et spørgsmål om korrekt opsætning af den valgte løsning. Jeg har set flere løsninger sat op “forkert”.

Skriv et svar