– Vi vurderer sikkerheten som god

Saken er oppdatert!

Flere store norske selskaper benytter seg av Facebooks intranett-løsning «Workplace».

I sammenheng med Cambridge Analytica-skandalen vurderer flere nå bruken av løsningen. Datatilsynet opplyser at de har vært i kontakt med flere norske selskaper angående sikkerheten i tjenesten tidligere, men har ikke laget nye anbefalinger eller retningslinjer bedrifter må forholde seg til etter at saken om misbruk av Facebook-data ble kjent.

DNB, Telenor, Rema 1000 og Lovisenberg sykehus er blant dem som benytter seg av løsningen her i landet. Torsdag konkluderte en arbeidsgruppe som så på DNBs løsning med at sikkerheten i tjenesten er god.

– Vår forståelse er at de siste dagers avsløringer knyttet til Cambridge Analytica ikke har direkte relevans for sikkerheten til Workplace, siden den saken dreier seg om tilgang for eksterne apper til brukerprofiler på den ordinære Facebook, heter det i en uttalelse fra selskapet.

DNB opplyser at de er «svært fornøyd» med verktøyet, og at den interne kommunikasjonen og åpenheten har skutt fart etter at de tok verktøyet i bruk.

– Workplace er et kommunikasjonsverktøy og distribusjonsverktøy i DNB, men dette er ikke og har aldri vært en plattform for å dele konfidensielle eller forretningskritiske data, skriver DNB i en epost til Dagens Perspektiv.

• LES OGSÅ | Facebook havner på svartelisten til Nordea

Mange av de norske brukerne av systemet har inngått avtaler med Facebook som skiller seg fra de brukervilkårene nettgiganten bruker som standard. Det satte Datatilsynet som en forutsetning for at de skulle godkjenne løsningen.

• LES LEDER | Pisk mot Facebook

«Datatilsynets standpunkt er at det var nødvendig å gå bort fra standardvilkårene for å få på plass akseptable vilkår for bruk av personopplysninger. Facebooks standardvilkår er utfordrende med tanke på personopplysningsvernet til den enkelte arbeidstaker. De er malt med bred pensel og er omfattende,» heter det i en uttalelse som Datatilsynet sendte ut da de godkjente løsningen hos DNB og Telenor i 2016.

Standardvilkårene sier blant annet at Facebook kan bruke personopplysninger som genereres ved bruk av tjenesten til egne formål, slik som utvikling av produkter og tjenester i hele Facebook-gruppen og kobling av data på tvers av egne plattformer. Personopplysningsloven tillater ikke dette.

«En databehandler skal bare bruke personopplysninger til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet,» heter det i uttalelsen fra Datatilsynet.

– En sentral forskjell mellom tjenestene Facebook og Workplace er at data i Workplace tilhører DNB og ikke Facebook. Det er heller ikke tredjeparts-apper i Workplace som kan hente ut data om DNBs brukere av Workplace. Det er kun DNBs ansatte som har tilgang til Workplace by Facebook. Det er heller ikke slik at eksterne apper og eksterne selskaper har tilgang til dataene på Workplace - det er DNB som eier dataene her, skriver selskapet i en epost.

Telenor vurderer også sikkerheten i tjenesten som god, og begrunner det blant annet med at produktet er en «helt separat løsning fra den Facebook man bruker privat,» skriver informasjonssjef Hanne Kndusen i en epost.

Egne risikovurderinger

Ekspert på IKT-sikkerhet, Torgeir Waterhouse i IKT Norge, mener norske bedrifter gjør klokt i å ta en ny vurdering av intranett-systemet.

– Bedrifter bør alltid vurdere løsninger de har i bruk. Når det er sagt er det ikke noe som tyder på at Workplace blir berørt av dette, sier han.

Waterhouse advarer imidlertid mot å tro at tredjeparter ikke kan få tilgang til innholdet på Facebooks løsning for internkommunikasjon på jobben.

– Workplace åpner for å koble til eksterne tjenester og utvidelser, slik Facebook gjør. Det betinger selvsagt egne risikovurderubger, akkurat som når man kobler eksterne tjenester til andre interne tjenester, sier Waterhouse.

Misbruk av data

Skandalen som er under opprulling har utgangspunkt i at personlig brukerinformasjon fra omtrent 50 millioner brukere på det sosiale nettverket skal ha vært på avveie – uten at det var snakk om et datainnbrudd eller et hackerangrep.

Analyseselskapet Cambridge Analytica (CA), som har tette bånd til både Trump- og Brexit-kampanjen, hentet teknisk sett informasjonen de benyttet inn på lovlig hvis innenfor Facebooks retningslinjer. Informasjonen skal ha blitt brukt til å forutsi og påvirke velgernes valg, og analyser ble for eksempel solgt til Trumps valgkampstab.

Det var avisene New York Times og The Observer som denne uken avdekket informasjonsinnsamlingen. CA har benektet anklagene, men Facebook-grunnlegger Mark Zuckerberg har beklaget hendelsene.

Som følge av oppstyret, har emneknaggen #DeleteFacebook trendet i sosiale medier. En bølge av Facebook-brukere har slettet kontoene sine fordi de ikke føler at nettstedet har klart å beskytte brukervernet deres.

I en tidligere versjon av denne saken omtalte vi arbeidsgruppen i DNB da de fortsatt vurderte bruken av Workplace. De har nå nådd sin konklusjon, og saken er derfor oppdatert.