«Καρφώνει» την κυβέρνηση η ΕΠΕ για το σκάνδαλο Cisco: «Παραχωρήθηκαν δεδομένα ανήλικων μαθητών και των οικογενειών τους»

«Καρφώνει» την κυβέρνηση η ΕΠΕ για το σκάνδαλο Cisco: «Παραχωρήθηκαν δεδομένα ανήλικων μαθητών και των οικογενειών τους»

27 Μαρτίου, 2021 11 Από Καλλιόπη Σουφλή
Προβολές:454
Μοίρασέ το

«Με τη συγκεκριμένη σύμβαση το υπουργείο Παιδείας δίνει τη δυνατότητα σε μια ιδιωτική εταιρία να αντλήσει τέτοια δεδομένα από μια πολύ “δύσκολη” κατηγορία υποκειμένων, δηλαδή ανήλικα παιδιά και τις οικογένειές τους.

Και μάλιστα χωρίς να τους δίνεται δυνατότητα αίτησης διαγραφής τους όπως προβλέπεται βάσει GDPR, ούτε και καμία τέτοια υποχρέωση της εταιρίας ποτέ στο μέλλον μετά τη λήξη της σύμβασης».

 

 

 

 

Όταν έγραφα ΜΗΝ ΔΕΧΘΕΙΤΕ ΤΗΝ ΤΗΛΕΚΠΑΙΔΕΥΣΗ, ΓΙΑΤΙ ΠΑΙΖΟΝΤΑΙ ΒΡΩΜΙΚΑ ΠΑΙΧΝΙΔΙΑ ΣΕ ΒΑΡΟΣ ΤΩΝ ΜΑΘΗΤΩΝ ΚΑΙ ΤΩΝ ΟΙΚΟΓΕΝΕΙΩΝ ΤΟΥΣ, δεν γνώριζα για την ΑΠΑΤΗ ΤΩΝ ΕΒΡΑΙΩΝ ΜΗΤΣΟΤΑΚΗ ΚΑΙ ΚΕΡΑΜΕΩΣ.

Διαισθητικά όμως, κάτι δεν μου καθόταν καλά.

Μετά έμαθα για την σύμβαση με την Cisco…

Πάμε στοίχημα πως κι εκεί, εβραίοι βρίσκονται από πίσω;;;

Πριν είκοσι και πλέον χρόνια, συγκεντρώθηκαν 3.000.000 για το θρήσκευμα…

Ο Χριστόδουλος ήταν τότε αρχιεπίσκοπος.

Τότε, είχα την εφημερίδα μου ΑΤΤΙΚΑ ΝΕΑ, και είχα γράψει: ΠΟΥ ΔΟΘΗΚΑΝ ΤΑ ΤΡΙΑ ΕΚΑΤΟΜΜΥΡΙΑ ΤΩΝ ΥΠΟΓΡΑΦΩΝ;;;

Η ΙΣΤΟΡΙΑ, ΕΠΑΝΑΛΑΜΒΑΝΕΤΑΙ ΣΑΝ ΦΑΡΣΑ.

ΑΛΛΑ Ο ΝΕΟΕΛΛΗΝΑΣ, ΜΥΑΛΟ ΔΕΝ ΒΑΖΕΙ,ΟΣΑ ΚΑΙ ΝΑ ΠΑΘΕΙ.

ΜΗΝ ΣΥΝΕΧΙΖΕΤΕ ΝΑ “ΜΟΡΩΦΝΕΤΕ” ΤΑ ΠΑΙΔΙΑ ΣΑΣ ΜΕΣΑ ΑΠΟ ΤΗΝ ΤΗΛΕΚΠΑΙΔΕΥΣΗ.

ΕΙΝΑΙ ΠΑΓΙΔΑ.

ΑΡΝΗΘΕΙΤΕ ΤΗ.

ΕΙΣΤΕ ΦΑΚΕΛΩΜΕΝΟΙ.

 

Καλλιόπη Σουφλή

 

Υ.Γ. Μην περιμένετε να επέμβει ούτε εισαγγελέας, ούτε … “Ανεξάρτητες Αρχές”…

ΕΙΝΑΙ ΟΛΟΙ ΤΟΥΣ, ΣΤΗΝ ΙΔΙΑ ΑΝΘΕΛΛΗΝΙΚΗ ΣΥΜΜΟΡΙΑ.

 

Σε σκάνδαλο μεγατόνων φαίνεται πως εξελίσσεται η υπόθεση της αγοράς της πλατφόρμας Webex, καθώς η κυβέρνηση έδωσε τα δεδομένα 1,5 εκατομμυρίων μαθητών και των οικογενειών τους στην εταιρεία Cisco, την οποία την πριμοδότησε και με 2 εκατομμύρια ευρώ.

Όπως σας είχε αποκαλύψει το pronews.gr αυτά τα στοιχεία φαίνονταν από την σύμβαση που υπογράφηκε και είχε δημοσιευθεί πριν από λίγες ημέρες.

 

Ακολούθως ακολούθησε η διάψευση από πλευράς κυβέρνησης, η οποία όμως δεν έδωσε πειστικές απαντήσεις, κατηγορώντας τον ΣΥΡΙΖΑ για «ψέματα», ενώ υποστήριξε πως «υπάρχει ειδική ρήτρα που απαγορεύει στην εταιρία να κάνει χρήση προσωπικών δεδομένων εκτός της σύμβασης ενώ η αρμόδια αρχή έχει εξετάσει το πλαίσιο της σύμβασης και έχει κρίνει σύννομη τη διαδικασία της τηλεκπαίδευσης», ομολογώντας ουσιαστικά πως παραχωρήθηκαν τα προσωπικά δεδομένα στην εταιρεία, λέγοντας όμως πως υπάρχει μία ρήτρα που απαγορεύει από την εταιρεία να τα χρησιμοποιήσει. 

Εδώ να τονίσουμε μία λεπτομέρεια, στην σύμβαση που έχει υπογραφεί αναγράφεται πως η εταιρεία μπορεί να διατηρήσει τα δεδομένα των μαθητών έως και 7 χρόνια μετά το τέλος της χρήσης της πλατφόρμας. Ενώ εκτός από αυτό το υπουργείο Παιδείας πήρε μόνο του την πρωτοβουλία, χωρίς να ρωτήσει κανέναν να πουλήσει προσωπικά δεδομένα παιδιών σε μία εταιρεία.

Από την πλευρά της η Ένωση Πληροφορικών Ελλάδα (ΕΠΕ) υποστηρίζει πως δεν έχει υπάρξει καμία απάντηση στις αιτιάσεις της από τους συναρμόδιους φορείς και τις ανεξάρτητες Αρχές για τη σύμβαση της Cisco με το υπουργείο Παιδείας.

H ΕΠΕ τονίζει πως «είναι πραγματικά δύσκολο να κατανοήσει κάποιος τον λόγο που το υπουργείο Παιδείας αποφάσισε την παραχώρηση εξαιρετικά πολύτιμων δεδομένων δωρεάν σε μια ιδιωτική εταιρία, χωρίς μάλιστα να ενημερώσει κανέναν.»

Όπως σημειώνει η Ένωση Πληροφορικών Ελλάδας, «μια ολόκληρη βάση δεδομένων με τα προφίλ όλων των μαθητών προσχολικής και σχολικής ηλικίας στην Ελλάδα έχει αξία πραγματικά ανεκτίμητη για ένα σωρό εταιρίες.

Ακόμα και με ένα πολύ συντηρητικό νούμερο της τάξης των $20 ανά άτομο, πρόκειται για δεκάδες ή και εκατοντάδες εκατομμύρια δολαρίων».

Και καταλήγει: «Με τη συγκεκριμένη σύμβαση το υπουργείο Παιδείας δίνει τη δυνατότητα σε μια ιδιωτική εταιρία να αντλήσει τέτοια δεδομένα από μια πολύ “δύσκολη” κατηγορία υποκειμένων, δηλαδή ανήλικα παιδιά και τις οικογένειές τους.

Και μάλιστα χωρίς να τους δίνεται δυνατότητα αίτησης διαγραφής τους όπως προβλέπεται βάσει GDPR, ούτε και καμία τέτοια υποχρέωση της εταιρίας ποτέ στο μέλλον μετά τη λήξη της σύμβασης».

Αναλυτικά η ανακοίνωση:

«Εδώ και μερικές ημέρες έχουν δημοσιοποιηθεί οι λεπτομέρειες της σύμβασης μεταξύ υπουργείου Παιδείας και της εταιρίας Cisco, σχετικά με την παροχή υπηρεσιών τηλεδιάσκεψης για την κάλυψη των αναγκών τηλε-εκπαίδευσης εδώ και ένα χρόνο λόγω της πανδημίας.

Η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) έχει επισημάνει πολλές φορές στο παρελθόν ότι η προχειρότητα της αντιμετώπισης των έργων στις Τεχνολογίες Πληροφορικής και Επικοινωνιών (ΤΠΕ) αποτελεί, κάκιστη πρακτική, αλλά και άκρως επικίνδυνη συμπεριφορά εκ μέρους των αρμόδιων φορέων.

Πέρα από τις τοποθετήσεις των συνδικαλιστικών οργάνων των εκπαιδευτικών και ορισμένα δημοσιεύματα δεν έχει υπάρξει κάποια αντίδραση από τους συναρμόδιους φορείς και τις ανεξάρτητες Αρχές.

Για την υπόθεση είναι πλέον γνωστά και δημοσιευμένα  τα βασικά στοιχεία της.

Ως ΕΠΕ επισημαίνουμε τρεις διαστάσεις του ζητήματος που χρειάζεται να διερευνηθούν ως προς την έκταση της ζημιάς που έχει προκληθεί:

1. Οικονομικά στοιχεία: Μαθαίνουμε ότι η σύμβαση που δημοσιεύτηκε αποτελεί στην πραγματικότητα μία ακόμα από τις πολλές τροποποιήσεις που έχουν γίνει επί της αρχικής τον τελευταίο 1,5 περίπου χρόνο. Το πραγματικό κόστος ανέρχεται σε πάνω από δύο εκατομμύρια ευρώ, παρότι το υπουργείο Παιδείας επέμενε μέχρι πρόσφατα ότι η παραχώρηση της υπηρεσίας (Webex) έχει γίνει δωρεάν από την εταιρία.

Σύμφωνα με το άρθρο 2 του Ν.3861/2010, είναι υποχρεωτική η ανάρτηση στο διαδίκτυο πράξεων αποδοχής δωρεών από το Δημόσιο, καθώς φυσικά και συμβάσεων με συγκεκριμένο κόστος, τόσο σε προκηρύξεις-διαγωνισμούς όσο και σε απευθείας αναθέσεις.

Τίποτα από αυτά δεν έχει συμβεί στη συγκεκριμένη περίπτωση.

2. Προσωπικά δεδομένα: Η υλοποίηση υπηρεσίας τηλε-εκπαίδευσης στα σχολεία αποτελεί εξ’ ορισμού ευαίσθητο και ιδιαίτερα απαιτητικό έργο ΤΠΕ.

Από την αρχή της πανδημίας ως ΕΠΕ έχουμε δηλώσει έτοιμοι να συνεισφέρουμε στη σωστή σχεδίαση και υλοποίηση αυτού του σημαντικού έργου υποδομής, με σκοπό να παραμείνει διαθέσιμο και μετά την πανδημία.

Στον τομέα των προσωπικών δεδομένων, όμως, η προχειρότητα δεν οδηγεί απλά σε οικονομικές επιπτώσεις, αλλά και σε παραβίαση θεμελιωδών δικαιωμάτων και ελευθεριών των μελών της εκπαιδευτικής κοινότητας, συμπεριλαμβανομένων και των ανήλικων μαθητών.

Το νομοθετικό πλαίσιο που θέτει η ευρωπαϊκή οδηγία GDPR, που έχει ενσωματωθεί στο εθνικό Δίκαιο, είναι σαφέστατο και εξαιρετικά αυστηρό ως προς τις ποινές παραβίασής του. Στη σύμβαση του υπουργείου Παιδείας για το Webex, ειδικότερα στο άρθρο 8, έχουν παραβιαστεί βασικές αρχές και προβλέψεις της σχετικής νομοθεσίας. Ενδεικτικά αναφέρουμε:

Υπάρχει υποχρέωση ρητής άδειας (opt-in) του υποκειμένου προς τρίτους όταν ζητείται η παραχώρηση και η επεξεργασία προσωπικών δεδομένων.

Η άδεια αυτή δεν επιτρέπεται να δοθεί από άλλο μέρος, π.χ. από το υπουργείο Παιδείας ή από εκπαιδευτικό προσωπικό εκ μέρους των κηδεμόνων των μαθητών, και μάλιστα χωρίς ρητή ενημέρωσή τους.

Στη συγκεκριμένη περίπτωση το υπουργείο Παιδείας φαίνεται να παραχωρεί αυτή την άδεια εκ μέρους των μαθητών και των κηδεμόνων τους, και μάλιστα χωρίς καμία σχετική ενημέρωσή τους.

Data Protection Impact Assessment (DPIA)είναι η μελέτη εκτίμησης αντικτύπου που συντάσσεται σε ορισμένες περιπτώσεις, προληπτικά και με σκοπό την καθοδήγηση των διαδικασιών GDPR, όταν τα προσωπικά δεδομένα αφορούν μεγάλες ομάδες πληθυσμού ή είναι ιδιαίτερα ευαίσθητα (π.χ. ιατρικά) ή αφορούν ανηλίκους. Στη συγκεκριμένη περίπτωση όμως η μελέτη εκτίμησης αντικτύπου συντάχτηκε εκ’ των υστέρων και ενδεχομένως χωρίς οι συντάκτες της (Εργαστήριο Νομική Πληροφορικής, Παν. Αθηνών) να γνωρίζουν το περιεχόμενο της σύμβασης.

Σύμφωνα με την μελέτη εκτίμηση αντικτύπου (σελίδες 47-48) ο κίνδυνος παράνομης πρόσβασης στα προσωπικά δεδομένα που συλλέγονται κατά την τηλεκπαίδευση που τηρούνται στις υποδομές της CISCO από

1) Mη εξουσιοδοτημένο προσωπικό της CISCO

2) Yπεργολάβοι Επεξεργασίας που η CISCO έχει διορίσει

3) Κακόβουλοι «εισβολείς» (hackers/crackers) θεωρείται “περιορισμένος” (επιπέδου 2 με μέγιστο επίπεδο το

4) με δεδομένο ότι “Δεν τηρούνται προσωπικά δεδομένα μαθητών παρά μόνο στην εξαιρετική περίπτωση που αυτοί χρησιμοποιούν -παρά τις αντίθετες συστάσεις του ΥΠΑΙΘ- την πλατφόρμα τηλεκπαίδευσης μέσω της εφαρμογής της CISCO και μόνον εφόσον καταχωρίσουν σε αυτή το ονοματεπώνυμο και την πραγματική διεύθυνση email τους” .

 Η υπόθεση όμως αυτή είναι η εσφαλμένη η καταχώρηση των πραγματικών στοιχείων των μαθητών είναι ο κανόνας και όχι η εξαίρεση καθώς οι μαθητές οφείλουν να δηλώνουν το ονοματεπώνυμό τους α)για την καταγραφή των απουσιών και β)για την αποφυγή εισόδου κακόβουλων χρηστών με ψευδώνυμα στις τάξεις.

Συνεπώς η εκτίμηση του κινδύνου όσον αφορά την παράνομη πρόσβαση στα προσωπικά δεδομένα των μαθητών είναι εσφαλμένη αφού βασίζεται σε λάθος υπόθεση.

3. Κοινωνική-ηθική διάσταση: Είναι πραγματικά δύσκολο να κατανοήσει κάποιος το λόγο που το υπουργείο Παιδείας αποφάσισε την παραχώρηση εξαιρετικά πολύτιμων δεδομένων δωρεάν σε μια ιδιωτική εταιρία, χωρίς μάλιστα να ενημερώσει κανέναν. Πολύ περισσότερο, όταν τα δεδομένα αυτά αφορούν παιδιά προσχολικής και σχολικής ηλικίας, καθώς και των γονέων τους, δηλαδή περίπου 1,5 εκατομμυρίων πολιτών.

Αναφέρεται το επιχείρημα ότι πρόκειται για ανωνυμοποιημένα μετα-δεδομένα, δηλαδή πληροφορίες που υποτίθεται δεν ταυτοποιούν συγκεκριμένα πρόσωπα.

Πέρα του ότι αυτό βάσει της σύμβασης δεν διασφαλίζεται στην πράξη με κανένα μηχανισμό επίβλεψης βάσει GDPR (βλ. παραπάνω), αξίζει να αναφερθεί το εξής παράδειγμα:

Η εφαρμογή Webex βλέπει και καταγράφει την IP κάθε συμμετέχοντα.

Αυτό γίνεται υποχρεωτικά για λόγους ταυτοποίησης του δικτύου, π.χ. αν είναι στο σχολικό δίκτυο.

Ταυτόχρονα η IP καταγράφεται και από third-parties, με cookies ή κατά την επίσκεψη σε sites (όχι μόνο του συγκεκριμένου ενδιαφερόμενου).

Αυτά τα δύο σύνολα κάποια στιγμή είναι διαθέσιμα ως ανωνυμοποιημένα δεδομένα τηλεμετρίας, καθώς η IP δεν θεωρείται “προσωπικό” δεδομένο και η αποδοχή cookies το επιτρέπει ακόμα και εντός του GDPR.

Όταν λοιπόν αυτά τα δεδομένα συνδυαστούν, τα δεδομένα από το Webex “ερμηνεύουν” πολλά άλλα δεδομένα traffic, ή και το αντίστροφο.

Με παρόμοιο τρόπο μπορεί κάποιος να ανακαλύψει για συγκεκριμένη IP σε συγκεκριμένη ώρα, δηλαδή για κάποιο μαθητή/οικογένεια, την περιοχή διαμονής, την οικογενειακή κατάσταση (αν έχει αδέλφια στην ίδια ηλικία), την οικονομική κατάσταση (αν συνδέονται με ένα Η/Υ και με καλή/κακή σύνδεση ISP), κτλ.

Τα παραπάνω οδηγούν σε συγκεκριμένα προφίλ συμπεριφοράς, όχι μόνο για λόγους μάρκετινγκ όπως νομίζει ο περισσότερος κόσμος. Για παράδειγμα, οι τράπεζες τα χρησιμοποιούν για να κάνουν εκτίμηση πιστοληπτικής ικανότητας υποψήφιου πελάτη, πολλές φορές πριν καν έρθουν σε επαφή μαζί του. Το ίδιο και οι ασφαλιστικές εταιρίες, π.χ. Υγείας ή οχημάτων, που κάνουν εκτίμηση κινδύνου και συσχέτιση με άλλα δημογραφικά δεδομένα, βάσει τόπου διαμονής, ηλικίας, οικογενειακής κατάστασης, κτλ.

Η κοστολόγηση των παραπάνω δεδομένων είναι δύσκολη, καθώς εξαρτάται κυρίως από τη λεπτομέρεια και τη μαζικότητα. Ένα τέτοιο προφίλ από μόνο του δεν σημαίνει σχεδόν τίποτα και, κατά κανόνα, καμία ιδιωτική εταιρία δεν ενδιαφέρεται για το όνομα ή τη διεύθυνση κατοικίας ενός μεμονωμένου πολίτη. Όμως, μια ολόκληρη βάση δεδομένων με τα προφίλ όλων των μαθητών προσχολικής και σχολικής ηλικίας στην Ελλάδα έχει αξία πραγματικά ανεκτίμητη για ένα σωρό εταιρίες. Ακόμα και με ένα πολύ συντηρητικό νούμερο της τάξης των $20 ανά άτομο, πρόκειται για δεκάδες ή και εκατοντάδες εκατομμύρια $.

Με τη συγκεκριμένη σύμβαση το υπουργείο Παιδείας δίνει τη δυνατότητα σε μια ιδιωτική εταιρία να αντλήσει τέτοια δεδομένα από μια πολύ “δύσκολη” κατηγορία υποκειμένων, δηλαδή ανήλικα παιδιά και τις οικογένειές τους. Και μάλιστα χωρίς να τους δίνεται δυνατότητα αίτησης διαγραφής τους όπως προβλέπεται βάσει GDPR, ούτε και καμία τέτοια υποχρέωση της εταιρίας ποτέ στο μέλλον μετά τη λήξη της σύμβασης (βλ. άρθρο 8).

Mε βάση τα όσα γίνονται γνωστά σήμερα, το υπουργείο όχι μόνο δεν ζήτησε την άδεια γονέων για να προβεί σε αυτή την παραχώρηση, αλλά το έκανε χωρίς αξιόπιστη μελέτη εκτίμηση αντικτύπου, χωρίς διαφάνεια και χωρίς την παραμικρή αποζημίωση εκ μέρους της εταιρίας.

Eπισημαίνουμε ως ΕΠΕ την υποχρέωση της Πολιτείας να τηρεί τους Νόμους που η ίδια θεσμοθετεί και να μην απαξιώνει και παραβιάζει τα δικαιώματα των πολιτών τους οποίους έχει υποχρέωση να προστατεύει και υπηρετεί.

Αναμένουμε την άμεση, σοβαρή και καθοριστική παρέμβαση των συναρμόδιων φορέων στην υπόθεση και είμαστε πρόθυμοι να συνεισφέρουμε σε αυτό».

 

Πηγή

Προβολές : 454


Μοίρασέ το:



Ετικέτες: , , , , , ,

ΕΠΙΣΗΜΑΝΣΗ


Ορισμένα αναρτώμενα από το διαδίκτυο κείμενα ή εικόνες, θεωρούμε ότι είναι δημόσια. Αν υπάρχουν δικαιώματα συγγραφέων, παρακαλούμε ενημερώστε μας, για να τα αφαιρέσουμε. Επίσης, σημειώνεται ότι οι απόψεις του ιστολογίου, μπορεί να μην συμπίπτουν με τα περιεχόμενα του άρθρου. Για τα άρθρα που δημοσιεύονται εδώ, ουδεμία ευθύνη εκ του νόμου φέρουμε, καθώς απηχούν αποκλειστικά τις απόψεις των συντακτών τους και δεν δεσμεύουν καθ’ οιοδνήποτε τρόπο, το ιστολόγιο. Ο διαχειριστής του ιστολογίου, δεν ευθύνεται για τα σχόλια και τους δεσμούς που περιλαμβάνει. Τονίζουμε ότι υφίσταται μετριασμός των σχολίων και παρακαλούμε, πριν δημοσιεύσετε το σχόλιό σας, να έχετε υπόψη σας τα ακόλουθα:
  • Κάθε γνώμη είναι σεβαστή, αρκεί να αποφεύγονται ύβρεις, ειρωνείες, ασυνάρτητος λόγος και προσβλητικοί χαρακτηρισμοί, πολύ περισσότερο σε προσωπικό επίπεδο, εναντίον των συνομιλητών ή και των συγγραφέων, με υποτιμητικές προσφωνήσεις, ύβρεις, υπονοούμενα, απειλές ή χυδαιολογίες.>
  • Μην δημοσιεύετε άσχετα με το θέμα σχόλια.
  • Ο κάθε σχολιαστής, οφείλει να διατηρεί ένα μόνον όνομα ή ψευδώνυμο, το οποίο αποτελεί και την ταυτότητά του σε κάθε συζήτηση.
  • Με βάση τα παραπάνω, η διαχείριση, διατηρεί το δικαίωμα μη δημοσίευσης σχολίων, χωρίς καμία άλλη προειδοποίηση.
  • Επιπλέον σας τονίζουμε, ότι το ιστολόγιο, λειτουργεί σε εθελοντική βάση και ως εκ τούτου, τα σχόλια θα αναρτώνται μόλις αυτό καταστεί δυνατόν.

Διαβάστε ακόμα