Index Vakbarát Hírportál

A távoktatás egy kész adatvédelmi rémálom

2020. április 16., csütörtök 16:50

A koronavírus-járvány az élet minden terén komoly kihívások elé állítja a társadalmat. A közösségi távolságtartás melléktermékeként a bevásárlástól a kapcsolattartásig az életünk egyre nagyobb része költözik az online térbe, ami új veszélyekkel is jár. Arról már írtunk, hogy az egyre gyakoribb home office különösen termékeny talaja a kibertámadásoknak, de az egyik hétről a másikra bevezetett távoktatás is rengeteg problémát hozott magával.

Amikor Orbán Viktor miniszterelnök március 13-án váratlanul bejelentette, hogy néhány nappal később minden általános és középiskolának távoktatásra kell átállnia, egy csapásra digitalizálódott az oktatás, amit a szakértők már régóta szorgalmaztak, de persze nem pont így képzelték el, hogy egyszer megvalósul.

A villámként becsapó távoktatás minden résztvevőt egy egész országra kiterjedő kísérlet kényszerű alanyává tett. Nem egy gondosan kiválasztott és alaposan előkészített eszközkészletet kellett hosszú tesztelés után élesben is bevetni, hanem az épp elérhető és szembejövő szolgáltatásokból volt kénytelen minden iskola, tanár összeeszkábálni egy virtuális oktatási platformot, ami ennek megfelelően meglehetősen recseg-ropog még. Ez az új helyzet a pedagógiai problémák, a módszertani felkészületlenség mellett adatvédelmi szempontból is kihívás elé állít minden érintettet: tanárt, diákot, szülőt.

A tanároknak volt elég gondjuk azzal, hogy minél gyorsabban működő, könnyen használható, ingyen elérhető eszközöket találjanak, jó eséllyel és érthető módon arra már nem feltétlenül maradt kapacitás, hogy arra is figyeljenek, hogy csak biztonságos szolgáltatások használatát írják elő a gyerekeknek, arra meg pláne nem, hogy a biztonságos használatukra is felkészítsék őket – vagy ne adj' isten saját magukat.

Arról nem is beszélve, hogy olyanok is sokan vannak, akik örülnének, ha az adatvédelem lenne a legnagyobb gondjuk a távoktatással kapcsolatban. Egyes becslések szerint a magyar diákok ötödéhez el sem jut a digitális távoktatás, mert nincs hozzá megfelelő eszközük, ami állami beavatkozás hiányában még tovább növelheti a már amúgy is jelentős egyenlőtlenségeket, és akár meg is sokszorozhatja a bukások arányát.

Sok veszély, kevés idő

Ha a kiskorúak netezni kezdenek, nyilván ők is ugyanúgy ki vannak téve a szokásos online veszélyeknek, például az adathalász próbálkozásoknak, mint bárki más, illetve az ezzel kapcsolatos tapasztalatlanságuk miatt még inkább.

Problémás alkalmazást erőltet az iskola? Veszélyben érzi a gyereke adatait?
Írja meg nekünk!

Az tévhit, hogy mivel a mai gyerekek már szinte okostelefonnal a kezükben születnek, nincs szükségük segítségre a digitális eszközök használatában. Maga a kütyük irányítása lehet, hogy készségszinten megy nekik, de éppen az adatvédelmi, biztonsági kockázatokkal, a netes csalásokkal vagy akár a félrevezető információk szűrésével, a forráskritika fontosságával egyáltalán nem biztos, hogy maguktól tisztában vannak. Plusz az internet kinyílásával a cyberbullying, azaz az online zaklatás esélye is megnő, akár idegenekkel, akár a saját társaikkal összetalálkozva a virtuális térben.

De ezeknél kevésbé nyilvánvaló digitális veszélyeket is hordoz a távoktatás. Például hogy a hirtelen beállt új helyzetben magukra hagyott tanárok jóhiszeműen olyan, egyébként praktikus szolgáltatások használatát kötik ki a diákoknak, amelyek begyűjthetik vagy máshová továbbíthatják a személyes adataikat, esetleg sebezhetővé teszik magát az eszközüket is.

Az ilyesmi sokszor már körültekintőbb beállítások használatával is kiküszöbölhető lenne, de most mindenkinek kisebb baja is nagyobb annál, hogy a netre lépő kiskorúak adataira vigyázzon – miközben ez lenne az a pillanat, amikor elő lehetne segíteni, hogy tudatos felhasználóvá váljanak. Csak ehhez mínusz egy világjárványra, és plusz jó pár hónapnyi vagy akár évnyi előkészítő munkára lett volna szükség.

Zoom: botrányokkal övezett sikersztori

Minderre jó esettanulmányt kínál a Zoom nevű videócsetplatform, amely a botcsinálta magyar távoktatásban is gyorsan nagy népszerűségre tett szert, ezért érdemes kicsit alaposabban is megnézni a példáját.

A Zoom azon kevés cég közé tartozik, amelyeket a járvány nem válságba taszított, hanem gazdasági értelemben még nyertek is rajta. A szolgáltatás napi aktív felhasználói száma márciusra 200 millióra ugrott, ami elképesztő mértékű, 2000 százalékos növekedés a decemberi 10 millióhoz képest.

Összehasonlításként, a rivális Skype szintén nagyot nőtt ebben a mutatóban, egyetlen hónap alatt 70 százalékot, de ezzel is csak napi 40 millió aktív felhasználójuk van. A Skype-ot előbb-utóbb feltehetően teljesen kiváltó Teams négy hónap alatt 110, ezen belül egyetlen hét alatt 37 százalékot növekedve már 44 millió napi aktív felhasználónál tart, de a két Microsoft-termék együtt se éri el a Zoom napi felhasználószámának felét. Nem csoda, hogy kiszivárgott videók szerint a Microsoft egyre nagyobb fenyegetést lát a Zoomban.

A Zoomot cégek, kormányzati intézmények és magánemberek mellett 20 ország több mint 90 ezer iskolája is használja. Előnyei közé tartozik, hogy könnyen és rugalmasan használható, illetve az ingyenes verziója is viszonylag nagy mozgásteret ad, pláne mióta a járvány miatt több országban fel is oldottak az iskoláknak bizonyos ingyenes korlátozásokat, több riválisukhoz hasonlóan.

Az elmúlt hetekben azonban sorra derültek ki újabb és újabb biztonsági hibák, adatvédelmi aggályok, megkérdőjelezhető gyakorlatok a szolgáltatásról, amelyekre biztonsági szakértők mellett például az FBI is felhívta a figyelmet. A fejlemények hatására el is kezdődött némi lemorzsolódás, New York-i iskoláktól a SpaceXen, a Google-ön és az amerikai kormányzati szerveken át a Magyar Ügyvédi Kamaráig több szervezet is megtiltotta vagy ellenjavalttá tette a Zoom használatát.

Na de mi a baj a Zoommal? A leglátványosabb probléma a zoombombing nevű jelenség, amelynek a lényege, hogy idegenek csatlakoznak egy védtelen beszélgetéshez, és elkezdik teleszemetelni pornóval vagy más oda nem illő tartalommal. A zoombombing egyébként nem teljesen új jelenség, az Apple vezeték nélküli fájlmegosztó szolgáltatását, az AirDropot például már évekkel ezelőtt is használták idegenek kibervillantásra, azaz arra, hogy a péniszükről küldjenek fotókat a közelben tartózkodó idegenek telefonjára.

A legtöbbet a zoombombingról lehetett hallani az elmúlt hetekben, pedig jó pár további adatvédelmi és biztonsági aggály is felmerült a Zoommal kapcsolatban:

Egyszer megjavulok én

A kritikák áradatára a Zoom is lépett, elismerték a hibákat, és ígéretet tettek az orvoslásukra. Bejelentették, hogy minden más fejlesztést félretesznek, és minden erőforrásukat a felmerült problémák megoldására fordítják, amihez külső szakértők segítségét is kérik, hibavadász programot indítanak, és felállítanak egy adatbiztonsági tanácsot.

Bizonyos hibákat, például a facebookos adattovábbítást már javították is, illetve szigorítottak az adatvédelmi szabályzatukon, hogy egyértelművé tegyék, hogy nem használnak felhasználói adatokat hirdetéscélzásra. Azt is megígérték, hogy többé nem fog kínai szerveren keresztülmenni olyan kommunikáció, amelynek egyik résztvevője sincs Kínában, a fizetős felhasználók pedig ki is választhatják, melyik országban található szervert akarnak használni.

A zoombombing kivédésére az ingyenes felhasználóknak is lehetővé tették a Várószoba nevű funkciót, amellyel a beszélgetés gazdája előszűrheti, kit enged be; illetve alapértertelmezetté tették, hogy a beszélgetések jelszóval legyenek védve, és ezt az ingyenes felhasználóknál, így az iskolák esetében, ezentúl ki se lehet kapcsolni.

A lépéseket a szakértők is üdvözölték. Szingapúrban pedig, ahol korábban megtiltották a tanároknak a Zoom használatát, néhány napja újra engedélyezték a szolgáltatást, bizonyos központi szigorítások bevezetése után:

Ez a megközelítés jelzi, hogy a problémák ellenére sem feltétlenül kell teljesen megválni az egyébként hasznos eszköznek bizonyuló Zoomtól, de a biztonságos használathoz nem árt valamiféle szervezettség és előkészítés.

Tippek távoktatásra (is)

A Zoom biztonságos használatánál tehát arra érdemes figyelni, hogy – ha nem olyan fiókot használunk, ahol most már megváltoztathatatlanul jelszót kell megadni a csoportos beszélgetésekhez – állítsunk be jelszót; kapcsoljuk be a Várószobát, kapcsoljuk ki a házigazda érkezése előtti becsatlakozás lehetőségét, és esetleg tiltsuk le a többi résztvevőnél a képernyőmegosztást és a fájlmegosztást, hacsak nincs ezekre szükség. És persze mindig telepítsük az elérhető frissítéseket, ahogy az minden más programnál is ajánlott.

Ha már általános ajánlások: a biztonságos netezésre vonatkozó legalapvetőbb tanácsok a gyerekek esetében is érvényesek.

Kisebbeknél jó alkalom lehet a mostani helyzet valamilyen szülői felügyeleti megoldás beállítására. A legtöbb szolgáltatásnál bizonyos életkor alatt úgyis csak szülői engedéllyel lehet regisztrálni, így a szülői közreműködés már adott. Ilyen szolgáltatás a Microsoft Családi csoportja vagy a Family Link a Google-től, de sok hasonló, részben ingyenes vagy fizetős app is található.

Hogy aztán ezeket egy élelmes gyerek mennyire tudja kicselezni, ha akarja, az más kérdés. Bár pusztán egy app amúgy sem oldja meg a problémát, még ennél is fontosabb, hogy a szülő elmagyarázza a gyereknek, milyen veszélyekre kell odafigyelnie a neten – már ha ő maga tudja.

Az iskolának joga van adatot kérni...

A diákok adatainak védelme jogi kérdéseket is felvet. Ezekről április elején a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is kiadott egy állásfoglalást [pdf] egy hozzájuk beérkező beadványra válaszul.

A hatósághoz arról érkezett kérdés, hogy adatvédelmi szempontból rendben van-e, hogy gyakorlati, például testnevelésórákon a tanár a feladatok teljesítésének igazolásához videófelvételt kér a diákoktól, amelyet aztán emailben vagy Messengeren el kell küldeniük, anélkül, hogy ehhez előzetes szülői hozzájárulást kérnének, vagy legalább tájékoztatást adnának az adatkezelésről.

A NAIH álláspontja szerint a diákok ilyen videói, fotói valóban személyes adatnak minősülnek az uniós adatvédelmi rendelet, a GDPR értelmében, ráadásul a kiskorúak személyes adatait fokozott védelem illeti. A tanár azonban – az adatokra vonatkozó titoktartási kötelezettség, illetve a vonatkozó etikai szabályok betartása mellett – jogszerűen kérheti akár videó feltöltését is. Ehhez előzetes hozzájárulásra sincs szükség, mivel ebben az esetben az adatkezelés jogalapja nem hozzájárulás, hanem közfeladat ellátása.

Az adatkezelő azonban ebben az esetben nem a tanár, hanem az iskola, amelynek a nevében eljár. Ebből következik, hogy az iskola feladata “az adatkezelésről megfelelő tájékoztatás nyújtása és az egyéb adatvédelmi követelményeknek való megfelelés biztosítása”.

A NAIH kiemeli azokat a főbb elveket a GDPR-ból, amelyeket az iskoláknak is figyelembe kell venniük a diákok adatainak kezelésekor:

A fentieket tekintetbe véve a NAIH szerint videók megosztására a fájl átküldözgetésénél alkalmasabb lehet, ha a diák vagy a szülő saját tárhelyre, nem nyilvános módon tölti fel a videót, amelynek csak a linkjét küldi el a tanárnak, amely vagy automatikusan lejár egy idő után, vagy az értékelést követően manuálisan törölhető. De a felvétel helyett az élő videócset is kíméletesebb a magánszférával a hatóság szerint.

...de vigyáznia is kell rá

Ha egy tanár a felvétellel bármilyen módon visszaél, például a közfeladat ellátásától eltérő célra használja, másokkal megosztja, közzéteszi, a kelleténél tovább tárolja, bűncselekményt követ el, illetve a NAIH is kiszabhat az iskolára közigazgatási bírságot. Úgyhogy nemcsak a diákok, de a saját érdekében is érdemes odafigyelnie, hogy bánik az adatokkal.

Az iskolának mint adatkezelőnek pedig részletes adatkezelési tájékoztatót kellene kidolgoznia, amely arra is kitér, hogy milyen digitális eszközöket kell alkalmazni, és ennek során milyen adatfeldolgozókat vesznek igénybe (ha például a Zoomon folyik egy óra, a Zoom számít az adatfeldolgozónak), illetve biztosítania kell az olyan GDPR által garantált jogokat, mint az adatok hozzáféréséhez vagy a törlésükhöz való jog.

Kérdés, hogy mennyire várható el akár az iskoláktól, akár a tanároktól, hogy a fentieknek meg tudjanak felelni ebben a helyzetben, amelybe váratlanul és felkészületlenül kényszerítették bele őket a járványügyi intézkedések. Nem tűnik reálisnak, hogy míg az iskolák menet közben, nagyrészt magukra hagyva próbálják kiépíteni a digitális távoktatás technikai és módszertani feltételeit, adatvédelmi tájékoztatók írására is maradjon kapacitásuk.

Pláne, hogy a helyzet nemcsak nekik új, de jogilag is tisztázatlan még. Erre a NAIH is felhívja a figyelmet, amikor az állásfoglalásában azt írja, “a digitális távoktatás kereteit és részletszabályait jelenleg jogszabály nem rendezi, ugyanakkor a koronavírus járvány miatt előidézett helyzet ténye és várhatóan hosszabb időtartama okán a közeljövőben [...] indokolttá válhat a jogalkotás e területen.”

Az iskoláknak az is feladatuk lenne, de annak a realitása is kérdéses, hogy jelen körülmények között az egyre idősödő pedagógustársadalom minden tagját megfelelően felkészítsék az adatvédelmi szempontok szem előtt tartására – vagy akár csak maguknak a digitális eszközöknek a megfelelő használatára.

(Borítókép: Egy pedagógus távoktatásban tanít 2020. március 23-án. Fotó: Komka Péter / MTI)

Rovatok