Σε ανακοίνωση-κόλαφο κατά της επιλογής του υπουργείου Παιδείας να συνάψει σύμβαση με την εταιρεία Cisco προέβη η Ένωση Πληροφορικών Ελλάδας. H ΕΠΕ τονίζει πως «είναι πραγματικά δύσκολο να κατανοήσει κάποιος τον λόγο που το υπουργείο Παιδείας αποφάσισε την παραχώρηση εξαιρετικά πολύτιμων δεδομένων δωρεάν σε μια ιδιωτική εταιρία, χωρίς μάλιστα να ενημερώσει κανέναν.»
Όπως επισημαίνει η ΕΠΕ, «μια ολόκληρη βάση δεδομένων με τα προφίλ όλων των μαθητών προσχολικής και σχολικής ηλικίας στην Ελλάδα έχει αξία πραγματικά ανεκτίμητη για ένα σωρό εταιρίες. Ακόμα και με ένα πολύ συντηρητικό νούμερο της τάξης των $20 ανά άτομο, πρόκειται για δεκάδες ή και εκατοντάδες εκατομμύρια δολαρίων». Και καταλήγει: «Με τη συγκεκριμένη σύμβαση το υπουργείο Παιδείας δίνει τη δυνατότητα σε μια ιδιωτική εταιρία να αντλήσει τέτοια δεδομένα από μια πολύ “δύσκολη” κατηγορία υποκειμένων, δηλαδή ανήλικα παιδιά και τις οικογένειές τους. Και μάλιστα χωρίς να τους δίνεται δυνατότητα αίτησης διαγραφής τους όπως προβλέπεται βάσει GDPR, ούτε και καμία τέτοια υποχρέωση της εταιρίας ποτέ στο μέλλον μετά τη λήξη της σύμβασης».
Ακολουθεί ολόκληρη η ανακοίνωση της ΕΠΕ
Εδώ και μερικές ημέρες έχουν δημοσιοποιηθεί οι λεπτομέρειες της σύμβασης μεταξύ υπουργείου Παιδείας και της εταιρίας Cisco, σχετικά με την παροχή υπηρεσιών τηλεδιάσκεψης για την κάλυψη των αναγκών τηλε-εκπαίδευσης εδώ και ένα χρόνο λόγω της πανδημίας.
Η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) έχει επισημάνει πολλές φορές στο παρελθόν ότι η προχειρότητα της αντιμετώπισης των έργων στις Τεχνολογίες Πληροφορικής και Επικοινωνιών (ΤΠΕ) αποτελεί, κάκιστη πρακτική, αλλά και άκρως επικίνδυνη συμπεριφορά εκ μέρους των αρμόδιων φορέων.
Πέρα από τις τοποθετήσεις των συνδικαλιστικών οργάνων των εκπαιδευτικών και ορισμένα δημοσιεύματα δεν έχει υπάρξει κάποια αντίδραση από τους συναρμόδιους φορείς και τις ανεξάρτητες Αρχές. Για την υπόθεση είναι πλέον γνωστά και δημοσιευμένα1,2,3 τα βασικά στοιχεία της. Ως ΕΠΕ επισημαίνουμε τρεις διαστάσεις του ζητήματος που χρειάζεται να διερευνηθούν ως προς την έκταση της ζημιάς που έχει προκληθεί:
1. Οικονομικά στοιχεία: Μαθαίνουμε ότι η σύμβαση που δημοσιεύτηκε αποτελεί στην πραγματικότητα μία ακόμα από τις πολλές τροποποιήσεις που έχουν γίνει επί της αρχικής τον τελευταίο 1,5 περίπου χρόνο. Το πραγματικό κόστος ανέρχεται σε πάνω από δύο εκατομμύρια ευρώ, παρότι το υπουργείο Παιδείας επέμενε μέχρι πρόσφατα ότι η παραχώρηση της υπηρεσίας (Webex) έχει γίνει δωρεάν από την εταιρία. Σύμφωνα με το άρθρο 2 του Ν.3861/2010, είναι υποχρεωτική η ανάρτηση στο διαδίκτυο πράξεων αποδοχής δωρεών από το Δημόσιο, καθώς φυσικά και συμβάσεων με συγκεκριμένο κόστος, τόσο σε προκηρύξεις-διαγωνισμούς όσο και σε απευθείας αναθέσεις. Τίποτα από αυτά δεν έχει συμβεί στη συγκεκριμένη περίπτωση.
2. Προσωπικά δεδομένα: Η υλοποίηση υπηρεσίας τηλε-εκπαίδευσης στα σχολεία αποτελεί εξ’ ορισμού ευαίσθητο και ιδιαίτερα απαιτητικό έργο ΤΠΕ. Από την αρχή της πανδημίας ως ΕΠΕ έχουμε δηλώσει4 έτοιμοι να συνεισφέρουμε στη σωστή σχεδίαση και υλοποίηση αυτού του σημαντικού έργου υποδομής, με σκοπό να παραμείνει διαθέσιμο και μετά την πανδημία. Στον τομέα των προσωπικών δεδομένων, όμως, η προχειρότητα δεν οδηγεί απλά σε οικονομικές επιπτώσεις, αλλά και σε παραβίαση θεμελιωδών δικαιωμάτων και ελευθεριών των μελών της εκπαιδευτικής κοινότητας, συμπεριλαμβανομένων και των ανήλικων μαθητών.
Το νομοθετικό πλαίσιο που θέτει η ευρωπαϊκή οδηγία GDPR, που έχει ενσωματωθεί στο εθνικό Δίκαιο, είναι σαφέστατο και εξαιρετικά αυστηρό ως προς τις ποινές παραβίασής του. Στη σύμβαση του υπουργείου Παιδείας για το Webex, ειδικότερα στο άρθρο 8, έχουν παραβιαστεί βασικές αρχές και προβλέψεις της σχετικής νομοθεσίας. Ενδεικτικά αναφέρουμε:
Υπάρχει υποχρέωση ρητής άδειας (opt-in) του υποκειμένου προς τρίτους όταν ζητείται η παραχώρηση και η επεξεργασία προσωπικών δεδομένων. Η άδεια αυτή δεν επιτρέπεται να δοθεί από άλλο μέρος, π.χ. από το υπουργείο Παιδείας ή από εκπαιδευτικό προσωπικό εκ μέρους των κηδεμόνων των μαθητών, και μάλιστα χωρίς ρητή ενημέρωσή τους. Στη συγκεκριμένη περίπτωση το υπουργείο Παιδείας φαίνεται να παραχωρεί αυτή την άδεια εκ μέρους των μαθητών και των κηδεμόνων τους, και μάλιστα χωρίς καμία σχετική ενημέρωσή τους.
Data Protection Impact Assessment (DPIA)5 είναι η μελέτη εκτίμησης αντικτύπου που συντάσσεται σε ορισμένες περιπτώσεις, προληπτικά και με σκοπό την καθοδήγηση των διαδικασιών GDPR, όταν τα προσωπικά δεδομένα αφορούν μεγάλες ομάδες πληθυσμού ή είναι ιδιαίτερα ευαίσθητα (π.χ. ιατρικά) ή αφορούν ανηλίκους. Στη συγκεκριμένη περίπτωση όμως η μελέτη εκτίμησης αντικτύπου συντάχτηκε εκ’ των υστέρων6 και ενδεχομένως χωρίς οι συντάκτες της (Εργαστήριο Νομική Πληροφορικής, Παν. Αθηνών) να γνωρίζουν το περιεχόμενο της σύμβασης.
Σύμφωνα με την μελέτη εκτίμηση αντικτύπου (σελίδες 47-48) ο κίνδυνος παράνομης πρόσβασης στα προσωπικά δεδομένα που συλλέγονται κατά την τηλεκπαίδευση που τηρούνται στις υποδομές της CISCO από 1) Mη εξουσιοδοτημένο προσωπικό της CISCO 2) Yπεργολάβοι Επεξεργασίας που η CISCO έχει διορίσει 3) Κακόβουλοι «εισβολείς» (hackers/crackers) θεωρείται “περιορισμένος” (επιπέδου 2 με μέγιστο επίπεδο το 4) με δεδομένο ότι “Δεν τηρούνται προσωπικά δεδομένα μαθητών παρά μόνο στην εξαιρετική περίπτωση που αυτοί χρησιμοποιούν -παρά τις αντίθετες συστάσεις του ΥΠΑΙΘ- την πλατφόρμα τηλεκπαίδευσης μέσω της εφαρμογής της CISCO και μόνον εφόσον καταχωρίσουν σε αυτή το ονοματεπώνυμο και την πραγματική διεύθυνση email τους” . Η υπόθεση όμως αυτή είναι η εσφαλμένη η καταχώρηση των πραγματικών στοιχείων των μαθητών είναι ο κανόνας και όχι η εξαίρεση καθώς οι μαθητές οφείλουν να δηλώνουν το ονοματεπώνυμό τους α)για την καταγραφή των απουσιών και β)για την αποφυγή εισόδου κακόβουλων χρηστών με ψευδώνυμα στις τάξεις. Συνεπώς η εκτίμηση του κινδύνου όσον αφορά την παράνομη πρόσβασης στα προσωπικά δεδομένα των μαθητών είναι εσφαλμένη αφού βασίζεται σε λάθος υπόθεση.
3. Κοινωνική-ηθική διάσταση: Είναι πραγματικά δύσκολο να κατανοήσει κάποιος το λόγο που το υπουργείο Παιδείας αποφάσισε την παραχώρηση εξαιρετικά πολύτιμων δεδομένων δωρεάν σε μια ιδιωτική εταιρία, χωρίς μάλιστα να ενημερώσει κανέναν. Πολύ περισσότερο, όταν τα δεδομένα αυτά αφορούν παιδιά προσχολικής και σχολικής ηλικίας, καθώς και των γονέων τους, δηλαδή περίπου 1,5 εκατομμυρίων πολιτών.
Αναφέρεται το επιχείρημα ότι πρόκειται για ανωνυμοποιημένα μετα-δεδομένα, δηλαδή πληροφορίες που υποτίθεται δεν ταυτοποιούν συγκεκριμένα πρόσωπα. Πέρα του ότι αυτό βάσει της σύμβασης δεν διασφαλίζεται στην πράξη με κανένα μηχανισμό επίβλεψης βάσει GDPR (βλ. παραπάνω), αξίζει να αναφερθεί το εξής παράδειγμα:
Η εφαρμογή Webex βλέπει και καταγράφει την IP κάθε συμμετέχοντα. Αυτό γίνεται υποχρεωτικά για λόγους ταυτοποίησης του δικτύου, π.χ. αν είναι στο σχολικό δίκτυο. Ταυτόχρονα η IP καταγράφεται και από third-parties, με cookies ή κατά την επίσκεψη σε sites (όχι μόνο του συγκεκριμένου ενδιαφερόμενου).
Αυτά τα δύο σύνολα κάποια στιγμή είναι διαθέσιμα ως ανωνυμοποιημένα δεδομένα τηλεμετρίας, καθώς η IP δεν θεωρείται “προσωπικό” δεδομένο και η αποδοχή cookies το επιτρέπει ακόμα και εντός του GDPR. Όταν λοιπόν αυτά τα δεδομένα συνδυαστούν, τα δεδομένα από το Webex “ερμηνεύουν” πολλά άλλα δεδομένα traffic, ή και το αντίστροφο.
Με παρόμοιο τρόπο μπορεί κάποιος να ανακαλύψει για συγκεκριμένη IP σε συγκεκριμένη ώρα, δηλαδή για κάποιο μαθητή/οικογένεια, την περιοχή διαμονής, την οικογενειακή κατάσταση (αν έχει αδέλφια στην ίδια ηλικία), την οικονομική κατάσταση (αν συνδέονται με ένα Η/Υ και με καλή/κακή σύνδεση ISP), κτλ.
Τα παραπάνω οδηγούν σε συγκεκριμένα προφίλ συμπεριφοράς, όχι μόνο για λόγους μάρκετινγκ όπως νομίζει ο περισσότερος κόσμος. Για παράδειγμα, οι τράπεζες τα χρησιμοποιούν για να κάνουν εκτίμηση πιστοληπτικής ικανότητας υποψήφιου πελάτη, πολλές φορές πριν καν έρθουν σε επαφή μαζί του. Το ίδιο και οι ασφαλιστικές εταιρίες, π.χ. Υγείας ή οχημάτων, που κάνουν εκτίμηση κινδύνου και συσχέτιση με άλλα δημογραφικά δεδομένα, βάσει τόπου διαμονής, ηλικίας, οικογενειακής κατάστασης, κτλ.
Η κοστολόγηση των παραπάνω δεδομένων είναι δύσκολη, καθώς εξαρτάται κυρίως από τη λεπτομέρεια και τη μαζικότητα. Ένα τέτοιο προφίλ από μόνο του δεν σημαίνει σχεδόν τίποτα και, κατά κανόνα, καμία ιδιωτική εταιρία δεν ενδιαφέρεται για το όνομα ή τη διεύθυνση κατοικίας ενός μεμονωμένου πολίτη. Όμως, μια ολόκληρη βάση δεδομένων με τα προφίλ όλων των μαθητών προσχολικής και σχολικής ηλικίας στην Ελλάδα έχει αξία πραγματικά ανεκτίμητη για ένα σωρό εταιρίες. Ακόμα και με ένα πολύ συντηρητικό νούμερο της τάξης των $20 ανά άτομο, πρόκειται για δεκάδες ή και εκατοντάδες εκατομμύρια $. Με τη συγκεκριμένη σύμβαση το υπουργείο Παιδείας δίνει τη δυνατότητα σε μια ιδιωτική εταιρία να αντλήσει τέτοια δεδομένα από μια πολύ “δύσκολη” κατηγορία υποκειμένων, δηλαδή ανήλικα παιδιά και τις οικογένειές τους. Και μάλιστα χωρίς να τους δίνεται δυνατότητα αίτησης διαγραφής τους όπως προβλέπεται βάσει GDPR, ούτε και καμία τέτοια υποχρέωση της εταιρίας ποτέ στο μέλλον μετά τη λήξη της σύμβασης (βλ. άρθρο 8).
Mε βάση τα όσα γίνονται γνωστά σήμερα, το υπουργείο όχι μόνο δεν ζήτησε την άδεια γονέων για να προβεί σε αυτή την παραχώρηση, αλλά το έκανε χωρίς αξιόπιστη μελέτη εκτίμηση αντικτύπου, χωρίς διαφάνεια και χωρίς την παραμικρή αποζημίωση εκ μέρους της εταιρίας.
Eπισημαίνουμε ως ΕΠΕ την υποχρέωση της Πολιτείας να τηρεί τους Νόμους που η ίδια θεσμοθετεί και να μην απαξιώνει και παραβιάζει τα δικαιώματα των πολιτών τους οποίους έχει υποχρέωση να προστατεύει και υπηρετεί. Αναμένουμε την άμεση, σοβαρή και καθοριστική παρέμβαση των συναρμόδιων φορέων στην υπόθεση και είμαστε πρόθυμοι να συνεισφέρουμε σε αυτό.