Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacy-afspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen en nieuwe contractuele afspraken adviseert SURF instellingen zelf een aantal aanbevolen maatregelen door te voeren en nieuwe afspraken met Zoom te maken. Zodra deze zijn uitgevoerd zijn er geen hoge privacy-risico’s meer verbonden voor betrokkenen aan het gebruik van Zoom videoconferencing services, dit geldt ook voor hoog vertrouwelijke communicatie. Zoom was eerder gevraagd deze aanpassingen door te voeren in aanloop naar een nieuw contract met de Nederlandse universiteiten en de overheid.
Aanleiding
Aanleiding voor de aanpassingen zijn de gesprekken die SURF en Zoom hebben gevoerd nadat in mei 2021 een initiële Data Protection Impact Assessment (DPIA) is uitgevoerd. Dat gebeurde in opdracht van de Nederlandse overheid (SLM Rijk) en SURF. Een DPIA is een instrument dat privacy-risico’s voor betrokkenen in kaart brengt. Vanuit de Algemene verordening gegevensbescherming (AVG) is een DPIA noodzakelijk wanneer er waarschijnlijk sprake is van een hoog risico voor betrokken. Onder meer wanneer sprake is van grootschalige verwerking van persoonsgegevens of verwerking van gevoelige persoonsgegevens.
Aanpassingen
De privacyrisico’s die in de eerste DPIA van mei 2021 zijn geconstateerd, heeft Zoom in samenwerking met SURF weggenomen door wijzigingen in de software aan te brengen, verwerkersafspraken te maken en toekomstige wijzigingen toe te zeggen. In de nieuwe DPIA, die onder dit bericht is gepubliceerd, staan deze contractuele en technische aanpassingen beschreven. Zo is sinds november 2020 end-to-end encryptie in zowel een-op-eengesprekken als in groepsgesprekken mogelijk en committeert Zoom zich om per eind 2022 vrijwel alle persoonsgegevens in de Europese Unie te verwerken. Zoom en SURF hebben hierover afspraken gemaakt, die zijn opgenomen in een overeenkomst. Voor de data die naar buiten de Europese Economische Ruimte (EER) gaan, is een Data Transfer Impact Assessment (DTIA) uitgevoerd waaruit blijkt dat er passende waarborgen zijn voor de datadoorgifte.
Belangrijkste maatregelen die uit de DPIA naar voren zijn gekomen
SURF en Zoom zijn in het kader van de samenwerking voor de DPIA verschillende acties overeengekomen. Dit zijn onder andere:
Ontwikkeling van nieuwe privacy-opties
Oplossingen voor het lokaliseren van gegevens: er zijn privacyzorgen over de verwerking van persoonsgegevens in de VS. Daarom willen Europese klanten liever dat alle persoonsgegevens in de EU worden verwerkt. Zoom heeft toegezegd, in overleg met SURF, om dit uiterlijk eind dit jaar mogelijk te maken.
EU-ondersteuningsdiensten: Zoom zal halverwege 2022 een aparte EU-helpdesk opzetten om EU-accounts te ondersteunen tijdens EU-kantooruren. Als een EU-account ondersteuning buiten deze uren nodig heeft, of een escalatie heeft waarvoor ondersteuning buiten de EU nodig is, zal Zoom dergelijke ondersteuning alleen bieden als de klant hiertoe expliciet opdracht geeft.
Inzageverzoeken: Zoom zal de mogelijkheid voor klanten verbeteren om inzageverzoeken te beantwoorden door middel van zelfbedieningshulpmiddelen voor accountbeheerders van enterprise- en onderwijsinstellingen.
Communicatie voorkeurcentrum: Zoom zal tegen het einde van 2022 een selfservicetool voor marketingvoorkeuren ontwikkelen voor alle accounteigenaren.
Verbeterde transparantie en documentatie
Privacydatasheet: Zoom heeft de openbare documentatie over de verwerking van persoonsgegevens verbeterd met de publicatie van een privacydatasheet die regelmatig zal worden bijgewerkt.
Aangepaste Data Transfer Impact Assessment (DTIA): Zoom heeft een nieuwe DTIA ingevuld op basis van een format dat is gecreëerd door de Zwitserse rechtsgeleerde David Rosenthal. De DTIA toont aan dat de privacyrisico’s voor individuele gebruikers van Zoom verwaarloosbaar zijn.
Verduidelijking van de rollen en verantwoordelijkheden van Zoom: Zoom heeft ermee ingestemd zichzelf te herclassificeren als een gegevensverwerker voor alle persoonsgegevens. Behalve voor een beperkte lijst van situaties waarin de universiteit of hogeschool (de ‘verantwoordelijke’) Zoom machtigt om sommige persoonsgegevens ‘verder’ te verwerken. Dit geldt ook wanneer Zoom persoonsgegevens via haar publiek toegankelijke website verwerkt.
Verbetering van de gegevensbescherming door Zoom
Bewaren van persoonsgegevens: Zoom heeft de wijze waarop persoonsgegevens van klanten worden bewaard verduidelijkt en geminimaliseerd.
Privacy by design en standaarden: Zoom zal robuustere privacy by design en default processen implementeren gedurende de productontwikkelingslevenscyclus.
Opleiding van werknemers: Zoom implementeert een nieuwe opleiding voor haar werknemers om ervoor te zorgen dat ze altijd rekening houden met privacybescherming bij het leveren van support aan de EU-klanten.
Het meten van vooruitgang
Samen met SURF heeft Zoom een stappenplan opgesteld waarin alle afgesproken maatregelen zijn opgenomen voor verbeterde gegevensbescherming. SURF en Zoom zullen iedere twee maanden overleggen en de voortgang documenteren.
