Wouter Hoeffnagel - 18 maart 2022

Zoom past privacyvoorwaarden aan na overleg met SURF

Zoom past privacyvoorwaarden aan na overleg met SURF image

Zoom voert na intensief overleg met SURF, de ict-dienstverlener van het Nederlands onderwijs en onderzoek, wijzigingen door in de privacyafspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen en nieuwe contractuele afspraken adviseert SURF organisaties zelf een aantal aanbevolen maatregelen door te voeren en een nieuwe verwerkersovereenkomst met Zoom af te sluiten. Zodra deze zijn uitgevoerd zijn er geen hoge privacyrisico's meer verbonden voor betrokkenen aan het gebruik van Zoom videoconferencing services. Dit geldt ook voor hoog vertrouwelijke communicatie, meldt SURF.

De DPIA is uitgevoerd door Privacy Company. De uitkomst van deze beoordeling is dat het Amerikaanse videoconferentiebedrijf alle bekende hoge risico's heeft opgelost, meldt Privacy Company. Er zijn nog zes lage risico's, maar de universiteiten en overheidsorganisaties kunnen deze risico's zelf mitigeren.

Aanleiding voor de aanpassingen die Zoom heeft doorgevoerd zijn de gesprekken die SURF en Zoom hebben gevoerd nadat in mei 2021 een initiële Data Protection Impact Assessment (DPIA) is uitgevoerd. Dat gebeurde in opdracht van de Nederlandse overheid (SLM Rijk) en SURF. Een DPIA is een instrument dat privacy-risico’s voor betrokkenen in kaart brengt. Vanuit de Algemene Verordening Gegevensbescherming (AVG) is een DPIA noodzakelijk wanneer er waarschijnlijk sprake is van een hoog risico voor betrokken. Onder meer wanneer sprake is van grootschalige verwerking van persoonsgegevens of verwerking van gevoelige persoonsgegevens.

“Privacy is voor het onderwijs erg belangrijk. Zoom heeft in goede samenwerking met ons voor goede oplossingen kunnen zorgen en dat is veel waard”, licht Jet de Ranitz, CEO SURF toe. “Ik ben dan ook ongelofelijk trots op het team dat hier hard aan heeft gewerkt. Het inspireert mogelijk andere partijen tot een vergelijkbare samenwerking.”

Aanpassingen

De privacyrisico’s die in de eerste DPIA van mei 2021 zijn geconstateerd, heeft Zoom in samenwerking met SURF weggenomen door wijzigingen in de software aan te brengen, verwerkersafspraken te maken en toekomstige wijzigingen toe te zeggen. In de nieuwe DPIA die zojuist is gepubliceerd, staan deze contractuele en technische aanpassingen beschreven. Zo is sinds november 2020 end-to-end encryptie in zowel één-op-één gesprekken als in groepsgesprekken mogelijk. En committeert Zoom zich om per eind 2022 vrijwel alle persoonsgegevens in de Europese Economische Ruimte (EER) te verwerken. Zoom en SURF hebben hierover afspraken gemaakt, die zijn opgenomen in een overeenkomst. Voor de data die naar buiten de EER gaat, is een Data Transfer Impact Assessment (DTIA) uitgevoerd waaruit blijkt dat er passende waarborgen zijn voor de datadoorgifte.

Zoom en SURF blijven de komende maanden nauw samenwerken om de voortgang op de afspraken te monitoren. Enkele voorbeelden hiervan zijn het ontwikkelen van een aparte EU-supportdesk tijdens kantooruren, het ontwikkelen van de diverse selfservice tools voor data access requests en de implementatie van privacy by design en default principes.

“De afgelopen twee jaar stonden groei en innovatie bij Zoom centraal. Ons bedrijf heeft zich steeds verder ontwikkeld om te kunnen blijven voldoen aan de toenemende wensen van al onze wereldwijde gebruikers. Hierbij zijn wij gegroeid in de wijze waarop wij omgaan met gegevensbescherming en -beveiliging”, aldus Eric S. Yuan, oprichter en CEO van Zoom. “Wij zijn blij dat de DPIA alle moeite onderschrijft die wij in het verbeteren van ons platform hebben gestoken. Ook zijn wij SURF dankbaar voor de wijze waarop zij ons hebben ondersteund op de weg naar state-of-the-art gegevensbescherming voor bedrijven, overheden en gebruikers in zowel Europa als de rest van de wereld.”

Toekomstige aanpassingen

SURF houdt de ontwikkelingen over het gebruik van clouddiensten nauwgezet in de gaten, waaronder rechtspraak en uitspraken van toezichthouders. De European Data Protection Board (EDPB) doet onderzoek naar het gebruik van cloudservices door de publieke sector. De resultaten worden eind 2022 verwacht. SURF spant zich ervoor in te zorgen dat producten en diensten van leveranciers technisch en contractueel compliant zijn en dat risico’s worden geminimaliseerd. Indien noodzakelijk neemt SURF de uitkomsten uit toekomstige uitspraken mee in aanpassingen op de DPIA. Zoom heeft toegezegd eventuele aanvullende aanbevelingen in samenwerking met SURF en de Nederlandse overheid op te volgen.

SURF speelt dankzij haar autonome positie binnen het onderzoek en onderwijs een belangrijke rol in de gesprekken met ict- en contentleveranciers. SURF investeert in de privacy van haar leden door middel van DPIA’s en goede samenwerking met leveranciers. Namens de leden worden afspraken gemaakt over de keuze, levering en afname van producten en diensten. Zo zorgt SURF voor schaalgrootte en is er een aanspreekpunt voor de leveranciers. Het is belangrijk dat de producten en diensten van leveranciers technisch en contractueel voldoen aan wet- en regelgeving en de behoeftes van de leden, ook op het gebied van privacy. DPIA’s zijn een onderdeel van dit werk. SURF werkt in deze rol waar mogelijk samen met de overheid en koepelorganisaties.

De nieuwe DPIA is hier beschikbaar.

Axians 12/11/2024 t/m 26/11/2024 BN+BW