Nieuwe DPIA voor SURF en Rijk op Zoom: alle hoge risico’s opgelost

March 16, 2022

In opdracht van SURF (de ICT-inkooporganisatie van de hogescholen en universiteiten in Nederland), en het Rijk heeft Privacy Company onderzoek gedaan naar de privacyrisico’s bij het gebruik van Zoom. De uitkomst van deze Data Processing Impact Assessment (DPIA) is dat het Amerikaanse videobelbedrijf alle bekende hoge risico’s heeft opgelost. Er zijn nog wel zes lage risico’s, maar daar kunnen de universiteiten en instellingen zelf maatregelen tegen nemen.


Zoom bleek bereid om ingrijpende wijzigingen door te voeren, en heeft een uitgebreide nieuwe verwerkersovereenkomst met SURF gesloten. Omdat Zoom het mogelijk maakt om gesprekken, chats en vergaderingen te versleutelen met een eigen sleutel (end-to-end encryptie, E2EE), is er ook geen hoog risico verbonden aan de doorgifte van de versleutelde inhoudelijke gegevens naar de Verenigde Staten. De risico’s van doorgifte zijn apart beschreven in een Data Transfer Impact Assessment (DTIA).


Met toestemming van SURF en SLM Rijk (de strategisch leveranciersmanagers van het Rijk voor Microsoft, Google en AWS) publiceren wij deze blog over onze bevindingen. Voor vragen over het onderzoek kunt u zich wenden tot de afdeling communicatie van SURF, bereikbaar via communicatie@surf.nl.

Zoom

Met Zoom kunnen mensen één-op-één of in grote groepen videobellen en informatie delen via de chat, met mensen binnen en buiten hun organisatie. Om gebruik te maken van de online diensten, kunnen gebruikers software installeren op hun eigen apparaten of via een browser inloggen. In deze DPIA is het gegevensverkeer onderzocht van Zoom vanuit geïnstalleerde applicaties op de besturingssystemen MacOS, Windows, iOS en Android, en via een Chrome browser.


Risico’s van doorgifte naar de Verenigde Staten

De nieuwe DPIA gaat vooral over de risico’s van de verzameling en verwerking van zogenaamde diagnostische gegevens, dat wil zeggen, gegevens over het individuele gebruik van de diensten. Bijvoorbeeld: hoe vaak je met wie belt en vergadert via Zoom, vanaf welke locatie, en of je camera aan of uit staat.


Net als andere cloudproviders verzamelt Zoom diagnostische gegevens op meerdere technische manieren, via systeemgegenereerde logboeken van gebeurtenissen op haar cloud servers en via de zogenaamde telemetrie-client die ingebouwd zit in de software op het apparaat van de eindgebruiker. Die client is, ook als je Zoom via de browser gebruikt, geprogrammeerd om systematisch telemetriegegevens op het apparaat van de eindgebruiker te verzamelen en regelmatig te versturen naar de servers van Zoom in de VS. De diagnostische gegevens zijn anders dan, en technisch goed te onderscheiden van, de functionele gegevens die Zoom (tijdelijk) moet verwerken om gebruikers in staat te stellen om gebruik te maken van de internetdiensten van Zoom.


Dit rapport is niet beperkt tot diagnostische gegevens, maar gaat ook over de risico’s van doorgifte van de inhoudelijke gegevens, in beeld, geluid en tekst.


Nieuwe privacyvoorwaarden universiteiten en Rijk


Privacy Company heeft in opdracht van SLM Rijk in 2020-2021 een DPIA uitgevoerd op Zoom. In mei 2021 bleken er 9 hoge, en drie lage dataprotectierisico’s voor betrokkenen. SURF heeft daarna de leiding genomen over dit onderzoek, en vanaf de zomer 2021, samen met Privacy Company, uitgebreide gesprekken gevoerd met Zoom. Dat heeft ertoe geleid dat Zoom een groot aantal maatregelen heeft getroffen en toegezegd. De afspraken zijn vastgelegd in een nieuw contract, een nieuwe uitgebreide verwerkersovereenkomst en een ondertekend actieplan met tijdlijnen voor de afgesproken maatregelen. Zoom heeft vrijwel alle verbeteringen ook doorgevoerd in haar nieuwe algemene verwerkersovereenkomst voor alle Europese klanten met een zakelijke of onderwijslicentie. De belangrijkste maatregelen die Zoom heeft getroffen, zijn:

  • Zoom treedt feitelijk en formeel op als verwerker voor alle persoonsgegevens. Niet alleen voor de inhoudelijke gegevens, maar ook voor de accountgegevens, diagnostische gegevens, support en website gegevens (tijdens en na het inloggen). De verwerkersovereenkomst bevat een afgebakende lijst duidelijke doelen waarvoor Zoom de gegevens mag verwerken. De overeenkomst sluit uit dat Zoom de gegevens ooit mag verwerken voor marketing, profilering, onderzoek, analytics of gerichte advertenties. Zoom mag sommige persoonsgegevens van haar klanten ‘verder’ verwerken voor een tweede afgebakende lijst van specifieke doelen als dat strikt noodzakelijk is, bijvoorbeeld om rekeningen te kunnen sturen, te kunnen reageren op klachten over misbruik, of om de benodigde netwerkcapaciteit te kunnen voorspellen.
  • De privacy-afspraken gelden onverkort voor gastgebruikers die deelnemen aan een vergadering die door een universiteit is georganiseerd: ook al maken die deelnemers gebruik van een consumentenaccount, dan nog mag Zoom deze gegevens niet voor eigen commerciële doelen verwerken.
  • Zoom heeft toegezegd eind dit jaar alle persoonsgegevens exclusief in Europese datacentra te verwerken. Al eerder, halverwege 2022, zal Zoom ervoor zorgen dat vragen en klachten van Europese klanten altijd door een Europese helpdesk worden behandeld, tenzij de klant zelf aangeeft bij een hulpvraag dat hij akkoord gaat met hulp van een subverwerker buiten de EU, bijvoorbeeld buiten kantooruren. Toch blijft er een risico bestaan dat Amerikaanse autoriteiten Zoom bevelen om toegang te geven tot de gegevens die ze verwerkt in Europa, zonder dat Zoom de klant mag informeren. Zoom heeft intensief meegewerkt aan het opstellen van een uitgebreide risico-analyse van de doorgifte van persoonsgegevens, een Data Transfer Impact Assessment (DTIA). Daaruit blijkt dat de kans dat dit risico zich voordoet, uiterst miniem is, namelijk minder dan 1 keer per 2 jaar.
  • Zoom heeft veel informatie gepubliceerd over de soorten persoonsgegevens die ze verwerkt, inclusief informatie op detailniveau over de telemetriegegevens die ze verzamelt.
  • Zoom heeft uitleg gegeven over de noodzaak voor haar bewaartermijnen, en veel termijnen aanzienlijk ingekort.
  • Zoom heeft nieuwe Europese modelovereenkomsten gesloten met haar subverwerkers, zodat deze partijen zich ook aan de afspraken houden uit de nieuwe verwerkersovereenkomst.
  • De verwerkersovereenkomst bevat een aantal harde afspraken over het toepassen van privacy by design, en data protection by default. Zoom mag bijvoorbeeld nooit toestemming vragen aan eindgebruikers voor nieuwe diensten en nieuwe soorten verwerkingen. Dat loopt centraal via de systeembeheerder.
  • Zoom gaat inzageportalen bouwen en een zelfbedieningscentrum voor direct marketing, zodat eindgebruikers, systeembeheerders en commerciële relaties van Zoom (zoals inkopers) zelf inzage kunnen vragen in de over hen verwerkte persoonsgegevens, en zelf toestemming kunnen geven voor gerichte mailings.


Zes lage privacyrisico’s


Het resultaat van deze DPIA is dat er geen bekende hoge risico's meer zijn voor de verwerking van de persoonsgegevens door Zoom. Er zijn wel zes lage privacyrisico’s, maar de universiteiten en instellingen kunnen deze risico’s grotendeels zelf oplossen. De risico-inschatting gaat er vanuit dat Zoom haar contractuele afspraken nakomt, en met SURF in overleg blijft. Dat is vooral belangrijk als de toezichthouders op de bescherming van persoonsgegevens eind 2022 de uitkomsten publiceren van hun gezamenlijke onderzoek naar het gebruik van clouddiensten door publieke sector organisaties (zowel het Rijk als het onderwijs). De zes lage risico’s en tegenmaatregelen zijn:

1. Toegang tot inhoudelijke gegevens door autoriteiten in de VS

  • Zet end-to-end-encryptie aan voor alle gesprekken, vergaderingen en chats. Waarschuw gebruikers dat E2EE technisch niet mogelijk is bij gebruik van Zoom via de browser, en dat de browser daarom alleen gebruikt mag worden voor niet-vertrouwelijke sessies zoals het volgen van een college.
  • Kies voor verwerking van de gegevens in de EU als E2EE niet mogelijk is, maak lokale opnames i.p.v. cloudopnames.
  • Maak de voorbeeld DTIA af voor de eigen organisatie.
  • Kies voor de Europese helpdesk zodra Zoom die opent.
  • Maak gebruik van privacyvriendelijke instellingen.
  • Gebruik de Webinar-functie alleen voor openbare vergaderingen/hoorcolleges (geen E2EE mogelijk).
  • Stel beleid op om het gebruik te verbieden van direct identificeerbare of vertrouwelijke gegevens in namen van ‘rooms’ en onderwerpen. Gebruik geen labels voor groepen gebruikers.

2. Doorgifte agnostische, support en websitegegevens naar de VS (tot eind 2022)

  • Overweeg het gebruik van Single Sign On (SSO) met pseudonieme namen voor werknemers waarvan de identiteit vertrouwelijk moet blijven. Leg uit aan de werknemers/studenten dat er juridisch (nu nog) iets misgaat als zij zichzelf registreren voor een nieuw Zoom account. Dan krijgen ze te zien dat de Zoom consumentenvoorwaarden en de Zoom consumentenprivacyverklaring van toepassing zijn, terwijl dat onjuist is. Zoom verhelpt dit uiterlijk eind 2022.
  • Gebruik een zogenaamde Vanity URL (zoals universiteitX.zoom.us) om de doorgifte te voorkomen van IP-adressen naar Zoom als gebruikers inloggen.
  • Maak géén gebruik van de Amerikaanse mailprovider Twilio die Zoom standaard heeft ingebouwd om uitnodigingen te versturen voor Webinars. Gebruik een eigen Europese mailprovider.

3. Doorgifte van pseudonieme gegevens naar het Trust & Safety Team in de VS

  • Volg de uitleg van SURF en toekomstige uitleg van de EDPB of dit risico inderdaad als laag kan worden ingeschat, zoals toegelicht in de DTIA.

4. Gebrek aan transparantie over de account en diagnostische gegevens

  • Lees de nieuwe, en toekomstige documentatie van Zoom en informeer eindgebruikers over de privacywaarborgen in de nieuwe verwerkersovereenkomst.
  • Toon, zodra Zoom dat mogelijk maakt, het eigen privacybeleid en eigen voorwaarden in het aanmeldscherm van Zoom.

5. Hindernissen bij het uitoefenen van het inzagerecht

  • Gebruik de nieuwe inzageportalen die Zoom gaat bouwen, zowel om goed te kunnen reageren op individuele inzageverzoeken van studenten en medewerkers, als voor beheerders, om de publieke documentatie te vergelijken met het resultaat van een inzageverzoek.

6. Personeelsvolgsysteem

  • Maak beleid om te voorkomen dat de auditlogbestanden en rapportages gebruikt worden als personeelsvolgsysteem.
  • Controleer regelmatig de logbestanden over het gedrag van systeembeheerders om naleving van de interne privacy beleidsregels na te kijken.

Conclusies

Als Zoom en de Nederlandse universiteiten en overheidsorganisaties alle overeengekomen en aanbevolen maatregelen toepassen, zijn er geen bekende grote risico's meer voor de individuele gebruikers van de videobeldiensten van Zoom.


Waarschuwing

Het is onzeker hoe de nationale gegevensbeschermingsautoriteiten de doorgifte risico’s zullen beoordelen in hun gezamenlijk onderzoek naar het gebruik van clouddiensten door publieke sector organisaties. De resultaten worden eind 2022 verwacht. Voor deze DPIA zijn de risico's van doorgifte streng beoordeeld, met inbegrip van een afzonderlijke DTIA. Indien nodig zullen deze DPIA en DTIA in 2023 worden geactualiseerd.


Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Zoom alle gegevens in principe in Europese datacentra verwerkt, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Zoom diensten.

Download
Sjoera
Adviseur