Update DPIA voor SURF op Zoom: alle bekende risico's opgelost

April 18, 2024

In opdracht van SURF (de samenwerkingsorganisatie voor IT in het Nederlandse hoger onderwijs en onderzoek) heeft Privacy Company in een Update DPIA-rapportage de maatregelen geverifieerd die Zoom heeft toegezegd te nemen. De uitkomst van deze Updated Data Protection Impact Assessment (DPIA) is dat het Amerikaanse videoconferentiebedrijf bijna alle resterende afgesproken maatregelen heeft genomen en de laatste 3 maatregelen nog dit jaar zal uitrollen. Dit betekent dat Zoom alle bekende risico's voor gegevensbescherming heeft opgelost, mits de onderwijsinstellingen de aanbevolen maatregelen toepassen.

In een eerdere blog concludeerde Privacy Company al dat Zoom alle hoge risico's had gemitigeerd door een uitgebreide nieuwe gegevensverwerkingsovereenkomst met SURF af te sluiten en door veel technische en organisatorische verbeteringen uit te rollen.

Met toestemming van SURF publiceren we deze blog over onze bevindingen. Heb je vragen over de DPIA, neem dan contact op met de communicatieafdeling van SURF via communicatie@surf.nl.

Zoom

Met Zoom kunnen mensen videoconferenties houden, webinars bijwonen en één-op-één of in grote groepen informatie uitwisselen via chat, met mensen binnen en buiten hun organisatie. Om gebruik te maken van de online diensten kunnen gebruikers software installeren op hun eigen apparaten of inloggen via een browser. De Update DPIA gaat over Zoom's dataverkeer van geïnstalleerde applicaties op de besturingssystemen MacOS, Windows, iOS en Android, en via een Chrome browser.

Nieuwe privacyvoorwaarden Europese onderwijsklanten

In een eerste DPIA op Zoom (uitgevoerd in 2020-2021) werden negen hoge en drie lage dataprotectierisico's voor betrokkenen gevonden. Vanaf de zomer van 2021 zijn SURF en Privacy Company uitgebreid in gesprek gegaan met Zoom. Deze gesprekken hebben ertoe geleid dat Zoom een groot aantal mitigerende maatregelen heeft genomen en toegezegd. De afspraken zijn vastgelegd in een nieuw contract, een nieuwe uitgebreide verwerkersovereenkomst en een ondertekend actieplan met tijdlijnen voor de afgesproken maatregelen. Het belangrijkste is dat Zoom ermee heeft ingestemd om feitelijk en formeel op te treden als verwerker van alle persoonsgegevens. Niet alleen voor de Content Data, maar ook voor de Account Data, Diagnostische Data, Support en Website Data (tijdens en na het inloggen). De verwerkersovereenkomst bevat een limitatieve lijst van duidelijke en noodzakelijke doelen waarvoor Zoom de gegevens mag verwerken. Deze garanties gelden ook voor gastgebruikers die deelnemen aan een bijeenkomst georganiseerd door een EU onderwijsorganisatie. De overeenkomst verbiedt Zoom om de gegevens ooit te verwerken voor marketing, profilering, onderzoek, analyse of gerichte reclame. Zoom mag de persoonsgegevens van haar klanten 'verder' verwerken voor een tweede limitatieve lijst van specifieke doelen als de verwerking strikt noodzakelijk is, bijvoorbeeld om facturen te sturen, te reageren op klachten over misbruik of de benodigde netwerkcapaciteit te voorspellen. Veel andere belangrijke verbeteringen zijn opgesomd in de vorige blog van Privacy Company over Zoom.

Nieuwe maatregelen Zoom sinds 2022

  • Zoom verwerkt alle persoonsgegevens exclusief in de EU, met een paar uitzonderingen.
  • Zoom's verwerkersovereenkomst met SURF verschilt van Zoom's wereldwijde verwerkersovereenkomst. Zoom heeft zijn wereldwijde overeenkomst bijgewerkt met veel van de onderhandelde verbeteringen, maar zal ook een addendum publiceren voor alle Europese Onderwijs en Enterprise klanten in Q2 2024.
  • Zoom heeft verklaard dat zij met alle bedrijven waarmee ze samenwerkt subverwerkersovereenkomsten heeft gesloten, dat ze de subverwerkers van haar subverwerkers heeft geïnventariseerd en ervoor heeft gezorgd dat regelingen voor doorgifte, zoals SCC's, voldoen aan de waarborgen in de nieuwe verwerkersovereenkomst. Dit geldt ook voor de strikt noodzakelijke cookies die op de websites van Zoom worden geplaatst.
  • Zoom heeft de bewaartermijnen van de gegevens verduidelijkt en geminimaliseerd tot gemiddeld 7 tot 31 dagen voor de meeste Content- en Supportgegevens na beëindiging van het account, en 12 tot 15 maanden na aanmaak van de Diagnostische gegevens (met uitzondering van beveiligingslogboeken). Zoom heeft een overzicht gepubliceerd van de bewaartermijnen van de verschillende persoonsgegevens.
  • Zoom is transparanter geworden over de diagnostische gegevens die ze verwerkt. Zoom heeft een bijgewerkte lijst met telemetriegebeurtenissen gepubliceerd, een bijgewerkt Cookiebeleid en de informatie in het Gegevensblad Privacy uitgebreid met informatie over alle metadata, doorgifte van gegevens en subverwerkers. Zoom heeft bevestigd dat ze in de EU alleen de verplichte telemetrie verzamelt (de standaardoptie).

Zoom heeft zelfbedieningstools ontwikkeld voor beheerders om verzoeken van betrokkenen in te dienen, evenals een tool om logs van het gedrag van beheerders op te vragen. Zoom heeft ook de begrijpelijkheid verbeterd van de uitvoer van de resultaten van verzoeken van betrokkenen door beschrijvingen van elk bestand te geven en de bestanden in een begrijpelijker volgorde te groeperen.  

Zoom heeft veel stappen ondernomen om te voldoen aan de privacy by design en privacy by default principes, ook met betrekking tot Zoom's nieuwe AI Companion. De AI Companion is standaard uitgeschakeld voor onderwijsklanten in de EU. Een ander voorbeeld is de beslissing om statistieken over het aantal actieve gebruikers al in de EU te maken, in plaats van in de VS.

  • Net als alle andere Amerikaanse cloudproviders is Zoom onder de Amerikaanse wetgeving verplicht om bekend materiaal over seksueel misbruik van kinderen (CSAM) te rapporteren aan een NGO in de Verenigde Staten (NCMEC). Zoom heeft de risico's van een dergelijke doorgifte beperkt door alleen exacte overeenkomsten met bekend materiaal te rapporteren, na menselijke controle.
  • Zoom heeft ermee ingestemd geen ongevraagde commerciële berichten te sturen naar accountgegevens van beheerders en eindgebruikers, maar alleen naar commerciële contactpersonen (verkoopmanagers). Zoom heeft een zelfbedieningportal voor marketingvoorkeuren ontwikkeld dat eindgebruikers kunnen gebruiken om zich aan te melden voor marketinglijsten en dat verkoopcontacten kunnen gebruiken om zich af te melden.

Zoom heeft toegezegd uiterlijk eind 2024 twee aanvullende maatregelen te nemen. Zoom zal in de eerste helft van 2024 een Diagnostic Data Viewer uitbrengen voor de telemetriegegevens en in de tweede helft van 2024 tools ontwikkelen voor eindgebruikers in het onderwijs om zelf directe inzage te kunnen vragen in hun persoonsgegevens.

Conclusies

Het resultaat van deze DPIA is dat er geen bekende dataprotectierisico's meer zijn door de gegevensverwerkingen door Zoom.

Zoom verwerkt de meeste persoonsgegevens van Nederlandse onderwijsklanten nu uitsluitend in de EU. Zoom geeft niet systematisch persoonsgegevens door aan derde landen buiten de EU, alleen incidenteel, als een eindgebruiker buiten de EU reist, als een beheerder toestemming geeft voor een eenmalige doorgifte om ondersteuning te krijgen buiten kantooruren, of in geval van een klacht of signaal van een veiligheidsrisico.

Zoom geeft wel systematisch gepseudonimiseerde accountgegevens en IP-adressen door aan de VS en stuurt incidenteel servicemeldingen naar eindgebruikers via subverwerker Twilio uit de VS. Vanwege het nieuwe EU adequaatheidsbesluit voor de VS in juli 2023, en omdat Zoom deelneemt aan het EU US Data Privacy Framework, zijn er echter geen hoge risico's meer als gevolg van deze doorgifte van gegevens naar de VS. Als de Nederlandse onderwijs- en onderzoeksinstellingen de aanbevolen maatregelen toepassen, zijn er geen bekende dataprotectierisico’s meer voor de gegevensbescherming voor de individuele gebruikers van de Zoom-videoconferentiediensten.

Aanbevolen maatregelen voor onderwijs- en onderzoeksinstellingen

  • Overweeg het gebruik van E2EE af te dwingen als een goede beveiligingsmaatregel. Dit is niet langer noodzakelijk om doorgifterisico’s te beperken.
  • Overweeg het gebruik van de beschikbare privacyopties zoals:
    • Geavanceerde chatversleuteling inschakelen
    • Voorkom dat deelnemers chats opslaan
    • Individuele of alle deelnemers dempen bij binnenkomst
    • Bestandsdeling uitschakelen
    • Annotatie uitschakelen
    • Privéchat uitschakelen
    • Schermdeling voor deelnemers uitschakelen
    • Verbied het (lokaal) opnemen van video tijdens het delen van schermen
    • Het bekijken en opnemen van de 'galerij' tijdens het delen van het scherm verbieden
    • Schakel de wachtkamer in voor deelnemers
  • Stel beleidsregels op om het gebruik van vertrouwelijke gegevens in namen van vergaderingen en vergaderruimtes te verbieden. Indien nodig om te kunnen voldoen aan interne vertrouwelijkheidseisen: stel een beleid op om gebruikers te instrueren of ze een profielfoto mogen of moeten gebruiken.
  • Beoordeel zorgvuldig optionele integraties met applicaties van derde partijen die Zoom aanbiedt, schakel Giphy niet in en gebruik eigen GDPR-conforme subverwerkers om uitnodigingen voor Zoom-webinars te versturen. Als de organisatie Zoom's subverwerker Twilio gebruikt om uitnodigingen te versturen voor webinars: schakel de trackingpixel niet in, of vraag vooraf om ondubbelzinnige toestemming voor deze tracking aan de ontvangers> Let wel op de voorwaarde dat de ontvangers in staat moeten zijn om deze toestemming vrijelijk te geven (moeilijk voor werknemers).
  • Schakel 'Alleen EU' in voor helpdeskverzoeken. Stel een instructie op voor beheerders wanneer zij toestemming mogen geven voor de doorgifte van helpdeskgegevens naar de VS en de Filippijnen in uitzonderlijke noodgevallen buiten Nederlandse kantooruren.
  • Gebruik Single Sign On om de risico's van doorgifte van gepseudonimiseerde e-mailadressen aan Zoom in de VS verder te beperken (noodzakelijk bij het inloggen).
  • Gebruik een Vanity URL zoals universityofamsterdam.zoom.us in combinatie met Single Sign On (SSO) om het eigen privacybeleid en de gebruiksvoorwaarden van de organisatie te kunnen tonen aan eindgebruikers tijdens het aanmelden en op alle registratiepagina's voor vergaderingen, webinars en opnames.
  • Als de organisatie geen SSO gebruikt en eindgebruikers zich individueel moeten aanmelden: vertel hen dat het algemene privacybeleid en de algemene voorwaarden voor consumenten van Zoom niet van toepassing zijn.
  • Zoom heeft een selfservicetool ontwikkeld voor beheerders. Informeer ouders, studenten en werknemers hoe ze een inzageverzoek kunnen indienen bij de school- of universiteitsbeheerder. Eind 2024 moeten eindgebruikers rechtstreeks een verzoek kunnen indienen via een nieuw doe-het-zelf-portaal. Zoom zal voor juli 2024 ook een Diagnostic Data Viewer uitbrengen voor de telemetriegegevens.
  • Stel een beleid op om misbruik van auditlogs en rapporten te voorkomen als volgsysteem van studenten, werknemers en beheerders.
  • Controleer regelmatig de logbestanden met het gedrag van de beheerders om naleving te controleren van de afgesproken toegangsregels.
Download
Sjoera
Adviseur