Waar ben je naar op zoek?

Samen aanjagen van vernieuwing
Vendor compliance
Namens instellingen voeren we privacy- en security- risicoanalyses uit op leveranciers. Hiermee geven we gezamenlijk invulling aan wettelijke verplichtingen. Door het bundelen van expertise realiseren we kostenbesparing, kennisdeling en hebben we namens de onderwijs- en onderzoekssector een sterkere onderhandelingspositie richting leveranciers.
Handen met computer met groen op de achtergrond reflecterend in het scherm

'Door met leveranciers in gesprek te gaan én te blijven, sluiten we de beste privacy en security voorwaarden af voor het onderzoek en onderwijs.'

Sandy Janssen

Sandy Janssen

n.v.t.
vendorcompliance@surf.nl

Zoom

Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacyafspraken voor alle Education- en Enterprise-gebruikers in Europa.
18-04-24 | Zoom verbetert privacy-functionaliteit voor educatie in heel Europa door partnerschap met SURF

18 april 2024 - Met trots kondigen we aan dat Zoom de volgende mijlpaal heeft bereikt voor zakelijke en educatieve klanten in Nederland en de hele EER. De jarenlange nauwe samenwerking met SURF heeft ertoe geleid dat Zoom haar privacybeleid heeft aangescherpt en geactualiseerd, en belangrijke privacy- en securitymaatregelen heeft geïmplementeerd. Zoom komt hiermee de verplichtingen na die in de gepubliceerde DPIA van 2022 zijn overeengekomen.

Als gevolg van de geüpdatete DPIA, uitgevoerd door Privacy Company in opdracht van SURF, heeft Zoom aanzienlijke vooruitgang geboekt in de aanpassing aan de EU-privacystandaarden. Zoom heeft hierbij gekozen voor een proactieve aanpak, namelijk die van privacy by design en privacy by default. Enkele maatregelen die genomen zijn: 

  • De hoeveelheid persoonsgegevens die uitsluitend in de EU worden verwerkt is sterk vergroot: hoewel Nederlandse klanten in eerste instantie de focus van de samenwerking vormden, kondigt Zoom aan dat al haar zakelijke en educatieve klanten in de EER profiteren van deze veranderingen. 
  • Gebruiksvriendelijke tools voor dataverzoeken: door de introductie van een nieuw portaal in 2023 kunnen beheerders nu met een selfservicetool toegang vragen tot persoonsgegevens. Eind 2024 kunnen ook eindgebruikers zelf direct een inzageverzoek (DSAR) indienen. Het antwoord op een inzageverzoek wordt in een duidelijker format weergegeven, denk aan een beschrijving van elk bestand en in een begrijpelijke volgorde voor de gebruiker. Met deze selfservicetool vergroot Zoom niet alleen de controle van gebruikers over hun gegevens, maar bevordert het ook transparantie en verantwoording. 
  • Meer duidelijkheid over het bewaren en verwerken van gegevens: de transparantie is verbeterd door inzicht te geven in de bewaartermijnen van gegevens. Zoom stelt gebruikers in staat om beter te begrijpen hoe hun gegevens worden beheerd en beschermd door deze informatie te stroomlijnen. 
  • Specificatie van de rol van Zoom en haar subverwerkers: door het definiëren van verwerkingsactiviteiten in de DPA heeft Zoom haar rol als gegevensverwerker of gegevensbeheerder verduidelijkt. Zoom eist van haar subverwerkers, en diens subverwerkers, dat zij voldoen aan de contractuele verplichtingen conform de Data Processing Agreement (DPA), inclusief de Standard Contractual Clauses (SCC's) voor verdere en internationale doorgifte. 


Daarnaast zijn er nog een aantal updates op andere gebieden, waaronder:  

  • Meer transparantie over diagnostische gegevens: Zoom geeft meer transparantie over hoe diagnostische gegevens worden verwerkt en verzekerd hiermee dat er niet meer telemetriedata wordt verzameld dan nodig. Deze privacy-overwegingen zijn vanaf het begin ingebouwd in het productontwikkelingsproces. Dit is in lijn met het principe van privacy by design.
  • EU-ondersteuningsdiensten: Zoom heeft een speciaal supportteam opgericht binnen Europa, zodat klanten direct technische ondersteuning kunnen krijgen. Alle informatie van supportgesprekken die tijdens kantooruren plaatsvinden worden in de EER door lokale medewerkers verwerkt.  

CSAM
Ook zijn er maatregelen genomen met betrekking tot materiaal rondom seksueel misbruik van kinderen (CSAM). Er zijn maatregelen geïmplementeerd voor het rapporteren van CSAM-materiaal aan het National Center for Missing & Exploited Children (NCMEC) in de VS. Om een beveiligde overdracht mogelijk te maken worden alleen exacte matches, na menselijke beoordeling, gerapporteerd.  

Commerciële communicatie
Om de naleving van de ePrivacy-richtlijn verder te verbeteren, heeft Zoom de privacy-instellingen voor het verzenden van commerciële communicatie verfijnd. Beheerders en eindgebruikers ontvangen geen commerciële communicatie meer, alleen de commerciële contactpersoon ontvangt deze communicatie.   

Samenwerking met SURF
Door een hoge standaard voor privacy neer te zetten met het gebruik van privacy by design- en privacy by default-principes, toont Zoom haar inzet en versterkt hiermee het vertrouwen. Door de continue samenwerking met SURF blijft Zoom prioriteit geven aan privacy en beveiliging en waarborgt dat gebruikers veilig gebruik kunnen blijven maken van het videoplatform. 

Documenten

21-08-23 | Gewijzigde algemene voorwaarden voor gratis diensten Zoom hebben geen gevolg voor het Nederlandse (en Europese) onderwijs

21 augustus 2023 - Zoom heeft in maart van dit jaar haar wereldwijd geldende algemene voorwaarden voor consumenten aangepast (voor de gratis diensten). In die gewijzigde voorwaarden staat dat Zoom het recht heeft om -in de toekomst- gegevens van klanten te analyseren met AI. Deze wijzigingen hebben geen negatieve gevolgen voor Europese betalende klanten van Zoom en in het bijzonder de Nederlandse onderwijsinstellingen die gebruik maken van de door SURF onderhandelde verwerkersovereenkomst.

Andere algemene voorwaarden voor het onderwijs

Betalende klanten en onderwijsinstellingen tekenen andere algemene voorwaarden. SURF heeft de afgelopen twee jaar intensief samengewerkt met Zoom om hele scherpe privacyvoorwaarden te bedingen voor het Nederlandse onderwijs. Zoom heeft als onderdeel van dit proces haar Europese privacybeleid voor alle zakelijke en onderwijsklanten aangescherpt. Dit aangescherpte beleid beschrijft dat Zoom optreedt als verwerker, en persoonsgegevens dus alleen mag verwerken voor de in de overeenkomst opgenomen doelen.

De verwerkersovereenkomst gaat boven alle andere juridische documenten

Kort samengevat verbiedt deze overeenkomst Zoom om persoonsgegevens van klanten te verwerken voor commerciële doelen zoals profiling, marketing of big data analytics. Ongeacht of het nu om de inhoud van gesprekken gaat, of om gegevens over het gebruik van de software en deelname aan videoconferenties. De verwerkersovereenkomst gaat boven alle teksten in andere juridische documenten en beschermt ook de gegevens van deelnemers met een gratis account tijdens Zoom sessies met deelnemers met betaalde (onderwijs) licenties. Als er een betaalde licentie deelneemt vallen ook de gebruikers met een gratis account onder de voorwaarden van de afgesloten verwerkersovereenkomst voor het onderwijs. De wijziging van de wereldwijde voorwaarden heeft dus geen enkel negatief gevolg voor het Nederlandse (en Europese) onderwijs.

Zoom heeft in reactie op de ophef verklaart dat ze nog nooit gegevens van gratis of betalende klanten heeft verwerkt met AI en dat ze het betreurt dat hierover verwarring is ontstaan. In dit statement licht Zoom specifiek de situatie voor SURF toe. 

SURF blijft continu in gesprek met Zoom

Zoom en SURF hebben regelmatig overleg over de verwerking van persoonsgegevens en over mogelijke manieren om AI in te zetten op een privacyvriendelijke wijze. Hierbij staat altijd voorop dat de onderwijsinstellingen zelf moeten kunnen bepalen of zij van dat soort diensten gebruik willen maken.

06-06-23 | Zoom introduceert wereldwijde verbeteringen rondom de privacy van persoonsgegevens

6 juni 2023 - Het borgen van privacy is van groot belang voor het vertrouwen van gebruikers in technologiebedrijven. Je wilt gebruik maken van digitale technologieën in de wetenschap dat je persoonlijke gegevens veilig zijn. De privacy-, product- en technische teams van Zoom hebben zich daarom gericht op het ontwikkelen van gebruiksvriendelijke en schaalbare oplossingen waarmee gebruikers zelf hun data en privacy voorkeuren kunnen instellen. Vanaf vandaag heb je toegang tot een reeks tools en functies waarmee je meer inzicht en controle hebt over je eigen gegevens.

Wat houden de wijzigingen in?

  • Gegevensopslag binnen de EER: betalende klanten binnen de Europese Economische Ruimte (EER) kunnen ervoor kiezen hun gegevens voor vergaderingen, webinars en Team Chats voortaan fysiek binnen de EER op te slaan. Deze gegevens worden slechts op individuele basis en bij uitzondering gedeeld met teams van Zoom in de VS, zoals het Zoom Trust & Safety team.
  • Europees supportteam: Zoom heeft een support team binnen Europa opgericht. Gebruikers kunnen nu tijdens kantooruren technische ondersteuning krijgen door support medewerkers in de EU als zij zich hiervoor hebben aangemeld. Alle informatie wordt dan binnen de EER verwerkt.
  • Inzage- en verwijderverzoeken: Zoom heeft een tool ontwikkeld waarmee beheerders makkelijk aan de inzage- en of verwijderverzoeken van haar gebruikers kunnen voldoen. Dit geldt voor de Zoom meetings, webinars en de team chat. Deze tool is een hulpmiddel bij de naleving van de AVG.
  • Marketingvoorkeurscentrum: gebruikers kunnen zich met één klik aan- of afmelden voor alle marketingcommunicatie en nieuwsbrieven van Zoom.
  • Audit log tracking: audit logs registreren de specifieke acties die beheerders namens gebruikers uitvoeren. Accounteigenaren en beheerders hebben nu de mogelijkheid om bij te houden wanneer deze logs worden geëxporteerd of verwijderd.
  • Retentiebeleid: gebruikers krijgen meer inzicht in het beleid van Zoom voor het bewaren en verwijderen van gegevens, en in de acties die Zoom onderneemt om de naleving hiervan te garanderen

"We zijn trots dat we deze privacy-updates aan onze klanten kunnen aanbieden", zegt Lynn Haaland, Chief Compliance, Ethics en Privacy Officer bij Zoom. "Deze nieuwe tools bieden onze Europese gebruikers meer controle over waar hun gegevens worden verwerkt en opgeslagen. Daarnaast heb je de mogelijkheid om persoonlijke gegevens te verwijderen. Instellingen kunnen voor ons kiezen in de wetenschap dat ze een leverancier hebben die zich inzet voor de bescherming van hun gegevens."

Samenwerking is van groot belang

De nieuwe privacy-functies van Zoom zijn ontwikkeld als onderdeel van de nauwe relatie met SURF, de samenwerkingsorganisatie voor ict in het Nederlandse onderwijs en onderzoek. Deze samenwerking begon in 2021 naar aanleiding van een Data Protection Impact Assessment (DPIA). Hierdoor maakt Zoom grote stappen op het gebied van privacy voor haar gebruikers; veel van deze nieuwe functies zijn een direct resultaat van deze nauwe samenwerking.

"We zijn blij met de aanpassingen die Zoom naar aanleiding van onze samenwerking in de software heeft doorgevoerd", aldus Jet de Ranitz, CEO en voorzitter van de raad van bestuur van SURF. "Met de nieuwe privacy-functies en recente aanpassingen hebben zij laten zien dat de Europese privacy-standaarden erg belangrijk voor hen zijn. We zijn erg blij met het resultaat en de positieve voordelen voor Europese gebruikers."

Waar kun je de instellingen vinden?

Zoom's nieuwe tools voor toegangsverzoeken van betrokkenen en het verwijderen van gegevens zijn beschikbaar binnen het Zoom webportaal onder ‘Privacy’. Het marketingvoorkeurscentrum en de Europese technische support zijn toegankelijk via de support pagina. Zoom is, in het Zoom Privacy Center, voor betalende klanten binnen de EER begonnen aan de uitrol van de gegevensopslag op EER-niveau. Het beleid rondom het bewaren en verwijderen van gegevens zijn te vinden in de privacy sheet.

Meer details over Zoom’s benadering van privacy en beveiliging zijn te vinden in het Zoom Trust Center.

Zoom past privacyvoorwaarden aan na intensief overleg met SURF

17 maart 2022 - Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacy-afspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen en nieuwe contractuele afspraken adviseert SURF instellingen zelf een aantal aanbevolen maatregelen door te voeren en nieuwe afspraken met Zoom te maken. Zodra deze zijn uitgevoerd zijn er geen hoge privacy-risico's meer verbonden voor betrokkenen aan het gebruik van Zoom videoconferencing services, dit geldt ook voor hoog vertrouwelijke communicatie.  

Aanleiding

Aanleiding voor de aanpassingen zijn de gesprekken die SURF en Zoom hebben gevoerd nadat in mei 2021 een initiële Data Protection Impact Assessment (DPIA) is uitgevoerd. Dat gebeurde in opdracht van de Nederlandse overheid (SLM Rijk) en SURF. Een DPIA is een instrument dat privacy-risico’s voor betrokkenen in kaart brengt. Vanuit de Algemene verordening gegevensbescherming (AVG) is een DPIA noodzakelijk wanneer er waarschijnlijk sprake is van een hoog risico voor betrokken. Onder meer wanneer sprake is van grootschalige verwerking van persoonsgegevens of verwerking van gevoelige persoonsgegevens.  

Aanpassingen   

De privacyrisico’s die in de eerste DPIA van mei 2021 zijn geconstateerd, heeft Zoom in samenwerking met SURF weggenomen door wijzigingen in de software aan te brengen, verwerkersafspraken te maken en toekomstige wijzigingen toe te zeggen. In de nieuwe DPIA, die onder dit bericht is gepubliceerd, staan deze contractuele en technische aanpassingen beschreven. Zo is sinds november 2020 end-to-end encryptie in zowel een-op-eengesprekken als in groepsgesprekken mogelijk en committeert Zoom zich om per eind 2022 vrijwel alle persoonsgegevens in de Europese Unie te verwerken. Zoom en SURF hebben hierover afspraken gemaakt, die zijn opgenomen in een overeenkomst. Voor de data die naar buiten de Europese Economische Ruimte (EER) gaan, is een Data Transfer Impact Assessment (DTIA) uitgevoerd waaruit blijkt dat er passende waarborgen zijn voor de datadoorgifte.  

Belangrijkste maatregelen die uit de DPIA naar voren zijn gekomen

SURF en Zoom zijn in het kader van de samenwerking voor de DPIA verschillende acties overeengekomen. Dit zijn onder andere:

Ontwikkeling van nieuwe privacy-opties

  • Oplossingen voor het lokaliseren van gegevens: er zijn privacyzorgen over de verwerking van persoonsgegevens in de VS. Daarom willen Europese klanten liever dat alle persoonsgegevens in de EU worden verwerkt. Zoom heeft toegezegd, in overleg met SURF, om dit uiterlijk eind dit jaar mogelijk te maken.
  • EU-ondersteuningsdiensten: Zoom zal halverwege 2022 een aparte EU-helpdesk opzetten om EU-accounts te ondersteunen tijdens EU-kantooruren. Als een EU-account ondersteuning buiten deze uren nodig heeft, of een escalatie heeft waarvoor ondersteuning buiten de EU nodig is, zal Zoom dergelijke ondersteuning alleen bieden als de klant hiertoe expliciet opdracht geeft.
  • Inzageverzoeken: Zoom zal de mogelijkheid voor klanten verbeteren om inzageverzoeken te beantwoorden door middel van zelfbedieningshulpmiddelen voor accountbeheerders van enterprise- en onderwijsinstellingen.
  • Communicatie voorkeurcentrum: Zoom zal tegen het einde van 2022 een selfservicetool voor marketingvoorkeuren ontwikkelen voor alle accounteigenaren.

Verbeterde transparantie en documentatie

  • Privacydatasheet: Zoom heeft de openbare documentatie over de verwerking van persoonsgegevens verbeterd met de publicatie van een privacydatasheet die regelmatig zal worden bijgewerkt.
  • Aangepaste Data Transfer Impact Assessment (DTIA): Zoom heeft een nieuwe DTIA ingevuld op basis van een format dat is gecreëerd door de Zwitserse rechtsgeleerde David Rosenthal. De DTIA toont aan dat de privacyrisico's voor individuele gebruikers van Zoom verwaarloosbaar zijn.
  • Verduidelijking van de rollen en verantwoordelijkheden van Zoom: Zoom heeft ermee ingestemd zichzelf te herclassificeren als een gegevensverwerker voor alle persoonsgegevens. Behalve voor een beperkte lijst van situaties waarin de universiteit of hogeschool (de ‘verantwoordelijke’) Zoom machtigt om sommige persoonsgegevens ‘verder’ te verwerken. Dit geldt ook wanneer Zoom persoonsgegevens via haar publiek toegankelijke website verwerkt.

Verbetering van de gegevensbescherming door Zoom

  • Bewaren van persoonsgegevens: Zoom heeft de wijze waarop persoonsgegevens van klanten worden bewaard verduidelijkt en geminimaliseerd.
  • Privacy by design en standaarden: Zoom zal robuustere privacy by design en default processen implementeren gedurende de productontwikkelingslevenscyclus.
  • Opleiding van werknemers: Zoom implementeert een nieuwe opleiding voor haar werknemers om ervoor te zorgen dat ze altijd rekening houden met privacybescherming bij het leveren van support aan de EU-klanten.

Het meten van vooruitgang

  • Samen met SURF heeft Zoom een stappenplan opgesteld waarin alle afgesproken maatregelen zijn opgenomen voor verbeterde gegevensbescherming. SURF en Zoom zullen iedere twee maanden overleggen en de voortgang documenteren.

Documentatie DPIA

Hieronder vind je alle documentatie rondom de DPIA die op Zoom is uitgevoerd en de handleidingen om de technische handelingen door te voeren.

Downloads