Zoom past privacyvoorwaarden aan na intensief overleg met SURF

Student achter laptop

Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacy-afspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen en nieuwe contractuele afspraken adviseert SURF instellingen zelf een aantal aanbevolen maatregelen door te voeren en nieuwe afspraken met Zoom te maken. Zodra deze zijn uitgevoerd zijn er geen hoge privacy-risico's meer verbonden voor betrokkenen aan het gebruik van Zoom videoconferencing services, dit geldt ook voor hoog vertrouwelijke communicatie.  

Aanleiding

Aanleiding voor de aanpassingen zijn de gesprekken die SURF en Zoom hebben gevoerd nadat in mei 2021 een initiële Data Protection Impact Assessment (DPIA) is uitgevoerd. Dat gebeurde in opdracht van de Nederlandse overheid (SLM Rijk) en SURF. Een DPIA is een instrument dat privacy-risico’s voor betrokkenen in kaart brengt. Vanuit de Algemene verordening gegevensbescherming (AVG) is een DPIA noodzakelijk wanneer er waarschijnlijk sprake is van een hoog risico voor betrokken. Onder meer wanneer sprake is van grootschalige verwerking van persoonsgegevens of verwerking van gevoelige persoonsgegevens.  

Aanpassingen   

De privacyrisico’s die in de eerste DPIA van mei 2021 zijn geconstateerd, heeft Zoom in samenwerking met SURF weggenomen door wijzigingen in de software aan te brengen, verwerkersafspraken te maken en toekomstige wijzigingen toe te zeggen. In de nieuwe DPIA, die onder dit bericht is gepubliceerd, staan deze contractuele en technische aanpassingen beschreven. Zo is sinds november 2020 end-to-end encryptie in zowel een-op-eengesprekken als in groepsgesprekken mogelijk en committeert Zoom zich om per eind 2022 vrijwel alle persoonsgegevens in de Europese Unie te verwerken. Zoom en SURF hebben hierover afspraken gemaakt, die zijn opgenomen in een overeenkomst. Voor de data die naar buiten de Europese Economische Ruimte (EER) gaan, is een Data Transfer Impact Assessment (DTIA) uitgevoerd waaruit blijkt dat er passende waarborgen zijn voor de datadoorgifte.   

Lees ook de blog 'Veilig cloudgebruik: Zoom en SURF zorgen samen voor veiligheidsgordels en airbags' waarin Glory Francke (Europees en Amerikaans privacyjurist bij Zoom) en Sandy Janssen (projectleider bij SURF) ingaan op het resultaat van een bijzonder publiek-privaat samenwerkingsproject. Daarvoor moesten wel een aantal hobbels genomen worden. SURF en Zoom zijn die uitdaging samen aangegaan.

Belangrijkste maatregelen die uit de DPIA naar voren zijn gekomen

SURF en Zoom zijn in het kader van de samenwerking voor de DPIA verschillende acties overeengekomen. Dit zijn onder andere:

Ontwikkeling van nieuwe privacy-opties

  • Oplossingen voor het lokaliseren van gegevens: er zijn privacyzorgen over de verwerking van persoonsgegevens in de VS. Daarom willen Europese klanten liever dat alle persoonsgegevens in de EU worden verwerkt. Zoom heeft toegezegd, in overleg met SURF, om dit uiterlijk eind dit jaar mogelijk te maken.
  • EU-ondersteuningsdiensten: Zoom zal halverwege 2022 een aparte EU-helpdesk opzetten om EU-accounts te ondersteunen tijdens EU-kantooruren. Als een EU-account ondersteuning buiten deze uren nodig heeft, of een escalatie heeft waarvoor ondersteuning buiten de EU nodig is, zal Zoom dergelijke ondersteuning alleen bieden als de klant hiertoe expliciet opdracht geeft.
  • Inzageverzoeken: Zoom zal de mogelijkheid voor klanten verbeteren om inzageverzoeken te beantwoorden door middel van zelfbedieningshulpmiddelen voor accountbeheerders van enterprise- en onderwijsinstellingen.
  • Communicatie voorkeurcentrum: Zoom zal tegen het einde van 2022 een selfservicetool voor marketingvoorkeuren ontwikkelen voor alle accounteigenaren.

Verbeterde transparantie en documentatie

  • Privacydatasheet: Zoom heeft de openbare documentatie over de verwerking van persoonsgegevens verbeterd met de publicatie van een privacydatasheet die regelmatig zal worden bijgewerkt.
  • Aangepaste Data Transfer Impact Assessment (DTIA): Zoom heeft een nieuwe DTIA ingevuld op basis van een format dat is gecreëerd door de Zwitserse rechtsgeleerde David Rosenthal. De DTIA toont aan dat de privacyrisico's voor individuele gebruikers van Zoom verwaarloosbaar zijn.
  • Verduidelijking van de rollen en verantwoordelijkheden van Zoom: Zoom heeft ermee ingestemd zichzelf te herclassificeren als een gegevensverwerker voor alle persoonsgegevens. Behalve voor een beperkte lijst van situaties waarin de universiteit of hogeschool (de ‘verantwoordelijke’) Zoom machtigt om sommige persoonsgegevens ‘verder’ te verwerken. Dit geldt ook wanneer Zoom persoonsgegevens via haar publiek toegankelijke website verwerkt.

Verbetering van de gegevensbescherming door Zoom

  • Bewaren van persoonsgegevens: Zoom heeft de wijze waarop persoonsgegevens van klanten worden bewaard verduidelijkt en geminimaliseerd.
  • Privacy by design en standaarden: Zoom zal robuustere privacy by design en default processen implementeren gedurende de productontwikkelingslevenscyclus.
  • Opleiding van werknemers: Zoom implementeert een nieuwe opleiding voor haar werknemers om ervoor te zorgen dat ze altijd rekening houden met privacybescherming bij het leveren van support aan de EU-klanten.

Het meten van vooruitgang

  • Samen met SURF heeft Zoom een stappenplan opgesteld waarin alle afgesproken maatregelen zijn opgenomen voor verbeterde gegevensbescherming. SURF en Zoom zullen iedere twee maanden overleggen en de voortgang documenteren.

Documentatie DPIA

Hieronder vind je alle documentatie rondom de DPIA die op Zoom is uitgevoerd en de handleidingen om de technische handelingen door te voeren.

Q&A - algemeen

Wat is een DPIA?

Een DPIA, Data Protection Impact Assessment (DPIA), ook wel een gegevenseffectbeoordeling, is een instrument om privacyrisico’s voor betrokkenen in kaart te brengen. Vanuit de Algemene verordening gegevensbescherming (AVG) is een DPIA noodzakelijk, als er sprake is van grootschalige verwerking van persoonsgegevens of gevoelige persoonsgegevens.

Waarom laat SURF DPIA's uitvoeren?

Via SURF maken de leden gezamenlijk afspraken met ict- en contentleveranciers over de levering en afname van producten en diensten. Zo zorgen de leden gezamenlijk voor schaalgrootte en een efficiënt aanspreekpunt voor leveranciers. DPIA’s zijn hier een onderdeel van. In veel gevallen verwerken leveranciers persoonsgegevens van (werknemers en studenten van) de SURF-leden. Het is daarom belangrijk dat de betrokkenen voldoen aan wet- en regelgeving. SURF werkt hierin samen met de overheid. Er zijn samen met het Rijk al meerdere DPIA’s uitgevoerd.

Een DPIA helpt de instellingen bij het inschatten van de feitelijke risico’s voor de betrokkenen. Een oordeel vellen over of zij deze risico’s aanvaardbaar vinden, is aan de instellingen zelf. De DPIA’s van SURF helpen hen daarbij. 

Voor wie is de DPIA toepasbaar?

Iedere instelling moet zelf bepalen in hoeverre de resultaten toepasbaar zijn op de eigen organisatie. De opgeleverde DPIA’s kunnen dus door iedereen worden gebruikt, ook door organisaties buiten onderwijs en onderzoek, maar moeten altijd worden geïnterpreteerd op de eigen situatie en omgeving.

Waarom is de DPIA in het Engels?

De DPIA is in het Engels omdat de voertaal binnen Zoom Engels is. De resultaten moeten ook voor medewerkers van Zoom duidelijk zijn en niet verkeerd geïnterpreteerd of vertaald worden.

Q&A - vragen over de DPIA van Zoom

Waarom is een DPIA naar Zoom uitgevoerd?

Zoom is een applicatie die veel door de SURF leden wordt gebruikt. De licenties worden niet enkel, maar wel grotendeels in het wetenschappelijk onderwijs gebruikt. De leden hebben aan SURF gevraagd om te zorgen voor goede gebruikscondities voor deze dienst. Uit de DPIA die het Rijk had laten uitvoeren op Zoom (afgerond in mei 2021) bleek dat er 9 hoge risico’s bestonden bij het gebruik van Zoom. Daaropvolgend is SURF met Zoom in gesprek gegaan en zijn er passende afspraken voor verbeteringen gemaakt.

Wat was de scope van deze DPIA?

De Data Protection Impact Assessment (DPIA) onderzoekt de verwerking van data via de betaalde diensten van Zoom voor onderwijs en enterprise klanten op vijf platformen:

  • Geïnstalleerd als app op Android- en iOS-devices
  • Geïnstalleerd als Zoom-client voor meetings op Windows 10 en macOS, en:
  • Gebruik via de Zoom-plug-in voor de browser Chrome

Aanvullend, deze DPIA analyseert het gebruik van de Microsoft Outlook-plug-in en het gebruik van cookies en vergelijkbare technologie op het publiek toegankelijke en de afgeschermde Zoom-website.

Wat zijn de uitkomsten van de DPIA?
  • Zoom biedt end-to-end-encryption voor alle meetings, chats en uitgewisselde bestanden. Dit is de belangrijkste risico-mitigerende maatregel genoemd door de EDPB voor doorgifte van gegevens naar een land buiten de EU zonder adequaat gegevensbeschermingsniveau
  • Om ook de risico’s voor de metadata te verlagen, heeft Zoom ingestemd om alle gegevensverwerkingen vanaf eind 2022 exclusief in de EU te verwerken door een Europese Cloud in te richten en support data exclusief in Europa te laten verwerken. Wanneer ondersteuning buiten werktijden noodzakelijk is, kan de gebruiker expliciet toestemming geven per ticket voor verwerking buiten de EER.  
  • Uitzondering is de beperkte doorgifte van pseudonieme persoonsgegevens naar het centrale Zoom Trust & Safety team in de VS. Hiervoor heeft Zoom beloofd om een veilige oplossing te implementeren: een beveiligde verbinding waarbij de gegevens in de EU blijven, of het inrichten van een Europees Trust en Safety team. Hiermee zal er vanaf eind 2022 geen structurele verwerking meer in de VS plaatsvinden, enkel nog incidentele verwerkingen die geoorloofd zijn.   
    Er zijn nog wel vorderingen op grond van de US Cloud Act mogelijk, maar die kans is klein. Dit is vergelijkbaar met de huidige Amerikaanse providers die al diensten leveren vanuit de EU aan het onderwijs en aan de overheid (zoals Microsoft en Google). Hier blijkt uit de diverse risico analyses dat de kans op vorderingen verwaarloosbaar is voor gegevens van zakelijke klanten. 
  • Zoom heeft verklaard dat zij, op basis van historische data, de kans vrijwel nihil acht dat zij een vordering krijgt voor het verstrekken van metadata van het onderwijs of overheidsorganisaties aan de (Amerikaanse) overheid.  
  • Zoom heeft in een verbeter plan beloofd voor het einde van dit jaar alle mitigerende maatregelen op orde te hebben. SURF en Zoom hebben schriftelijk vastgelegd dat Zoom aan SURF tweemaandelijks rapporteert over de voortgang. 
  • Zoom treedt alleen nog op als verwerker voor alle persoonsgegevens, tenzij ze via de overeenkomst gemachtigd zijn om sommige persoonsgegevens ‘verder’ te verwerken als zelfstandige verantwoordelijke. Er zijn met SURF strikte doelbindingsafspraken gemaakt, zowel over de ‘verwerkers’ doelen, als over de ‘verantwoordelijke’ doelen.
  • Zoom heeft de bewaartermijnen ingekort en de noodzaak uitgelegd. 
  • Zoom heeft grote vooruitgang geboekt in de transparantie over de verwerking van persoonsgegevens (met name in de meta-data).  
  • Zoom biedt vanaf eind 2022 een inzageportaal voor admins en gebruikers. Daarnaast wordt een verwijdermogelijkheid ontwikkeld voor individuele gebruiksgegevens.
Wanneer kunnen onderwijsinstellingen veilig gebruik maken van Zoom?

Wij zijn van mening dat Zoom veilig gebruikt kan worden. Iedere instelling moet deze afweging echter zelf maken en draagt hiervoor zelf de verantwoordelijkheid. Op basis van de informatie die uit de DPIA volgt kan iedere instelling deze afweging weloverwogen maken.

Wat moet ik zelf doen voordat mijn onderwijsinstelling Zoom kan gebruiken?

In de DPIA zijn maatregelen beschreven om de risico’s te mitigeren. We hebben deze maatregelen met een stappenplan voor implementatie opgenomen in een cookbook voor admins, hosts en users.

Is het noodzakelijk dat ik alle technische handelingen uitvoer die in de handleiding zijn opgenomen?

Ja, alleen dan heb je Zoom zo privacyvriendelijk mogelijk ingesteld voor je gebruikers en zijn de rechten van betrokkenen het best gewaarborgd.

Kan ik de handleiding delen met mijn leverancier die onze omgeving beheert?

Ja, de handleiding is bedoeld om Zoom zo in te stellen dat de risico’s zoveel mogelijk zijn gemitigeerd. Als je het beheer van de Zoom omgeving hebt uitbesteed dan zal degene die de controle over jouw omgeving heeft (de admin) de instellingen moeten toepassen.

Zijn de onderhandelingen nu klaar of gaan jullie nog verder in gesprek met Zoom?

Zoom heeft naast de maatregelen die zij al genomen heeft beloftes gedaan voor het nemen van verdere maatregelen. Eind 2022 zullen alle maatregelen zijn doorgevoerd. We blijven daarom met Zoom in gesprek om de voortgang te waarborgen.

Wat waren de belangrijkste problemen die er eerder waren bij het gebruik van Zoom?
  • Zoom zag zichzelf niet als verwerker voor de persoonsgegevens van de education- en enterprise-klanten.
  • Er miste transparantie over welke persoonsgegevens Zoom verwerkte.
  • Betrokkenen konden hun rechten onvoldoende uitoefenen.
  • Zoom verzamelde teveel gegevens.
  • Zoom bewaarde gegevens te lang.
Hoe zijn deze problemen nu opgelost?

Zie voor een uitgebreide beschrijving de uitkomsten van de DPIA.

Door tot op directieniveau in gesprek te gaan met Zoom heeft zij zich aan de afspraken gecommitteerd en zowel technische, organisatorische als juridische maatregelen genomen om de risico’s te mitigeren;

Waaronder:

  • er is een uitgebreide nieuwe verwerkersovereenkomst afgesloten
  • Zoom geeft inzicht in welke persoonsgegevens zij verwerken,
  • Zoom heeft hun handmatige opvolging van data subject requests aangepast tot zij hier aan het einde van het jaar een tool voor hebben ontwikkeld, de data verzameling is geminimaliseerd en Zoom bewaart gegevens alleen nog zolang als nodig.
  • Om ook de risico’s voor de metadata te verlagen heeft Zoom ingestemd om alle gegevensverwerkingen vanaf eind 2022 exclusief in de EU te verwerken door een Europese Cloud in te richten en support data exclusief door een Europese derde partij te laten verwerken. Wanneer service buiten werktijden noodzakelijk is zal de gebruiker expliciet toestemming moeten geven voor verwerking buiten de EER.  

Een uitzondering hierop is de beperkte doorgifte van pseudonieme persoonsgegevens naar het centrale Zoom Trust & Safety team in de VS. Hiervoor heeft Zoom beloofd om een veilige oplossing te implementeren: een beveiligde verbinding waarbij deze gegevens in de EU blijven of het inrichten van een Europees Trust en Safety team. Hiermee zal er vanaf 2022 geen structurele verwerking meer in de VS plaatsvinden, slechts nog incidentele verwerkingen die geoorloofd zijn. 

Waarom is deze DPIA over Zoom zo belangrijk voor Nederlandse onderzoeks- en onderwijsinstellingen?

Zoom is een veelgebruikte applicatie door onze leden. De licenties worden niet alleen, maar wel grotendeels in het wetenschappelijk onderwijs gebruikt. De leden vragen SURF daarom om te zorgen voor goede afspraken met leveranciers. Daarom is er, mede op verzoek van SURF, in 2020 een DPIA op Zoom uitgevoerd (afgerond in mei 2021). Hieruit bleek dat er negen hoge risico’s waren bij het gebruik van Zoom. Daaropvolgend is SURF met Zoom in gesprek gegaan en zijn er passende afspraken gemaakt met Zoom voor het doorvoeren van verbeteringen.

Wat waren de belangrijkste knelpunten bij die gesprekken?

Het belangrijkste knelpunt bij dergelijke gesprekken is de impact op de techniek. Een partij als Zoom moet technische veranderingen doorvoeren in zijn software, en dat heeft een grote impact op resources. Daarom is het ook zo belangrijk dat iedereen (tot op directieniveau) betrokken is en achter de aanpassingen staat; alleen dan kunnen deze stappen worden gezet.

Waarom heeft het zo lang geduurd voordat tot een oplossing is gekomen?

Het kost tijd om de belangen die spelen duidelijk te maken en alle mensen die nodig zijn om de maatregelen door te voeren bij elkaar te krijgen. Daarna is er nog veel overleg nodig over de te nemen maatregelen en hoe deze uitgevoerd worden. Het daadwerkelijk doorvoeren van de maatregelen kost daarna ook veel tijd.  

Er wordt door een grote groep mensen bij zowel Zoom als SURF bijna fulltime aan gewerkt.

Heeft SURF nu een voorkeur voor Zoom voor videoconferencing?

De geschiktheid van een tool hangt helemaal af van het gebruik en de doelen die een organisatie heeft. Er is daardoor geen sprake van een bepaalde voorkeur voor een bepaalde tool, maar bij gebruik moet gekeken worden naar welke tool passend is.

SURF neemt hier geen positie over in. Wij maken in opdracht van de leden afspraken met leveranciers. Zoom is nu een van de geschikte partijen voor videoconferencing als het privacy en security betreft.

Hoe kan het dat sommige van de afspraken die SURF heeft gemaakt nu gelden voor heel Europa?

SURF heeft onderhandeld namens de gehele onderwijssector en de overheid. Veel van de maatregelen die Zoom neemt zijn dusdanig generiek van aard dat het voor Zoom loont om deze voor heel Europa door te voeren. Ook heeft Zoom in gezien dat zij met het nemen van privacy maatregelen een veel betere positie kan krijgen in de Europese markt. Daardoor was Zoom bereid om de vele maatregelen die ze nemen niet alleen voor SURF door te voeren maar voor heel Europa.

Hoe staat deze DPIA in relatie met de op Microsoft Teams uitgevoerde DPIA?

Beide DPIA's zijn een op zichzelf staand traject. Op beide dossiers is samengewerkt door SLM Rijk en SURF. In de uitvoering van DPIA's volgen wij standaard procedures en de geldende wet- en regelgeving. Er is geen relatie tussen beide DPIA's, omdat het om 2 verschillende applicaties gaat.

Meer informatie over de DPIA op Microsoft Teams.

Q&A - vragen voor SURF leden

Als ik vragen of opmerkingen heb die ik niet publiek wil bespreken, met wie kan ik dan contact opnemen?

Als je vraag op deze pagina niet wordt beantwoord, kun je altijd contact opnemen met je relatiemanager bij SURF.

Met wie is de informatie allemaal gedeeld?

Met de koepelorganisaties: UNL, MBO Raad, VH, NWO, NFU, KNAW, PO-Raad, VO-Raad, Sivon, Kennisnet, SLB, APS IT-diensten, ministerie van OCW, CIO Rijk (BZK), SLM Rijk (ministerie van Justitie en Veiligheid) en CIP.

Daarnaast hebben ook de volgende personen de informatie ontvangen: CSC's, SCIPR, SURF Taskforce Beyond Privacy Shield.