SURF, SIVON en SLM Rijk delen onderling kennis en inzicht over het veilig en verantwoord gebruik van cloudleveranciers. SURF heeft met medewerking van Privacy Company een nieuwe Data Protection Impact Assessment (DPIA) uitgevoerd op Zoom. Ook in 2021 heeft SURF een DPIA uitgevoerd in 2021 op Zoom. Over de uitkomsten daarvan is onderhandeld met Zoom en zijn afspraken gemaakt over verbeteringen. Als scholen een aantal instellingen wijzigen in Zoom, worden alle eerder in 2021 geconstateerde hoge privacyrisico’s voldoende beperkt. Dat betekent dat Zoom kan worden gebruikt zonder dat (nog) een risico bestaat voor het gebruik en opslag van gevoelige en bijzondere persoonsgegevens. In dit artikel leggen we uit wat deze DPIA betekent voor scholen in het primair en voortgezet onderwijs.
DPIA in 2021
In 2021 is een eerste DPIA uitgevoerd op Zoom. Hieruit kwam naar voren dat er hoge risico’s voor de privacy van gebruikers van Zoom waren. Daarom gold het advies om terughoudend te zijn in het gebruik van Zoom binnen het onderwijs.
Alle hoge risico’s beperkt
De in 2021 geconstateerde kritieke privacyrisico’s zijn inmiddels gemitigeerd. In de huidige DPIA staan de contractuele en technische aanpassingen beschreven. Een aantal belangrijke aanpassingen zijn:
- Zoom wordt verwerker. Daardoor houden schoolbesturen de controle over de persoonsgegevens die worden gebruikt door Zoom.
- End-to-end encryptie (versleuteling) is in zowel een-op-een gesprekken als in groepsgesprekken mogelijk.
- Zoom committeert zich om per eind 2022 alle persoonsgegevens alleen nog in de Europese Unie te verwerken (en niet meer in de VS).
- Alle afspraken die Zoom en SURF hebben gemaakt zijn opgenomen in een verwerkersovereenkomst. Schoolbesturen in het po en vo kunnen hier ook gebruik van (gaan) maken.
De gemaakte afspraken en maatregelen die Zoom al heeft doorgevoerd (en nog gaat doorvoeren) worden beschikbaar gesteld voor alle Enterprise en Education gebruikers binnen Europa en, waar mogelijk, voor alle gebruikers.
Neem technische maatregelen
Er zijn 6 lage privacyrisico’s die scholen zelf kunnen mitigeren door de nodige technische maatregelen te nemen. Daarmee is het gebruik van Zoom in overeenstemming met de AVG. Het gaat hierbij om de risico’s:
- onrechtmatige doorgifte van persoonsgegevens naar de VS;
- onrechtmatige doorgifte van diagnostische gegevens naar de VS;
- onrechtmatige doorgifte van diagnostische gegevens naar de VS na introductie van EU cloud (door Zoom);
- gebrek aan transparantie over diagnostische en accountgegevens;
- onvoldoende mogelijkheden om de rechten van betrokkenen uit te oefenen;
- mogelijkheid om personeel te volgen (chilling effect).
Admins en gebruikers kunnen hiervoor gebruik maken van een door SURF opgestelde handleiding (‘cookbook’ genoemd). Zoom voert ook de komende maanden verbeteringen door. De verbeterafspraken zijn vastgelegd in een overeenkomst tussen SURF en Zoom. SURF houdt de voortgang daarover in de gaten.
SIVON houdt scholen via haar website op de hoogte over (nieuwe) handleidingen en ontwikkelingen rondom Zoom.
Toekomstige verbeteringen
Ook de komende maanden voert Zoom verbeteringen door. De verbeterafspraken zijn vastgelegd in een overeenkomst tussen SURF en Zoom. SURF houdt de voortgang daarover in de gaten. SIVON houdt scholen via haar website op de hoogte over (nieuwe) handleidingen en ontwikkelingen rondom Zoom. Enkele voorbeelden hiervan zijn het ontwikkelen door Zoom van een aparte EU-supportdesk tijdens kantooruren, het ontwikkelen van de diverse self-service tools voor data access requests en de implementatie van privacy by design en default principes. SIVON houdt scholen hiervan op de hoogte.
Voorbehoud
Omdat Zoom een Amerikaans bedrijf is, bestaat het risico dat Amerikaanse opsporings- en inlichtingendiensten mogelijk (in strijd met de AVG) toegang vragen tot persoonsgegevens die door Zoom worden gebruikt. Het gaat hierbij om zogenaamde ‘data transfers naar de VS’. Uit de DPIA op Zoom blijkt dat de gesprekken die via Zoom worden gevoerd, (voldoende) versleuteld zijn zodat dit geen (hoog) risico oplevert. Hierbij geldt het voorbehoud dat de European Data Protection Board (EDPB), een samenwerking tussen Europese privacytoezichthouders, heeft aangekondigd om een onderzoek in te stellen naar het gebruik van cloud services van buiten de EER door de publieke sector. Hier valt Zoom ook onder. De resultaten hiervan worden eind 2022 verwacht. Mogelijk geeft de EDPB dan nieuwe of aanvullende instructies bij het gebruik van Amerikaanse cloud services. In samenwerking met SURF informeren we scholen hierover. Zoom heeft toegezegd eventuele aanvullende aanbevelingen in samenwerking met SURF en de Nederlandse overheid op te volgen.