Dankzij de jarenlange intensieve samenwerking met ict-coöperatie voor het mbo, hoger en universitair onderwijs SURF heeft Zoom belangrijke privacy- en securitymaatregelen doorgevoerd. Ook heeft het Amerikaanse platform zijn privacybeleid voor zakelijke en educatieve klanten in de hele EER aangescherpt en in een vernieuwde DPIA vastgelegd. Deze inspanningen volgen op de verplichtingen die in een eerder assessment naar de risico’s van gegevensverwerking waren overeengekomen. Hieronder leggen we je uit wat er is aangepast.
| DPIA uitgevoerd in | 2022 (update 2024) |
| Actie voor schoolbestuur | Ja, maar deels vrijwillig (zie tabel 1) |
| Hoge privacyrisico’s | Nee |
| Maatregelen AFAS | Nee |
Zoom komt in deze update de verplichtingen na die in de gepubliceerde DPIA van 2022 zijn overeengekomen. Deze afspraken met SURF zijn gemaakt om een nog veiligere digitale omgeving te leveren aan educatieve en zakelijke klanten in Europa. Met de recente updates heeft Zoom aanzienlijke vooruitgang geboekt in de aanpassing aan de EU-privacystandaarden die zijn verankerd in de AVG. Zoom koos hierbij voor een proactieve aanpak, namelijk die van privacy by design en privacy by default.
Enkele maatregelen die genomen zijn:
- De hoeveelheid persoonsgegevens die uitsluitend in de EU worden verwerkt is sterk vergroot: hoewel Nederlandse klanten in eerste instantie de focus van de samenwerking vormden, kondigt Zoom aan dat al haar zakelijke en educatieve klanten in de EER profiteren van deze veranderingen.
- Gebruiksvriendelijke tools voor dataverzoeken: door de introductie van een nieuw portaal in 2023 kunnen beheerders nu met een selfservicetool toegang vragen tot persoonsgegevens. Eind 2024 kunnen ook eindgebruikers zelf direct een inzageverzoek (DSAR) indienen. Het antwoord op een inzageverzoek wordt in een duidelijker format weergegeven, denk aan een beschrijving van elk bestand en in een begrijpelijke volgorde voor de gebruiker. Met deze selfservicetool vergroot Zoom niet alleen de controle van gebruikers over hun gegevens, maar bevordert het ook transparantie en verantwoording.
- Meer duidelijkheid over het bewaren en verwerken van gegevens: de transparantie is verbeterd door inzicht te geven in de bewaartermijnen van gegevens. Zoom stelt gebruikers in staat om beter te begrijpen hoe hun gegevens worden beheerd en beschermd door deze informatie te stroomlijnen.
- Specificatie van de rol van Zoom en haar subverwerkers: door het definiëren van verwerkingsactiviteiten in de DPA heeft Zoom haar rol als gegevensverwerker of gegevensbeheerder verduidelijkt. Zoom eist van haar subverwerkers, en diens subverwerkers, dat zij voldoen aan de contractuele verplichtingen conform de Data Processing Agreement (DPA), inclusief de Standard Contractual Clauses (SCC’s) voor verdere en internationale doorgifte.
Nog enkele andere updates, waaronder:
- Meer transparantie over diagnostische gegevens: Zoom geeft meer transparantie over hoe diagnostische gegevens worden verwerkt en verzekerd hiermee dat er niet meer telemetriedata wordt verzameld dan nodig. Deze privacyoverwegingen zijn vanaf het begin ingebouwd in het productontwikkelingsproces. Dit is in lijn met het principe van privacy by design.
- EU-ondersteuningsdiensten: Zoom heeft een speciaal supportteam opgericht binnen Europa, zodat klanten direct technische ondersteuning kunnen krijgen. Alle informatie van supportgesprekken die tijdens kantooruren plaatsvinden worden in de EER door lokale medewerkers verwerkt.
CSAM
Ook zijn er maatregelen genomen met betrekking tot materiaal rondom seksueel misbruik van kinderen (CSAM). Er zijn maatregelen geïmplementeerd voor het rapporteren van CSAM-materiaal aan het National Center for Missing & Exploited Children (NCMEC) in de VS. Om een beveiligde overdracht mogelijk te maken worden alleen exacte matches, na menselijke beoordeling, gerapporteerd.
Commerciële communicatie
Om de naleving van de ePrivacy-richtlijn verder te verbeteren, heeft Zoom de privacy-instellingen voor het verzenden van commerciële communicatie verfijnd. Beheerders en eindgebruikers ontvangen geen commerciële communicatie meer, alleen de commerciële contactpersoon ontvangt deze communicatie.
Samenwerking met SURF
Door een hoge standaard voor privacy neer te zetten met het gebruik van privacy by design- en privacy by default-principes, toont Zoom haar inzet en versterkt hiermee het vertrouwen. Door de continue samenwerking met SURF blijft Zoom prioriteit geven aan privacy en beveiliging en waarborgt dat gebruikers veilig gebruik kunnen blijven maken van het videoplatform.
Handige documenten
- Update DPIA Zoom, april 2024
- Zoom DPIA 2024 – Updated recommended settings for admins
- Zoom DPIA 2024 – Updated recommended settings for end users and hosts