Zoom past privacy voorwaarden aan na intensief overleg met SURF

Na intensief overleg met SURF, de ict-dienstverlener van het Nederlands onderwijs en onderzoek, heeft Zoom wijzigingen in de privacy afspraken voor alle Education en Enterprise gebruikers in Europa aangebracht en blijft dit ook doen. Naast deze aanpassingen en nieuwe contractuele afspraken adviseert SURF organisaties zelf een aantal aanbevolen maatregelen door te voeren en een nieuwe verwerkersovereenkomst met Zoom af te sluiten. Zodra deze zijn uitgevoerd zijn er geen hoge privacy risico's meer verbonden voor betrokkenen aan het gebruik van Zoom videoconferencing services, dit geldt ook voor hoog vertrouwelijke communicatie.  

Aanleiding voor de aanpassingen zijn de gesprekken die SURF en Zoom hebben gevoerd nadat in mei 2021 een initiële Data Protection Impact Assessment (DPIA) is uitgevoerd. Dat gebeurde in opdracht van de Nederlandse overheid (SLM Rijk) en SURF. Een DPIA is een instrument dat privacy-risico’s voor betrokkenen in kaart brengt. Vanuit de Algemene Verordening Gegevensbescherming (AVG) is een DPIA noodzakelijk wanneer er waarschijnlijk sprake is van een hoog risico voor betrokken. Onder meer wanneer sprake is van grootschalige verwerking van persoonsgegevens of verwerking van gevoelige persoonsgegevens. 

“Privacy is voor het onderwijs erg belangrijk. Zoom heeft in goede samenwerking met ons voor goede oplossingen kunnen zorgen en dat is veel waard”, licht Jet de Ranitz, CEO SURF toe. “Ik ben dan ook ongelofelijk trots op het team dat hier hard aan heeft gewerkt. Het inspireert mogelijk andere partijen tot een vergelijkbare samenwerking.”

Aanpassingen  

De privacy risico’s die in de eerste DPIA van mei 2021 zijn geconstateerd, heeft Zoom in samenwerking met SURF weggenomen door wijzigingen in de software aan te brengen, verwerkersafspraken te maken en toekomstige wijzigingen toe te zeggen. In de nieuwe DPIA die zojuist is gepubliceerd, staan deze contractuele en technische aanpassingen beschreven. Zo is sinds november 2020 end-to-end encryptie in zowel één-op-één gesprekken als in groepsgesprekken mogelijk en committeert Zoom zich om per eind 2022 vrijwel alle persoonsgegevens in de Europese Economische Ruimte (EER) te verwerken. Zoom en SURF hebben hierover afspraken gemaakt, die zijn opgenomen in een overeenkomst. Voor de data die naar buiten de EER gaat, is een Data Transfer Impact Assessment (DTIA) uitgevoerd waaruit blijkt dat er passende waarborgen zijn voor de datadoorgifte. 

Zoom en SURF blijven de komende maanden nauw samenwerken om de voortgang op de afspraken te monitoren. Enkele voorbeelden hiervan zijn het ontwikkelen van een aparte EU-supportdesk tijdens kantooruren, het ontwikkelen van de diverse selfservice tools voor data access requests en de implementatie van privacy by design en default principes. 

“De afgelopen twee jaar stonden groei en innovatie bij Zoom centraal. Ons bedrijf heeft zich steeds verder ontwikkeld om te kunnen blijven voldoen aan de toenemende wensen van al onze wereldwijde gebruikers. Hierbij zijn wij gegroeid in de wijze waarop wij omgaan met gegevensbescherming en -beveiliging”, aldus Eric S. Yuan, oprichter en CEO van Zoom. “Wij zijn blij dat de DPIA alle moeite onderschrijft die wij in het verbeteren van ons platform hebben gestoken. Ook zijn wij SURF dankbaar voor de wijze waarop zij ons hebben ondersteund op de weg naar state-of-the-art gegevensbescherming voor bedrijven, overheden en gebruikers in zowel Europa als de rest van de wereld.”

Toekomstige aanpassingen  

SURF houdt de ontwikkelingen over het gebruik van clouddiensten nauwgezet in de gaten, waaronder rechtspraak en uitspraken van toezichthouders. De European Data Protection Board (EDPB) doet onderzoek naar het gebruik van cloud-services door de publieke sector. De resultaten worden eind 2022 verwacht. SURF spant zich ervoor in te zorgen dat producten en diensten van leveranciers technisch en contractueel compliant zijn en dat risico’s worden geminimaliseerd. Indien noodzakelijk neemt SURF de uitkomsten uit toekomstige uitspraken mee in aanpassingen op de DPIA. Zoom heeft toegezegd eventuele aanvullende aanbevelingen in samenwerking met SURF en de Nederlandse overheid op te volgen. 

Rol van SURF 

SURF speelt dankzij haar autonome positie binnen het onderzoek en onderwijs een belangrijke rol in de gesprekken met ict- en contentleveranciers. SURF investeert in de privacy van haar leden door middel van DPIA’s en goede samenwerking met leveranciers. Namens de leden worden afspraken gemaakt over de keuze, levering en afname van producten en diensten. Zo zorgt SURF voor schaalgrootte en is er 1 aanspreekpunt voor de leveranciers. Het is belangrijk dat de producten en diensten van leveranciers technisch en contractueel voldoen aan wet- en regelgeving en de behoeftes van de leden, ook op het gebied van privacy. DPIA’s zijn een onderdeel van dit werk. SURF werkt in deze rol waar mogelijk samen met de overheid en koepelorganisaties.