Zoom komt privacyvoorwaarden overeen met Nederlandse ICT inkooporganisatie • The Register

Op de hielen van Microsoft’s rapport van het Nederlandse ministerie van Justitie en Veiligheid komt het nieuws van rivaliserend berichtenplatform Zoom dat een knipoog krijgt via een vernieuwde Data Protection Impact Assessment (DPIA).

De beoordeling is uitgevoerd door de Privacy Company in opdracht van SURF (de inkooporganisatie voor Nederlandse universiteiten).

De eerste beoordeling ging van start in 2020 en tegen mei 2021 [PDF] concludeerde dat er negen hoge en drie lage gegevensbeschermingsrisico’s waren voor gebruikers van het videoconferentieplatform.

Deze risico’s omvatten zorgen over waar persoonsgegevens daadwerkelijk worden verwerkt en het bewaren van klantgegevens.

De laatste DPIA heeft de Amerikaanse videoconferentiegigant echter groen licht gegeven, zij het met enkele voorbehouden. Risico’s blijven bestaan, maar volgens de Privacy Company “kunnen universiteiten en overheidsorganisaties deze risico’s zelf mitigeren.”

Zoom’s end-to-end-encryptie op alle chats en vergaderingen kreeg een duim omhoog, net als de toezegging van Zoom om tegen het einde van het jaar alle persoonlijke gegevens (zoals account, diagnose en ondersteuning) exclusief in Europese datacenters te verwerken. Een Europese helpdesk (die medio 2022 online komt) kreeg ook de goedkeuring van onderzoekers.

Hoewel “het risico blijft bestaan ​​dat de Amerikaanse autoriteiten Zoom gelasten toegang te verlenen tot de gegevens die het in Europa verwerkt, zonder de klant hiervan op de hoogte te stellen”, werd aangenomen dat de kans op een dergelijk risico klein was – minder dan eens in de twee jaar .

Zoom zelf was verheugd met de beoordeling, en zei dat de DPIA “het respect weerspiegelt dat Zoom heeft voor het Europese beleid en de principes van gegevensbescherming.” De gebeurtenissen van de afgelopen twee jaar hebben zeker de behoefte aan virtuele vergaderingen en werken op afstand aangetoond. Het is onwaarschijnlijk dat Zoom het inkomstenpotentieel wil laten liggen en heeft daarom dingen aangepast, waardoor alleen die uitstekende lage privacyrisico’s overblijven.

Die risico’s omvatten toegang tot inhoudsgegevens door Amerikaanse autoriteiten, die wordt beperkt door middelen zoals end-to-end-codering, “privacyvriendelijke instellingen”, en het opstellen van beleid dat het gebruik van identificerende gegevens in kamer- of onderwerpnamen verbiedt. De overdracht van diagnostische en ondersteunende gegevens is ook een zorg, maar wordt beperkt door het gebruik van pseudonieme namen en een Europese mailprovider.

Rival in de chatruimte, Microsoft, had zijn eigen aanvaring met Nederlandse autoriteiten in de DPIA van februari, waarin een aantal hoge risico’s werden opgemerkt met mitigaties, waaronder het inschakelen van end-to-end-codering en het niet uitwisselen van iets gevoeligs op het platform in situaties waarin E2EE was geen optie. Er werden ook risico’s opgemerkt voor gebruikers van de Google-productiviteitssuite en er is duidelijk gemaakt wat de technische giganten moeten doen om de woede van de regelgevers te ontwijken.

In het geval van Zoom lijken nieuwe privacyfuncties, een EU-supportdesk en een beetje meer transparantie de juiste oplossing te hebben gevonden (hoewel sommige elementen, zoals de verwerking van bijna alle persoonlijke gegevens in de EU, mogelijk pas aan het einde van 2022.) Van zijn kant heeft Microsoft ook toegezegd dat EU-gegevens de EU niet zullen verlaten met zijn EU-gegevensgrens.

De laatste DPIA suggereerde ook enkele mitigaties van de lage risico’s, zoals het inschakelen van end-to-end-codering voor alle oproepen, vergaderingen en chats en het waarschuwen van gebruikers “dat E2EE technisch niet mogelijk is bij gebruik van Zoom via de browser, en dat de browser daarom alleen worden gebruikt voor niet-vertrouwelijke sessies zoals het bijwonen van een les.”

Het stelde ook voor dat instellingen lokale opnames maken in plaats van cloudopnames, en overwegen om eenmalige aanmelding met pseudonieme namen te gebruiken, een vanity-URL “(zoals universiteitX.zoom.us) te gebruiken om te voorkomen dat IP-adressen worden overgedragen naar Zoom wanneer gebruikers inloggen”, en “gebruik niet de Amerikaanse mailprovider Twilio, die Zoom standaard heeft ingebouwd om uitnodigingen voor webinars te versturen. Gebruik je eigen Europese mailprovider.”

Het rapport van The Privacy Company concludeert: “Als Zoom en de Nederlandse universiteiten en overheidsorganisaties alle overeengekomen en aanbevolen maatregelen toepassen, zijn er geen hoge risico’s bekend voor de individuele gebruikers van Zoom’s videoconferentiediensten.”

Een update van de DPIA en DTIA wordt in 2023 verwacht.