terug naar actueel

Privacytoets op Zoom: alleen lage privacyrisico’s

  • 17 maart 2022

SURF, SIVON en SLM Rijk delen onderling kennis en inzicht over het veilig en verantwoord gebruik van cloudleveranciers. SURF heeft met medewerking van Privacy Company een nieuwe data protection impact assessment (DPIA) uitgevoerd op Zoom. SURF heeft eerder een privacytoets uitgevoerd in 2021 op Zoom. Over de uitkomsten daarvan is onderhandeld met Zoom en zijn afspraken gemaakt over verbeteringen. Als scholen een aantal instellingen wijzigen in Zoom, worden alle eerder in 2021 geconstateerde hoge privacyrisico’s voldoende beperkt. Dat betekent dat Zoom kan worden gebruikt zonder dat (nog) een risico bestaat voor het gebruik en opslag van gevoelige en bijzondere persoonsgegevens. In dit artikel leggen we uit wat deze DPIA betekent voor scholen in het primair en voortgezet onderwijs.  

DPIA in 2021 

In 2021 is een eerste DPIA uitgevoerd op Zoom. Hieruit kwam naar voren dat er hoge risico’s voor de privacy van gebruikers van Zoom waren. Daarom gold het advies om terughoudend te zijn in het gebruik van Zoom binnen het onderwijs. 

Alle hoge risico’s beperkt 

De in 2021 geconstateerde kritieke privacyrisico’s zijn inmiddels gemitigeerd. In de huidige DPIA staan de contractuele en technische aanpassingen beschreven. Een aantal belangrijke aanpassingen zijn: 

  • Zoom wordt verwerker, daarmee houden schoolbesturen de controle over de persoonsgegevens die worden gebruikt door Zoom.  
  • end-to-end encryptie (versleuteling) is in zowel één-op-één gesprekken als in groepsgesprekken mogelijk. 
  • Zoom committeert zich om per eind 2022 alle persoonsgegevens alleen nog in de Europese Unie te verwerken (en niet meer in de VS). 
  • alle afspraken die Zoom en SURF hebben gemaakt zijn opgenomen in een verwerkersovereenkomst. Schoolbesturen in het po en vo kunnen hier ook gebruik van (gaan) maken.  

De gemaakte afspraken en maatregelen die Zoom al heeft doorgevoerd (en nog gaat doorvoeren) worden beschikbaar gesteld voor alle Enterprise en Education gebruikers binnen Europa en, waar mogelijk, voor alle gebruikers.  

Neem technische maatregelen 

Er zijn een zestal lage privacyrisico’s die door scholen zelf gemitigeerd kunnen worden door de nodige technische maatregelen te nemen. Daarmee is het gebruik van Zoom in overeenstemming met de AVG. Het gaat hierbij om de risico’s:  

  1. onrechtmatige doorgifte van persoonsgegevens naar de VS;  
  2. onrechtmatige doorgifte van diagnostische gegevens naar de VS; 
  3. onrechtmatige doorgifte van diagnostische gegevens naar de VS na introductie van EU cloud (door Zoom); 
  4. gebrek aan transparantie over diagnostische en accountgegevens; 
  5. Onvoldoende mogelijkheden de rechten van betrokkenen uit te oefenen;  
  6. Mogelijkheid personeel te volgen (chilling effect).  

Admins en gebruikers kunnen hiervoor gebruik maken van een door SURF opgestelde handleiding (‘cookbook’ genoemd). Zoom voert ook de komende maanden verbeteringen door. De verbeterafspraken zijn vastgelegd in een overeenkomst tussen SURF en Zoom. SURF houdt de voortgang daarover in de gaten.  

SIVON houdt scholen via haar website op de hoogte over (nieuwe) handleidingen en ontwikkelingen rondom Zoom.  

Toekomstige verbeteringen 

Nieuwe ontwikkelingen volgen we op de voet. Enkele voorbeelden hiervan zijn het ontwikkelen door Zoom van een aparte EU-supportdesk tijdens kantooruren, het ontwikkelen van de diverse self-service tools voor data access requests en de implementatie van privacy by design en default principes. SIVON houdt scholen hiervan op de hoogte.  

Voorbehoud 

Omdat Zoom een Amerikaans bedrijf is, hebben we te maken met het risico dat Amerikaanse opsporings- en inlichtingendiensten mogelijk (in strijd met de AVG) toegang vragen tot persoonsgegevens die door Zoom worden gebruikt. Het gaat hierbij om zogenaamde ‘data transfers naar de VS’. Uit de DPIA op Zoom volgt nu dat de gesprekken die via Zoom worden gevoerd, (voldoende) versleuteld zijn zodat dit geen (hoog) risico oplevert. Hierbij geldt het voorbehoud dat de European Data Protection Board (EDPB), een samenwerking tussen Europese privacytoezichthouders, heeft aangekondigd om een onderzoek in te stellen naar het gebruik van cloud services van buiten de EER door de publieke sector. Hier valt Zoom ook onder. De resultaten hiervan worden eind 2022 verwacht. Mogelijk geeft de EDPB dan nieuwe of aanvullende instructies bij het gebruik van Amerikaanse cloud services. In samenwerking met SURF informeren we scholen hierover. Zoom heeft toegezegd eventuele aanvullende aanbevelingen in samenwerking met SURF en de Nederlandse overheid op te volgen.