DPIA Zoom

SURF, SIVON en SLM Rijk delen onderling kennis en inzicht over het veilig en verantwoord gebruik van cloudleveranciers. SURF heeft met medewerking van Privacy Company een nieuwe Data Protection Impact Assessment (DPIA) uitgevoerd op Zoom. In 2021 heeft SURF ook een privacytoets uitgevoerd iop Zoom. Over de uitkomsten daarvan is onderhandeld met Zoom en zijn afspraken gemaakt over verbeteringen. Als scholen een aantal instellingen wijzigen in Zoom, worden alle eerder in 2021 geconstateerde hoge privacyrisico’s voldoende beperkt. Dat betekent dat Zoom kan worden gebruikt zonder dat (nog) een risico bestaat voor het gebruik en opslag van gevoelige en bijzondere persoonsgegevens. In dit artikel leggen we uit wat deze DPIA betekent voor scholen in het primair en voortgezet onderwijs.  

DPIA in 2021 

In 2021 is een eerste DPIA uitgevoerd op Zoom. Hieruit kwam naar voren dat er hoge risico’s voor de privacy van gebruikers van Zoom waren. Daarom gold het advies om terughoudend te zijn met het gebruik van Zoom binnen het onderwijs. 

Alle hoge risico’s beperkt 

De in 2021 geconstateerde kritieke privacyrisico’s zijn inmiddels gemitigeerd. In de huidige DPIA staan de contractuele en technische aanpassingen beschreven. Een aantal belangrijke aanpassingen zijn: 

  • Zoom wordt verwerker. Daardoor houden schoolbesturen de controle over de persoonsgegevens die worden gebruikt door Zoom.  
  • End-to-end encryptie (versleuteling) is in zowel in een-op-een gesprekken als in groepsgesprekken mogelijk. 
  • Zoom committeert zich om per eind 2022 alle persoonsgegevens alleen nog in de Europese Unie te verwerken (en niet meer in de VS). 
  • Alle afspraken die Zoom en SURF hebben gemaakt zijn opgenomen in een verwerkersovereenkomst. Schoolbesturen in het po en vo kunnen hiervan ook gebruik van (gaan) maken.  

De gemaakte afspraken en maatregelen die Zoom al heeft doorgevoerd (en nog gaat doorvoeren) worden beschikbaar gesteld voor alle Enterprise- en Educationgebruikers binnen Europa en, waar mogelijk, voor alle gebruikers.  

Maatregelen 

Er zijn zes lage privacyrisico’s die door scholen zelf kunnen mitigreren door de nodige technische maatregelen te nemen. Daarmee is het gebruik van Zoom in overeenstemming met de AVG. Het gaat hierbij om de risico’s:  

  1. onrechtmatige doorgifte van persoonsgegevens naar de VS;  
  2. onrechtmatige doorgifte van diagnostische gegevens naar de VS; 
  3. onrechtmatige doorgifte van diagnostische gegevens naar de VS na introductie van EU-cloud (door Zoom); 
  4. gebrek aan transparantie over diagnostische en accountgegevens; 
  5. onvoldoende mogelijkheden om de rechten van betrokkenen uit te oefenen;  
  6. mogelijkheid om personeel te volgen (chilling effect).  

Admins en gebruikers kunnen hiervoor gebruik maken van een door SURF opgestelde handleiding (‘cookbook’).

Toekomstige verbeteringen

Ook de komende maanden voert Zoom verbeteringen door. De verbeterafspraken zijn vastgelegd in een overeenkomst tussen SURF en Zoom. SURF houdt de voortgang daarover in de gaten.  SIVON houdt scholen via haar website op de hoogte over (nieuwe) handleidingen en ontwikkelingen rondom Zoom.  

 Nieuwe ontwikkelingen volgen we op de voet. Enkele voorbeelden hiervan zijn het ontwikkelen door Zoom van een aparte EU-supportdesk tijdens kantooruren, het ontwikkelen van de diverse self-service- tools voor data access requests en de implementatie van privacy by design en defaultprincipes. SIVON houdt scholen hiervan op de hoogte.  

Voorbehoud 

Omdat Zoom een Amerikaans bedrijf is, bestaat het risico dat Amerikaanse opsporings- en inlichtingendiensten mogelijk (in strijd met de AVG) toegang vragen tot persoonsgegevens die door Zoom worden gebruikt. Het gaat hierbij om zogenaamde ‘data transfers naar de VS’. Uit de DPIA op Zoom blijkt dat de gesprekken die via Zoom worden gevoerd, (voldoende) versleuteld zijn, zodat dit geen (hoog) risico oplevert. Hierbij geldt het voorbehoud dat de European Data Protection Board (EDPB), een samenwerking tussen Europese privacytoezichthouders, heeft aangekondigd om een onderzoek in te stellen naar het gebruik van cloudservices van buiten de EER door de publieke sector. Hier valt Zoom ook onder. De resultaten hiervan worden eind 2022 verwacht. Mogelijk geeft de EDPB dan nieuwe of aanvullende instructies bij het gebruik van Amerikaanse cloudservices. In samenwerking met SURF informeren we scholen hierover. Zoom heeft toegezegd eventuele aanvullende aanbevelingen in samenwerking met SURF en de Nederlandse overheid op te volgen.