Zoom past privacyvoorwaarden aan na overleg met SURF

vrouwen

Zoom past privacyvoorwaarden aan na intensief overleg met Surf. Het gaat om privacy-afspraken voor alle Education en Enterprise-gebruikers in Europa.

Wie meer wil weten kan op 29 maart terecht bij een speciaal webinar over de Data Protection Impact Assessment (DPIA) op Zoom. Er is aandacht voor de belangrijkste uitkomsten en de mogelijke impact bij instellingen.

SURF adviseert instellingen nog wel zelf een aantal maatregelen door te voeren en nieuwe afspraken met Zoom te maken. Zodra deze zijn uitgevoerd zijn er geen hoge privacy-risico’s meer voor gebruik van Zoom videoconferencing-services. Dit geldt ook voor hoog vertrouwelijke communicatie.

Samen met SURF stelde Zoom een stappenplan op met alle afgesproken maatregelen voor verbeterde gegevensbescherming. SURF en Zoom zullen iedere twee maanden overleggen en de voortgang documenteren.

Aanleiding

Aanleiding voor de aanpassingen zijn de gesprekken tussen beiden nadat in mei 2021 een initiële Data Protection Impact Assessment (DPIA) plaatsvond. Dat gebeurde in opdracht van de Nederlandse overheid (SLM Rijk) en SURF.

Een DPIA is een instrument dat privacyrisico’s voor betrokkenen in kaart brengt. Vanuit de Algemene Verordening Gegevensbescherming (AVG) is een DPIA noodzakelijk wanneer er waarschijnlijk sprake is van een hoog risico voor betrokken. Onder meer bij grootschalige verwerking van persoonsgegevens of verwerking van gevoelige persoonsgegevens.

Aanpassingen

De privacyrisico’s uit de eerste DPIA van mei 2021 heeft Zoom in samenwerking met SURF weggenomen door wijzigingen in de software aan te brengen, verwerkersafspraken te maken en toekomstige wijzigingen toe te zeggen. In de nieuwe DPIA staan deze contractuele en technische aanpassingen nu beschreven.

Zo is sinds november 2020 end-to-end encryptie in zowel één-op-één-gesprekken als in groepsgesprekken mogelijk. Verder committeert Zoom zich om per eind 2022 vrijwel alle persoonsgegevens in de Europese Unie te verwerken.

Voor de data die naar buiten de Europese Economische Ruimte (EER) gaat, vond een Data Transfer Impact Assessment (DTIA) plaats. Daaruit bleek dat er passende waarborgen zijn voor de datadoorgifte.

Belangrijkste maatregelen

Oplossingen voor lokaliseren van gegevesn: Er zijn privacyzorgen over de verwerking van persoonsgegevens in de VS. Daarom willen Europese klanten liever dat alle persoonsgegevens in de EU blijven. Zoom heeft toegezegd, in overleg met SURF, om dit uiterlijk eind dit jaar mogelijk te maken.

EU-ondersteuningsdiensten: Zoom zal halverwege 2022 een aparte EU-helpdesk opzetten om EU-accounts te ondersteunen tijdens EU-kantooruren. Indien een EU-account ondersteuning buiten deze uren nodig heeft, zal Zoom dergelijke ondersteuning alleen bieden indien de klant hiertoe expliciet opdracht geeft.

Inzageverzoeken: Zoom zal de mogelijkheid voor klanten verbeteren om inzageverzoeken te beantwoorden met zelfbedieningshulpmiddelen voor accountbeheerders van enterprise en onderwijsinstellingen.

Communicatievoorkeurcentrum: Zoom zal tegen het einde van 2022 een selfservicetool voor marketingvoorkeuren ontwikkelen voor alle accounteigenaren.

Verbeterde transparantie

Privacy datasheet: Zoom heeft de openbare documentatie over de verwerking van persoonsgegevens verbeterd met de publicatie van een privacy datasheet dat regelmatig zal worden bijgewerkt.

Aangepaste Data Transfer Impact Assessment (DTIA): Zoom heeft een nieuwe DTIA ingevuld op basis van een format dat is gecreëerd door de Zwitserse rechtsgeleerde David Rosenthal. De DTIA toont aan dat de privacyrisico’s voor individuele gebruikers van Zoom verwaarloosbaar zijn.

Verduidelijking van de rollen en verantwoordelijkheden van Zoom: Zoom heeft ermee ingestemd zichzelf te herclassificeren als een gegevensverwerker voor alle persoonsgegevens. Behalve voor een beperkte lijst van situaties waarin de universiteit of hogeschool (de ‘verantwoordelijke’) Zoom machtigt om sommige persoonsgegevens ‘verder’ te verwerken. Dit geldt ook wanneer Zoom persoonsgegevens via haar publiek toegankelijke website verwerkt.

Verbetering  gegevensbescherming

Bewaren van persoonsgegevens: Zoom heeft de wijze waarop persoonsgegevens van klanten worden bewaard verduidelijkt en geminimaliseerd.

Privacy by design en standaarden: Zoom zal robuustere privacy by design en default processen implementeren gedurende de productontwikkelingslevenscyclus.

Opleiding van werknemers: Zoom implementeert een nieuwe opleiding voor haar werknemers om ervoor te zorgen dat ze altijd rekening houden met privacybescherming bij het leveren van support aan de EU-klanten.

Lees ook:

Gerelateerde berichten...