Zoom heeft een nieuw contract met de Nederlandse universiteiten en de overheid gesloten. Daarin zijn alle hoge databeschermingsrisico's opgelost, waaronder de doorgifte van de versleutelde inhoudelijke gegevens naar de Verenigde Staten.
Het nieuwe contract is een uitvloeisel van een zogeheten Data Protection Impact Assessment (DPIA) die Privacy Company uitgevoerde op de gegevensverwerking via Zoom. Het bedrijf deed dit in opdracht van SLM Rijk (de strategisch leveranciersmanager van de Nederlandse overheid voor Microsoft, Google en AWS).
In mei 2021 was de uitkomst dat er negen hoge en drie lage gegevensbeschermingsrisico’s waren voor de mensen die Zoom gebruiken. Vervolgens nam Surf, de ict-inkooporganisatie voor universiteiten in Nederland, het stokje over van SLM Rijk en voerde het samen met Privacy Company onderhandelingen met Zoom. Het Amerikaanse videoconferencingbedrijf ging overstap en was bereid om ingrijpende wijzigingen door te voeren waardoor de geconstateerde hoge risico’s zijn weggenomen. Volgens Privacy Company zijn zes lage risico’s, maar die kunnen universiteiten en overheidsorganisaties zelf ondervangen.
De afspraken met Zoom zijn vastgelegd in een nieuw contract, een nieuwe integrale gegevensverwerkingsovereenkomst en een ondertekend plan van aanpak met tijdpaden voor de afgesproken maatregelen. Het bedrijf heeft bijna al deze verbeteringen ook doorgevoerd in de nieuwe, openbaar toegankelijke gegevensverwerkingsovereenkomst voor alle Europese klanten met een Enterprise- of Education-licentie.
Verbeteringen
Omdat Zoom het voortaan mogelijk maakt alle gesprekken, chats en meetings te versleutelen met een private sleutel (end-to-end encryptie, E2EE), zijn er volgens Privacy Company geen hoge risico’s meer verbonden aan de doorgifte van de versleutelde inhoudelijke communicatiegegevens naar de Verenigde Staten.
Wat de andere categorieën persoonsgegevens betreft (zoals accountgegevens, diagnostische gegevens, website- en supportgegevens) heeft Zoom zich verplicht alle persoonsgegevens tegen het einde van dit jaar uitsluitend in Europese datacentra te verwerken.
Al eerder, halverwege 2022, zal Zoom ervoor zorgen dat vragen en klachten van Europese klanten steeds behandeld worden door een Europese helpdesk, tenzij de klant specifiek instemt met doorgifte buiten de EU. Dat kan handig zijn als de klant bijvoorbeeld dringend hulp nodig heeft buiten kantooruren.
Privacy Company meldt verder dat Zoom intensief heeft meegewerkt aan de opstelling van een uitgebreide risicoanalyse van de overdracht van persoonsgegevens, ook wel een Data Transfer Impact Assessment (DTIA) genoemd. Uit deze DTIA blijkt dat de kans dat Zoom gedwongen wordt toegang te geven tot de gegevens aan Amerikaanse opsporings- en inlichtingendiensten, uiterst klein is, namelijk minder dan eens in de twee jaar.
