Nieuwe DPIA voor Nederlandse universiteiten en overheid over Zoom: alle hoge risico’s opgelost

In opdracht van de Nederlandse universiteiten en de Nederlandse overheid heeft privacy adviesbureau Privacy Company een Data Protection Impact Assessment (DPIA) uitgevoerd op de gegevensverwerking via Zoom. De DPIA is op donderdag 17 maart 2022 gepubliceerd door SURF, de ICT-inkooporganisatie voor universiteiten in Nederland, op https://www.surf.nl/dpia-zoom. Een handige samenvatting is te vinden in de nieuwe blog van Privacy Company op https://www.privacycompany.eu/blogpost-nl/nieuwe-dpia-voor-surf-en-rijk-op-zoom-alle-hoge-risicos-opgelost

De uitkomst van deze Data Processing Impact Assessment (DPIA) is dat het Amerikaanse videoconferentiebedrijf alle bekende hoge risico’s heeft opgelost. Er zijn nog zes lage risico’s, maar de universiteiten en overheidsorganisaties kunnen deze risico’s zelf mitigeren.

Privacy Company begon met deze beoordeling in 2020, toen het voor SLM Rijk (de strategisch leveranciersmanager van de Nederlandse overheid voor Microsoft, Google en AWS) een DPIA op Zoom mocht uitvoeren. In mei 2021 was de uitkomst dat er negen hoge en drie lage gegevensbeschermingsrisico’s waren voor de mensen die Zoom gebruiken (de betrokkenen). SURF heeft daarna het voortouw genomen in dit onderzoek en is vanaf de zomer van 2021, samen met Privacy Company, uitgebreid in gesprek gegaan met Zoom. Zoom was bereid om ingrijpende wijzigingen door te voeren en heeft met SURF een uitgebreide nieuwe gegevensverwerkingsovereenkomst gesloten. De afspraken zijn vastgelegd in een nieuw contract, een nieuwe integrale gegevensverwerkingsovereenkomst en een ondertekend plan van aanpak met tijdpaden voor de afgesproken maatregelen. Zoom heeft bijna al deze verbeteringen ook doorgevoerd in haar nieuwe, openbaar toegankelijke gegevensverwerkingsovereenkomst voor alle Europese klanten met een Enterprise- of Education-licentie. Zie: https://explore.zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf.

Risico’s als gevolg van de doorgifte van persoonsgegevens naar de VS

Omdat Zoom het mogelijk maakt alle gesprekken, chats en meetings te versleutelen met een private sleutel (end-to-end encryptie, E2EE), zijn er geen hoge risico’s verbonden aan de doorgifte van de versleutelde inhoudelijke communicatiegegevens naar de Verenigde Staten. Wat de andere categorieën persoonsgegevens betreft (zoals accountgegevens, diagnostische gegevens, website- en supportgegevens) heeft Zoom zich verplicht alle persoonsgegevens tegen het einde van dit jaar uitsluitend in Europese datacentra te verwerken. Al eerder, halverwege 2022, zal Zoom ervoor zorgen dat vragen en klachten van Europese klanten steeds behandeld worden door een Europese helpdesk, tenzij de klant specifiek instemt met doorgifte buiten de EU. Dat kan handig zijn als de klant bijvoorbeeld dringend hulp nodig heeft buiten kantooruren. Zoom heeft intensief meegewerkt aan de opstelling van een uitgebreide risicoanalyse van de overdracht van persoonsgegevens, een Data Transfer Impact Assessment (DTIA). Uit deze DTIA, die beschikbaar is op https://www.surf.nl/dpia-zoom, blijkt dat de kans dat Zoom gedwongen wordt toegang te geven tot de gegevens aan Amerikaanse opsporings- en inlichtingendiensten, uiterst klein is, namelijk minder dan eens in de twee jaar.

Meer lezen

Privacy Company heeft vele andere DPIA’s uitgevoerd op clouddiensten van Microsoft en Google. Deze zijn gepubliceerd op https://slmmicrosoftrijk.nl/downloads-dpias/ en https://www.surf.nl/files/2021-08/update-dpia-report-2-august-2021.pdf