Zoom haalt data-angel uit nieuw contract Surf en Rijk

Dit artikel delen:

Zoom heeft een nieuw contract met de Nederlandse universiteiten en de overheid gesloten. Daarin zijn alle hoge databeschermingsrisico's opgelost, waaronder de doorgifte van de versleutelde inhoudelijke gegevens naar de Verenigde Staten.

Het nieuwe contract is een uitvloeisel van een zogeheten Data Protection Impact Assessment (DPIA) die Privacy Company uitgevoerde op de gegevensverwerking via Zoom. Het bedrijf deed dit in opdracht van SLM Rijk (de strategisch leveranciersmanager van de Nederlandse overheid voor Microsoft, Google en AWS).

In mei 2021 was de uitkomst dat er negen hoge en drie lage gegevensbeschermingsrisico's waren voor de mensen die Zoom gebruiken. Vervolgens nam Surf, de ict-inkooporganisatie voor universiteiten in Nederland, het stokje over van SLM Rijk en voerde het samen met Privacy Company onderhandelingen met Zoom. Het Amerikaanse videoconferencingbedrijf ging overstap en was bereid om ingrijpende wijzigingen door te voeren waardoor de geconstateerde hoge risico's zijn weggenomen. Volgens Privacy Company zijn zes lage risico's, maar die kunnen universiteiten en overheidsorganisaties zelf ondervangen.

De afspraken met Zoom zijn vastgelegd in een nieuw contract, een nieuwe integrale gegevensverwerkingsovereenkomst en een ondertekend plan van aanpak met tijdpaden voor de afgesproken maatregelen. Het bedrijf heeft bijna al deze verbeteringen ook doorgevoerd in de nieuwe, openbaar toegankelijke gegevensverwerkingsovereenkomst voor alle Europese klanten met een Enterprise- of Education-licentie.

Verbeteringen

"Alle persoonsgegevens worden uitsluitend in Europese datacentra verwerkt"

Omdat Zoom het voortaan mogelijk maakt alle gesprekken, chats en meetings te versleutelen met een private sleutel (end-to-end encryptie, E2EE), zijn er volgens Privacy Company geen hoge risico's meer verbonden aan de doorgifte van de versleutelde inhoudelijke communicatiegegevens naar de Verenigde Staten.

Wat de andere categorieën persoonsgegevens betreft (zoals accountgegevens, diagnostische gegevens, website- en supportgegevens) heeft Zoom zich verplicht alle persoonsgegevens tegen het einde van dit jaar uitsluitend in Europese datacentra te verwerken.

Al eerder, halverwege 2022, zal Zoom ervoor zorgen dat vragen en klachten van Europese klanten steeds behandeld worden door een Europese helpdesk, tenzij de klant specifiek instemt met doorgifte buiten de EU. Dat kan handig zijn als de klant bijvoorbeeld dringend hulp nodig heeft buiten kantooruren.

Privacy Company meldt verder dat Zoom intensief heeft meegewerkt aan de opstelling van een uitgebreide risicoanalyse van de overdracht van persoonsgegevens, ook wel een Data Transfer Impact Assessment (DTIA) genoemd. Uit deze DTIA blijkt dat de kans dat Zoom gedwongen wordt toegang te geven tot de gegevens aan Amerikaanse opsporings- en inlichtingendiensten, uiterst klein is, namelijk minder dan eens in de twee jaar.

DPIA

De DPIA, gepubliceerd door Surf, is hier terug te vinden.

Een samenvatting van Privacy Company staat in deze blog.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-03-17T12:33:00.000Z Rik Sanders


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.