Zoom verbetert privacy-functionaliteit voor educatie in heel Europa door partnerschap met SURF
Met trots kondigen we aan dat Zoom de volgende mijlpaal heeft bereikt voor zakelijke en educatieve klanten in Nederland en de hele EER: De jarenlange nauwe samenwerking met SURF heeft ertoe geleid dat Zoom haar privacybeleid heeft aangescherpt en geactualiseerd, en belangrijke privacy- en securitymaatregelen heeft geïmplementeerd. Hiermee komt Zoom de verplichtingen na die in de gepubliceerde DPIA van 2022 zijn overeengekomen.
Zoom heeft zich ingespannen om de afspraken na te komen die met SURF zijn gemaakt om een nog veiligere digitale omgeving te leveren aan educatieve en zakelijke klanten in Europa. Lynn Haaland, Chief Privacy Officer bij Zoom licht toe: “De samenwerking met SURF heeft echt geholpen bij het verfijnen en valideren van ons beleid en onze functies rondom datalokalisatie mogelijkheden in Europa – en dat staat nu open voor al onze zakelijke en educatieve klanten. SURF is internationaal bekend om zijn robuuste aanpak in de samenwerking met techbedrijven en daarom zijn we zo blij dat we het vertrouwen van SURF hebben gewonnen. We geloven dat dit Zoom’s voortdurende betrokkenheid bij Zoom-klanten in de hele EER laat zien.”
Als gevolg van de geüpdatete DPIA heeft Zoom aanzienlijke vooruitgang geboekt in de aanpassing aan de EU-privacystandaarden. Zoom heeft hierbij gekozen voor een proactieve aanpak, namelijk die van privacy by design en privacy by default. Enkele maatregelen die genomen zijn:
- De hoeveelheid persoonsgegevens die uitsluitend in de EU worden verwerkt is sterk vergroot: hoewel Nederlandse klanten in eerste instantie de focus van de samenwerking vormden, kondigt Zoom aan dat al haar zakelijke en educatieve klanten in de EER profiteren van deze veranderingen.
- Gebruiksvriendelijke tools voor dataverzoeken: door de introductie van een nieuw portaal in 2023 kunnen beheerders nu met een selfservicetool toegang vragen tot persoonsgegevens. Eind 2024 kunnen ook eindgebruikers zelf direct een inzageverzoek (DSAR) indienen. Het antwoord op een inzageverzoek wordt in een duidelijker format weergegeven, denk aan een beschrijving van elk bestand en in een begrijpelijke volgorde voor de gebruiker. Met deze selfservicetool vergroot Zoom niet alleen de controle van gebruikers over hun gegevens, maar bevordert het ook transparantie en verantwoording.
- Meer duidelijkheid over het bewaren en verwerken van gegevens: de transparantie is verbeterd door inzicht te geven in de bewaartermijnen van gegevens. Zoom stelt gebruikers in staat om beter te begrijpen hoe hun gegevens worden beheerd en beschermd door deze informatie te stroomlijnen.
- Specificatie van de rol van Zoom en haar subverwerkers: door het definiëren van verwerkingsactiviteiten in de DPA heeft Zoom haar rol als gegevensverwerker of gegevensbeheerder verduidelijkt. Zoom eist van haar subverwerkers, en diens subverwerkers, dat zij voldoen aan de contractuele verplichtingen conform de Data Processing Agreement (DPA), inclusief de Standard Contractual Clauses (SCC's) voor verdere en internationale doorgifte.
Daarnaast zijn er nog een aantal updates op andere gebieden, waaronder:
- Meer transparantie over diagnostische gegevens: Zoom geeft meer transparantie over hoe diagnostische gegevens worden verwerkt en verzekerd hiermee dat er niet meer telemetriedata wordt verzameld dan nodig. Deze privacy-overwegingen zijn vanaf het begin ingebouwd in het productontwikkelingsproces. Dit is in lijn met het principe van privacy by design.
- EU-ondersteuningsdiensten: Zoom heeft een speciaal supportteam opgericht binnen Europa, zodat klanten direct technische ondersteuning kunnen krijgen. Alle informatie van supportgesprekken die tijdens kantooruren plaatsvinden worden in de EER door lokale medewerkers verwerkt.
CSAM
Ook zijn er maatregelen genomen met betrekking tot materiaal rondom seksueel misbruik van kinderen (CSAM). Er zijn maatregelen geïmplementeerd voor het rapporteren van CSAM-materiaal aan het National Center for Missing & Exploited Children (NCMEC) in de VS. Om een beveiligde overdracht mogelijk te maken worden alleen exacte matches, na menselijke beoordeling, gerapporteerd.
Commerciële communicatie
Om de naleving van de ePrivacy-richtlijn verder te verbeteren, heeft Zoom de privacy-instellingen voor het verzenden van commerciële communicatie verfijnd. Beheerders en eindgebruikers ontvangen geen commerciële communicatie meer, alleen de commerciële contactpersoon ontvangt deze communicatie.
Samenwerking met SURF
Door een hoge standaard voor privacy neer te zetten met het gebruik van privacy by design- en privacy by default-principes, toont Zoom haar inzet en versterkt hiermee het vertrouwen. Door de continue samenwerking met SURF blijft Zoom prioriteit geven aan privacy en beveiliging en waarborgt dat gebruikers veilig gebruik kunnen blijven maken van het videoplatform.
Zoom’s voortdurende inzet voor privacy
Zoom laat een proactieve aanpak zien om zich te houden aan de privacy-principes en -standaarden die zijn verankerd in de AVG.
"We zijn trots op de veranderingen die onze samenwerking met Zoom heeft opgeleverd”, zegt Jet de Ranitz, CEO en voorzitter van de raad van bestuur van SURF. “Met dit resultaat, waarin privacy voorop staat, zet Zoom een grote stap waar de hele EER van profiteert."
Zoom’s inzet voor Europese standaarden en praktijken is niet onopgemerkt gebleven. In 2023 ontving Zoom verschillende certificeringen en attesten van toezichthouders en onafhankelijke organisaties. Deze zijn allemaal gedocumenteerd in het Trust Center. Hier vind je o.a. BSI C5 en gpaNRW in Duitsland en de ENS in Spanje. Daarnaast heeft Zoom, samen met andere leveranciers, geholpen bij het opstellen van de nieuwe Duitse DIN SPEC 27008, waarin de minimale beveiligingsvereisten van videocommunicatieoplossingen zijn opgenomen.
Transparantie en betrouwbaarheid
"Transparantie is belangrijk, vooral in het moderne technologielandschap”, zegt Lynn Haaland. “Deze initiatieven zijn ontworpen om gebruikers te voorzien van inzichten en opties, zodat zij zelf kunnen beslissen waar hun gegevens naartoe gaan en hoe ze worden gebruikt. Als gevolg daarvan krijgen gebruikers de transparantie die nodig is om een betrouwbare relatie op te bouwen met Zoom als technologieleverancier’’.
Hoewel Zoom nu een mijlpaal heeft bereikt voor haar klanten in de EER, zijn ze vastbesloten om het vertrouwen van klanten verder uit te bouwen en werken zij voortdurend aan de verbetering van het platform. Er is belangrijk werk verricht met betrekking tot de overdracht van persoonsgegevens naar derde landen, het verbeteren van de transparantie voor diagnostische gegevens en het vereenvoudigen van verzoeken van betrokkenen. Als onderdeel van de afspraken met SURF brengt Zoom voor educatieve en zakelijke klanten in de eerste helft van 2024 een Diagnostic Data Viewer voor telemetriegegevens uit. In de tweede helft van 2024 ontwikkelen ze een oplossing voor directe toegang tot gegevens en privacytools.
Meer informatie
Voor meer informatie over de geïmplementeerde veranderingen en andere aanbevelingen kun je de DPIA hier bekijken. Wil je bij Zoom meer informatie over privacy vinden, ga dan naar hun Trust Center.