Modern Werken tipsOnline Security tips

Zoom gebruiken voor videobellen? Let op deze privacy risico’s!

Thuiswerken is door de coronacrisis op dit moment de norm. Iedereen werkt zoveel mogelijk van huis uit en daarvoor wordt ook de nodige nieuwe software gebruikt. Een voorbeeld hiervan is Zoom, een Amerikaans softwareprogramma waarmee je eenvoudig kunt videobellen en op afstand bepaalde diensten kunt (blijven) verlenen aan klanten (zoals het geven van trainingen of het voeren van overleg).

Hoewel Zoom wellicht gebruikersvriendelijk is, is het sterk de vraag of het ook privacyvriendelijk is. In dit blog leggen wij kort uit wat onze bevindingen zijn en met welke privacy-aandachtspunten je rekening moet houden bij het gebruik van Zoom.

Op welke wijze verwerkt Zoom gegevens van mij?

Op de website van Zoom staat een uitgebreide Engelstalige privacy statement waarin uitgelegd wordt welke gegevens verwerkt kunnen worden. Ook de wijze waarop gegevens verkregen worden is een belangrijk onderdeel van het privacy statement. Hieronder zullen wij een paar onderdelen uit het privacy statement citeren met daaronder onze uitleg.

“Mostly, we gather Personal Data directly from you, directly from your devices, or directly from someone who communicates with you using Zoom services, such as a meeting host, participant, or caller. Some of our collection happens on an automated basis – that is, it’s automatically collected when you interact with our Products.”

Zoom lijkt dus veel persoonsgegevens automatisch te verwerken, zodra een gebruiker gebruikmaakt van de software.

Zoom biedt ook de mogelijkheid voor gebruikers (organisatoren) om videogesprekken op te nemen. Hierover staat het volgende in het privacy statement.

“We may also obtain information about you from a user who uses Zoom. For example, a user may input your contact information when you are invited to a Zoom meeting or call. Similarly, a Zoom meeting host may record a Zoom meeting and store the recording on our system. If a Zoom meeting host decides to record a meeting, that person is responsible for obtaining any necessary consent from you before recording a meeting.”

Zoom biedt dus de mogelijkheid om videogesprekken op te nemen. Hierbij geeft Zoom aan dat de persoon die het gesprek opneemt zelf verantwoordelijk is om toestemming te verkrijgen van andere deelnemers van het gesprek. Als je een gesprek voert via Zoom, lijkt het aldus zo te zijn dat je – zonder toestemming van anderen – gesprekken op eenvoudige wijze kunt opnemen. Diverse screenshots op internet verraden dat linksboven in Zoom de gebruiker de tekst “recording” in beeld krijgt.

Worden mijn persoonsgegevens gedeeld met andere partijen?

Hierover geeft Zoom het volgende aan:

“We do not allow marketing companies, advertisers, or anyone else to access Personal Data in exchange for payment. Except as described above, we do not allow any third parties access to any Personal Data we collect in the course of providing services to users. We do not allow third parties to use any Personal Data obtained from us for their own purposes, unless it is with your consent (e.g. when you download an app from the Marketplace). So in our humble opinion, we don’t think most of our users would see us as selling their information, as that practice is commonly understood. That said, Zoom does use certain standard advertising tools which require Personal Data (think, for example, Google Ads and Google Analytics).”

Zoom geeft zelf aan van mening te zijn dat persoonsgegevens niet verkocht worden. Er wordt echter wel gebruikgemaakt van Google Ads en Google Analytics. Hoewel dit op zichzelf niet persé een privacyrechtelijk probleem oplevert, is het wel zo dat het niet optioneel is om je gegevens met deze partijen te delen, het gebeurt gewoon. Als je gebruik wilt maken van Zoom, dan moet je toestemming geven om je persoonsgegevens te delen met Google Ads en Google Analytics. Nu is het wel zo dat Google Analytics tegenwoordig relatief eenvoudig betrekkelijk privacy proof is in te stellen.

Ook moet een verwerkersovereenkomst gesloten worden met Zoom als je gebruik wilt maken van het programma. Over de inhoud hiervan lijkt niet onderhandeld te kunnen worden. Zoom bepaalt dan eenzijdig de inhoud.

UPDATE 30-3-2020: Bij de iOS versie van Zoom bleek dat gegevens werden gedeeld met Facebook. Ook als je zelf geen Facebook account hebt. Dit bleek uit een onderzoek van Motherboard. Zoom was hier naar gebruikers toe niet transparant over. Na de ontstane commotie hierover heeft Zoom vandaag een update uitgebracht die er voor zorgt dat bepaalde gegevens niet meer worden gedeeld met Facebook.  Zie het artikel hierover op Nu.nl.

Waar worden de persoonsgegevens opgeslagen?

De persoonsgegevens worden opgeslagen op Amerikaanse servers. De veiligheid van de persoonsgegevens kan hierdoor niet gegarandeerd worden. Zoom lijkt zich gecertificeerd te hebben op grond van het EU-VS privacy shield, maar de Autoriteit Persoonsgegevens geeft aan dat in dat geval ook passende waarborgen getroffen moeten zijn om de gegevens te beschermen. Die passende waarborgen worden door Zoom niet vermeld. Je bent als organisatie die gebruik maakt van Zoom verantwoordelijk voor het nagaan van welke passende waarborgen zijn genomen of extra moeten worden genomen om de privacy van de deelnemers te waarborgen. Dit moet voor al het gebruik: intern onder collega’s, alsook voor gebruik met externen, zoals het hosten van een vergadering, training of webinar.

Wat we ook graag onder uw aandacht brengen is de “Attendee attention tracker”. Met deze tracker houdt de software op intelligente wijze bij of de deelnemers voldoende zijn betrokken bij de online bijeenkomst. Wanneer dergelijke nieuwe technieken worden gebruikt gelden er extra spelregels rondom privacy waarborging.

Ons advies?

Wees voorzichtig met het (grootschalig) inzetten van Zoom binnen je organisatie. Ga vooraf na wat de privacyrisico’s van dergelijke programma’s zijn en voer een zogenaamde DPIA uit. Hiermee kun je op structurele wijze in kaart brengen wat de risico’s zijn van het gebruik van nieuwe software voor jouw organisatie en hen van wie gegevens worden verwerkt, zoals klanten. Voor nu is het advies in ieder geval om geen (privacy)gevoelige of hoog confidentiële informatie te delen met elkaar via Zoom.

Tot slot

Dit blog is geschreven als samenwerking tussen AVK Training & Coaching en Van Gelder Advocaten in vervolg op een kort gezamenlijk onderzoek naar de privacy-risico’s bij het gebruik van Zoom.

Wil je juridisch advies over de privacy-risico’s bij het gebruik van online tools, neem dan contact op met Van Gelder Advocaten via info@vangelderadvocaten.nl.

Wil je meer weten over online training- en vergadertools en welke het beste bij jouw organisatie of onderwijsinstelling past? Neem dan gerust contact met ons op. Wij helpen je graag verder!

 

Update 31-03-2020: De Amerikaanse justitie is inmiddels een eigen onderzoek gestart naar Zoom vanwege de bescherming van de privacy van gebruikers. Zie het artikel op NOS.nl.