Samenwerking met toonaangevende Nederlandse onderzoeks- en onderwijsvereniging verbetert Zooms maatregelen voor gegevensbescherming

Met genoegen kondigen we vandaag de publicatie aan van de Data Protection Impact Assessment (DPIA, ofwel gegevensbeschermingseffectbeoordeling) van Zooms vergader-, webinar- en chatdiensten, gepubliceerd door SURF. 

SURF onderhandelt, namens haar leden, met grote softwareleveranciers om hun producten in te kopen en te toetsen op naleving van de Europese privacy- en beveiligingsnormen. Vervolgens publiceert de vereniging haar bevindingen in een DPIA. Op deze manier kunnen de leden van SURF een onafhankelijke keuze maken wanneer ze software aanschaffen, zoals hulpmiddelen voor videovergaderen.

De DPIA's die door SURF worden gepubliceerd, vormen een belangrijke maatstaf voor technologieleveranciers. Ze gaan nauwkeurig de huidige prestaties na op het gebied van gegevensbescherming, analyseren de risico's en identificeren verbeteringsmogelijkheden.

Zoom is SURF dankbaar voor haar medewerking bij zijn voorbereiding op deze DPIA. Behalve dat de DPIA Zooms inspanningen ondersteunt voor verbetering van gegevensbescherming, weerspiegelt die bovendien het respect van Zoom voor de Europese beleidsregels en principes voor gegevensbescherming. Zoom zet zich in voor uitbreiding van zijn betrekkingen met Europese bedrijven, overheden en burgers.

Een DPIA (ofwel gegevensbeschermingseffectbeoordeling) is een gedetailleerde technische en juridische beoordeling van de bedrijfspraktijken voor het verzamelen en gebruiken van gegevens, om te bepalen of die overeenstemmen met de gegevensbeschermingswetten van de Europese Unie (EU), in het bijzonder met de Algemene Verordening Gegevensbescherming (AVG). Een DPIA analyseert hoe een bedrijf persoonsgegevens verwerkt, identificeert de risico's die gepaard gaan met die verwerking en biedt maatregelen om die risico's te beperken.

Tijdens het evaluatieproces van de DPIA heeft Zoom zijn praktijken voor verzameling en gebruik van gegevens uiteengezet en bewijs geleverd om die praktijken aan te tonen. SURF heeft Zooms huidige capaciteiten beoordeeld en aanbevelingen voor verbetering van werkpraktijken in de DPIA vermeld. Aan dit alles ligt het streven ten grondslag om de gegevensbescherming voor Europese burgers te versterken.

De beoordelingen worden onder deze aankondiging vermeld.

SURF en Zoom kwamen verschillende actiepunten overeen tijdens onze samenwerking aan de DPIA. Deze omvatten:

• Ontwikkeling van nieuwe privacyfuncties: 
  • Oplossingen voor locatie van gegevens: Zoom-klanten in de EU maken zich zorgen om de privacy van hun persoonsgegevens, wanneer die in de VS verwerkt worden. Ze zien liever dat alle persoonsgegevens in de EU worden verwerkt. Zoom heeft, in overleg met SURF, toegezegd om tegen het einde van dit jaar grotendeels hieraan te zullen voldoen. Uitzonderingen hierop worden overeengekomen en vastgelegd.
  • EU-ondersteuningsdiensten: Zoom zegt toe uiterlijk half 2022 een aparte helpdesk voor de EU te hebben opgezet, om tijdens kantooruren ondersteuning aan EU-accounts te kunnen bieden. Als een EU-account ondersteuning nodig heeft buiten kantoortijden of een escalatie heeft waarvoor ondersteuning van buiten de EU nodig is, dan biedt Zoom die ondersteuning alleen als de klant voor elke afzonderlijke ondersteuningsticket uitdrukkelijk toestemming heeft gegeven.
  • Data Subject Access Requests (DSAR's, ofwel verzoeken van betrokkenen om toegang tot hun gegevens): Zoom zal de mogelijkheid verbeteren voor klanten om aan DSAR's te voldoen. Hiervoor creëren we twee hulpmiddelen waarmee accountbeheerders in de ondernemings- en onderwijssector deze verzoeken zelf kunnen afhandelen.
  • Centrum voor communicatievoorkeuren: Zoom zal tegen eind 2022 een hulpmiddel ontwikkelen waarmee accounteigenaren zelf hun marketingvoorkeuren kunnen aangeven.

• Verbeterde transparantie en documentatie:
  • Privacy-informatieblad: Zoom heeft zijn openbare documentatie over zijn verwerking van persoonsgegevens verbeterd met de publicatie van een privacy-informatieblad, dat regelmatig zal worden bijgewerkt.
  • Update van Data Transfer Impact Assessment (DTIA, ofwel impactbeoordeling van gegevensoverdracht): Zoom heeft een nieuwe DTIA opgesteld, gebaseerd op de opmaak van de Zwitserse rechtsgeleerde David Rosenthal. De DTIA geeft aan dat de privacyrisico's voor individuen die Zoom gebruiken te verwaarlozen zijn.
  • Verduidelijking van Zooms rollen en verantwoordelijkheden: Zoom heeft ingestemd dat het gepast is om zichzelf als de gegevensverwerker van alle persoonsgegevens te classificeren. Een beperkt aantal situaties is hierop uitgezonderd, waarin klanten in het onderwijs en de ondernemingswereld (de verwerkingsverantwoordelijken) Zoom toestemming geven om de persoonsgegevens 'verder' te verwerken als onafhankelijke verwerkingsverantwoordelijke. Dit geldt ook voor de persoonsgegevens die Zoom verzamelt via zijn openbaar beschikbare website.

• Verbetering van Zooms gegevensbeschermingspraktijken:
  • Bewaring van persoonsgegevens: Zoom heeft zijn praktijken voor bewaring van persoonsgegevens van zijn klanten verduidelijkt en geminimaliseerd. 
  • Gegevensbescherming door ontwerp en door standaardinstellingen: Zoom zal voor alle fasen van de productontwikkeling robuustere en ambitieuzere processen voor gegevensbescherming door ontwerp en door standaardinstellingen implementeren.  
  • Training van werknemers: Zoom rolt nieuwe trainingen uit voor zijn werknemers om te waarborgen dat ze bij Delivering happiness altijd de gegevensbescherming in acht zullen nemen.

• Onze voortgang meten: Zoom heeft, samen met SURF, de mogelijkheden voor verbetering van gegevensbescherming vastgelegd, evenals het traject om die doelen te bereiken. SURF en Zoom zullen elke twee maanden de voortgang hiervan bespreken.

Zoom verklaart dat de samenwerking tussen SURF en Zoom, zowel voor de DPIA als in de toekomst, zal helpen om Zooms strategieën voor privacy en bescherming van gegevens te benchmarken en ontwikkelen.

De DPIA vermeldt nog het volgende: "Dankzij de vele verbeteringsmaatregelen van Zoom en het nieuwe AWG met een limitatief aantal specifieke doelstellingen, zouden Zooms klanten op de contractuele garanties en privacymaatregelen moeten kunnen vertrouwen, welke voorkomen dat persoonsgegevens buiten deze goedgekeurde doeleinden verwerkt worden."

Ga voor meer informatie over privacy en beveiliging bij Zoom naar het Vertrouwenscentrum.