Zoom en de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie

Laatst bijgewerkt: 8 augustus 2024

De missie van Zoom is om mensen gelukkig te maken door middel van probleemloze videocommunicatie en we begrijpen dat er voor dit geluk privacy en beveiliging nodig is. Daarom streven we ernaar om de communicatie van onze klanten op het hoogste niveau te beschermen en te beveiligen, zoals de verplichtingen inzake gegevensbescherming in de Europese Economische Ruimte ('EER') – voornamelijk de Algemene Verordening Gegevensbescherming (de 'AVG').

Zoom juicht de AVG toe als een  kans om een sterkere basis voor gegevensbescherming op te bouwen in het belang van iedereen, niet alleen in Europa. Zoom ondersteunt onze klanten door technische en organisatorische maatregelen te implementeren op een manier die in overeenstemming is met de nalevingsverplichtingen van de AVG. Zoom is er om onze klanten te helpen in hun rol als verwerkingsverantwoordelijke.

De volgende belangrijke feiten geven een beeld van de inzet van Zoom voor gegevensbescherming. 

Als je meer wilt weten over de gegevensbeschermingspraktijken van Zoom, raadpleeg dan ook de Effectbeoordeling van gegevensbescherming (Data Protection Impact Assessment of 'DPIA') van Zoom, uitgevoerd in samenwerking met SURF, de Nederlandse coöperatie voor onderwijs en onderzoek in deze blog (en de DPIA van het privacybedrijf zelf). 

Contractuele AVG-verplichtingen voor alle Zoom-klanten
De AVG vereist dat verwerkingsverantwoordelijken (zoals organisaties en ontwikkelaars die de diensten van Zoom gebruiken) alleen gegevensverwerkers (zoals Zoom) gebruiken die namens de verwerkingsverantwoordelijke persoonsgegevens verwerken en voldoende garanties bieden om aan specifieke vereisten van de AVG te voldoen. Zoom biedt deze toezeggingen aan al onze klanten door het Addendum gegevensverwerking van Zoom op te nemen in de  Servicevoorwaarden van Zoom.

De contractuele verplichtingen van Zoom met betrekking tot de AVG:

  • Zoom streeft ernaar transparant te zijn en verbindt zich ertoe persoonsgegevens alleen te gebruiken zoals vermeld in onze overeenkomst voor het leveren van onze diensten of anders volgens de instructies van onze klanten.
  • Zoom handhaaft passende technische en organisatorische beveiligingsmaatregelen om de persoonsgegevens die wij verwerken te beschermen.
  • Zoom helpt klanten bij het nakomen van hun verplichtingen wanneer betrokkenen de rechten uitoefenen die zijn verbonden aan de persoonsgegevens die worden verwerkt via onze diensten (zoals verzoeken om informatie, toegang, aanpassing en verwijdering).

Beveiligingen voor internationale gegevensoverdracht

Verenigde Staten van Amerika

De AVG omvat specifieke regels voor de overdracht van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). In regel mogen persoonsgegevens alleen worden overgedragen naar landen buiten de EER als het land over een passend beschermingsniveau beschikt. 

De passendheid bepaalt of de gegevensbeschermingsmaatregelen van een niet-EU-land passend worden geacht om een gelijkwaardig beschermingsniveau te bieden als het beschermingsniveau binnen de EU. Een besluit waarbij het beschermingsniveau passend wordt verklaard door de Europese Commissie maakt het vrije verkeer van persoonsgegevens van de EU naar het derde land mogelijk zonder dat er aanvullende beveiligingen nodig zijn. Sinds 10 juli 2023 bestaat er een nieuw besluit waarbij het beschermingsniveau passend wordt verklaard van de Europese Commissie voor deelnemers aan het EU-US Data Privacy Framework (DPF, het kader voor gegevensbescherming tussen de EU en de VS). Zoom is geregistreerd als een actieve deelnemer

Het Data Privacy Framework (DPF) is ontstaan als een reactie op de toenemende bezorgdheid over gegevensbescherming en privacy in het digitale tijdperk. Het heeft tot doel de normen voor gegevensbescherming te harmoniseren en te verbeteren, met name wat de grensoverschrijdende overdracht van persoonsgegevens betreft. Het DPF speelt een tweevoudige belangrijke rol: enerzijds het vergemakkelijken van internationale handel en communicatie en anderzijds het waarborgen van de bescherming van de privacyrechten van personen. De relevantie ervan strekt zich uit tot verschillende belanghebbenden, waaronder bedrijven, regelgevers en individuen, door heldere richtsnoeren en verplichtingen voor gegevensverwerking vast te stellen. De toepasselijkheid van het DPF is van cruciaal belang in het kader van veilige gegevensoverdracht, aangezien het een wettelijk kader biedt dat de naleving van gegevensbeschermingswetten waarborgt. Hierdoor worden het vertrouwen en de verantwoordingsplicht bij grensoverschrijdende gegevensuitwisselingen bevorderd. 

Andere derde landen

Persoonsgegevens kunnen worden overgedragen van de EER naar derde landen buiten de EER met behulp van standaard contractbepalingen (of SCC's, ook wel EU-modelclausules genoemd) die zijn aangenomen door de Europese Commissie. Deze SCC's waarborgen contractueel een hoog beschermingsniveau. Zoom heeft de nieuwe  SCC's in 2021 geïmplementeerd in het standaard AWG van Zoom. Zoom heeft de nieuwe SCC's opgenomen in toepasselijke overeenkomsten volgens de door de Europese Commissie gespecificeerde overgangsperioden. Raadpleeg onze veelgestelde vragen van klanten over de nieuwe SCC's voor meer informatie. 

Effectbeoordeling van gegevensoverdracht
Om de klanten van Zoom te helpen voldoen aan aanvullende vereisten wanneer ze vertrouwen op SCC's, biedt Zoom de onderstaande Effectbeoordelingen van gegevensoverdracht aan voor verschillende producten. In overeenstemming met de algemene best practices wordt van de gegevensexporteur en -importeur verwacht dat zij beoordelen of de wetten en praktijken in het land dat de gegevens ontvangt, het anders geboden beschermingsniveau zouden kunnen ondermijnen. 

Effectbeoordeling van gegevensoverdracht voor Zoom Meetings/Webinar/Team Chat
Effectbeoordeling van gegevensoverdracht voor Zoom Phone
Effectbeoordeling van gegevensoverdracht voor Zoom Contact Center
Effectbeoordeling van gegevensoverdracht voor Zoom Virtual Agent

 

Verzoeken van betrokkene (DSAR)
Een toegangsverzoek van betrokkene (Data Subject Access Request of DSAR) is een mechanisme binnen de Algemene Verordening Gegevensbescherming (AVG). Hiermee kunnen personen, betrokkenen genoemd, hun persoonsgegevens die in het bezit zijn van organisaties opvragen. Ook kunnen betrokkenen onjuiste of onvolledige persoonsgegevens laten corrigeren. Zodoende worden eventuele fouten in de gegevens snel gecorrigeerd. Onder bepaalde voorwaarden hebben personen het recht om te verzoeken om de schrapping van hun persoonsgegevens (men spreekt over het recht om vergeten te worden). Dit is een fundamenteel recht krachtens de AVG, waarmee transparantie en controle voor individuen over hun persoonsgegevens worden benadrukt. Zoom biedt klanten een zelfbedieningstool om die rechten in een handomdraai uit te oefenen. Lees meer over deze tool op onze ondersteuningswebsite

 

Gegevensopslag
Zoom biedt Europese klanten met in aanmerking komende betaalde accounts de optie om gebruik te maken van datacenters in de Europese Unie (EU). Klanten kunnen datacenterregio's selecteren, plus de automatisch bepaalde thuisregio, voor het hosten van hun realtime vergader- en webinarverkeer. Klanten kunnen er ook voor kiezen om opnames lokaal op hun eigen apparaten of in hun lokale datacenter op te slaan. Je vindt meer informatie op onze ondersteuningspagina. Zoom biedt dergelijke klanten tevens de mogelijkheid om al hun ondersteuningsgegevens exclusief in de EU te laten verwerken. Als ze buiten de reguliere werkuren in de EU ondersteuning willen, kunnen ze gevalsgewijs specifieke toestemming geven om persoonsgegevens over te dragen aan een helpdesk buiten de EU. 

 

Krachtige specifieke maatregelen om de Europese gegevensbescherming te waarborgen
Zoom zet zich in voor het handhaven van een hoog beveiligingsniveau:

  • Zoom maakt gebruik van een reeks coderingstechnologieën om klantgegevens tijdens het transport en tijdens opslag te beschermen.
  • Zoom maakt gebruik van beveiligingsmaatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van onze verwerkingssystemen en diensten te ondersteunen.
  • Zoom neemt maatregelen om het herstel van de beschikbaarheid en toegang tot onze verwerkingssystemen en diensten onmiddellijk te vergemakkelijken in het geval van een fysiek of technisch incident.
  • Zoom implementeert een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen ter ondersteuning van de beveiliging van de gegevens die we verwerken.

In het bijzonder hanteert Zoom verschillende beveiligingsmaatregelen ter beveiliging van de communicatie van klanten die wordt overgedragen via en bewaard op het platform. Het gaat onder andere om de volgende beveiligingsmaatregelen:

  • Optionele end-to-end-encryptie voor vergaderingen: gebruikers kunnen ervoor kiezen om end-to-end-encryptie in te schakelen voor Zoom Meetings. End-to-end-encryptie is ontworpen om gegevens te versleutelen tussen alle vergaderdeelnemers, zodat geen enkele provider of geen enkel systeem toegang heeft tot de communicatie, zelfs Zoom niet.
  • Standaardencryptie: de verbinding tussen een bepaald apparaat en Zoom wordt standaard versleuteld met een combinatie van TLS 1.2+ (Transport Layer Security), Advanced Encryption Standard 256-bit AES GCM-codering en SRTP (Secure Real-time Transport Protocol). De precieze methoden die worden gebruikt, zijn afhankelijk van het feit of een gebruiker gebruikmaakt van de Zoom-client, een webbrowser, een apparaat of service van derden of het Zoom Phone-product. Zie voor meer informatie onze whitepaper over encryptie.
  • Bescherming tegen onbevoegde deelnemers aan vergaderingen: Zoom heeft tal van beveiligingen en controles om te voorkomen dat onbevoegde deelnemers deelnemen aan vergaderingen:
    • Unieke vergadering-ID van elf (11) cijfers
    • Complexe wachtwoorden
    • Wachtruimtes met de mogelijkheid om automatisch deelnemers toe te laten vanaf je domeinnaam of een ander geselecteerd domein
    • Functie voor het vergrendelen van een vergadering om te voorkomen dat iemand deelneemt aan de vergadering
    • Mogelijkheid om deelnemers te verwijderen
    • Authenticatieprofielen die alleen toegang toestaan aan geregistreerde gebruikers of deze beperken tot specifieke e-maildomeinen
    • Het hulpmiddel 'At-Risk Meeting Notifier' kan berichten op openbare socialemediasites en andere openbare online bronnen scannen voor links naar Zoom Meetings
  • Selectieve uitnodigingen voor vergaderingen: de host kan selectief deelnemers uitnodigen via e-mail, IM of sms. Dit zorgt voor meer controle over de verspreiding van de toegangsgegevens voor de vergadering. De host kan de vergadering ook zo opstellen dat er alleen personen worden toegelaten van een bepaald e-maildomein.
  • Beveiliging tijdens vergaderingen: tijdens de vergadering biedt Zoom elke deelnemer aan een Zoom-vergadering uitgebreide, veilige media-inhoud in real time. Alle inhoud die tijdens een vergadering met de deelnemers wordt gedeeld, is slechts een weergave van de oorspronkelijke gegevens. Deze inhoud wordt gecodeerd en geoptimaliseerd om te delen, door middel van een beveiligde toepassing.
  • Besturingselementen voor de host: met de opties voor hosts van vergaderingen kunnen deelnemers worden ingeschakeld om inhoud te delen, te chatten en hun naam te wijzigen.
  • Rapporteren: je kunt deelnemers rapporteren vanwege ongepast gedrag tijdens vergaderingen door te selecteren welke deelnemers je wilt rapporteren, schriftelijke info toe te voegen en bijlagen bij te sluiten. Deze melding wordt automatisch naar het Trust & Safety Team van Zoom gestuurd. Het team beoordeelt of er misbruik is gemaakt van het platform en blokkeert zo nodig een gebruiker.
  • Beveiligingscontroles in het product: beveiligingscontroles met een speciaal beveiligingspictogram op de hoofdinterface.
  • Op rollen gebaseerde gebruikersbeveiliging: de volgende mogelijkheden voor beveiliging voorafgaand aan de vergadering staan ter beschikking van de host van de vergadering:
    • Beveiligd aanmelden met standaard gebruikersnaam en wachtwoord of single sign-on via SAML
    • Een beveiligde vergadering starten met een toegangscode
    • Een beveiligde vergadering plannen met een toegangscode
  • Preventie van robocalls: er is een functie voor het screenen van oproepen geïmplementeerd waarmee gebruikers ongewenste robocalls kunnen beperken. Accounteigenaren en -beheerders kunnen de oproepscreeningsfunctie inschakelen op het niveau van de account, site, groep, gebruiker, gemeenschappelijke ruimte, automatische receptionist, oproepwachtrij en gedeelde lijn. Deze functie is standaard ingeschakeld en ontgrendeld voor de hele account.

 

Keuzes voor gegevensverwerking en -opslag
Zoom begrijpt dat onze klanten zelf hun datacenter willen kiezen waar bepaalde gegevens worden verwerkt of opgeslagen.

Gegevens in transit en in verwerking: Zoom routeert Meetings-klantgegevens die worden verzonden via haar wereldwijde netwerk van datacenters in collocatie en publieke datacenters in de cloud (inclusief Amazon Web Services ('AWS')-datacenters). De Zoom-diensten zijn zo ontworpen dat informatie die het Zoom-ecosysteem binnenkomt, door het datacenter wordt geleid dat zich het dichtst bij de gebruiker bevindt die de gegevens verstuurt of ontvangt.

Accounteigenaren en beheerders van betaalde accounts kunnen er op account-, groeps- of gebruikersniveau voor kiezen of specifieke datacenters van Zoom al dan niet worden gebruikt voor het verwerken van de realtime video, audio en gedeelde inhoud van deelnemers aan vergaderingen en webinars tijdens het hosten van vergaderingen en webinars. De datacenters in het land dat de regio ondersteunt waar een account is ingericht, worden vergrendeld en verwerking wordt als keuze aangeboden. Keuzes voor Zoom-datacenters gelden alleen als een account een vergadering of webinar host. Wanneer een account die een vergadering of webinar host zich heeft afgemeld voor een of meer datacenters, worden de realtime video-, audio- en gedeelde inhoudsgegevens van alle deelnemers aan vergaderingen en webinars alleen verwerkt door een Zoom-datacenter waarvoor toestemming is gegeven. Zoom kan echter verkeer tussen datacenters routeren met behulp van netwerkrouteringsprotocollen volgens de industriestandaard, terwijl het de verbindingen van het Zoom-privénetwerk doorkruist (zogenaamde edge-routing). Meer informatie is te vinden in dit Helpartikel.

Gegevensopslag: klanten kunnen de locatie voor gegevensopslag kiezen voor een deel van hun klantinhoud. Klantinhoud is informatie die door een klant wordt verstrekt door het gebruik van de Zoom-dienst, inclusief alle gegevens die een klant kiest om op te nemen of te delen tijdens een vergadering of webinar, inclusief bijvoorbeeld cloudopnames, transcripten van vergaderingen, transcripten van chats (tijdens de vergadering en permanent) en bestanden die worden uitgewisseld tijdens een vergadering of in het permanente chatkanaal.

Klantinhoud wordt standaard in de VS opgeslagen. Klanten met betaalde accounts mogen voor hun account de opslaglocatie kiezen voor een deel van hun klantinhoud. Alleen accounteigenaren, accountbeheerders of diegenen met de bevoegdheid van een klantaccountprofiel kunnen deze instelling wijzigen. Meer informatie is te vinden in dit Helpartikel. Houd er rekening mee dat de klantinhoud, accountgegevens en diagnostische gegevens nog altijd zijn opgeslagen in de VS.

 

Strikte protocollen voor het reageren op overheidsverzoeken om informatie
Zoom zet zich in om de privacy van gebruikers te beschermen en wij leveren alleen gebruikersgegevens aan overheden als reactie op geldige en wettige verzoeken, in overeenstemming met onze Handleiding overheidsverzoeken en relevante juridische beleidsregels.

In alle geografische regio's:

  • Overheidsverzoeken moeten worden uitgegeven onder de toepasselijke wet- en regelgeving en via officiële kanalen, waaronder het vereisen van een ondertekend officieel document of een e-mailverzoek verzonden via het officiële e-mailadres van een overheidsinstantie.
  • Elk verzoek moet expliciet zijn, niet te algemeen en moet een geldige rechtsgrondslag hebben. We zullen verzoeken afwijzen of betwisten als ze niet aan deze vereisten voldoen.
  • We zullen aanvullend onderzoek instellen voor bepaalde overheidsverzoeken om gebruikersinformatie op basis van onze principes en belang in het bevorderen van succesvolle samenwerking wereldwijd.

Als een verzoek te vaag is, zal Zoom de geldigheid van het verzoek betwisten om het spectrum van ingediende informatie tot een minimum te beperken.

Zoom stelt gebruikers doorgaans op de hoogte van overheidsverzoeken om informatie, inclusief een kopie van het ontvangen verzoek, tenzij het ons wettelijk verboden is de gebruiker op de hoogte te stellen. Verzoeken om uitzonderingen op kennisgeving aan de gebruiker moeten een beschrijving bevatten van de urgente omstandigheden of het mogelijke nadelige resultaat van de kennisgeving.

 

Meer transparantie

  • Transparantierapporten: Zoom publiceerde in december 2020 haar eerste rapport over het aantal ontvangen verzoeken van Amerikaanse en internationale autoriteiten (Government Request Transparency Report). We streven ernaar dat elk transparantierapport een verbetering is van het vorige. Ons meest recente Transparantierapport is  hier beschikbaar. Aanvullende Transparantierapporten worden beschikbaar gesteld in het Zoom-vertrouwenscentrum.
  • Meldingen in het product: Zoom wordt voortdurend bijgewerkt om functiespecifieke privacymeldingen in de Zoom-ervaring te integreren om gebruikers te helpen begrijpen, in context, wie de inhoud en informatie kan zien die ze delen op Zoom. Als een gebruiker bijvoorbeeld wil weten wie de berichten kan zien die hij/zij verzendt in de chatfunctie van Zoom, dan bestaat de functie 'Wie kan jouw berichten zien?' om te zien wie toegang heeft tot de berichten die worden gestuurd, evenals de privéberichten.

 

Zoom ontwerpt haar diensten met AVG-vereisten voorop
Zoom doet er alles aan om productfuncties te bouwen die in overeenstemming zijn met de AVG-vereisten en de bescherming te verbeteren van de persoonsgegevens die via onze services worden verwerkt. Raadpleeg voor meer informatie over onze gegevenspraktijken onze Privacyverklaring of je kunt een e-mail sturen naar privacy@zoom.us als je AVG-specifieke vragen hebt.