Hoge privacyrisico’s bij gebruik van Zoom verholpen, maar lage risico’s niet

Naar aanleiding van een onderzoek dat in opdracht van de Nederlandse overheid en onderwijsorganisatie SURF werd uitgevoerd naar privacyrisico’s bij het gebruik van Zoom heeft de videobelsoftware alle hoge risico’s verholpen, maar zes lage risico’s zijn echter nog steeds aanwezig. Universiteiten en overheidsorganisaties kunnen deze risico’s grotendeels zelf oplossen.

Dat meldt de Haagse Privacy Company dat het onderzoek naar Zoom uitvoerde. Het onderzoek leverde negen hoge en drie lage privacyrisico’s op voor de mensen die Zoom gebruiken. Zo zag Zoom zichzelf niet als verwerker voor de persoonsgegevens van de education en enterprise klanten, miste er transparantie welke persoonsgegevens Zoom verwerkte, konden gebruikers hun rechten onvoldoende uitoefenen, verzamelde Zoom teveel gegevens en werden gegevens te lang door Zoom bewaard.

De onderzoekersresultaten en daarop volgende gesprekken tussen Zoom, SURF en de Privacy Company hebben ertoe geleid dat Zoom een groot aantal maatregelen heeft getroffen en toegezegd. De afspraken zijn vastgelegd in een nieuw contract, een nieuwe uitgebreide verwerkersovereenkomst en een ondertekend actieplan met tijdlijnen voor de afgesproken maatregelen.

Zo treedt Zoom nu feitelijk en formeel op als verwerker voor alle persoonsgegevens, gelden de privacy-afspraken ook voor gastgebruikers die deelnemen aan een vergadering die door een universiteit is georganiseerd, zegt Zoom alle persoonsgegevens eind dit jaar exclusief in Europese datacentra te zullen verwerken, heeft Zoom informatie gepubliceerd over de soorten persoonsgegevens die ze verwerkt, zijn veel bewaartermijnen aanzienlijk ingekort en gaat Zoom inzageportalen bouwen.

Lage privacyrisico’s

De hoge privacyrisico’s zijn door Zoom verholpen, maar zes lage risico’s zijn nog altijd aanwezig. Het gaat om toegang tot inhoudelijke gegevens door de Amerikaanse autoriteiten, doorgifte van agnostische, support en websitegegevens naar de VS, doorgifte van pseudonieme gegevens naar het Trust & Safety Team in de VS, gebrek aan transparantie over de account en diagnostische gegevens, hindernissen bij het uitoefenen van het inzagerecht en het personeelsvolgsysteem.

Universiteiten en instellingen kunnen deze risico’s grotendeels zelf oplossen, aldus de Privacy Company. “Als Zoom en de Nederlandse universiteiten en overheidsorganisaties alle overeengekomen en aanbevolen maatregelen toepassen, zijn er geen bekende grote risico’s meer voor de individuele gebruikers van de videobeldiensten van Zoom”, zo concludeert het onderzoeksbedrijf.

Privacy Company waarschuwt aanvullend voor het onderzoek dat Europese privacytoezichthouders naar het gebruik van clouddiensten uitvoeren. “Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Zoom alle gegevens in principe in Europese datacentra verwerkt, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Zoom diensten.”

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl