Zoom gaat gebruikersdata in Europa opslaan na Nederlands privacyonderzoek

Zoom heeft een aantal wijzigingen doorgevoerd in zijn software en privacybeleid waardoor het programma voortaan veilig kan worden gebruikt in het onderwijs en bij de overheid. Het bedrijf heeft na een Nederlands onderzoek de voorwaarden voor alle Europese gebruikers aangepast.

Onderwijskoepel SURF vroeg het Nederlandse bedrijf Privacy Company een data protection impact assessment uit te voeren voor videobelsoftware Zoom. Ook het Strategisch Leveranciersmanagement Rijk van de Nederlandse overheid vroeg om zo'n dpia. De organisaties wilden in kaart brengen of het gebruik van Zoom binnen het onderwijs en de overheid voldoet aan de AVG. In mei vorig jaar concludeerde Privacy Company dat dat niet het geval was, maar nu Zoom naar aanleiding van die dpia aanpassingen heeft gedaan, voldoet het gebruik wel aan de privacywet.

Uit het onderzoek bleek dat er grote risico's zaten aan het gebruik van de software. Zoom heeft nu onder andere vastgelegd dat gegevens van gastgebruikers niet kunnen worden gebruikt voor commerciële doelen. Ook is de verwerkingsovereenkomst aangepast zodat de bewaartermijn beter wordt uitgelegd, en het bedrijf gaat duidelijker beschrijven welke gegevens het verzamelt.

Er komen ook praktische oplossingen, waarvan de belangrijkste de opslag van data van Europese gebruikers betreft. Zoom gaat voor het eind van dit jaar alle persoonsgegevens van Europese klanten in Europese datacenters opslaan. Ook komt er een Europese helpdesk.

Toch zijn er nog steeds risico's waarbij Amerikaanse inlichtingendiensten gegevens van gebruikers kunnen opvragen. Privacy Company schat die echter laag in, omdat gebruikers redelijke maatregelen kunnen nemen om dat te voorkomen. Zo kunnen ze eind-tot-eindversleuteling aanzetten, opnamen lokaal aanmaken en hun privacyinstellingen aanpassen. De onderzoekers raden ook aan single sign-on in te stellen. "Als Zoom en de Nederlandse universiteiten en overheidsorganisaties alle overeengekomen en aanbevolen maatregelen toepassen, zijn er geen bekende, grote risico's meer voor de individuele gebruikers van de videobeldiensten van Zoom", schrijft het bedrijf.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-03-2022 13:40 21

17-03-2022 • 13:40

21

Lees meer

AP: onderwijs mag sociale media alleen inzetten na afspraken met bedrijven
AP: onderwijs mag sociale media alleen inzetten na afspraken met bedrijven Nieuws van 13 juni 2024
Zoom lost laatste privacyrisico's op voor gebruik in onderwijs
Zoom lost laatste privacyrisico's op voor gebruik in onderwijs Nieuws van 19 april 2024
Zoom lost kritiek beveiligingslek in updatetool van macOS-app op
Zoom lost kritiek beveiligingslek in updatetool van macOS-app op Nieuws van 15 augustus 2022
Advies aan Nederlandse overheid: gebruik MS Teams niet voor gevoelige informatie
Advies aan Nederlandse overheid: gebruik MS Teams niet voor gevoelige informatie Nieuws van 22 februari 2022
Ministers van Onderwijs: Google past onderwijssoftware voor begin schooljaar aan
Ministers van Onderwijs: Google past onderwijssoftware voor begin schooljaar aan Nieuws van 9 juni 2021
Google en de overheid: hoe doe je daar privacyonderzoek naar?
Google en de overheid: hoe doe je daar privacyonderzoek naar? Nieuws van 3 maart 2021
Meer producten en artikelen
Privacy Zoom algemene verordening gegevensbescherming

Reacties (21)

-Moderatie-faq
21
21
10
2
0
11
Wijzig sortering
CAPSLOCK2000
17 maart 2022 14:26
Het is een indrukwekkend stuk werk wat heel goed uitgevoerd lijkt te zijn. Toch ben ik er een beetje bang voor omdat het heel makkelijk is om verschillende conclusies te trekken.
Je kan op grond van dit document zeggen dat er een aantal privacy bezwaren zijn waardoor je Zoom niet mag gebruiken. Je kan echter ook lezen dat de risico's beperkt zijn en dat Zoom dingen gaat verbeteren.
Je kan ook lezen dat je zelf maatregelen kan treffen om het beter te maken.

Maar dat zal wel moeten gebeuren en daar zie ik het in praktijk fout gaan.
Mensen zullen zien "het kan" en concluderen "het mag", zonder ooit te controleren of de benodigde aanpassingen ook zijn gedaan, zelf of door Zoom.

Een aantal van de aanbevelingen is ook afhankelijk van de medewerking van alle gebruikers en mensen zijn nu eenmaal vergeetachtig en gemakzuchtig en foutgevoelig.

Dan is het nog zo dat een aantal van de aanbevelingen nogal botsen met hoe mensen Zoom (willen) gebruiken. Hoe realistisch zijn de volgende punten in praktijk?
- camera uitschakelen,
- geen persoonsnamen gebruiken,
- niet de webversie gebruiken,
- private chat uitschakelen,
- iedereen (behalve de spreker) altijd op mute zetten,
- alleen gebruiken voor "niet gevoelige informatie",
- do not use default mail provider.

Sommige punten zullen meestal wel goed gaan maar andere punten zie ik in praktijk niet gebeuren.
Floort
@CAPSLOCK200017 maart 2022 14:33
Dankjewel. M.b.t. je zorg kan ik je misschien geruststellen met een citaat uit het persbericht van SURF:
Samen met SURF heeft Zoom een stappenplan opgesteld waarin alle afgesproken maatregelen zijn opgenomen voor verbeterde gegevensbescherming. SURF en Zoom zullen iedere twee maanden overleggen en de voortgang documenteren.
CAPSLOCK2000
@Floort17 maart 2022 17:03
Dankjewel. M.b.t. je zorg kan ik je misschien geruststellen met een citaat uit het persbericht van SURF:
Dat helpt wel, maar het is niet helemaal wat ik bedoel. Ik geloof helemaal dat SURF hier achter aan gaat en zorgt dat de beloftes worden nagekomen, voor wat betreft de dingen die ZOOM kan doen. Daar zit mijn zorg dan ook niet. SURF is sowieso zelden mijn zorg en juist ver boven gemiddeld goed in dit soort dingen.

Mijn zorg is dat (andere) mensen er van uit gaan dat
a). deze aanpassingen al zijn gedaan en dat Zoom dus per direct inzetbaar is. Dat is geen kritiek op SURF of ZOOM maar op mensen in het algemeen, het heeft dus ook niks te maken met de inhoud van de veranderingen of de problemen;
b). de aanpassingen die ze zelf moeten doen wel door iemand anders gedaan zullen worden;
c). je met beleid "normaal" gedrag kan veranderen. zoals het advies om de webversie niet te gebruiken. Ik snap dat dit geen eis is maar een suggestie, maar ik denk niet dat veel mensen daar iets mee gaan doen. Als puntje bij paaltje komt doen ze het toch, liever het beleid schenden dan de vergadering missen.
Floort
@CAPSLOCK200017 maart 2022 17:17
Die zorg begrijp ik. Ik heb dan ook het liefst technische of contractuele maatregelen en voor maatregelen die optioneel zijn heb ik die het liefst by default goed. In de praktijk is dat helaas niet altijd haalbaar en daarom bevatten onze DPIAs meestal risico-tabellen met twee kolommen voor maatregelen: die voor de verantwoordelijke en voor de leverancier. We hebben nu gedaan wat de meeste klanten van Zoom niet voor elkaar krijgen: Zoom verbeteren. En we hebben geadviseerd over wat we niet kunnen doen maar de klanten van Zoom wel. Ik hoop dat bijvoorbeeld de FG's die weten hoe DPIAs werken hier naar kijken en controleren of hun eigen organisaties er goed mee omgaan.
robertlinke @CAPSLOCK200017 maart 2022 14:41
daarvoor kan je policies automatiseren en compliance afdwingen met autoinstalls etc.
het is te doen, als de IT afdeling niet alleen maar eerste lijns support geeft
Anoniem: 715452 @CAPSLOCK200017 maart 2022 16:21
Die assesment had vooraf uitgevoerd moeten zijn. Beetje mosterd na de maaltijd….
dimdek @CAPSLOCK200018 maart 2022 14:32
Inderdaad. Exact hetzelfde als Google Workspace for Education (G Suite) nu ongewijzigd door veel scholen wordt gebruikt nadat Surf en Sifon afgelopen zomer met Google hadden overlegd en geconcludeerd dat het weer gebruikt zou mogen worden mits... (een lijst aan maatregelen).
CAPSLOCK2000
@dimdek18 maart 2022 15:39
Inderdaad. Exact hetzelfde als Google Workspace for Education (G Suite) nu ongewijzigd door veel scholen wordt gebruikt nadat Surf en Sifon afgelopen zomer met Google hadden overlegd en geconcludeerd dat het weer gebruikt zou mogen worden mits... (een lijst aan maatregelen).
Precies, ik had geen beter voorbeeld kunnen bedenken. Alles en iedereen is het gewoon blijven gebruiken en ik heb nog van niemand gehoord dat ze echt aanpassingen hebben gedaan. Ze zijn er vast hoor maar management gaat er van uit dat IT het wel zelfstandig regelt terwijl IT niet eens op het idee komt. Google is uitbesteed dus ga het maar aan Google vragen. IT weet best dat de situatie niet klopt maar dat was altijd al zo, daar hadden ze die DPIA niet voor nodig. Zo'n DPIA is voor de management laag die niet naar de werkvloer wil luisteren.

Ik ken wel een organisatie die bij het lezen van het rapport heeft gezegd "we stoppen met Google" maar in praktijk betekent dit alleen dat de voor Google verantwoordelijke IT'er een andere functie heeft gekregen en er nu zelfs geen functioneel beheerder meer is om aanpassingen te doen.
Officieel is de belofte nog steeds dat we gaan stoppen met Google. Maar niet met Youtube, en niet met Google Analytics, en niet met Google zoeken, etc....
robertlinke 17 maart 2022 13:50
De onderzoekers raden ook aan single sign-on in te stellen.
ik denk dat hier Multi-factor authentication word bedoeld? of is er een security voordeel van SSO die ik niet ken?

EDIT: dit gaat niet om losse accounts, maar batches van bedrijfsaccounts die aan Active Directory/Azure hangen, en dan kan je met SSO je bedrijfs accounts gebruiken, en dan is het wel veiliger.

[Reactie gewijzigd door robertlinke op 24 juli 2024 19:54]

Floort
@robertlinke17 maart 2022 13:53
Het voordeel van SSO is dat je als organisatie meer controle hebt over welke accountgegevens van je gebruikers door Zoom worden verwerkt. Zo kan je o.a. data-minimalisatie maatregelen nemen.
dennizzz @Floort17 maart 2022 14:13
Niet alleen dataminimalisatie, maar ook accounts van mensen die uit dienst gaan. Bij ons zit AD gekoppeld aan de personeelsadministratie. Als iemand uit dienst gaat, wordt zijn AD-account automatisch gedeactiveerd. Met SSO kan die persoon dan ook niet meer inloggen op de SaaS-dienst. Heb je dat niet, dan moet je zelf actie ondernemen om het account daar dicht te zetten (of daar óók apart mee koppelen met de administratie). Ook kun je MFA beter inrichten, geen aparte TOTP-codes per site, alleen die van je AzureAD/ADFS
Floort
@dennizzz17 maart 2022 14:24
Voor het volledige antwoord verwijs ik naar de DPIA, maar er zitten ook nog wat voordelen aan in combinatie met het gebruik van een vanity domain.
robertlinke @Floort17 maart 2022 14:06
oh, als in Single sign on voor AD accounts, dat is ergens wel logisch, had er niet eens aan gedacht dat je dat kon linken met ADFS of azure AD
CAPSLOCK2000
@robertlinke17 maart 2022 17:20
SSO heeft verschillende voordelen.

Het voor de hand liggende voordeel is dat je maar 1 username/wachtwoord nodig hebt voor alles wat je doet. Een moderne werknemer gebruikt tientallen applicaties. Voor iedere applicatie een apart wachtwoord bijhouden, en eens per jaar wijzigen, wordt snel omslachtig en dan gaan mensen onverstandige dingen doen zoals simpele of dubbele wachtwoorden gebruiken.
Mocht het toch een keer fout gaan dan kun je in één keer je ene wachtwoord voor al die applicaties veranderen of helemaal blokkeren.

Een ander voordeel is dat gebruikers altijd dezelfde login-pagina zien en dus niet hoeven te raden welke username/wachtwoord ze nu ook al weer nodig hebben. Je kent vast de situatie dat je het wachtwoord van de ene website probeert te gebruiken op een andere website. Eigenlijk heb je dan je wachtwoord gelekt en moet je het veranderen. Een standaard login pagina helpt op die manier ook tegen phishers en man-in-the-middle aanvallen. Als een gebruiker zich laat verleiden om een foute link te volgen dan valt hopelijk op dat de inlog-pagina niet klopt en slaat de gebruiker alarm.

Als je MFA wil kan je dat ook toevoegen aan je SSO en dan hebben alle applicaties die SSO gebruiken op eens ook MFA.

Misschien wel het belangrijkste voordeel is dat je wachtwoord nooit verder gaat dan de aanmeldsystemen van je eigen organisatie. Partners en leveranciers hebben geen wachtwoorden voor je gebruikers want dat gaat allemaal via je eigen SSO-server. Als een partner gehacked wordt zijn er geen wachtwoorden die gestolen kunnen worden.

extra:
In het onderwijs, waar we het hier over hebben, doen ze ook nog aan federatief inloggen, daarmee zijn de SSO-systemen van verschillende universiteiten gekoppeld via een centraal punt. Leveranciers (van software diensten) zoals Microsoft en Zoom zijn ook aangesloten. Met een enkel vinkje kun je koppelingen leggen zodat al je gebruikers via je eigen systeem in kunnen loggen op zo'n dienst. Als je persoonsgevens moet delen (zoals je gebruikersnaam of e-mail-adres) kan dat ook allemaal via dat centrale punt en omdat het een neutraal punt is kun je daar ook controleren wat er dan precies wel of niet wordt doorgegeven.
beerse @robertlinke17 maart 2022 14:38
Waarschijnlijk/ongetwijfeld beide. En bij zo'n organisatie dan ook gekoppeld: Als je werkt in een omgeving van de zaak dan zit de identifier van de zaak er al op, inclusief daar al ingestelde mfa. Dan kan je met single-sign-on en daarmee dus het zelfde account en de identifier van de omgeving zonder iets te doen toch automatisch ook met mfa koppelen. De multi factor stond al klaar: je account naam, je 'ingelogd zijn' identifier (toen je inlogde met mfa) en de identifier van de omgeving zelf (het gekoppelde domein of zo iets).

Met als voordeel bij sso dat je niet (in ieder geval niet makkelijk) gebruik kan maken van een ander account, dat mogelijk wel gecompromitteerd is.
MischaBoender @robertlinke17 maart 2022 14:46
Je hoeft een stuk minder account beheer te doen met SSO. Het is bijvoorbeeld niet nodig om wachtwoorden te managen aan de kant van Zoom. Authenticatie handel je zelf af en je geeft alleen een "JA" of "NEE" terug aan Zoom. Gaat iemand uit dienst? Dan disable je alleen het account in jouw identity platform en hoef je niet meer te denken aan het disablen van het account in Zoom.
The Zep Man
17 maart 2022 15:00
Toch zijn er nog steeds risico's waarbij Amerikaanse inlichtingendiensten gegevens van gebruikers kunnen opvragen. Privacy Company schat die echter laag in, omdat gebruikers redelijke maatregelen kunnen nemen om dat te voorkomen. Zo kunnen ze eind-tot-eindversleuteling aanzetten, opnamen lokaal aanmaken en hun privacyinstellingen aanpassen.
Waarom staat dat standaard niet aan?
d_marf @The Zep Man17 maart 2022 16:01
Ik weet bij Teams dat het zo was dat er dan geen recording van een sessie gemaakt kon worden... zal me niet verbazen als dat hier ook zoiets is...
mananddog @The Zep Man18 maart 2022 10:29
- Dan kunnen er nog maar 200 deelnemers in een sessie i.p.v. 300
- Ook was het eerst zo dat breakout rooms dan niet meer werken (weet niet of dat nu ook nog het geval is), maar die zijn voor het onderwijs wel belangrijk.
- bepaalde andere functionaliteiten werkten dan niet meer, chat e.d.

Maar Zoom is dusdanig snel in ontwikkeling dat dit nu alweer helemaal anders kan zijn.
Godson-2 17 maart 2022 16:11
End-to-end encryptie is geen panacee als de Amerikaanse overheid het bedrijf kan sommeren om een aparte binary naar jouw computer te uploaden die de versleuteling omzeilt of de sleutels opstuurt.

Steeds meer regeringen nemen wetgeving in gebruik die dit mogelijk maken. Australië heeft dit bijvoorbeeld al en het VK volgens mij ook.

Volgens mij zijn alleen client-side E2EE oplossingen veilig, zoals PGP etc.

[Reactie gewijzigd door Godson-2 op 24 juli 2024 19:54]

gundenium 19 maart 2022 07:31
Wat een milde en puur op zoom gerichte reacties.

Had zoom zijn servers in Turkije of Rusland staan, waren de tweakende henk en ingridjes aan het schuimbekken over President Erdogan/Putin en al hun onderbuik gevoelen.

Gaat het om een land die niks geeft om mensen rechten, alles wat los en vast staat hackt, steelt, in zit te graaien en anders wel als collateral damage weg streept.


Zero Biden regime, dictator roep voor boycot, sancties etc etc etc

Altijd die angst om de Amerika en israel op hun plek te zetten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq