Zoom lost laatste privacyrisico's op voor gebruik in onderwijs

Zoom heeft zijn privacyvoorwaarden aangepast en gaat verschillende maatregelen nemen voor alle EU-gebruikers na een Nederlands onderzoek. Zo gaat Zoom de AI-assistent standaard uitschakelen voor Europeanen en stuurt het geen commerciële berichten meer naar gebruikers.

Zoom past het privacybeleid aan voor alle gebruikers in de Europese Economische Ruimte, schrijft onderwijskoepel SURF. Dat liet in 2022 een dataprivacyimpactassessment uitvoeren naar het gebruik van Zoom in het Nederlandse onderwijs. Toen bleek al dat Zoom meerdere risico's in zijn software oploste. De belangrijkste daarvan was dat Zoom data van Europese gebruikers alleen nog in Europese datacenters zou opslaan. Die maatregelen waren al doorgevoerd, maar er waren nog enkele kleine risico's in de software over. Die laatste heeft Zoom nu ook opgelost.

Veel van die kleine risico's draaien om het privacybeleid en de verwerkersovereenkomsten, schrijft Privacy Company, die het privacyonderzoek namens SURF uitvoerde. Zoom heeft onder andere duidelijker beschreven wat het verzamelt en waarvoor. Daarnaast is de bewaartermijn van gegevens verlaagd naar 7 tot 31 dagen na beëindiging van een account. Zoom brengt verder een tool uit waarmee beheerders verwijderverzoeken van gebruikers kunnen afhandelen en het bedrijf gaat 'geen ongevraagde commerciële berichten meer sturen naar accountgegevens van beheerders en eindgebruikers'.

Zoom brengt nog in de eerste helft van dit jaar een tool uit waarmee beheerders telemetriegegevens kunnen inzien. In de tweede helft van het jaar komt het bedrijf met een tool waarmee eindgebruikers hun eigen gegevens kunnen opvragen.

Met de nieuwe maatregelen voldoet Zoom volledig aan de Europese privacyregels. Daarmee kan Zoom definitief in het Nederlandse onderwijs worden gebruikt, schrijft Privacy Company. "Als de Nederlandse onderwijs- en onderzoeksinstellingen de aanbevolen maatregelen toepassen, zijn er geen bekende dataprotectierisico’s meer voor de gegevensbescherming voor de individuele gebruikers van de Zoom-videoconferentiediensten."

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 19-04-2024 09:48
40 • submitter: f4k

19-04-2024 • 09:48

40

Submitter: f4k

Lees meer

Bestanden verzonden met SURFfilesender waren inzichtelijk voor onbevoegden
Bestanden verzonden met SURFfilesender waren inzichtelijk voor onbevoegden Nieuws van 14 november 2024
Zoom laat organisaties webinars met maximaal 1 miljoen gebruikers hosten
Zoom laat organisaties webinars met maximaal 1 miljoen gebruikers hosten Nieuws van 19 augustus 2024
AP: onderwijs mag sociale media alleen inzetten na afspraken met bedrijven
AP: onderwijs mag sociale media alleen inzetten na afspraken met bedrijven Nieuws van 13 juni 2024
'EU opent onderzoek naar Meta over omgang met Russische desinformatie'
'EU opent onderzoek naar Meta over omgang met Russische desinformatie' Nieuws van 29 april 2024
Zoom gaat gebruikersdata in Europa opslaan na Nederlands privacyonderzoek
Zoom gaat gebruikersdata in Europa opslaan na Nederlands privacyonderzoek Nieuws van 17 maart 2022
Meer producten en artikelen
Privacy Zoom

Reacties (40)

-Moderatie-faq
40
39
25
1
0
11
Wijzig sortering

Sorteer op:

Weergave:
killercow 19 april 2024 09:59
Een andere route had kunnen zijn:

Onderwijs lost privacy problemen rond Zoom op door Jitsi servers te installeren en gebruiken.
MrDaViper @killercow19 april 2024 10:12
Dat kost dan weer geld voor de infrastructuur en know-how (dus mensen inhuren die ook weer geld kosten)
Beiden zaken waar elk onderwijs instelling hard nee tegen zegt.
kaaas @MrDaViper19 april 2024 10:21
Zoom is ook niet gratis. En reken maar dat alles na de basis school al een redelijke ICT afdeling heeft. Plus er zijn ook gewoon partijen waar je een dienst als jitsi kunt afnemen.
laurxp @MrDaViper19 april 2024 13:08
Klopt, maar dat is dus precies waar instanties als SURF voor bestaan.
MrDaViper @laurxp30 april 2024 12:54
In NL misschien wel, in Belgie heeft een school amper een IT afdeling en is die dan zelfs nog gedeeld over meerdere scholen.
Jitsi daartentegen kan je dan inderdaad wel gratis gebruiken, maar een externe dienst afnemen hebben Belgische scholen amper geld voor.
Cambionn @killercow19 april 2024 10:57
Ik zou het tof vinden! Maar ik vrees dat de overheid dan eerst een extra enorme zak geld aan het onderwijs moet geven, want die hebben momenteel gewoon echt geen budget voor IT'ers die zelf zulke servers onderhouden. Ik ben helemaal voor tho, als in geef dat geld daarvoor zodat het kan (met de voorwaarde dat het dan ook moet gebeuren).

Of nog beter, maak een Nederlands/Europees collectief die dit opzet en onderhoud voor scholen. Dan is het voor scholen net zo makkelijk als die cloud oplossingen, en hoef je niet te vrezen voor beveiligingsproblemen veroorzaakt doordat elke school het zelf moet uitzoeken (en dat geheid niet bij elke school goed gaat).
killercow @Cambionn19 april 2024 11:03
Das toch precies de missie van Surf?
"SURF is de ict-coöperatie van onderwijs en onderzoek"
Cambionn @killercow19 april 2024 11:26
Volgens mij heeft SURF niet een soort voorgehost Jitsi pakket voor scholen, of voorgehoste Office omgevingen. Ik zie wel dat ze cloudopslag aanbieden. Maar daarmee zijn ze er nog niet natuurlijk.

Momenteel lijken de meeste van hun diensten voornamelijk op achterliggende systemen te focussen, en niet op wat de scholieren gebruiken. Ik snap echter wel dat je ergens moet beginnen en ook dat je daar begint, maar voor scholen moet eigenlijk het geheel uit handen worden genomen en in de cloud het "gewoon doen", net zoals Google en Microsoft oplossingen dat doen. Die hebben namelijk niet de kennis en mankracht om dit zelf samen te voegen en te laten werken, en geen budget om dat wel te krijgen. Wel zou dat iets kunnen zijn dat SURF gaat aanbieden. En zodra dat goed werkt kan de overheid ook zeggen dat zo iets verplicht wordt. Maar dan is er nog wel werk aan de winkel voordat dat kan.
alwuzomondo @killercow19 april 2024 16:32
Of BigBlueButton, dat voor het onderwijs ontworpen en heeft een boel functies die niet in Jitsi of Zoom zitten.
LigeTRy @killercow19 april 2024 10:09
En daaropvolgend: Onderwijsinstelling geransomwared door outdated Jitsi servers
Frame164 @LigeTRy19 april 2024 11:01
Wat kost het om een team aan te nemen die dat in-house kan beheren?
foppe-jan @Frame16419 april 2024 11:08
als het via een landelijke stichting zou worden georganiseerd niet zoveel, als het lokaal wordt geregeld best wel wat. Schaal doet ertoe.
MacGyverNL @foppe-jan19 april 2024 12:56
Grappig dat je dat zegt, want exact dat hadden we. SURF heeft een pilot gedraaid en vervolgens hebben de universiteiten gezegd "nah, we hebben toch al Teams/Zoom". Middenin de coronacrisis. Zie https://communities.surf....len-snel-simpel-en-veilig
alwuzomondo @MacGyverNL19 april 2024 16:26
Idd ongelofelijk zonde dat ze daar mee gestopt zijn. Er is echt een enorm gebrek aan visie bij de inkopers en raden van bestuur. Gelukkig zijn er nog wel wat eilandjes waar ze het wel snappen: https://jitsi.ewi.tudelft.nl/
Dooxed @Frame16419 april 2024 11:07
Meer dan Zoom gebruiken.
Lucb1e @LigeTRy19 april 2024 21:07
We hebben in het begin van de pandemie onderzoek gedaan naar de veiligheid van Jitsi bij een standaardinstallatie per de instructies op hun website, op verzoek van een Duitse school die dat toen gingen gebruiken meen ik, en dat kwam behoorlijk goed uit de bus. Meen dat we niets of niet veel gevonden hadden

Niet te zeggen dat het daarom geen risico is, maar als dat de startsituatie is dan ben ik al een stuk minder bang voor dit soort problemen vergeleken met als je de data naar een Amerikaans bedrijf stuurt en van te voren al weet dat het niet helemaal geweldig is
LigeTRy @Lucb1e19 april 2024 21:44
Het meeste risico ligt vaak niet bij kwetsbaarheden die nu bekend zijn, maar bij degene die er nog gaan komen (zie bijvoorbeeld wat er gebeurde met log4j, ivanti, fortiSSL of Microsoft elke maand). Dat is ook waar ik probeerde mijn punt te maken.

Installatie zal (ook qua mankracht) niet veel voeten in de aarde hebben voor een systeembeheerder en prima veilig kunnen.
Het wordt lastiger wanneer er op eens op vrijdagavond een kwetsbaarheid uit komt, de systeembeheerder een weekje op vakantie is (of inmiddels is doorgestroomd).

Anno 2024 is video conferencing vaak een bedrijf kritisch stukje software. Als ik in de schoenen van een IT manager zou staan, zou ik dat voor die paar knaken lekker uitbesteden aan een bedrijf als Zoom (of ander commercieel bedrijf).

Neemt niet weg dat ik Jitsi een gaaf project vind, maar commercieel zou ik toch iets inkopen.
Lucb1e @LigeTRy19 april 2024 21:54
vaak een bedrijf kritisch stukje software
Je zei net dat het bedrijf 's weekends niet werkte, nu opeens zijn dat bedrijfskritische tijden? :P

Ik snap wat je zegt over dat het risico niet ligt bij wat er nu bekend is, maar dat probeer ik juist aan te geven: wij hebben gezocht naar nieuwe kwetsbaarheden en niks noemenswaardigs gevonden. Dat bewijst geen veiligheid, maar is wel een indicatie dat het goed in elkaar steekt. Er is vrijwel geen enkele test waar we zo weinig vinden als toen bij Jitsi. Opvallend genoeg zijn het de opensourceprojecten waar je het minst vindt, misschien dat de developers er meer tijd voor nemen of misschien dat de community elkaar meer helpt (veleogen-principe), weet niet, maar ik ben er minder bang voor dan wanneer je een gesloten systeem hebt draaien

Wat betreft grote kwetsbaarheden zoals log4j, die zie de beheerder ook wel in het nieuws en weet dan dat zij/hij updates moet draaien

[Reactie gewijzigd door Lucb1e op 22 juli 2024 17:04]

killercow @LigeTRy19 april 2024 10:17
Een hbo of universiteit kan prima zn eigen infra optuigen, als het daar al niet meer lukt, wat zijn we mensen dan in gods naam aan het leren. alleen nog maar hoe ze een cloud moeten dubbelklikken?
armageddon_2k1 @killercow19 april 2024 10:18
Ik snap niet helemaal de relevantie met wat ze op een HBO/Universiteit leren met wat de IT-afdeling zou moeten kunnen. Denk je dat ze op een universiteit waar ze geneeskunde onderwijzen dat IT-afdeling weet hoe ze een blinde-darm-operatie moeten doen?
kodak
@armageddon_2k119 april 2024 11:58
Een universiteit en hbo mag dan aparte kenniskringen hebben, zoals een faculteit gespecialiseerd in geneeskunde of economie, maar in veel gevallen brengen ze dat ook zelf in de praktijk. Of denk je dat de medische centra of eigen boekhouding alleen bestaan door of om het uitbesteden? En dat past men ook al jaren op ict toe. Dus het is een terecht punt dat men zelf open middelen toepast in plaats van commercie en uitbesteden te stimuleren die niet zomaar bijdragen aan het onderwijs zelf.
kodak
@Zeror19 april 2024 11:39
Aangezien het bedrijfsleven en gemeenschap nogal grote waarde hechtuit aan zowel de theoretische al practische kanten van ons IT-onderwijs gaat het eerder om de vraag of bestuur van het onderwijs liever anderen verantwoordelijk wil houden voor passende leermiddelen.
Tc99m @killercow19 april 2024 10:22
Een betere route is: Onderwijsinstellingen kunnen zelf een eigen keuze maken uit meerdere aanbieders voor videoconferencing die voldoen aan wet- en regelgeving rondom privacy en gegevensbescherming. Zoals nu dus gebeurt.
honey @Tc99m19 april 2024 11:09
Ik heb inmiddels ruime ervaring met heel veel van dit soort diensten, maar Zoom geeft toch wel de beste gebruikservaring. Ik kan me dus voorstellen dat Zoom graag gebruikt gaat worden. Met deze actie laat Zoom ook zien dat ze bereid zijn om naar gebruikers te luisteren.
PvdVen777 @honey19 april 2024 11:24
Zou je dan ook aan kunnen geven ongeveer opp welke punten ?

Vraag mij namelijk al enige tijd af waarom scholen geen gebruik maken van Google chat aangezien er op veel plekken al van de Google (classroom) suite gebruik wordt gemaakt.
honey @PvdVen77719 april 2024 16:09
Beeld en geluidskwaliteit. Functionaliteit.

Ik heb Zoom gebruikt tijdens Congressen en internationale scholingen zonder problemen. Met de andere diensten zijn er vaker problemen. Het kan toeval zijn, ik heb natuurlijk geen onderzoek gedaan. Ik denk dat deze gegevens misschien wel beschikbaar zijn.
Lucb1e @honey19 april 2024 21:15
Zoom geeft toch wel de beste gebruikservaring
Zoom is de enige partij die ik enkel kende van negatieve berichtgeving over beveiligingsblunders, tot het opeens een soortnaam was terwijl niemand het gebruikte. Andere pakketten zoals Jitsi of BigBlueButton hebben altijd perfect gewerkt in elke setup voor mij, geen idee waarom je dan voor iets als Zoom zou gaan. Of als je geen eigen setup wilt en het bedrijf achter Jitsi niet wil betalen maar liever big tech, dan heb je nog tal van opties als GMeet of WebEx die ook beide best oké werken zolang je een van de twee grote open source browsers gebruikt (soms wisselen ze nog wel eens in welke browser ze het beste werken of alle functies ondersteund worden). Alleen MSTeams moet heel specifiek in niet-Firefox gedraaid worden. Zoom eigenlijk geen ervaring mee, onze klanten (wat variëert van eenmanszaken tot beursgenoteerde multinationals) lijken dat niet te gebruiken, moest het alleen een keer gebruiken voor een sollicitatiegesprek en dat werkte net zo goed als alle andere

[Reactie gewijzigd door Lucb1e op 22 juli 2024 17:04]

killercow @Tc99m19 april 2024 11:02
Nadat ze 5 jaar lang zoom hebben gebruikt zonder dat dat door de beugel kon gezien de nu pas opgeloste privacy-issues.
My-life 19 april 2024 09:54
In plaats van buitenlandse diensten aan onze voorwaarden aan te laten passen zodat ze bijvoorbeeld in ons onderwijs gebruikt kunnen worden zou de EU moeten investeren in daadwerkelijk Europese alternatieven voor deze diensten. Als er ooit een situatie komt waarbij wij geen diensten van de US meer willen afnemen ligt het hele land plat, van onderwijs, naar overheden, bedrijfsleven tot entertainment.
Tc99m @My-life19 april 2024 10:29
Je doet het klinken alsof Europa er geld in heeft geïnvesteerd dat Zoom zijn diensten en voorwaarden aanpast. De EU heeft alleen wet- en regelgeving gemaakt (die ook voor diensten van EU bodem geldt). De keuze om hun diensten zo aan te passen dat ze voldoen aan Europese/Nederlandse wet- en regelgeving ligt helemaal bij Zoom zelf en zij betalen daar ook zelf voor.
Het een sluit het ander niet uit, het staat Europese softwareleveranciers ook vrij om een eigen dienst op te zetten, en Europese gebruikers om hiervoor te kiezen.
willieverhoef @My-life19 april 2024 10:29
Of je krikgt een opgedeeld Microsoft. 2 bedrijven welke compleet gescheiden zijn. Er zijn meer oplossingen voor dit probleem. Op zich is een data verzoek niet het probleem maar even langs de geheime dienst vh land zou wel prettig zijn.
nitrogen15 @My-life19 april 2024 10:33
Probleem is dat veel Europese initiatieven stranden of uiteindelijk worden opgeslokt. Bijvoorbeeld de ontwikkeling van Skype is ooit in Europa begonnen maar is nu eigendom van Microsoft. Europa mist vaak de boot doordat er minder durfinvesteerder zijn dan in Amerika. Zie dit artikel:
https://seedblink.com/nl/...lturen-in-europa-en-de-vs
Alxndr 19 april 2024 09:57
data van Europese gebruikers alleen nog in Europese datacenters zou opslaan.
Dit lees je vaak, maar in hoeverre maakt dit nu echt een verschil?

Als een buitenlandse overheid (Amerika/China) bedrijven als Microsoft of TikTok om data vraagt, kunnen die bedrijven volgens mij niet of moeilijk nee zeggen. Dan is binnen een minuutje de data toch gekopieerd? Ik bedoel, ongeacht de locatie heeft een bedrijf toch volledige toegang tot hun (eigen) data?
Quintiemero @Alxndr19 april 2024 10:00
Microsoft gaat al die beslissingen tot bij de rechter aanvechten en levert de data alleen als het dus absoluut moet. Althans, Microsoft en de Amazons gaan daar goed tegen in. Ze stellen hierover jaarlijks een rapport op. (13 keer van de 4400(0)) data geleverd even zo uit mn hoofd.
Alxndr @Quintiemero19 april 2024 10:58
Dus uiteindelijk, als de Amerikaanse(?) rechter ja zegt, gaan de data gewoon wel de grens over.

Maar waar het me meer op gaat is dat het een papieren (digitale) werkelijkheid is, want of je nu 'inbelt' vanuit de VS, of de EU, de servers/data zijn gewoon bereikbaar?
alwuzomondo @Quintiemero19 april 2024 16:38
Gag-orders mogen ze niets over zeggen. MS was idd aan het procederen tot aan de supreme court, die zaak hebben ze laten vallen omdat deze niet meer relevant was met het aannemen van de CLOUD-ACT, zie:
https://www.zdnet.com/article/supreme-court-drops-microsoft-data-privacy-case-but-the-battle-isnt-over/
Cambionn @Alxndr19 april 2024 10:50
Meestal valt het ook onder een Europese tak van het bedrijf, en dan kan de US tak er idd niet zomaar bij. Die moet dat dan bij de Europese tak opvragen, en die mag niks doen wat buitenwettelijk is in de EU. Iig is dat de theorie, of het in de praktijk nageleefd wordt is natuurlijk een tweede. Maar als het uitkomt dat dat niet gebeurd, kun je weer fixe boetes en dergelijke verwachten.

Daarnaast gaat het niet enkel om data geven aan de overheid. De regels omtrent wat ze zelf mogen doen met die data, inclusief kopiëren naar US maar ook omtrent het verwerken van, gebruiken voor en hoe de data beveiligd moet zijn, zijn ook heel anders dan hier. Er is een reden dat Meta een tijd terug steeds in het nieuws was omdat ze, ondanks dat het op dat moment niet mocht, manieren zochten om toch een kopie van EU data in de USA te krijgen ipv enkel in de EU.

Overigens heb je dit soort data over het algemeen niet in een minuutje gekopieerd van continent A naar continent B. Daar is het veel te veel data en te grote afstand voor. Maar ik ga er maar ff vanuit dat dat aangedikt is om een punt te maken ;) .
Morress 19 april 2024 11:28
De verschillen in cultuur van het Europese vaste land en Angelsaksische landen omtrend dit soort beslissingen blijven mij verbazen.
Ik werk voor een bedrijf in het VK, loop soms tegen rare fratsen aan.
Ruzor @Morress19 april 2024 13:06
Verklaar je nader

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq