Veilig cloudgebruik: Zoom en SURF zorgen samen voor veiligheidsgordels en airbags
Zoom is populair in Nederland, maar kampte in 2020 nog met een negen privacy-issues. Inmiddels kan Zoom veilig gebruikt worden in het Nederlandse onderwijs en onderzoek: de Data Protection Impact Assessment (DPIA) op Zoom gaf aan dat het gebruik van Zoom’s videoconferencingdiensten geen hoge risico’s voor gebruikers meer met zich meebrengt.
Een mooi resultaat van een bijzonder publiek-privaat samenwerkingsproject. Daarvoor moesten wel een aantal hobbels genomen worden. SURF en Zoom zijn die uitdaging samen aangegaan.
Glory Francke is Europees en Amerikaans privacyjurist bij Zoom, en leidt vanuit Zoom de samenwerking met SURF: “Tijdens dit project hebben we een aantal intensieve werksessies gehad, online uiteraard. Door het grote tijdsverschil tussen Nederland en Seattle zaten we vaak tijdens het eten te vergaderen: wij aan het ontbijt, de SURF-medewerkers aan het diner. Dat laat heel mooi de bereidheid zien om samen tot een goed resultaat te komen. We zetten allemaal een stapje extra in dit bijzondere samenwerkingsproject”.
Want een bijzondere samenwerking kun je dit project van SURF en Zoom wel noemen. Het is al uitzonderlijk dat een Europese en een Amerikaanse partij zo nauw samenwerken op het gebied van privacy. Maar daarnaast is het ook een publiek-private samenwerking. Hoe kwam deze tot stand en wat was het resultaat?
Videoconferencing populair tijdens corona
Het begon eigenlijk allemaal in maart 2020. Precies: aan het begin van de coronacrisis. Toen explodeerde de vraag naar videoconferencingdiensten. In het Nederlandse onderwijs steeg het gebruik van Zoom snel. Dat leidde tot vragen over de privacybescherming: beschermde Zoom de data van Europese gebruikers wel voldoende?
In eerste instantie kwamen SURF en Zoom tot tijdelijke afspraken. Vervolgens startte SURF in oktober 2020 samen met de overheid een DPIA. De DPIA werd uitgevoerd in samenwerking met Privacy Company, een adviesbureau op het vlak van privacy en gegevensbescherming.
Wat is een DPIA?
DPIA staat voor Data Protection Impact Assessment. Het is een instrument om privacyrisico’s van een gegevensverwerking voor gebruikers (bijvoorbeeld door applicaties als Zoom) in kaart te brengen. En om vervolgens maatregelen te nemen om die risico’s te verkleinen. Uit de Algemene Verordening Gegevensbescherming (AVG) volgt dat een DPIA wettelijk noodzakelijk is als er waarschijnlijk sprake is van een hoog risico voor gebruikers, zoals bij grootschalige verwerking van persoonsgegevens of gevoelige persoonsgegevens.
Eerste DPIA
Sandy Janssen, projectleider vanuit SURF: “Voor deze eerste DPIA hebben we een aantal gesprekken gevoerd met Zoom. In de DPIA hebben we de privacyrisico’s voor gebruikers in kaart gebracht die het gebruik van Zoom met zich meebrengt. Dit leidde in mei 2021 tot het advies aan de SURF-leden om terughoudend te zijn bij het gebruik van Zoom en de dienst niet te gebruiken voor het verwerken van gevoelige gegevens. Er zaten te veel hoge privacyrisico’s voor gebruikers aan en er was onvoldoende vooruitzicht dat Zoom de gevonden risico’s zou oplossen.”
Glory: “Die gesprekken waren het begin van de samenwerking tussen SURF en Zoom. Ik was net in dienst bij Zoom en kreeg te maken met allerlei moeilijke vragen van de privacy-experts van Privacy Company, over onze dataverwerking. Als privacyjurist zag ik al die vragen eigenlijk meteen als iets positiefs: als de Nederlandse overheid een DPIA uitvoert, weet je dat ze geïnteresseerd zijn in je product. Maar niet iedereen binnen ons bedrijf dacht er zo over: sommigen zagen de DPIA als een audit door een toezichthouder.”
Meer transparantie nodig
Dat werd niet minder toen de eerste DPIA negatief uitpakte voor Zoom. Sandy: “Het belangrijkste privacyrisico lag in de verwerking van persoonsgegevens: Zoom opereerde voor de meeste data als verwerkingsverantwoordelijke, maar zou als gegevensverwerker moeten optreden. Daardoor hadden instellingen die Zoom gebruikten, minder controle over de data van de gebruikers. Verder moest Zoom transparanter worden over welke data ze verwerkten en voor welk doel. Een ander issue was dat de data in de Verenigde Staten werden opgeslagen.
"Als privacyjurist zag ik de moeilijke vragen van Privacy Company eigenlijk meteen als iets positiefs."
Groot geschenk
Met de eerste DPIA had Zoom een aantal concrete verbeterpunten in handen. “De DPIA was een groot geschenk voor ons”, legt Glory uit. “Deze DPIA liet zien dat we nog niet transparant genoeg waren. Ik kon ons management ervan overtuigen dat we dit op orde konden krijgen door met SURF samen te gaan werken. Als bedrijf hebben we er geen belang bij om data op te slaan. Voor onze inkomsten zijn we bijvoorbeeld niet afhankelijk van advertenties, zoals sommige andere aanbieders in de markt. We willen het goed doen, maar konden daarbij nog wel wat hulp gebruiken.”
Zo startte het project om een nieuwe DPIA op Zoom uit te voeren. Voor deze DPIA had SURF de leidende rol overgenomen van de Nederlandse overheid. Privacy Company leverde weer de privacy-experts die ondersteunden bij het onderzoek. Sandy: “We waren heel blij dat Glory haar collega’s ervan heeft kunnen overtuigen om de samenwerking met SURF te starten. Zoom zag de DPIA niet meer als een audit, maar als een mogelijkheid om te leren wat de AVG vereist, en hoe je je product zo kunt aanpassen dat het de privacy van Europese gebruikers optimaal beschermt.”
Werksessies in collegiale sfeer
Vanaf november 2021 hielden Zoom en SURF intensieve werksessies, waar ook de privacy-experts van Privacy Company bij aanwezig waren. In die sessies kwam de grotere issues natuurlijk aan bod, zoals de rolduidelijkheid en transparantie. Maar ook details werden niet uit het oog verloren, denk aan het gebruik van cookies.
“Het was heel mooi om te zien hoe toegewijd de mensen bij Zoom waren aan dit project,” aldus Sandy. “Toen ze eenmaal toestemming van het management hadden om de samenwerking te starten, voelde het niet meer alsof we tegenover elkaar zaten, maar werkten we – in een welhaast collegiale sfeer – samen toe naar een oplossing.”
Die toewijding blijkt trouwens ook uit het feit dat Zoom veel capaciteit vrijmaakte voor dit project. Glory: “We hebben dit bedrijfsbreed aangepakt. Collega’s van verschillende disciplines hebben we betrokken bij dit project om tot goede oplossingen voor de issues te komen: juristen, technische mensen, enzovoort. Die namen allemaal deel aan de werksessies. Voor het implementeren van de oplossingen hebben we capaciteit vrijgemaakt en processen in de bedrijfsvoering anders ingericht.”
"Het was heel mooi om te zien hoe toegewijd de mensen bij Zoom waren aan dit project."
Leren hoe je de AVG toepast
De AVG is nieuw, en het is een Europese wet. Daardoor liep Zoom tegen uitdagingen aan bij het implementeren ervan. Glory: “De AVG is een principle-based wet. Een van de principes is bijvoorbeeld dat je privacy-by-design moet toepassen bij het ontwikkelen van je producten. Dat maakt de wet flexibel, maar stelt ons wel voor de vraag hoe we die principes moeten toepassen in onze producten. SURF heeft ons geweldig geholpen om de AVG toe te passen, en zo onze producten beter te laten aansluiten bij wat onze klanten willen.”
Door de samenwerking met SURF, heeft Zoom inmiddels een groot aantal issues opgelost. Zo is Zoom transparanter over hoe ze data verwerken en is er inmiddels een verwerkersovereenkomst afgesloten. Ook is Zoom voor veel persoonlijke data van gebruikers inmiddels verwerker en maken ze ook beter duidelijk wanneer ze gegevensverantwoordelijke zijn, en wanneer verwerker. Verder heeft Zoom toegezegd per eind 2022 vrijwel alle persoonsgegevens van Europese gebruikers in Europa te verwerken en wordt er een support center in Europa ingericht. Ook bij het verlenen van klantondersteuning worden immers data verwerkt. Zoom heeft de beveiliging van videogesprekken ook verbeterd, onder andere door de introductie in oktober 2020 van end-to-end encryptie, als optie in Zoom Meetings.
Tweede DPIA: geen hoge risico’s voor gebruikers meer
Dit alles heeft in maart 2022 geleid tot de publicatie van de tweede DPIA op Zoom, op basis waarvan SURF een positief advies gaf voor het gebruik van Zoom-producten. SURF vindt dat Zoom voldoende aanpassingen heeft gedaan in de privacy-afspraken voor alle Education- en Enterprise-gebruikers in Europa. Ook voor hoogvertrouwelijke communicatie en gevoelige persoonsgegevens.
Sandy: “Instellingen kunnen met Zoom nu de verwerkersovereenkomst afsluiten die we hebben opgesteld in dit project. Ook kunnen de instellingen de DPIA gebruiken voor hun eigen beoordeling van de privacyrisico’s voor gebruikers. Ze kunnen dat doen door als vervolg op het werk van SURF, zelf te bepalen of Zoom de risico’s voldoende gemitigeerd heeft. Instellingen blijven immers zelf verantwoordelijk voor de privacy van hun medewerkers en studenten. SURF helpt daarbij, door het contact met de leverancier te onderhouden en door informatie te bieden aan de instellingen, zoals de DPIA met bijbehorende documentatie.”
“Ga samenwerking aan”
Glory: “We zijn dankzij de vruchtbare samenwerking met SURF zover gekomen. Andere dienstaanbieders die met een DPIA te maken krijgen, zou ik dan ook van harte aanraden: zie de partij die de DPIA uitvoert niet als vijand, maar ga de samenwerking aan! Zie het als een leerproces. Aan het begin van de twintigste eeuw was de auto in opkomst, maar waren er nog geen veiligheidsgordels en airbags. Die kwamen pas later. Zo zie ik het werken aan een DPIA ook: door dit soort projecten maken we onze diensten steeds veiliger en betrouwbaarder.”
"Door goed samen te werken kun je tot een voor alle partijen bevredigende oplossing komen."
Iedereen tevreden
Ook Sandy kijkt met een goed gevoel terug op het DPIA-project met Zoom. “Hier in Europa vragen we ons soms af of we niet beter kunnen stoppen met het gebruiken van Amerikaanse diensten. De samenwerking op het vlak van privacybescherming loopt immers vaak moeizaam. Dit project laat zien dat het wel kan: door goed samen te werken kun je tot een voor alle partijen bevredigende oplossing komen. Dat zie je hier ook: wij zijn blij want onze instellingen kunnen Zoom, een populaire tool, nu veilig gebruiken. Een bijkomend voordeel van deze aanpak is dat er op deze manier al heel veel voorwerk is gedaan: de instellingen kunnen de DPIA gebruiken om de risico’s voor hun eigen gebruikers te beoordelen. Dit is veel efficiënter dan dat elke instelling zelf een volledige DPIA moet uitvoeren. En Zoom is blij want het gebruik van hun videoconferencingdienst kent geen hoge risico's voor gebruikers meer.”
Hoe verder?
Met deze tweede DPIA stopt de samenwerking tussen Zoom en SURF niet. Glory: “Zoom is een aantal oplossingen nog aan het implementeren, mijn collega’s zijn daar druk mee bezig. We zullen bij SURF regelmatig checken of nieuwe productfeatures voldoen aan de afspraken die in de DPIA gemaakt zijn.” Ook daarna blijven SURF en Zoom met elkaar in gesprek, want compliance is geen eenmalige zaak. Processen, producten maar ook wet- en regelgeving kunnen veranderen waardoor nieuwe afspraken nodig zijn.
Meer informatie
tekst: Jan Michielsen