Noot: dit artikel is onafhankelijk van Zoom geschreven. We richten ons specifiek op Zoom, omdat het gebruik van deze belapplicatie enorm is toegenomen in de laatste maand, de app veel in het nieuws is en we deze nu zelf gebruiken voor onze online events.
Ik ga in op twee aspecten:
1. Hoe gaat Zoom om met privacy en security?
2. Welke invloed heb je zelf op de privacyvriendelijkheid van Zoom?
1. Hoe gaat Zoom om met privacy en security?
Verschillende experts uiten hun zorgen over de manier waarop Zoom met gegevens van haar klanten omgaat. Daarbij is met name aandacht voor het delen van data door Zoom met derde partijen. Het bedrijf kwam vorige week in opspraak omdat ze data van gebruikers zou delen met Facebook. Dit werd onder andere mogelijk gemaakt door de ‘Inloggen met Facebook’-functionaliteit, waarbij zelfs niet-Facebookgebruikers werden onderworpen aan deze datadeling.
Zoom heeft op 29 maart 2020 haar privacy statement aangepast. Wat hier opvalt:
- Zoom is heel duidelijk: zij verkopen geen data van hun gebruikers. Wel delen zij persoonsgegevens met Google Analytics en Google Ads, maar alleen wanneer je hun website bezoekt en hier toestemming geeft voor de advertentiecookies. Er zitten geen advertentiecookies of een andere trackingtechnologie in de applicatie zelf.
- Zoom is gestopt met het delen van data met facebook.
- Zoom is Privacy Shield en SOC2 type II gecertificeerd. Dit geldt als een goede privacystandaard voor een Amerikaanse dienstverlener.
Met deze recente wijzigingen lijken de zorgen op AVG-gebied mee te vallen. Uiteraard geeft een privacy statement geen garantie dat de bedrijfsvoering bij Zoom intern daadwerkelijk zo is ingericht. Het is aan de verantwoordelijke om te beoordelen of het aanvaardbaar is om hier vanuit te gaan.
Daarnaast zijn voor een verwerker de beveiligingsmaatregelen ontzettend belangrijk. Ondanks de SOC2 type II certificering worden hier wat vraagtekens bij gezet. Zodanig zelfs, dat Amerikaanse justitie een onderzoek start naar de applicatie. Zoom zou te traag zijn bij het opsporen van lekken in de beveiliging. Dit zou toegang bieden voor hackers die bijvoorbeeld toegang tot je webcam kunnen verkrijgen of doen aan het zogenaamde “Zoombombing”. En waar Google Hangouts en Microsoft Teams open is over tot hen gerichte dataverzoeken van inlichtingendiensten, zegt Zoom hier niets over in hun privacy statement.
Bovenstaande baart enige zorg, waardoor je bij het gebruik van Zoom de risico’s moeten afwegen en inperken.
2. Welke invloed heb je zelf op de privacyvriendelijkheid van Zoom?
De meeste privacyzorgen met betrekking tot Zoom gaan over een aantal features die het voor de organisator van een call (‘host’) mogelijk maken om aanvullende gegevens te verzamelen. Die zorgen kun je voor je eigen organisatie en deelnemers aan je videocalls wegnemen door duidelijk te zijn over je gebruik van die features. In deze paragraaf beschrijven we welke stappen je kunt doorlopen om op een zo veilig en privacyvriendelijk mogelijke manier gebruik te kunnen maken van Zoom.
Als deelnemer én host:
- Vraag je goed af wat je gaat bespreken tijdens de videocall. Wanneer het gaat om hele bedrijfsgevoelige gegevens kun je overwegen om gebruik te maken van een ouderwets telefoongesprek.
- Zorg dat je na je videocall altijd iets over je camera plakt om hackers buiten de virtuele deur te houden.
- Zet je notificaties van andere applicaties uit. Dit is zowel vanuit praktisch als privacy-oogpunt goed om te doen. Meldingen van nieuwe Slack- of Whatsapp-berichten kunnen in sommige gevallen zelfs gelden als een datalek wanneer je je scherm hebt gedeeld.
- Kijk goed of je de app zo privacyvriendelijk mogelijk hebt ingesteld:
Klik daarvoor op het instellingentandwiel rechtsbovenin de app.
- Wanneer je een vergadering verlaat, zou het voor kunnen komen dat je scherm, camera en audio gedeeld blijven worden met de deelnemers. Wanneer je de functionaliteit “stop my video and audio when my display is off or screen saver begins” aan hebt staan, zal de Zoom-sessie in ieder geval worden gestopt als je je laptop dichtdoet of je computer op slaapstand gaat. Een goede ‘voor de zekerheid’.
- In de Video-instellingen (klik op Video in de navigatiebalk links):
Zet “Turn off my video when joining meeting” en “Always show video preview dialog when joining a video meeting” aan. Hiermee voorkom je dat je onverwachts of per ongeluk met je camera aan een meeting binnen komt en weet je hoe je achtergrond er uit ziet.
- Zet bij Recording alles uit
De ‘Record video during screen sharing’ staat aan in de standaard instellingen. Zo kun je onbewust en ongewild gegevens verwerken. Zet dit dus uit.
Specifiek voor hosts:
- Gebruik de betaalde versie van Zoom.
- Sluit een verwerkersovereenkomst af met Zoom.
- Wanneer je features als het opnemen van de meeting, opslaan van de chat of ‘Attention Tracking’ gebruikt, zul je zelf moeten zorgen voor een geldige grondslag en hierover informeren naar de genodigden. Als host ben je namelijk verantwoordelijke in de zin van de AVG, en Zoom de verwerker.
- Wanneer je verwacht dat je een hoog risico loopt bij het gebruik van Zoom? Voer dan een DPIA uit. Op die manier kun je alle risico’s in kaart brengen, zeker wanneer je wat minder privacyvriendelijke features wilt gebruiken.
- Kijk naar (Europese) alternatieven wanneer je niet alle functionaliteiten van Zoom nodig hebt. Zo zou je kunnen denken aan Jitsi.
- Kijk goed of je de app zo privacyvriendelijk mogelijk hebt ingesteld:
Ga naar View More Settings
- Zorg dat de optie “Require Encryption for 3rd Party Endpoints” aan staat voor een versleuteling van de data. Nu is er veel ophef over de encryptie van Zoom. De encryptie is sowieso van toepassing op de verbindingen die tot stand worden gebracht bij een videocall. De video, audio, chat en het scherm wordt ook encrypted verstuurd wanneer alle deelnemers van de call gebruik maken van de Zoom app. Wanneer iemand inbelt via een telefoon is dit niet het geval. Maar het is sowieso nuttig om de functionaliteit aan te zetten.
- Wanneer je “Prevent participants from saving chat” zal niet iedere deelnemer alle chatgesprekken kunnen downloaden.
- Zet “Auto saving chats uit”. Wanneer je chats wel wil opslaan voor bijvoorbeeld het uitwerken van de notulen, zul je de deelnemers hiervan op de hoogte moeten brengen en ze de mogelijkheid bieden om dit te weigeren.
- Zet “Far end camera control uit”.
- “Attention tracking” is de meest besproken functionaliteit binnen Zoom. Wanneer dit aan staat, zie je als host of deelnemers langer dan 30 seconden niet naar het actieve Zoom-gesprek kijken. Dit heeft een hoog ‘creepy’ gehalte en raden wij af om te gebruiken.
Conclusie
Er wordt veel gesproken over Zoom, maar veel van de privacyrisico’s zijn afhankelijk van hoe je zelf met de app omgaat. Dit geldt ook voor andere videobeldiensten als Google Hangout of Microsoft Teams. Daarnaast zien we dat Zoom luistert naar de kritieken die zij de afgelopen weken hebben gekregen en is transparant over hoe zij privacy en security problemen aanpakken. Wanneer je bovenstaande maatregelen in acht neemt zal het een geschikte app blijven voor het houden van alledaagse calls, meetings en webinars
De Autoriteit Persoonsgegevens komt deze week met meer voorlichting over welke videobelapps je voor welke gelegenheid kunt gebruiken – we houden je hiervan op de hoogte.