Gebruik je Zoom? Let op deze privacyrisico’s

Afbeelding Privacy bij blog top 3 privacynieuws

UPDATE 31 maart 2020:

Amerikaanse justitie start onderzoek naar populaire videoconferentie-app Zoom. Zie: https://nos.nl/artikel/2328903-amerikaanse-justitie-start-onderzoek-naar-populaire-videoconferentie-app-zoom.html.

———————————————————————–

Thuiswerken is door de coronacrisis op dit moment de norm. Iedereen werkt zoveel mogelijk van huis uit en daarvoor wordt ook de nodige nieuwe software gebruikt. Een voorbeeld hiervan is Zoom, een Amerikaans softwareprogramma waarmee je eenvoudig kunt videobellen en op afstand bepaalde diensten kunt (blijven) verlenen aan klanten, zoals het geven van trainingen of het voeren van overleg.

Hoewel Zoom wellicht gebruikersvriendelijk is, is het sterk de vraag of het ook privacyvriendelijk is. In deze blog leggen wij kort uit wat onze bevindingen zijn en met welke privacy-aandachtspunten je rekening moet houden bij het gebruik van Zoom.

Op welke wijze verwerkt Zoom gegevens van mij?

Op de website van Zoom staat een uitgebreide Engelstalige privacy statement waarin uitgelegd wordt welke gegevens verwerkt kunnen worden. Ook de wijze waarop gegevens verkregen worden is een belangrijk onderdeel van het privacy statement. Hieronder zullen wij een paar onderdelen uit het privacy statement citeren met daaronder onze uitleg.

“Mostly, we gather Personal Data directly from you, directly from your devices, or directly from someone who communicates with you using Zoom services, such as a meeting host, participant, or caller. Some of our collection happens on an automated basis – that is, it’s automatically collected when you interact with our Products.”

Zoom lijkt veel persoonsgegevens automatisch te verwerken, zodra een gebruiker gebruikmaakt van de software. 

Zoom biedt ook de mogelijkheid voor gebruikers (organisatoren) om videogesprekken op te nemen. Hierover staat het volgende in het privacy statement.

“We may also obtain information about you from a user who uses Zoom. For example, a user may input your contact information when you are invited to a Zoom meeting or call. Similarly, a Zoom meeting host may record a Zoom meeting and store the recording on our system. If a Zoom meeting host decides to record a meeting, that person is responsible for obtaining any necessary consent from you before recording a meeting.”

Zoom biedt dus de mogelijkheid om videogesprekken op te nemen. Hierbij geeft Zoom aan dat de persoon die het gesprek opneemt zelf verantwoordelijk is om toestemming te verkrijgen van andere deelnemers van het gesprek. Als je een gesprek voert via Zoom, lijkt het aldus zo te zijn dat je – zonder toestemming van anderen – gesprekken op eenvoudige wijze kunt opnemen. Diverse screenshots op internet verraden dat linksboven in Zoom de gebruiker de tekst “recording” in beeld krijgt.

Worden mijn persoonsgegevens gedeeld met andere partijen?

Hierover geeft Zoom het volgende aan:

“We do not allow marketing companies, advertisers, or anyone else to access Personal Data in exchange for payment. Except as described above, we do not allow any third parties access to any Personal Data we collect in the course of providing services to users.  We do not allow third parties to use any Personal Data obtained from us for their own purposes, unless it is with your consent (e.g. when you download an app from the Marketplace). So in our humble opinion, we don’t think most of our users would see us as selling their information, as that practice is commonly understood.

That said, Zoom does use certain standard advertising tools which require Personal Data (think, for example, Google Ads and Google Analytics).”

Zoom geeft zelf aan van mening te zijn dat persoonsgegevens niet verkocht worden. Er wordt echter wel gebruikgemaakt van Google Ads en Google Analytics. Hoewel dit op zichzelf geen per se privacyrechtelijk probleem oplevert, is het wel zo dat het niet optioneel is om je gegevens met deze partijen te delen, het gebeurt gewoon. Als je gebruik wilt maken van Zoom, dan moet je toestemming geven om je persoonsgegevens te delen met Google Ads en Google Analytics. Nu is het wel zo dat Google Analytics tegenwoordig relatief eenvoudig betrekkelijk privacy proof is in te stellen.

Ook moet een verwerkersovereenkomst gesloten worden met Zoom als je wilt gebruikmaken van het programma. Over de inhoud hiervan lijkt niet onderhandeld te kunnen worden. Zoom bepaalt dan eenzijdig de inhoud.

Waar worden de persoonsgegevens opgeslagen?

De persoonsgegevens worden opgeslagen op Amerikaanse servers. De veiligheid van de persoonsgegevens kan hierdoor niet gegarandeerd worden. Zoom lijkt zich gecertificeerd te hebben op grond van het EU-VS privacy shield, maar de Autoriteit Persoonsgegevens geeft aan dat in dat geval ook passende waarborgen getroffen moeten zijn om de gegevens te beschermen. Die passende waarborgen worden door Zoom niet vermeld. Je bent als organisatie die gebruik maakt van Zoom verantwoordelijk voor het nagaan van welke passende waarborgen zijn genomen of extra moeten worden genomen om de privacy van de deelnemers te waarborgen. Dit moet voor al het gebruik, intern onder collega’s, alsook voor gebruik met externen, zoals het hosten van een vergadering, training of webinar.

Wat we ook graag onder je aandacht brengen is de “Attendee attention tracker” (zie: https://support.zoom.us/hc/en-us/articles/115000538083-Attendee-attention-tracking). Met deze tracker houdt de software op intelligente wijze bij of de deelnemers voldoende zijn betrokken bij de online bijeenkomst. Wanneer dergelijke nieuwe technieken worden gebruikt gelden er extra spelregels rondom privacy waarborging. 

Ons advies?

Wees voorzichtig met het (grootschalig) inzetten van Zoom binnen je organisatie. Ga vooraf na wat de privacyrisico’s van dergelijke programma’s zijn en voer een zogenaamde DPIA uit. Hiermee kun je op structurele wijze in kaart brengen wat de risico’s zijn van het gebruik van nieuwe software voor je organisatie en hen van wie gegevens worden verwerkt, zoals klanten. Voor nu is het advies in ieder geval om geen (privacy)gevoelige of hoog confidentiële informatie te delen met elkaar via Zoom. 

Tot slot

Deze blog is geschreven als samenwerking tussen AVK Training & Coaching en Van Gelder Advocaten in vervolg op een kort gezamenlijk onderzoek naar de privacy-risico’s bij het gebruik van Zoom.   

Wil je weten welke online training en vergadertool wij bij AVK Training & Coaching gebruiken? Schroom niet contact op te nemen met info@avk.nl.

Wil je juridisch advies over de privacy-risico’s bij het gebruik van online tools, neem dan contact op met Van Gelder Advocaten via info@vangelderadvocaten.nl.