Dit artikel is een opvolging van het eerder gepubliceerde artikel “Gebruik Zoom niet!”
Vanuit diverse kanten lijkt er verwarring te zijn ontstaan met betrekking tot het verbod op Zoom en de technische beperkingen die zijn doorgevoerd op HU devices. Hieronder proberen wij uit te leggen met welke overwegingen tot dit besluit is gekomen. En geven we antwoord hoe je om kan gaan met een Zoom uitnodiging van een andere partij.
Hoe ga ik om met diverse Zoom uitnodigingen?
Binnen de HU zijn er diverse alternatieven beschikbaar die de functionaliteit van Zoom kan invullen voor het functionele doel “afstandsonderwijs”. Echter kan het nog steeds zo zijn dat je met partijen samenwerkt die je Zoom uitnodiging sturen. Hoe ga je hier mee om?
- Kan het op een andere manier?
Maak de organisatie bewust van de richtlijnen die door de HU voor haar medewerkers is opgedragen. Je kunt in kleinere bijeenkomst altijd aanbieden om vanuit de HU een vergaderverzoek vanuit Microsoft Teams te sturen. - Deelnemen op persoonlijke titel en persoonlijk device (laptop, tablet of telefoon)
De HU kan niet verbieden dat op persoonlijke titel (een prive-mailadres) en apparaat alsnog deel wordt genomen aan conferenties. Controleer (indien mogelijk) of de uitnodigende partij gebruik maakt van Zoom Pro of business. In dat geval ligt er een contract tussen beide partijen en kunnen er extra afspraken zijn gemaakt m.b.t. data gebruik en opslaglocaties. Hier mag je echter niet vanuit gaan! Denk dan goed na over wat je tijdens de conferentie over jezelf vrij geeft en lees je in over het thema. Onderstaande bronnen kunnen daarbij helpen.
Waarom?
De HU heeft privacy van haar medewerkers en studenten hoog in het vaandel. In tijden van crisis wordt er creatief gezocht naar mogelijkheden voor afstandsonderwijs. In een tijd waarin technologie snel ontwikkeld wordt en in vele soorten en maten aanwezig is, is het voor deze bedrijven belangrijker om hun product zo snel mogelijk op de markt te krijgen, dan om het product volledig veilig aan te bieden. Daardoor lopen we als HU dan ook snel een risico om met onveilige software in aanraking te komen. Hiermee is het niet zo dat Zoom “verkeerd” is, echter is er wel een maar….
Gratis bestaat niet!
Gratis software bestaat eigenlijk niet. Het kan dan wel zijn dat software geen geld kost, maar meestal (er zijn uitzonderingen) betaal je het gebruik dan op een andere manier. Namelijk door middel van persoonsgegevens. De gegevens die Zoom van je opslaat mogen worden doorverkocht of door andere instanties worden bekeken. In het geval van Zoom spelen hier drie aspecten een belangrijke rol.
- In het beleid van Zoom staat beschreven dat data van de gebruikers verkocht wordt. Al is door de commotie inmiddels wel een scherper beleid vanuit Zoom, maar geen dicht beleid.
- Alle data staat standaard opgeslagen in Amerika en daarmee ook onder Amerikaanse wetgeving. Deze wetgeving houdt zich minder bezig met onze privacy en veiligheid t.o.v. Europese wetgeving.
- De HU heeft met Zoom geen contractuele verbintenis, en daarmee ook geen verwerkersovereenkomst. Daarin wordt normaliter overeengekomen wat het bedrijf voor beveiligingsmaatregelen neemt om de data van de gebruikers (onze data dus) te beschermen.
Bijzondere persoonsgegevens
Vanuit de HU is er extra kritisch gekeken naar Zoom, omdat het om bijzondere persoonsgegevens betreft. Bijzondere persoonsgegevens zijn gegevens zoals etniciteit, religie, medische gegevens etc. Bij het gebruik van Zoom kunnen dit soort gegevens mogelijk zichtbaar worden (het betreft biometrische data in combinatie met naamgeving) betreft die biometrische data over de personen in combinatie met naamgeving.
Een voorbeeld
Henk wil graag gebruik maken van Zoom. Tijdens het in gebruik nemen van Zoom geeft hij (in)direct toegang tot data op zijn device. Om het voor de medegebruikers ook duidelijk te maken vult Henk ook zijn naam en e-mailadres in. Vervolgens kan het digitale event beginnen en maakt Henk zich ook kenbaar door middel van video en geluid. En precies met die laatste stap wordt er metadata (naam, e-mail) en biometrische data (gezicht en stem) aan elkaar gekoppeld. Een naam kun je nog (met veel gevolgen) wijzigen, maar je uiterlijk en stem maakt dat lastiger. Tevens vertelt ons uiterlijk meer dan je mogelijk denkt. Zo kan vaak worden herleid of Henk een man of vrouw is. Een ruwe schatting van leeftijd is ook mogelijk en soms zelf nationaliteit of etniciteit. Kortom veel bijzondere data!
Overige gegevens
De HU wil voorkomen dat niet alleen de persoon in kwestie gevaar loopt, maar heeft ook de plicht om naast de HU-systemen ook haar medewerkers- en studentengegevens zo goed mogelijk te beschermen. Door het dagelijks gebruik van een HU laptop zullen er ook gegevens van zowel de HU-systemen als mogelijk van onze studenten op de laptops aanwezig zijn. We willen niet dat deze bij 3e partijen komen zonder dat daar duidelijke afspraken over zijn.
Welke maatregelen zijn er genomen?
Op een laptop van de HU zal het niet meer mogelijk worden om de Zoom applicatie te openen. Deze blokkade wordt deze week geactiveerd.
Bronnen:
https://communities.surf.nl/artikel/hoe-maak-je-avg-proof-gebruik-van-zoom
https://www.ictrecht.nl/blog/hoe-maak-je-avg-proof-gebruik-van-zoom-voor-je-webinar-of-videoconferentie
https://www.frankwatching.com/archive/2020/04/03/zoom-privacy-veilig-videobellen/