Managed hosting door True

Zoom haalt data-angel uit nieuw contract Surf en Rijk

 

Zoom heeft een nieuw contract met de Nederlandse universiteiten en de overheid gesloten. Daarin zijn alle hoge databeschermingsrisico's opgelost, waaronder de doorgifte van de versleutelde inhoudelijke gegevens naar de Verenigde Staten.

Het nieuwe contract is een uitvloeisel van een zogeheten Data Protection Impact Assessment (DPIA) die Privacy Company uitgevoerde op de gegevensverwerking via Zoom. Het bedrijf deed dit in opdracht van SLM Rijk (de strategisch leveranciersmanager van de Nederlandse overheid voor Microsoft, Google en AWS).

In mei 2021 was de uitkomst dat er negen hoge en drie lage gegevensbeschermingsrisico's waren voor de mensen die Zoom gebruiken. Vervolgens nam Surf, de ict-inkooporganisatie voor universiteiten in Nederland, het stokje over van SLM Rijk en voerde het samen met Privacy Company onderhandelingen met Zoom. Het Amerikaanse videoconferencingbedrijf ging overstap en was bereid om ingrijpende wijzigingen door te voeren waardoor de geconstateerde hoge risico's zijn weggenomen. Volgens Privacy Company zijn zes lage risico's, maar die kunnen universiteiten en overheidsorganisaties zelf ondervangen.

De afspraken met Zoom zijn vastgelegd in een nieuw contract, een nieuwe integrale gegevensverwerkingsovereenkomst en een ondertekend plan van aanpak met tijdpaden voor de afgesproken maatregelen. Het bedrijf heeft bijna al deze verbeteringen ook doorgevoerd in de nieuwe, openbaar toegankelijke gegevensverwerkingsovereenkomst voor alle Europese klanten met een Enterprise- of Education-licentie.

Verbeteringen

"Alle persoonsgegevens worden uitsluitend in Europese datacentra verwerkt"

Omdat Zoom het voortaan mogelijk maakt alle gesprekken, chats en meetings te versleutelen met een private sleutel (end-to-end encryptie, E2EE), zijn er volgens Privacy Company geen hoge risico's meer verbonden aan de doorgifte van de versleutelde inhoudelijke communicatiegegevens naar de Verenigde Staten.

Wat de andere categorieën persoonsgegevens betreft (zoals accountgegevens, diagnostische gegevens, website- en supportgegevens) heeft Zoom zich verplicht alle persoonsgegevens tegen het einde van dit jaar uitsluitend in Europese datacentra te verwerken.

Al eerder, halverwege 2022, zal Zoom ervoor zorgen dat vragen en klachten van Europese klanten steeds behandeld worden door een Europese helpdesk, tenzij de klant specifiek instemt met doorgifte buiten de EU. Dat kan handig zijn als de klant bijvoorbeeld dringend hulp nodig heeft buiten kantooruren.

Privacy Company meldt verder dat Zoom intensief heeft meegewerkt aan de opstelling van een uitgebreide risicoanalyse van de overdracht van persoonsgegevens, ook wel een Data Transfer Impact Assessment (DTIA) genoemd. Uit deze DTIA blijkt dat de kans dat Zoom gedwongen wordt toegang te geven tot de gegevens aan Amerikaanse opsporings- en inlichtingendiensten, uiterst klein is, namelijk minder dan eens in de twee jaar.

DPIA

De DPIA, gepubliceerd door Surf, is hier terug te vinden.

Een samenvatting van Privacy Company staat in deze blog.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7330602). © Jaarbeurs IT Media.

?

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Vacatures bij Surf

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.