Digital business

Zoom & privacy: zo kun je veilig videobellen [how to]

0

Het is goed om te zien dat privacy hoog op de agenda staat bij het gebruik van nieuwe apps. Maar aangezien we op dit moment erg afhankelijk zijn van deze vorm van communicatie, is het goed om te bekijken hoe je er op een veilige manier gebruik kunt maken. In dit artikel leg ik je uit hoe Zoom op een verantwoorde manier te gebruiken is als videobelapplicatie.

Ik ga in op twee aspecten:

  1. Hoe gaat Zoom om met privacy en security?
  2. Welke invloed heb je zelf op de privacyvriendelijkheid van Zoom?

1. Hoe gaat Zoom om met privacy en security?

Verschillende experts uiten hun zorgen over de manier waarop Zoom met gegevens van klanten omgaat. Daarbij is met name aandacht voor het delen van data door Zoom met derde partijen.

Het bedrijf kwam vorige week in opspraak omdat het data van gebruikers zou delen met Facebook. Dit werd onder andere mogelijk gemaakt door de ‘Inloggen met Facebook’-functionaliteit, waarbij zelfs niet-Facebookgebruikers werden onderworpen aan deze datadeling.

Zoom heeft op 29 maart 2020 haar privacy statement aangepast. Wat hier opvalt:

  • Zoom is heel duidelijk: zij verkopen geen data van hun gebruikers. Wel delen zij persoonsgegevens met Google Analytics en Google Ads, maar alleen als je hun website bezoekt en hier toestemming geeft voor de advertentiecookies. Er zitten geen advertentiecookies of een andere trackingtechnologie in de applicatie zelf.
  • Zoom is gestopt met het delen van data met Facebook.
  • Zoom is Privacy Shield- en SOC2 type II-gecertificeerd. Dit geldt als een goede privacystandaard voor een Amerikaanse dienstverlener.

Met deze recente wijzigingen lijken de zorgen op AVG-gebied mee te vallen. Uiteraard geeft een privacy statement geen garantie dat de bedrijfsvoering bij Zoom intern daadwerkelijk zo is ingericht. Het is aan de verantwoordelijke om te beoordelen of het aanvaardbaar is om hier vanuit te gaan.

Daarnaast zijn voor een verwerker de beveiligingsmaatregelen ontzettend belangrijk. Ondanks de SOC2 type II-certificering worden hier wat vraagtekens bij gezet. Zodanig zelfs, dat Amerikaanse justitie een onderzoek start naar de applicatie.

Zoom zou te traag zijn bij het opsporen van lekken in de beveiliging. Dit zou toegang bieden voor hackers die bijvoorbeeld toegang tot je webcam kunnen verkrijgen of doen aan het zogenaamde “Zoombombing”. En waar Google Hangouts en Microsoft Teams open zijn over tot hen gerichte dataverzoeken van inlichtingendiensten, zegt Zoom hier niets over in hun privacy statement.

Bovenstaande baart enige zorg, waardoor je bij het gebruik van Zoom de risico’s moeten afwegen en inperken.

2. Welke invloed heb je zelf op de privacyvriendelijkheid van Zoom?

De meeste privacyzorgen met betrekking tot Zoom gaan over een aantal features die het voor de organisator van een call (‘host’) mogelijk maken om aanvullende gegevens te verzamelen. Die zorgen kun je voor je eigen organisatie en deelnemers aan je videocalls wegnemen door duidelijk te zijn over je gebruik van die features.

Hieronder deel ik welke stappen je kunt doorlopen om op een zo veilig en privacyvriendelijk mogelijke manier gebruik te kunnen maken van Zoom.

Als deelnemer én host:

1. Vraag je goed af wat je gaat bespreken tijdens de videocall. Als het gaat om hele bedrijfsgevoelige gegevens kun je overwegen om gebruik te maken van een ouderwets telefoongesprek.

2. Zorg dat je na je videocall altijd iets over je camera plakt om hackers buiten de virtuele deur te houden.

3. Zet je notificaties van andere applicaties uit. Dit is zowel vanuit praktisch als privacy-oogpunt goed om te doen. Meldingen van nieuwe Slack- of Whatsapp-berichten kunnen in sommige gevallen zelfs gelden als een datalek als je je scherm hebt gedeeld.

4. Kijk goed of je de app zo privacyvriendelijk mogelijk hebt ingesteld, klik daarvoor op het instellingentandwiel rechtsbovenin de app.

5. Als je een vergadering verlaat, zou het voor kunnen komen dat je scherm, camera en audio gedeeld blijven worden met de deelnemers. Als je de functionaliteit “stop my video and audio when my display is off or screen saver begins” aan hebt staan, zal de Zoom-sessie in ieder geval worden gestopt als je je laptop dichtdoet of je computer op slaapstand gaat. Een goede ‘voor de zekerheid’.

Settings in Zoom

6. In de video-instellingen (klik op video in de navigatiebalk links): zet “Turn off my video when joining meeting” en “Always show video preview dialog when joining a video meeting” aan. Hiermee voorkom je dat je onverwachts of per ongeluk met je camera aan een meeting binnenkomt en weet je hoe je achtergrond eruit ziet.
Videosettings Zoom7. Zet bij Recording alles uit. De “record video during screen sharing” staat aan in de standaard-instellingen. Zo kun je onbewust en ongewild gegevens verwerken. Zet dit dus uit.
Recording settings in Zoom

Specifiek voor hosts:

1. Gebruik de betaalde versie van Zoom.

2. Sluit een verwerkersovereenkomst af met Zoom.

3. Als je features als het opnemen van de meeting, opslaan van de chat of “Attention Tracking” gebruikt, zul je zelf moeten zorgen voor een geldige grondslag en hierover informeren naar de genodigden. Als host ben je namelijk verantwoordelijke in de zin van de AVG, en Zoom de verwerker.

4. Als je verwacht dat je een hoog risico loopt bij het gebruik van Zoom, voer dan een DPIA uit. Op die manier kun je alle risico’s in kaart brengen, zeker als je wat minder privacyvriendelijke features wil gebruiken.

5. Kijk naar Europese of zelfs Nederlandse alternatieven als je niet alle functionaliteiten van Zoom nodig hebt.

6. Kijk goed of je de app zo privacyvriendelijk mogelijk hebt ingesteld: sa naar View More Settings
Settings Zoom

7. Zorg dat de optie “Require Encryption for 3rd Party Endpoints” aan staat voor een versleuteling van de data.
Nu is er veel ophef over de encryptie van Zoom. De encryptie is sowieso van toepassing op de verbindingen die tot stand worden gebracht bij een videocall. De video, audio, chat en het scherm wordt ook encrypted verstuurd wanneer alle deelnemers van de call gebruik maken van de Zoom app. Als iemand inbelt via een telefoon is dit niet het geval. Maar het is sowieso nuttig om de functionaliteit aan te zetten.

8. Als je “Prevent participants from saving chat” instelt, zal niet iedere deelnemer alle chatgesprekken kunnen downloaden.

9. Zet “Auto saving chats uit”. Als je chats wel wil opslaan voor bijvoorbeeld het uitwerken van de notulen, zul je de deelnemers hiervan op de hoogte moeten brengen en ze de mogelijkheid bieden om dit te weigeren.
Chat settings Zoom
In meeting settings Zoom

10. Zet “Far end camera control uit”.
Attention tracking Zoom

11. “Attention tracking” is de meest besproken functionaliteit binnen Zoom. Als deze aan staat, zie je als host of deelnemers langer dan 30 seconden niet naar het actieve Zoom-gesprek kijken. Dit heeft een hoog ‘creepy’-gehalte en raad ik af om te gebruiken.

Zoom: ga er bewust mee om

Er wordt veel gesproken over Zoom, maar veel van de privacyrisico’s zijn afhankelijk van hoe je zelf met de app omgaat. Dit geldt ook voor andere videobeldiensten als Google Hangout of Microsoft Teams. Daarnaast zien we dat Zoom luistert naar de kritieken die zij de afgelopen weken hebben gekregen en is transparant over hoe zij privacy- en security-problemen aanpakken.

Als  je bovenstaande maatregelen in acht neemt zal Zoom een geschikte app blijven voor het houden van alledaagse calls, meetings en webinars.