Privacy Alerts #30: Zoom past privacyvoorwaarden aan na overleg met SURF

Share

Zoom past haar privacyvoorwaarden aan voor alle Education en Enterprise gebruikers in Europa. Aanleiding voor de wijzigingen is een Data Protection Impact Assessment dat in mei 2021 is uitgevoerd. Zoom heeft deze stap genomen na uitgebreid overleg met ict-dienstverlener SURF. Verder in deze uitgave: Google Analytics stopt met het verzamelen van IP-adressen en Meta krijgt een boete van 17 miljoen euro.

Zoom past privacyvoorwaarden aan na uitgebreid overleg met SURF

Afgelopen week heeft Zoom wijzigingen in de privacyvoorwaarden voor alle Education en Enterprise gebruikers in Europa aangebracht. Zoom deed dit na overleg met SURF, de ict-dienstverlener van het Nederlandse onderwijs en onderzoek. Daarnaast adviseert SURF organisaties zelf een aantal maatregelen door te voeren en een nieuwe verwerkersovereenkomst met Zoom af te sluiten. Indien deze maatregelen worden doorgevoerd, zullen er geen grote privacyrisico’s meer bestaan voor betrokkenen bij het gebruik van Zoom videoconferencing services. Dit zal tevens gelden voor zeer vertrouwelijke communicatie.

Aanleiding voor de wijzigingen is een Data Protection Impact Assessment (DPIA) dat in mei 2021 is uitgevoerd. Hierna hebben uitvoerige gesprekken tussen Zoom en SURF plaatsgevonden. De DPIA vond plaats in opdracht van SLM Rijk (de overheid) en SURF.

De risico’s met betrekking tot de privacy van gebruikers zijn weggenomen door wijzigingen in de software aan te brengen en verwerkersafspraken te maken. In de recent gepubliceerde DPIA staan deze contractuele en technische aanpassingen beschreven. Zoom heeft onder andere bevestigd dat het per eind 2022 vrijwel alle persoonsgegevens binnen de Europese Economische Ruimte (EER) gaat verwerken. Hierover zijn door Zoom en SURF afspraken gemaakt die zijn opgenomen in een overeenkomst. Voor de data die naar landen buiten de EER gaat, is een Data Transfer Impact Assessment (DTIA) uitgevoerd waaruit is gebleken dat er passende waarborgen zijn voor de datadoorgifte.

De aankomende maanden blijven Zoom en SURF samenwerken om de voortgang van de afspraken te controleren.

Google Analytics stopt met het verzamelen van IP-adressen

Afgelopen week heeft Google in een blogbericht aangekondigd te stoppen met het verzamelen van IP-adressen. Google deelt in datzelfde blogbericht ook mee dat een oude versie van de software in 2023 stopgezet zal worden. Meerdere Europese privacytoezichthouders deden afgelopen maanden onderzoek naar Google Analytics, omdat dit mogelijk in strijd zou zijn met de AVG.

In het blogbericht vermeldt Google dat specifiek Google Analytics 4 (dat verscheen in oktober 2020 en tevens de standaardversie is geworden bij nieuwe configuraties), zal stoppen met het opslaan van IP-adressen. Volgens Google is dat nodig in het “huidige internationale dataprivacylandschap, waarin gebruikers meer privacybescherming en controle over hun data verwachten”.

Het probleem rondom Google Analytics begon nadat de Oostenrijkse privacytoezichthouder (DSB) concludeerde dat het gebruik van Google Analytics in Europa strijdig is met de AVG. De DSB startte haar onderzoek nadat privacyorganisatie NOYB (opgericht door privacyactivist Max Schrems) had geklaagd dat Google Analytics data doorstuurt naar de Verenigde Staten.

De initiële oplossing om toch te voldoen aan de AVG was om een modelcontract af te sluiten met de betreffende Amerikaanse gegevensontvangers. Echter, de Oostenrijkse toezichthouder concludeerde daarop dat het gebruikte modelcontract onvoldoende bescherming bood.

Na Oostenrijk oordeelde Frankrijk vervolgens ook dat Google Analytics in strijd is met de AVG. De Noorse privacytoezichthouder adviseerde om alternatieven voor Google Analytics te gebruiken. Ook in Nederland waarschuwt de Autoriteit Persoonsgegevens dat het gebruik van Google Analytics mogelijk binnenkort niet meer is toegestaan.

Google heeft nu dus aangekondigd een aantal veranderingen door te zullen voeren om aan de AVG te kunnen voldoen.

Meta krijgt een boete van 17 miljoen euro

Het moederbedrijf van Facebook, Meta, heeft 17 miljoen euro boete gekregen van de Ierse privacywaakhond. Volgens de toezichthouder heeft het bedrijf de AVG overtreden omdat het in 2018 te weinig zou hebben gedaan om een reeks datalekken op Facebook te voorkomen. Zoals de privacytoezichthouder zelf stelt: “Facebook heeft verzuimd om passende technische en organisatorische maatregelen te treffen”.

Het betreft de eerste zaak die destijds onder de ‘nieuwe’ AVG werd aangespannen. Het gaat om een datalek bij Facebook waarbij de gegevens van meer dan 50 miljoen Facebook-accounts zijn blootgegeven. Eind 2018 werd de zaak aangespannen, het ging daarbij om twaalf meldingen. Daaronder ook een softwarefout als gevolg waarvan externe software ontwikkelaars toegang hadden tot de foto’s van miljoenen gebruikers.

Meta is het zelf niet eens met de boete en stelt: “Deze boete gaat over gegevensverwerkingspraktijken uit 2018 die sindsdien zijn aangepast”.

Voor Meta is dit niet de eerste keer dat het een grote boete opgelegd krijgt van de Ierse privacywaakhond. Vorig jaar kreeg Meta namelijk ook al een boete van 225 miljoen euro, omdat WhatsApp niet voldeed aan de AVG-regels voor informatievoorziening en transparantie met betrekking tot de verwerking van persoonsgegevens. Hierbij ging het vooral om het feit dat Whatsapp klantgegevens deelde met andere Facebook-bedrijven zoals Instagram.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.