SURF, de ICT-dienstverlener van het Nederlandse onderwijs en onderzoek, is sinds mei 2021 intensief in gesprek geweest met Zoom. Dit naar aanleiding van een in opdracht van Strategisch Leveranciersmanagement Microsoft, Google en Amazon Web Services uitgevoerde initiële Data Protection Impact Assessment.

De in de DPIA van mei 2021 geconsteerde risico’s zijn door Zoom weggenomen. Dit is gedaan door wijziging in de software aan te brengen, verwerkersafspraken te maken en toekomstige wijzigingen toe te zeggen.

In de nieuwe DPIA, die door SURF hier is gepubliceerd samen met nog meer informatie en details over het afgelopen proces, staan de contractuele en technische aanpassingen beschreven.

Twee opvallende zaken zijn:

• Sinds november 2020 is end-to-end encryptie mogelijk in zowel de 1-op-1 gesprekken als in groepsgesprekken.
• Zoom committeert zich om vrijwel alle persoonsgegeven vanaf eind 2022 binnen de Europese Economische Regio (EER) te verwerken. Voor data die de EER toch verlaat is een Data Transfer Impact Assessment (DTIA) uitgevoerd. Hieruit blijkt dat er passende waarborgen zijn voor deze datadoorgifte.

De komende maanden blijft SURF met Zoom in gesprek om de voortgang op de afspraken te monitoren.