Waar moet ik op letten bij het kiezen van applicaties voor (video)bellen en chatten?

Vanwege de Coronacrisis bevinden wij ons met z’n allen in een staat van bereidheid om het ‘reguliere’ leven zo goed mogelijk te laten verlopen. Dit vergt een behoorlijke aanpassingsvermogen van iedereen. Werken op afstand of lesgeven op afstand als alternatief voor werken op kantoor of regulier onderwijs wordt door veel organisaties nu al een tijdje toegepast. Hierbij wordt er gebruik gemaakt van verschillende applicaties zoals Zoom, Skype, Teams, Hangout of andere (soms gratis) applicaties voor de onderlinge communicatie. In dit artikel geven we je een overzicht van risico’s op het gebied van privacy en informatiebeveiliging en hoe je hiermee kunt omgaan.

Ga zorgvuldig op met persoonsgegevens, ook tijdens de Coronacrisis

Waar voorheen je het werk kon laten op kantoor of school, neem je nu je werk mee naar je woon- of slaapkamer. De grenzen van werk en privé worden hiermee virtueel verlegd wanneer deelnemers van een videobelgesprek een kijkje krijgen in een groot gedeelte van eenieders leven wat normaal gesproken verborgen blijft. Naast je (directe) collega’s of leerlingen kunnen ook de aanbieders van de (gratis) applicaties meekijken door jouw persoonsgegevens te gebruiken.

Ook brengt het Coronavirus met zich mee dat er nieuwe risico’s ontstaan. Veel criminelen willen gebruik maken van de coronastress door in te spelen op de angsten van mensen. Denk hierbij aan phishing e-mails gericht op het bestrijden van het coronavirus (zie hierover ook onze blogpost). Maar denk ook aan het fenomeen “Zoom-Bombing”, waarbij onbekende deelnemers zich aansluiten bij een videobelgesprek en ongewenste beelden laten zien. Dit kan het imago van jouw organisatie schaden. Kortom, dit vraagt alertheid van iedereen.

Het mag dan ook duidelijk zijn dat in deze crisis het zorgvuldig omgaan met persoonsgegevens nog steeds even belangrijk blijft. De AVG blijft hierom onverkort van kracht en verplicht je om verantwoord om te gaan met de persoonsgegeven van jouw medewerkers of leerlingen. Zelfs in tijden zoals wij deze nu meemaken.

Waar moet ik op letten bij het kiezen van applicaties voor (video)bellen en chatten?

Vanuit dit kader is de organisatie uiteindelijk zelf verantwoordelijk voor verwerking en dus ook de gekozen applicatie, maar wij willen in het kader van onze dienstverlening wel advies verlenen vanuit een privacy perspectief.

Algemeen uitgangspunt

Het is belangrijk om aan te geven dat het gebruik van applicaties altijd een zekere mate van privacy- en informatiebeveiligingsrisico’s met zich mee brengt. Onafhankelijk van de beveiligingsmaatregelen raden wij aan om altijd rekening te houden met het bestaan deze risico’s. Het risico dient afgewogen te worden tegen het doel en de omstandigheden. Daarbij is het van belang om de volgende hoofdvraag in het achterhoofd te houden:

“Wat wil je bereiken met het gebruik van de dienst of applicatie en weegt het doel zwaarder dan het risico?”

Maak bij het beantwoorden deze vraag altijd onderscheid tussen ‘reguliere’ persoonsgegevens, zoals NAW-gegevens en ‘bijzondere’ persoonsgegevens, zoals gezondheidsgegevens. De AVG vereist bij bijzondere persoonsgegevens een hoger beschermingsniveau ongeacht het gebruik van deze persoonsgegevens binnen de organisatie of hierbuiten.

Hulpvragen

Hieronder staat een overzicht van een aantal hulpvragen die gebruikt kunnen worden om privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze vervolgens af te wegen tegen het doel van het gebruik.

VRAGENTOELICHTING
Is de communicatie versleuteld? Kijk naar de versleuteling van berichten/communicatie (“AES 256 bit TLS” bijvoorbeeld).
Worden wachtwoorden onherleidbaar gemaakt? Kijk naar de methode wat gebruikt wordt om wachtwoorden onherleidbaar te maken (“hashing”).
Worden gesprekken afgeschermd door unieke vergader-ID’s? Bekijk of de optie bestaat om vergader-ID’s te gebruiken en hiermee vergaderingen af te schermen.
Wordt er voldaan aan de AVG? Beoordeel in hoeverre een dienst in overeenstemming is met de AVG.
Waar vindt de gegevensverwerking plaats? Ga na waar de gegevensverwerking plaats vindt. Bij voorkeur in de EU/EER.  
Is er sprake van een beveiligingsstandaard? Check of de leverancier/app voldoen aan een beveiligingsstandaard (“ISAE 3402 type 2, SOC 2 type 2, ISO 27001/2, NEN7510, NTA7516”).  
Is er sprake van beveiligde verbinding op het internet? Ga na of je je bevindt op een beveiligde verbinding op het internet (“HTTPS”).  
Worden er bijzondere/gevoelige (persoons)gegevens verwerkt? Ga na of het beveiligingsniveau van een applicatie voldoende is om bijzondere/gevoelige gegevens te bespreken of te delen.  
Hoe zit het met de toegang tot microfoon, camera, GPS of het adresboek van een toestel? Controleer welke onderdelen van een toestel noodzakelijk zijn en welke niet. Zo zal het GPS vaak niet noodzakelijk zijn.  
Worden persoonsgegevens met derden gedeeld?  Controleer of persoonsgegevens door de aanbieder wordt gedeeld met derden en maak uw afweging hierin of u dit accepteert door de risico’s te bepalen.  
Zijn de privacyvoorwaarden transparant? Controleer of de voorwaarden over privacy van de aanbieder transparant zijn in de privacy statements.  
Wat is het verdienmodel van de aanbieder van de applicatie? Ga na of je moet betalen voor het gebruik van de applicatie. Is de applicatie ‘gratis’? Dan wordt in de meeste gevallen ‘betaald’ met je persoonsgegevens.
Is er een acceptabele verwerkersovereenkomst?Kijk daarbij naar de formele AVG-vereisten en of jouw organisatie de contractuele risico’s wilt accepteren, en in welke mate. Onderhandel altijd als dit nodig is.
Maakt de applicatie gebruik van tracking cookies?Controleer in het privacy statement of in de cookie policy of de applicatie gebruik maak van tracking cookies.

Vragen bij het kiezen van een applicatie. Let op: deze vragen zijn niet uitputtend en slechts indicatief bedoeld om ondersteuning te bieden! Deze vragen hoeven dus niet leidend te zijn voor jouw keuze.

AVG en les geven op afstand

Mocht je nog meer willen weten over de AVG en lesgeven op afstand of waar je op moet letten bij het selecteren van tools en apps, dan kun je ook onze webinar terugkijken. Dat kan via deze link. Onder aan de pagina kun je ook de sheets met alle informatie terugvinden.

Welke privacy- en informatiebeveiligingsrisico’s bestaan er rondom de applicatie Zoom?

Wij krijgen veel vragen privacy- en informatiebeveiligingsrisico’s rondom het gebruik van de applicatie Zoom. Op dit moment raden wij het gebruik van Zoom af. De redenen hiertoe som ik hieronder voor je op.

  • Tot voor kort was de privacyverklaring van Zoom niet volledig transparant over wat zij deden.
  • Zoom verkoopt geen gegevens door, maar Zoom stelt haar platform wel beschikbaar voor ad-tech bedrijven (o.a. Google) om advertentietools te plaatsen.
  • Zoom plaatst ook cookies van derde partijen die helpen bij het voornoemde.
  • Door middel van “Zoom-bombing” is het als buitenstaander mogelijk om in een videogesprek binnen te dringen. Ongewenste beelden kunnen dan gedeeld worden wanneer de instellingen van een gesprek niet goed zijn ingesteld. Vanaf 4 april heeft Zoom een wachtkamer ingericht om dit te voorkomen. 
  • Zoom stuurde tot voor kort nog informatie door aan Facebook.
  • Tot voor kort was het ook mogelijk voor de gastheer van een gesprek om te controleren of deelnemers een Zoom gespreksvenster weg klikken (niet meer opletten).
  • Zoom maakt automatisch gebruik van gemeenschappelijke benaming van bestanden die online op servers worden opgeslagen nadat videogesprekken zijn opgenomen. Deze bestanden kunnen makkelijk gevonden worden in zoekmachines wanneer gezocht wordt naar de (algemene) bestandsnamen.
  • Er is geen sprake van versleuteling van (video)gesprekken wanneer er gebruik wordt gemaakt van de handige functies van Zoom zoals het opnemen van de gesprekken via de cloud.
  • Zoom maakt gebruik van een type versleuteling (AES-128) wat afgeraden wordt vanwege de herleidbaarheid van de teksten die versleuteld worden.
  • Zoom heeft naar aanleiding van het toegenomen gebruik van de applicatie per ongeluk twee Chinese servers ingeschakeld waarmee niet-Chinese klanten verbonden werden.

Uitgangspunt Lumen Group

Zoom heeft haar privacyverklaring wel reeds aangepast en inmiddels enkele technische verbeterpunten doorgevoerd, maar of dit tot een werkelijke privacy- en beveiligingsverbetering heeft geleid weten we nog niet. Wij zijn op dit moment in afwachting van de nieuwe, technische informatie hierover. Wij willen namelijk graag weten of Zoom haar aangepaste beleid ook daadwerkelijk heeft geoperationaliseerd en naleeft. Tot er meer duidelijkheid hierover is blijven wij kritisch over het gebruik van Zoom. Gelet op het feit dat er ook meer privacyvriendelijke alternatieven bestaan voor Zoom (zoals Jitsi en Microsoft Teams), raden wij het gebruik van Zoom af.

Voor meer informatie over de risico’s rondom Zoom, dan kun je dat hier verder lezen. Wil je toch Zoom gebruiken? Neem dan in ieder geval de maatregelen zoals deze zijn beschreven op deze website.

Hoe maak ik een risico-afweging om uiteindelijk een applicatie te kiezen?

De keuze voor een applicatie is niet altijd gemakkelijk en wij zijn van mening dat het raadzaam is om een dergelijke keuze op bestuursniveau een centrale keuze voor de hele organisatie te maken. Zo voorkom je dat er op verschillende organisatieniveaus een applicatie gekozen wordt zonder dat er voldoende aandacht is besteed aan de privacy- en informatiebeveiligingsrisico’s. Zoals eerder besproken is een goede afweging tussen het doel van het gebruik van de applicatie en de (eventuele) privacy- en informatiebeveiligingsrisico’s die deze applicatie met zich meebrengt erg belangrijk.

Geschiktheid applicatie voor jouw organisatie

Allereerst is het belangrijk om goed in kaart te brengen wat jouw organisatie nodig heeft op het gebied van communicatie en samenwerking. Aan de hand van de eisen die je als organisatie aan een applicatie stelt, kun je bepalen welke applicaties relevant zijn voor het gebruik hiervan op langer termijn. Het zou namelijk zonde zijn als je bepaalde privacy- en informatiebeveiligingsrisico’s hebt geaccepteerd van een applicatie die later niet meer gebruikt wordt. Dit kan bijvoorbeeld het geval zijn wanneer je in eerste instantie gesprekken voerde met enkele deelnemers in een applicatie, maar op korte termijn erachter komt dat de gekozen applicatie niet geschikt is voor gesprekken met meer dan tien deelnemers terwijl je dit wel graag wilt.

Sluiten verwerkersovereenkomst

Nadat de vereisten bekend zijn, is het tijd om de privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze vervolgens af te wegen tegen het doel van jullie gebruik. Als de risico’s bekend zijn en je hebt deze afgewogen tegen het doel van het gebruik, dan kun je als organisatie de keuze maken of je een applicatie wel of niet gaat gebruiken. Wanneer je een bepaald applicatie wel gaat gebruiken, dan willen wij benadrukken dat het sluiten van een verwerkersovereenkomst met de aanbieder essentieel is. Hierin staan duidelijke afspraken met betrekking tot het gebruik van persoonsgegevens door zowel jouw organisatie als door de aanbieder die in lijn zijn met de AVG. Zorg er altijd voor dat je de overeenkomst inhoudelijk hebt gecheckt. Kijk daarbij naar de formele AVG-vereisten en of jouw organisatie de contractuele risico’s wilt accepteren, en in welke mate. Onderhandel altijd als dit nodig is. Sluit daarnaast zoveel mogelijk aan bij leveranciers die gebruik maken van erkende modelovereenkomsten (zoals het Privacy Convenant 3.0 voor het onderwijs).

Data Protection Impact Assessment (“DPIA”)

Een DPIA (Data Protection Impact Assessment) kan helpen bij het inzichtelijk maken van (hoge) privacyrisico’s inzichtelijk en helpen om te bezien of de app in lijn met de AVG. Aan de hand van een DPIA kun je vervolgens bepalen of je bepaalde risico’s wel of niet accepteert. Het kan zelfs zo zijn dat een DPIA verplicht is, zorg er dus voor dat je dit altijd onderzoekt. Mocht je een applicatie duurzaam en integraal willen doorlichten voordat je de keuze maakt, dan kan Lumen Group als onderdeel van haar dienstverlening ondersteuning aanbieden bij het toepassen van een DPIA.

Welke privacyvriendelijke applicaties bestaan er?

Hieronder zullen wij aangeven  van welke applicaties bekend zijn hoe privacyvriendelijk zij daadwerkelijk zijn. Wij hebben hier een onderscheid gemaakt tussen applicaties die verschillende doeleinden kunnen worden gebruikt, zoals communicatie over ‘bijzondere’ persoonsgegevens (gezondheidsgegevens), lesgeven op afstand en regulier videobellen..

Gezondheidsgegevens

Op de website van Zorg van Nu (een initiatief van het ministerie van Volksgezondheid, Welzijn en Sport) wordt uitgebreid ingegaan op alternatieven voor het veilig communiceren van bijzondere gegevens zoals medische gegevens. Zo wordt er gesproken over de applicaties Siilo, de KPN Zorg Messenger en de Zorgapp. Via deze link kan je hierover meer lezen.

Les geven op afstand en regulier videobellen

Op dit moment adviseren wij om Microsoft Teams te gebruiken voor les geven op afstand en regulier videobellen. Als gevolg van een onderhandeling met het Rijk heeft Microsoft enige tijd geleden haar privacyvoorwaarden wereldwijd aangepast en verbeterd. Microsoft verwerkt alleen nog maar persoonsgegevens voor slechts drie (legitieme) doelen, waarvan er geen één een commercieel doel is. Daarnaast verwerkt Microsoft persoonsgegevens ook niet meer voor profiling, data analytics, marktonderzoek of advertenties. De verbeterde privacyvoorwaarden zijn opgenomen in de licentievoorwaarden (Online Service Terms – OST) die vanaf januari 2020 gelden. Het is wel goed om te vermelden dat deze aanpassing geldt voor de Office 365 Enterprise-versie, maar ook voor de Business versie voor het midden- en kleinbedrijf. De aanpassingen gelden niet voor de Windows 10 Enterprise of de mobiele apps van Office.

Ons advies luidt dan ook: Gebruik van Microsoft Office via een zakelijke licentie, maar niet via de mobiele app of Windows 10 Enterprise. Uiteraard zijn er ook andere privacyvriendelijke opties voor videobellen, zoals Jitsi en Signal. Hierover kun je meer lezen op de website van Bits of Freedom op deze pagina (algemeen) en deze pagina (Jitsi). Let op: ons advies is enkel indicatief bedoeld en hoeft niet leidend te zijn. Wellicht zijn andere aspecten voor jouw organisatie meer van doorslaggevend belang.

Meer weten?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.