1. Wie of wat is Zoom?

Zoom is een Amerikaans beursgenoteerd bedrijf dat pas sinds 2011 bestaat en ongeveer 2.000 medewerkers telt. In 2019 boekte het een omzet van $620 mln. Via Zoom is het gemakkelijk om een digitale vergadering met meerdere mensen te beginnen. Dat kan door in te bellen naar een van de telefoonnummers van Zoom, maar vooral ook via software om te videobellen. Een apart programma downloaden hoeft niet, een gesprek kan opgestart worden via de browser.

2. Wie is oprichter/eigenaar van Zoom?

Het bedrijf is opgericht door de Chinese immigrant Eric Yuan, een slimme student afgestudeerd in computerwetenschappen en wiskunde. Hij waagde eind jaren 90 met succes de sprong naar de Verenigde Staten.

De banden met China, waar een derde van de medewerkers werkt, zijn nog steeds sterk. Het meeste R&D-werk vindt daar plaats. Dat maakt het bedrijf goedkoop, maar ook kwetsbaar. In aanloop naar de beursgang in 2019 moest Zoom erkennen dat de hechte band met China veiligheids- en privacy risico’s op kan leveren.

3. Waar komt het succes van Zoom vandaan?

Zoom is erg gebruikersvriendelijk en komt daarom in tijden van lockdowns erg van pas. Het geeft de gebruiker de gelegenheid in contact te komen met familieleden, werknemers, leerlingen en noem maar op.

Dat is ook terug te zien aan de cijfers. In 2019 telde Zoom dagelijks pakweg 10 miljoen gebruikers. In de maanden maart en april was dat opgelopen tot pakweg 200 miljoen gebruikers per dag.

4. Kan Zoom veilig gebruikt worden?

De beveiliging van Zoom laat zeer te wensen over. Beveiligingsexperts hebben nogal wat gebreken ontdekt. Zo is er een bug die het windowswachtwoord kan stelen. Een andere bug maakte het mogelijk om als buitenstaander een vergadering binnen te dringen en als administrator op te treden of om de microfoon of webcam over te nemen.

Ook is Zoombombing mogelijk gemaakt. Vreemden drongen daarbij vergaderingen binnen om daar dan hun boodschap van welke aard dan ook achter te laten. En zo zijn er meer gebreken.

5. Als Zoom niet veilig te gebruiken is, hoe zit het dan met de privacy van de gebruiker?

Zorgen over gegevensbehoud en de mogelijkheid dat derden kunnen inbreken worden nog verstevigd door de ontdekking dat Zoom iOS app automatisch data doorspeelde aan Facebook. De Privacycode van Zoom maakte hier geen melding van.

6. Wat kan dit gebrek aan een goede privacycode impliceren?

De gebrekkige privacycode kan twee zorgwekkende gevolgen hebben:

• Er is een gebrek aan transparantie. Dat stelt de gastheer in staat zaken te ondernemen die onzichtbaar blijven voor de medegebruikers van Zoom. Hij kan bijvoorbeeld de gesprekken opnemen, uitwerken en later met derde partijen bespreken of aan derde partijen doorgeven.
• De host/gastheer kan de informatie dus doorgeven aan derden zonder dat hij daar toestemming voor heeft gevraagd of gekregen. Dat is in strijd met het GDPR/AVG. Dat vereist dat gegevensverzameling slechts mag geschieden op basis van ‘free consent’. Er mag dus geen ongelijkheid zijn in de onderlinge verhoudingen. In dat geval kan er immers geen sprake zijn van een vrije keuze. Er zijn hier al precedenten van bekend.

7. Is er bij Zoomvergaderingen sprake van gelijkwaardigheid volgens de voorschriften van het GPDR/AVG?

Dat hangt er van af. Als familieleden elkaar via Zoom spreken, dan lijkt er wel sprake van gelijkwaardigheid. Maar is dat ook het geval wanneer een werkgever met zijn werknemers wil overleggen? Kunnen werknemers in tijden van Covid-19 weigeren mee te werken om redenen van bezorgdheid over de eigen privacy in het kader van de regelgeving van het GPDR?

Die zorg van de werknemer is terecht. Zoom ziet zichzelf eerder als een dataprocessor dan als een databeheerder. Dat is volgens Zoom de gastheer/host van de bijeenkomst/vergadering. Als de toezichthouders met deze redenering akkoord gaan, dan is de gastheer/host verantwoordelijk voor het verantwoord databeheer. Dat zal zeker het geval zijn als de host de data opslaat op zijn eigen servers.

8. Wat zegt Zoom zelf?

Onder druk van de losgebarsten kritiek zegt Zoom zijn veiligheids- en privacybeleid aangescherpt te hebben. Er staat nu te lezen, dat ‘content’ , die gebruikers produceren, niet gedeeld zal worden. Zoom claimt ook zulks nooit gedaan te hebben. Ook zegt Zoom, dat het overvallen is door zijn onstuimige groei. Zoals gezegd maken nu dagelijks 200 miljoen mensen gebruik van Zoom, waaronder 90.000 scholen in meer dan 20 landen. Het probleem bij deze verklaring is dat er al twijfels waren over het privacybeleid van Zoom voordat de zaak explodeerde.

9. Zijn er nog meer vraagtekens te zetten bij de privacy-opvattingen van Zoom?

Ter verdediging van zijn huidig rammelend privacybeleid voert Zoom aan, dat het zich eerst en vooral richtte op de zakelijke markt. Ze hadden nooit gedacht dat thuiswerkers en schoolkinderen massaal gebruik zouden gaan maken van Zoom. Dat is op het eerste gezicht een vreemde redenering. Als zouden er andere spelregels op het gebied van veiligheid en privacy gelden voor bedrijven, burgers of zelfs schoolkinderen. Deze lijn van redeneren is derhalve twijfelachtig en wekt de indruk als zou het gebrek aan privacy uitgangspunt van denken zijn geweest bij Zoom.

10. Zijn de stappen voorwaarts op het gebied van transparantie en duidelijkheid afdoende?

Niet helemaal. Neem bijvoorbeeld de versleuteling van data. Zoom heeft toegegeven dat er tot in het recente verleden geen sprake was van end-to-en encryption van data. End-to-end betekent dat de aanbieder op geen enkel moment bij die data kan komen. Zonder die vorm van versleuteling kan hij dat wel. Dat betekent niet automatisch dat de aanbieder dat zal doen, natuurlijk. Zoom zegt ook nu nergens, dat het niet zal proberen data te onderscheppen of communicatie op te nemen! Er blijft dus twijfel.

Die vraagtekens zijn ook mogelijk bij het nieuwe transparantiebeleid. Op 27 maart 2020 stelde Zoom dat het opnames zal maken van elke vergadering waarvan de host dat wenst. Dat betekent dat Zoom te allen tijde toegang heeft tot bepaalde vormen van content. Zoom zegt nergens dat het geen andere vormen van content opslaat. Zolang Zoom niet duidelijk stelt dat het end-to-end versleuteling gebruikt, dan kan het feitelijk overal bij. We weten niet of het gebeurt en we weten al evenmin hoelang het de opgeslagen content bewaart.

11. Kan dat onverwachte en onplezierige consequenties hebben?

Zoom zegt dat het aan de Amerikaanse wetgeving voldoet inzake toegang van de overheid tot opgeslagen data. Het werkterrein van Zoom is echter wereldwijd. Dat betekent dat de Amerikaanse overheid dankzij de Cloud Act toegang heeft tot buitenlandse data. Dat betekent dat die overheid niet alleen toegang kan opeisen tot allerlei bedrijfsdata, maar zelfs confidentiële data van vreemde mogendheden.

12. Maakt de overheid hier zich geen zorgen over?

Jawel, de officier van Justitie van New York heeft een brief geschreven aan het bedrijf in San Jose, Californie, waarin ze opheldering vraagt over het veiligheidsbeleid van Zoom. Zij wijst daarbij op explosief groeiende populariteit van Zoom in tijden van Covid-19.