Zoom is een Amerikaans beursgenoteerd bedrijf dat pas sinds 2011 bestaat en ongeveer 2.000 medewerkers telt. In 2019 boekte het een omzet van $620 mln. Via Zoom is het gemakkelijk om een digitale vergadering met meerdere mensen te beginnen. Dat kan door in te bellen naar een van de telefoonnummers van Zoom, maar vooral ook via software om te videobellen. Een apart programma downloaden hoeft niet, een gesprek kan opgestart worden via de browser.

Het bedrijf is opgericht door de Chinese immigrant Eric Yuan, een slimme student afgestudeerd in computerwetenschappen en wiskunde. Hij waagde eind jaren '90 met succes de sprong naar de Verenigde Staten.

De banden met China, waar een derde van de medewerkers werkt, zijn nog steeds sterk. Het meeste R&D-werk; vindt daar plaats. Dat maakt het bedrijf goedkoop, maar ook kwetsbaar. In aanloop naar de beursgang in 2019 moest Zoom erkennen dat de hechte band met China veiligheids- en privacy risico’s op kan leveren.

Zoom is erg gebruikersvriendelijk en komt daarom in tijden van lockdowns erg van pas. Het geeft de gebruiker de gelegenheid in contact te komen met familieleden, werknemers, leerlingen en noem maar op.

Dat is ook terug te zien aan de cijfers. In 2019 telde Zoom dagelijks pakweg 10 miljoen gebruikers. In de maanden maart en april was dat opgelopen tot pakweg 200 miljoen gebruikers per dag.

De beveiliging van Zoom laat zeer te wensen over. Beveiligingsexperts hebben nogal wat gebreken ontdekt. Zo is er een bug die het windowswachtwoord kan stelen. Een andere bug maakt het mogelijk om als buitenstaander een vergadering binnen te dringen en als administrator op te treden of om de microfoon of webcam over te nemen.

Ook is Zoombombing mogelijk. Vreemden dringen een vergadering binnen om daar dan hun boodschap van welke aard dan ook achter te laten. En zo zijn er meer gebreken.

Zorgen over gegevensbehoud en de mogelijkheid dat derden kunnen inbreken worden nog verstevigd door de ontdekking dat Zoom iOS app automatisch data doorspeelde aan Facebook. De Privacycode van Zoom maakte hier geen melding van.

De gebrekkige privacycode kan twee zorgwekkende gevolgen hebben. De Privacycode is de code die onderling voor gebruikers van Zoom geldt.

A: Er is een gebrek aan transparantie in de technische mogelijkheden van de applicatie. Dat stelt de gastheer van een call in staat zaken te ondernemen die onzichtbaar blijven voor de mededeelnemers. Hij kan bijvoorbeeld de gesprekken opnemen, uitwerken en later met derde partijen bespreken of aan derde partijen doorgeven.

B: De host/gastheer kan de informatie dus doorgeven aan derden zonder dat hij daar toestemming voor heeft gevraagd of gekregen. Dat is in strijd met het GDPR/AVG. Dat vereist dat gegevensverzameling slechts mag geschieden op basis van ‘toestemming’, die bovendien goed geïnformeerd en vrijwillig gegeven moet zijn.

Onder druk van de losgebarsten kritiek zegt Zoom zijn veiligheids- en privacybeleid aangescherpt te hebben. Er staat nu te lezen, dat ‘content’, die gebruikers produceren, niet gedeeld zal worden. Zoom claimt ook zulks nooit gedaan te hebben. Ook zegt Zoom, dat het overvallen is door zijn onstuimige groei. Zoals gezegd maken nu dagelijks 200 miljoen mensen gebruik van Zoom, waaronder 90.000 scholen in meer dan 20 landen. Het probleem bij deze verklaring is dat er al twijfels waren over het privacybeleid van Zoom voordat de zaak explodeerde.

Ter verdediging van zijn huidig rammelend privacybeleid voert Zoom aan, dat het zich eerst en vooral richtte op de zakelijke markt. Ze hadden nooit gedacht dat thuiswerkers en schoolkinderen massaal gebruik zouden gaan maken van Zoom. Dat is op het eerste gezicht een vreemde redenering. Als zouden er heel andere spelregels op het gebied van veiligheid en privacy gelden voor bedrijven, burgers of zelfs schoolkinderen. Deze lijn van redeneren is derhalve twijfelachtig en wekt de indruk als zou het gebrek aan privacy uitgangspunt van denken zijn geweest bij Zoom.

Niet helemaal. Neem bijvoorbeeld de versleuteling van data. Zoom heeft toegegeven dat er tot in het recente verleden geen sprake was van end-to-en encryption van data. End-to-end betekent dat de aanbieder op geen enkel moment bij die data kan komen. Zonder die vorm van versleuteling kan hij dat wel. Dat betekent niet automatisch dat de aanbieder dat zal doen, natuurlijk. Zoom zegt ook nu echter nergens, dat het niet zal proberen data te onderscheppen of communicatie op te nemen! Er blijft dus twijfel.

Die vraagtekens zijn ook mogelijk bij het nieuwe transparantiebeleid. Op 27 maart 2020 stelde Zoom dat het opnames zal maken van elke vergadering waarvan de host dat wenst. Dat betekent dat Zoom te allen tijde toegang heeft tot bepaalde vormen van content. Zoom zegt nergens dat het geen andere vormen van content opslaat. Zolang Zoom niet duidelijk stelt dat het end-to-end versleuteling gebruikt, dan kan het feitelijk overal bij. We weten niet of het gebeurt en we weten al evenmin hoelang het de opgeslagen content bewaart.

Zoom zegt dat het aan de Amerikaanse wetgeving voldoet inzake toegang van de overheid tot opgeslagen data. Het werkterrein van Zoom is echter wereldwijd. Dat betekent dat bijvoorbeeld de Amerikaanse overheid dankzij de Cloud Act potentieel toegang heeft tot buitenlandse data. Dat betekent dat die overheid niet alleen toegang kan opeisen tot allerlei bedrijfsdata, maar zelfs confidentiële data van vreemde mogendheden.

Jawel, de officier van Justitie van New York heeft een brief geschreven aan het bedrijf in San Jose, Californie, waarin ze opheldering vraagt over het veiligheidsbeleid van Zoom. Zij wijst daarbij op explosief groeiende populariteit van Zoom in tijden van Covid-19.