Hamburg - de op één na grootste stad van Duitsland - waarschuwt dat de online videoconferencingsoftware van het Amerikaanse Zoom de Europese regelgeving rond databescherming (GDPR of AVG) niet respecteert. De waarschuwing komt van het 'Hamburgische Beauftragte für Datenschutz und Informationsfreiheit' ('HmbBfDI'), zeg maar de overheidsorganisatie in Hamburg die waakt over databescherming en privacy: de evenknie van de Gegevensbeschermingsautoriteit in ons land. De waarschuwing is in eerste instantie gericht naar de 'Senatskanzlei der Freien und Hansestadt Hamburg' ('FHH'), de Senaatskanselarij van de Vrije en Hanzestad Hamburg.

De Hamburgse databeschermingsdienst valt vooral over het feit dat gebruikersdata naar de Verenigde Staten overgebracht worden, en daar ook verwerkt worden. Het HmbBfDI volgt daarmee het Schrems II arrest van het hoogste Europese gerechtshof. Ruim een jaar geleden deed het gerechtshof een uitspraak over de datastromen tussen de EU en de VS. Bedrijven die persoonlijke gegevens van de EU naar andere wettelijke regio's sturen, moeten dezelfde garanties rond privacy geven als in de EU zelf, zo stelt het hof. In de praktijk werd met de uitspraak het Privacy Shield geschrapt, een overeenkomst tussen de EU en de VS die het mogelijk moest maken dat bedrijven als Facebook -of in dit geval dus: Zoom - persoonsgegevens transfereren.

Nasleep van Schrems II

Dichter bij huis gaf de Vlaamse Toezichtcommissie vorig jaar overigens ook een soortgelijk negatief advies over het gebruik van het Amerikaanse cloudbedrijf AWS. Dat advies leek toen ook een rechtstreeks gevolg van het Schrems II arrest. De Europese Toezichthouder voor Gegevensbescherming (EDPS) onderzoekt ondertussen ook de contracten die Amazon en Microsoft met Europese instellingen hebben afgesloten. Deze voldoen mogelijk niet meer aan EU-wetgeving voor het versturen van data naar landen buiten het landenblok, zei EDPS-directeur Wojciech Wiewiórowski nog enkele maanden geleden. Ondertussen lopen er wel onderhandelingen tussen de Europese Commissie en de Verenigde Staten over een nieuwe globale overeenkomst over gegevensuitwisselingen.

Senaatskanselarij ziet geen probleem

Maar nog even terug naar Hamburg. Ulrich Kühn, de waarnemend Hamburgse commissaris voor gegevensbescherming en vrijheid van informatie, zegt in het persbericht dat het 'betreurenswaardig is dat een dergelijke formele stap moest worden gezet om overheidsinstanties te verplichten om de wet na te leven.' In juni had het HmbBfDI al via een hoorzitting de Senaatskanselarij van Hamburg gewaarschuwd, maar de FHH bleef vervolgens toch Zoom-software gebruiken. Ulrich Kühn wijst er op dat binnen het FHH alle medewerkers toegang hebben tot een waardig alternatief voor videoconferenties zonder dataproblemen. De Duitse dienstverlener Dataport levert videoconferentie in de eigen, Duitse datacenters.

De Senaatskanselarij is niet gediend met de waarschuwing. In een artikel op de Duitse IT-nieuwssite Golem reageert een woordvoerder dat 'Zoom technisch voor naadloze end-to-end encryptie zorgt en contractueel garandeert dat niets van de inhoud van een videoconferentie - noch gesproken woorden noch video-opnames - toegankelijk zijn voor het bedrijf of in handen kunnen vallen van derden'.

Update: Zoom reageert

In een korte reactie aan Data News stelt Zoom ondertussen dat 'privacy en security topprioriteiten zijn'. Zoom zegt dat het 'zich inzet om te voldoen aan alle toepasselijke privacywetten, -regels en -voorschriften in de rechtsgebieden waarbinnen het actief is, waaronder de GDPR.' Het bedrijf stelt tot slot dat het zich specifiek voor de overdracht van persoonlijke gegevens in Europa schikt naar de 'EU Standard Contractual Clauses (SCCs)' en dat het een 'Data Transfer Impact Assessment' ter beschikking heeft voor klanten die willen nagaan wat de impact van de Schrems II beslissing is op hun eigen situatie.

Hamburg - de op één na grootste stad van Duitsland - waarschuwt dat de online videoconferencingsoftware van het Amerikaanse Zoom de Europese regelgeving rond databescherming (GDPR of AVG) niet respecteert. De waarschuwing komt van het 'Hamburgische Beauftragte für Datenschutz und Informationsfreiheit' ('HmbBfDI'), zeg maar de overheidsorganisatie in Hamburg die waakt over databescherming en privacy: de evenknie van de Gegevensbeschermingsautoriteit in ons land. De waarschuwing is in eerste instantie gericht naar de 'Senatskanzlei der Freien und Hansestadt Hamburg' ('FHH'), de Senaatskanselarij van de Vrije en Hanzestad Hamburg.De Hamburgse databeschermingsdienst valt vooral over het feit dat gebruikersdata naar de Verenigde Staten overgebracht worden, en daar ook verwerkt worden. Het HmbBfDI volgt daarmee het Schrems II arrest van het hoogste Europese gerechtshof. Ruim een jaar geleden deed het gerechtshof een uitspraak over de datastromen tussen de EU en de VS. Bedrijven die persoonlijke gegevens van de EU naar andere wettelijke regio's sturen, moeten dezelfde garanties rond privacy geven als in de EU zelf, zo stelt het hof. In de praktijk werd met de uitspraak het Privacy Shield geschrapt, een overeenkomst tussen de EU en de VS die het mogelijk moest maken dat bedrijven als Facebook -of in dit geval dus: Zoom - persoonsgegevens transfereren.Dichter bij huis gaf de Vlaamse Toezichtcommissie vorig jaar overigens ook een soortgelijk negatief advies over het gebruik van het Amerikaanse cloudbedrijf AWS. Dat advies leek toen ook een rechtstreeks gevolg van het Schrems II arrest. De Europese Toezichthouder voor Gegevensbescherming (EDPS) onderzoekt ondertussen ook de contracten die Amazon en Microsoft met Europese instellingen hebben afgesloten. Deze voldoen mogelijk niet meer aan EU-wetgeving voor het versturen van data naar landen buiten het landenblok, zei EDPS-directeur Wojciech Wiewiórowski nog enkele maanden geleden. Ondertussen lopen er wel onderhandelingen tussen de Europese Commissie en de Verenigde Staten over een nieuwe globale overeenkomst over gegevensuitwisselingen. Maar nog even terug naar Hamburg. Ulrich Kühn, de waarnemend Hamburgse commissaris voor gegevensbescherming en vrijheid van informatie, zegt in het persbericht dat het 'betreurenswaardig is dat een dergelijke formele stap moest worden gezet om overheidsinstanties te verplichten om de wet na te leven.' In juni had het HmbBfDI al via een hoorzitting de Senaatskanselarij van Hamburg gewaarschuwd, maar de FHH bleef vervolgens toch Zoom-software gebruiken. Ulrich Kühn wijst er op dat binnen het FHH alle medewerkers toegang hebben tot een waardig alternatief voor videoconferenties zonder dataproblemen. De Duitse dienstverlener Dataport levert videoconferentie in de eigen, Duitse datacenters.De Senaatskanselarij is niet gediend met de waarschuwing. In een artikel op de Duitse IT-nieuwssite Golem reageert een woordvoerder dat 'Zoom technisch voor naadloze end-to-end encryptie zorgt en contractueel garandeert dat niets van de inhoud van een videoconferentie - noch gesproken woorden noch video-opnames - toegankelijk zijn voor het bedrijf of in handen kunnen vallen van derden'.In een korte reactie aan Data News stelt Zoom ondertussen dat 'privacy en security topprioriteiten zijn'. Zoom zegt dat het 'zich inzet om te voldoen aan alle toepasselijke privacywetten, -regels en -voorschriften in de rechtsgebieden waarbinnen het actief is, waaronder de GDPR.' Het bedrijf stelt tot slot dat het zich specifiek voor de overdracht van persoonlijke gegevens in Europa schikt naar de 'EU Standard Contractual Clauses (SCCs)' en dat het een 'Data Transfer Impact Assessment' ter beschikking heeft voor klanten die willen nagaan wat de impact van de Schrems II beslissing is op hun eigen situatie.