Goed nieuws voor resellers die IT-diensten leveren aan het voorgezet onderwijs en onderzoeksinstellingen. Zoom is geslaagd voor de Data Protection Impact Assessment (DPIA) van SURF. De DPIA is een onderzoek dat privacyrisico’s bij het gebruik van ICT-diensten in het onderwijs in kaart brengt.
SURF is de Nederlandse coöperatie voor IT-voorzieningen, innovatie en digitalisering in het onderwijs en onderzoek. SURF vertegenwoordigt het Nederlandse MBO, HBO, WO en onderzoeksinstellingen op IT-gebied. Universiteiten, hogescholen, MBO-instellingen en onderzoeksinstellingen zijn gezamenlijk eigenaar van SURF.
De DPIA van Zoom door SURF
Om te bepalen welke tools wel en niet aan de gezamenlijke voorwaarden voldoen, voert SURF DPIA’s uit: Data Protection Impact Assessments. In 2024 is de DPIA van Zoom positief afgerond en heeft SURF vastgesteld dat Zoom alle afgesproken maatregelen heeft getroffen om te voldoen aan de AVG-eisen voor gebruik in het Nederlandse hoger onderwijs en onderzoek.
Waarom Zoom onder andere aan de eisen voldoet:
Kortere bewaartermijnen
Zowel gebruikers data als diagnostische gegevens kunnen automatisch verwijderd worden.
Meer transparantie
Zoom heeft uitgebreide informatie gepubliceerd over dataverzameling, metadata en subverwerkers. Er is een telemetrie-viewer beschikbaar voor beheerders.
Privacy by design
Functies zoals AI Companion zijn standaard uitgeschakeld en kunnen alleen door beheerders worden geactiveerd.
Data Processing Controls
Beheerders kunnen nu zelf verzoeken indienen namens betrokkenen en gebruikersgegevens individueel verwijderen.
Transfer of personal data outside of Europe
Tot slot heeft Zoom ook duidelijk omschreven hoe het omgaat met het bewaren van persoonlijke data in Europa en Zie daarvoor deze pagina van Zoom.
Conclusie
Mits onderwijsinstellingen de aanbevelingen van SURF opvolgen, zijn alle bekende privacyrisico’s bij het gebruik van Zoom afgedekt. Zoom voldoet daarmee aan de AVG-eisen voor het Nederlandse onderwijs.
De uitslag van de SURF DPIA van Zoom is hier te lezen.