Mijn Superkracht.nl

Zoom en de gegevens van je leerlingen

Ik werk al enige tijd met de dienst voor videochat "Zoom". Ik vind deze tool erg prettig en hij heeft een aantal mogelijkheden die andere tools niet bieden.

De afgelopen dagen kreeg ik echter nogal tegenstrijdige berichten over of Zoom wel of niet geschikt is voor het begeleiden van leerlingen. De twijfel hierin ligt vooral in het feit of het "AVG-proof" is, dus of er wel zorgvuldig omgegaan wordt met je eigen gegevens en die van je leerlingen. Ik was altijd in de veronderstelling dat dit het geval is, maar wilde het nu nog een keer extra controleren en ben in alle documenten gedoken.

Op deze pagina deel ik mijn bevindingen met je.

Disclaimer: ik ben geen jurist en je moet uiteindelijk zelf kiezen

Even voor de zekerheid: ik ben remedial teacher, geen jurist, dus ik beschrijf hier wat ik denk dat belangrijk is en op basis waarvan ik zelf de keuze maak. Dit is ter informatie en om je te helpen voor jezelf de keuze te maken en het is geen  (juridisch) advies. Als je een volledig geïnformeerde keuze wilt maken, kun je het beste de documenten ook lezen en je daarop baseren of je laten adviseren door een jurist.

Een extra opmerking hierbij is dat de documenten in het Engels zijn opgesteld en mijn Engels is prima, maar ik kan niet uitsluiten dat ik ergens iets niet goed begrepen heb of me vergis in een vertaling.

Kortom, lees deze pagina vooral eens door als je benieuwd bent naar mijn bevindingen, maar maak uiteindelijk zelf je keuze.

Welk account gebruik je?

Als je kiest voor Zoom, kun je voor een aantal soorten accounts kiezen, gratis of betaald, voor bedrijven, scholen of e-gezondheid. Vanuit verschillende bronnen (NVLF, update 13-3-2020, en PPN, KNGF, SKF en ZN) worden de consumentenversie, dat wil zeggen de gratis versie, niet aangeraden, maar de betaalde accounts, als ik het goed begrijp, wel.

Zelf heb ik een betaald account en ik heb de documenten die hier bij horen bekeken. Naar aanleiding daarvan heb ik contact opgenomen met Zoom, want ik ontdekte dat ze een apart beleid hebben aangaande de omgang met de gegevens van kinderen. Dit beleid is, volgens de medewerkers van Zoom met wie ik schriftelijk contact heb gehad, van toepassing op alle gebruikers.

Overigens biedt Zoom op dit moment vanwege de situatie rondom het coronavirus voor scholen een gratis account aan. 

Locatie van het bedrijf

Het eerste wat belangrijk is bij Zoom, is dat het een bedrijf in de Verenigde Staten is. Je mag niet zomaar persoonsgegevens laten verwerken in een land buiten de EU. Gelukkig is die doorgifte wel toegestaan als het bedrijf zich heeft gecertificeerd voor het EU-VS privacyshield en dat is bij Zoom het geval.

Verwerkersovereenkomst

Een voorwaarde om gegevens te mogen laten verwerken door een ander bedrijf, in dit geval Zoom, is dat je een verwerkersovereenkomst met hen aangaat, in het Engels een Data Processing Addendum (DPA). Op de website van Zoom vind je een al getekende DPA die je zelf nog kunt ondertekenen en terugsturen. Deze overeenkomst wordt gekoppeld aan je account nummer, dat op je factuur staat. Ik denk daarom dat je om een DPA aan te gaan met Zoom een betaald account moet hebben, maar mogelijk kan dit ook bij het (tijdelijk) gratis schoolaccount.

Verwerking van de persoonsgegevens: verkoopt Zoom de gegevens?

In de DPA staat beschreven wat Zoom met de gegevens van gebruikers die jij doorgeeft, mag doen en wat het bedrijf doet om die gegevens te beveiligen. Hierin staat over de verwerking van de persoonsgegevens:

Zoom shall Process Personal Data only (i) for the purposes set forth in the Agreement and/or Exhibit A; (ii) in accordance with the terms and conditions set forth in this Addendum and any other documented instructions provided by Customer; or (iii) as required by applicable law. Customer hereby instructs Zoom to Process Personal Data in accordance with the foregoing and as part of any Processing initiated by Customer in its use of the Services, using means of processing
that are reasonably necessary and proportionate to providing the Services. For the avoidance of doubt, Zoom shall not engage in the Sale of Personal Data.

(bladzijde 3 van de DPA, versie december 2019, artikel 3 lid 2)

Als ik alles goed begrepen heb, betekent dit dat ze de gegevens gebruiken om te zorgen dat jij contact kunt hebben met degene aan de andere kant en dat ze verder vooral jouw instructie volgen (als het via jouw account verloopt). Een uitzondering daarop is dat ze een wettelijke verplichting kunnen hebben om iets anders met de gegevens te doen, en dat doen ze dan ook, en dat het kan zijn dat ze een verzoek krijgen waar ze op moeten reageren. In beide gevallen laten ze jou dat ook weten. 

Wat me vooral belangrijk lijkt, is de laatste zin: Zoom verkoopt geen persoonlijke gegevens.

Maar hoe zit dat dan bij een gratis account?

Met een gratis account heb je geen DPA en geldt dit artikel dus niet. Worden je persoonlijke gegevens, en die van je leerlingen, dan wel verkocht?

Does Zoom sell Personal Data?

We do not allow marketing companies, advertisers, or anyone else to access Personal Data in exchange for payment. Except as described above, we do not allow any third parties access to any Personal Data we collect in the course of providing services to users.  We do not allow third parties to use any Personal Data obtained from us for their own purposes, unless it is with your consent (e.g. when you download an app from the Marketplace). So in our humble opinion, we don’t think most of our users would see us as selling their information, as that practice is commonly understood.

That said, Zoom does use certain standard advertising tools which require Personal Data (think, for example, Google Ads and Google Analytics). We use these tools to help us improve your advertising experience (such as serving advertisements on our behalf across the Internet, serving personalized ads on our website, and providing analytics services). Sharing Personal Data with the third-party provider while using these tools may fall within the extremely broad definition of the “sale” of Personal Data under certain state laws because those companies might use Personal Data for their own business purposes, as well as Zoom’s purposes. For example, Google may use this data to improve its advertising services for all companies who use their services. (It is important to note advertising programs have historically operated in this manner. It is only with the recent developments in data privacy laws that such activities fall within the definition of a “sale”). If you opt out of “sale” of your info, your Personal Data that may have been used for these activities will no longer be shared with third parties.

(privacyverklaring van Zoom, https://zoom.us/privacy)

Zoals je hier kunt lezen, worden de gegevens niet verkocht in ruil voor geld, maar ze worden wel gebruikt om gepersonaliseerde advertenties te tonen en daarbij worden ze ook doorgegeven aan de partijen die die advertenties verzorgen. DIt kun je uitzetten, maar lang niet alle deelnemers aan jouw meetings zullen dat doen. Als je besluit een gratis account van Zoom te gebruiken, is het dus wel belangrijk om ze dit te vertellen.

Webcam

Wat bij elke tool voor videochat belangrijk is, is dat er een webcam gebruikt wordt. De deelnemers zijn zichtbaar, als ze het programma toestemming geven de webcam te gebruiken, en het geluid wordt opgenomen. Wat je zegt en hoe je eruitziet, wordt dus verwerkt door Zoom. Dit is inherent aan de dienst, maar sowieso iets om wel rekening mee te houden. Het is belangrijk om ouders toestemming te vragen om leerlingen te gaan begeleiden via videochat.

Er wordt trouwens door de autoriteit persoonsgegevens ook aangeraden echt persoonlijke dingen alleen te bespreken via een beveiligde tool. In hoeverre Zoom echt veilig genoeg is voor het delen van vertrouwelijke informatie, weet ik eerlijk gezegd niet. Zij geven op hun site wel informatie over de beveiliging van de verbinding en dat klinkt heel veilig (natuurlijk ), maar ik heb hier te weinig verstand van om in te kunnen schatten hoe veilig dat echt is. Ik ben zelf dus heel voorzichtig met het delen van vertrouwelijke informatie en bied mijn leerlingen en hun ouders ook de mogelijkheid om zonder camera deel te nemen aan de meetings.

Meekijken op je computer

Wat veel mensen verder als nadeel noemen, is dat Zoom mee zou kijken op de computer, tablet of smartphone van gebruikers, en dan met name op het scherm dat je open hebt staan. Dit wordt niet expliciet genoemd in de documenten, maar ik ga ervan uit dat dit klopt. Hier schrik je waarschijnlijk van, maar als je kijkt naar de diensten van Zoom is dit heel logisch. Je kunt in Zoom je scherm delen met andere gebruikers, dat kan alleen als Zoom je scherm kan "zien" en doorsturen naar de andere deelnemers. Daarnaast heb je ook de optie om een seintje te krijgen als 1 van je deelnemers iets anders open zet dan Zoom, ook heel handig als je les wilt geven, maar ook daar is meekijken voor nodig.

Volgens de overeenkomst mag Zoom deze gegevens alleen gebruiken om de dienst uit te voeren en gaan ze zorgvuldig met die gegevens om, maar het is aan jou of je dat voldoende vindt om te besluiten Zoom te gaan gebruiken.

Gegevens in de cloud

Het is in Zoom ook mogelijk om je gesprekken op te nemen. Uiteraard heb je hiervoor sowieso toestemming nodig van de (ouders van) degene met wie je in gesprek bent. Maar het is ook belangrijk om goed in te stellen wat er vervolgens met de opname gebeurt. Deze kan namelijk in de cloud of op je computer opgeslagen worden. Het is aan jou of je gesprekken opneemt en als je doet, welke optie voor het opslaan het meest veilig is. Ik zou ze zelf niet opslaan in de cloud.

Cookies

Als je op de site van Zoom komt, worden er cookies op je computer geplaatst, onder andere ook voor advertenties, tenzij je niet direct op toestaan klikt en de instellingen aanpast. Dit wordt in een duidelijke pop-up (in het Engels) getoond als je voor het eerst op de site komt. Mocht je achteraf de instellingen willen wijzigen, dan kan dit helemaal onderaan de homepage. Je kunt hier klikken op "do not sell my personal information" of "cookie preferences". Die eerste vind ik trouwens wel opvallend, gezien het feit dat ze in de DPA aangeven sowieso geen persoonlijke gegevens te verkopen. Beide opties openen hetzelfde venster, waarop je kunt kiezen welke cookies je wel of niet toestaat.

Conclusie

Al met al is er genoeg om over na te denken als je overweegt om Zoom te gaan gebruiken voor begeleiding via videochat. Zelf kies ik er vanwege de mogelijkheden die het biedt wel voor, maar ik heb een betaald account en denk goed na over wat ik wel of niet doe, zodat ik zorgvuldig omga met de gegevens van mijn leerlingen en hun ouders.

Interessant artikel

Na het schrijven van deze pagina, vond ik nog dit artikel, wat ik erg duidelijk vind en graag met je deel.

 

Bronnen:

  1. Official Statement: EU GDPR Compliance (Zoom)

  2. Privacy Policy (Zoom)

  3. Zoom for K-12 Schools & Districts Privacy Policy

  4. Cookie Policy (Zoom)