Welke meeting tools kun je veilig gebruiken?
Er is steeds meer behoefte aan meeting- en webinartools, maar dan wel graag tools die aan de AVG voldoen. Ik kan ze lang niet allemaal beoordelen, maar ik kan je wel een aantal tips meegeven.
Verwerking persoonsgegevens
Wanneer je gaat videobellen, een online meeting houdt of een webinar geeft, verwerk je automatisch persoonsgegevens. En als jij het al niet doet, dan de software wel.
Namen, e-mailadressen, volledige IP-adressen, portretten en wellicht ook besproken informatie. Het zijn allemaal persoonsgegevens.
LawStories in je mailbox?
Privacyverklaring aanpassen
Zorg als ondernemer of organisatie dus ook dat je privacyverklaring hierop is aangepast!
Zoek dus ook uit of de tool persoonsgegevens bewaart of dat ze meteen weer verdwijnen wanneer de videocall is beëindigd. Neem je het gesprek op, vertel dit dan ook in de privacyverklaring.
Maak je gebruik van een webinartool, laat dan duidelijk weten of namen en teksten in de chat voor iedereen zichtbaar zijn of niet en of je namen gaat opnoemen en vragen voorleest. Ook die vragen kunnen namelijk persoonsgegevens zijn.
Gevestigd in de EU
Is een tool gemaakt door een bedrijf uit de EU, dan moet deze voldoen aan de AVG. Het wil natuurlijk nog niet zeggen dat ze het ook echt volledig correct doen en natuurlijk kan het ene bedrijf ervoor kiezen zoveel mogelijk persoonsgegevens te verwerken als binnen de kaders van de wet mag, terwijl de ander dat minder interesseert.
Daarnaast zijn landen in de EER, zoals Noorwegen, Lichtenstein en IJsland ook gebonden aan de AVG. Hier mogen ook persoonsgegevens aan worden doorgegeven.
Adequaat land
Als een bedrijf is gevestigd in een zogenaamd adequaat land, dan is daarvan bepaald dat de privacyregels in dat land voldoende waarborgen bieden en persoonsgegevens dus aan dat land doorgegeven mogen worden.
Adequate landen zijn onder meer:
- Canada (commerciële organisaties)
- Israël
- Japan
- Nieuw-Zeeland
- Verenigde Staten (mits EU-US Privacy Shield)
- Zwitserland
EU-US Privacy Shield
Een goede aanwijzing dat een aanbieder van meeting tools of webinar tools voldoende rekening houdt met privacyrechten van burgers uit de Europese Unie, is het EU-US Privacy Shield.
Een bedrijf dat voldoet aan de EU-US Privacy Shield wordt vooralsnog gezien als ‘adequaat’. Daar mogen dus persoonsgegevens mee gedeeld worden.
Het lastige en vervelende is alleen wel dat de regels in de Verenigde Staten en die in de EU met elkaar conflicteren. Daarom loopt er een rechtszaak bij het Hof van Justitie EU om de Privacy Shield ongeldig te verklaren.
Passende waarborgen
Vanwege de privacyregels in de Verenigde Staten is het geen zogenaamd ‘adequaat land’. Daarom mogen persoonsgegevens niet zomaar worden uitgewisseld met een bedrijf uit bijvoorbeeld de Verenigde Staten.
Gelukkig biedt de AVG daar een oplossing voor.
Als er zogenaamde passende waarborgen worden getroffen, bijvoorbeeld door modelcontracten van de Europese Commissie te gebruiken of er wordt aangesloten bij een goedgekeurde gedragscode of certificering of de waarborgen anderszins contractueel zijn overeengekomen, mogen persoonsgegevens ook worden doorgegeven.
Privacyverklaring en Verwerkersovereenkomst
Lees vooral de privacyverklaring van de tool die je wil gebruiken goed door! Daar zou veel informatie in terug te vinden moeten zijn over:
- Welke gegevens ze verwerken
- Met welk doel ze dat doen (en op welke grondslag)
- Hoe lang de persoonsgegevens bewaard worden
- Met wie de persoonsgegevens gedeeld worden
Er hoort nog wel meer in te staan, maar dit is het belangrijkste, vind ik.
Verder moet je ervoor zorgen dat je een verwerkersovereenkosmt met deze partij hebt gesloten. In de meeste gevallen is die opgenomen in de algemene voorwaarden of kun je het downloaden.
Voorbeelden van meeting- en webinartools
Ik heb de privacyverklaringen niet minutieus doorgenomen, dus ik kan je geen garanties geven over de veiligheid ervan. Blijf altijd zelf opletten en bepaal wat voor jou of jouw organisatie belangrijk is.
- Whereby.com – Noorwegen. Meetingtool, gratis tot 4 personen. Geen account nodig, werkt in de browser. Screen sharing mogelijk.
- Missive – Canada. Meetingtool. Eigenlijk een e-mailprogramma, maar waarin je binnen je eigen team (niet met externen) kunt videobellen.
- WebinarGeek – Nederland. Betaald abonnement. (aff.)
- Vimeo – VS (Privacy Shield en Model Clauses). Livestream webinars. Betaald abonnement.
- Microsoft Teams – VS (Privacy Shield). Meetingtool. Geïntegreerd in Office365.
- Skype (Microsoft) – VS (Privacy Shield). Meetingtool
- Slack – VS (Privacy Shield). Meetingtool. Gratis 1:1 meetings, daarna betaald
- WebEx – VS (Privacy Shield en Binding Corporate Rules). Meetings en Webinars. Gratis tot 100 personen.
- Jitsi (8×8) – VS (Privacy Shield). Meeting en Webinar. Open source, gratis, geen account nodig. Onbeperkt aantal deelnemers. Werkt ook met Slack.
- JoinMe (LogMeIn) – VS (Privacy Shield). Meeting en Webinar. Hoort bij de GoTo-serie.
- Wickr – VS. Meeting tool
- Wire – Zwitserland. Meeting tool. Betaald abonnement.
Social Media functies
Persoonlijk zou ik niet snel kiezen voor opties die social media biedt. De ander heeft er immers meestal ook een social media account voor nodig.
Juist sociale media verwerken veel persoonsgegevens. Met toestemming, omdat je zelf een account aanmaakt, is dat natuurlijk geen probleem.
Maar mensen dwingen een account aan te maken, is natuurlijk geen reeële optie. Bovendien moet je er rekening mee houden dat er ook zonder account nog steeds veel persoonsgegevens verwerkt worden.
Zoom
Is Zoom een veilig systeem?
Ze zijn aangesloten bij EU-US Privacy Shield, maar verwerken erg veel data en zijn onduidelijk over de data die ze vervolgens ook doorgeven aan andere bedrijven.
Laatst werd bijvoorbeeld bekend dat Zoom ook persoonsgegevens heeft doorgegeven aan Facebook. Onduidelijk is onder welke voorwaarden dat is gebeurd. Na ophef zijn ze daarmee gestopt.
De beveiliging van Zoom is helaas ook niet op orde. Het systeem werd gehackt en kon zo tijdens een webinar voor leerlingen het systeem binnendringen, het webinar stilleggen en onder meer racistische teksten publiceren in de plaats van het webinar.
Amerikaanse justitie is een onderzoek gestart. Als zelfs in Amerika het idee leeft dat de privacy niet goed geregeld is, dan weet je zeker dat het foute boel is.
Lees meer over de problemen bij Zoom via Bright / NOS / de Volkskrant