Noot van de redactie: Gezien de recente toename van het werken op afstand als gevolg van de uitbraak van de coronavirus ziekte 2019 (COVID-19), integreren veel juridische professionals nu tools in hun zakelijke communicatie workflow die ze mogelijk nooit eerder hebben gebruikt of nooit hebben gebruikt in omgevingen die de wettelijke verdedigbaarheid van communicatie. Een van deze tools is het Zoom teleconferentieplatform. Hieronder vindt u een reeks uittreksels uit informatie-notities, artikelen en rechtszaken die nuttig kunnen zijn voor overweging door professionals en aanbieders van juridische ontdekkingen bij het evalueren van het gebruik van Zoom ter ondersteuning van het gedrag van eDiscovery.
Volledige informatieve nota van de Data Protection Commission (DPC) Ierland
Tip voor gegevensbescherming voor videoconferenties
In het licht van de recente toename van het werken op afstand, die nodig is door de COVID-19 mitigatiemaatregelen, en de toegenomen aantallen die online contact houden met vrienden en familie, is het aantal mensen dat videoconferenties en videogesprekken aanbiedt drastisch toegenomen. Dit heeft er ook toe geleid dat mensen apps en diensten gebruiken die ze misschien nog niet eerder hebben gebruikt of nu om verschillende redenen gebruiken — dat wil zeggen dat ze een app gebruiken die ze nu voor persoonlijke doeleinden gebruiken voor werkdoeleinden of omgekeerd.
Er is bezorgdheid geuit over het gebruik van deze technologieën om op een veilige en veilige manier contact te houden met collega's en dierbaren en een adequate standaard voor gegevensbescherming garandeert.
Hier zijn enkele tips om zowel individuen als organisaties (zoals werkgevers die nieuwe of verhoogde video-conferencing regelingen voor werknemers kunnen introduceren) te helpen deze diensten op een veilige manier te gebruiken.
Tips voor individuen
Zorg ervoor dat het apparaat dat u gebruikt voor videogesprekken over de nodige updates beschikt, zoals updates van het besturingssysteem (zoals iOS of Android) en software/antivirus-updates (en zorg ervoor dat het in de eerste plaats antivirus/online beveiligingssoftware heeft).
Probeer gebruik te maken van diensten die u kent en vertrouwt, die onderzoek hebben gedaan en/of zijn doorgelicht en gesuggereerd door uw werkgever, enz., voor videoconferenties of videogesprekken.
Neem even de tijd om het privacy- of gegevensbeschermingsbeleid van de dienst te lezen om er zeker van te zijn met wie uw persoonsgegevens worden gedeeld, waar deze zullen worden opgeslagen of verwerkt, en voor welke doeleinden ze zullen worden gebruikt, onder andere informatie.
Denk twee keer na over welke machtigingen voor data of sensoren u gevraagd wordt: moet u bijvoorbeeld uw locatie of uw lijst met contactpersonen delen? Waarvoor worden die gegevens gebruikt?
Als de gegevensbescherming of privacyinformatie ontoereikend is of te veel informatie of toegang tot uw apparaat wordt gezocht, moet u op uw hoede zijn voor het delen van persoonlijke gegevens met deze service en kunt u verdere stappen ondernemen of een andere dienst overwegen.
Zorg ervoor dat uw apparaat op een veilige locatie wordt gebruikt. Houd bijvoorbeeld een oogje op wat (of wie) zichtbaar is vanaf uw camera, en zorg ervoor dat u zich afmeldt, dempt of schakelt wanneer u weggaat of een pauze neemt.
Overweeg de gegevensbeschermings- en privacyrechten van anderen voordat u een foto of video van een video-oproep plaatst of deelt die hun imago, stem en/of contactgegevens bevat.
Lees onze algemene tips om online veilig te blijven tijdens een pandemie
Tips voor organisaties
Werknemers moeten gebruik maken van uw gecontracteerde dienstverleners voor werkgerelateerde communicatie. Zorg ervoor dat u tevreden bent met de privacy- en beveiligingsfuncties van de services die u hen vraagt te gebruiken. Ad-hoc gebruik van apps of diensten door individuen mag niet worden aangemoedigd.
Probeer ervoor te zorgen dat werknemers werkaccounts, e-mailadressen, telefoonnummers enz. gebruiken voor werkgerelateerde videoconferenties, om onnodige verzameling van persoonlijke contact- of sociale media-gegevens te voorkomen.
Zorg ervoor dat er duidelijke, begrijpelijke en actuele organisatorische beleidslijnen en richtlijnen worden verstrekt aan degenen die videoconferenties gebruiken, zodat ze weten welke regels moeten worden gevolgd en stappen moeten worden ondernomen om de risico's voor gegevensbescherming tot een minimum te beperken. Dit moet informatie omvatten over de controles die de diensten leveren en die voor hen beschikbaar zijn om hun beveiliging, gegevens en communicatie te beschermen.
Implementeer, en/of adviseer medewerkers om passende beveiligingscontroles uit te voeren, zoals toegangscontroles (zoals multi-factor authenticatie en sterke unieke wachtwoorden) en beperk het gebruik en het delen van gegevens tot wat nodig is.
Wanneer videoconferentiediensten om organisatorische redenen moeten worden gebruikt, moet u een consistent beleid voeren met betrekking tot welke services worden gebruikt en hoe, en waar mogelijk via VPN of externe netwerktoegang aanbieden.
Vermijd het delen van bedrijfsgegevens, documentlocaties of hyperlinks in een gedeelde 'chat' faciliteit die openbaar kan zijn, omdat deze op onveilige wijze door de service of het apparaat kunnen worden verwerkt.
Lees onze richtlijnen over het beschermen van persoonsgegevens op afstand en onze richtlijnen over gegevensbeveiliging en zorg ervoor dat de punten in deze gegevens duidelijk worden gemaakt aan werknemers.
Lees de originele informatieopmerking bij de gegevensbeschermingstip voor videoconferenties
Volledige informatieve nota van de Data Protection Commission (DPC) Ierland
Persoonlijke gegevens beschermen wanneer u op afstand werkt
Apparaten
Zorg er extra voor dat apparaten, zoals USB's, telefoons, laptops of tablets, niet verloren of misplaatsen,
Zorg ervoor dat elk apparaat de nodige updates heeft, zoals updates van het besturingssysteem (zoals iOS of Android) en software/antivirus-updates.
Zorg ervoor dat uw computer, laptop of apparaat op een veilige locatie wordt gebruikt, bijvoorbeeld waar u de computer in het oog kunt houden en minimaliseert wie anders het scherm kan bekijken, vooral als u met gevoelige persoonlijke gegevens werkt.
Vergrendelt uw apparaat als u het om welke reden dan ook onbeheerd moet achterlaten.
Zorg ervoor dat uw apparaten zijn uitgeschakeld, vergrendeld of zorgvuldig worden opgeslagen wanneer ze niet worden gebruikt.
Gebruik effectieve toegangscontroles (zoals multi-factor authenticatie en sterke wachtwoorden) en, indien beschikbaar, encryptie om de toegang tot het apparaat te beperken en om het risico te beperken als een apparaat wordt gestolen of misplaatst.
Wanneer een apparaat verloren of gestolen is, moet u onmiddellijk stappen ondernemen om ervoor te zorgen dat het geheugen op afstand wordt gewist, waar mogelijk.
E-mails
Volg alle toepasselijke beleidsregels in uw organisatie rond het gebruik van e-mail.
Gebruik werke-mailaccounts in plaats van persoonlijke accounts voor werkgerelateerde e-mails met persoonlijke gegevens. Als u persoonlijke e-mail moet gebruiken, zorg er dan voor dat de inhoud en bijlagen gecodeerd zijn en vermijd het gebruik van persoonlijke of vertrouwelijke gegevens in onderwerpregels.
Voordat u een e-mail verzendt, moet u ervoor zorgen dat u deze naar de juiste ontvanger stuurt, met name voor e-mails met grote hoeveelheden persoonlijke gegevens of gevoelige persoonlijke gegevens.
Cloud- en netwerktoegang
Gebruik waar mogelijk alleen de vertrouwde netwerken of cloudservices van uw organisatie en voldoen aan organisatorische regels en procedures voor cloud- of netwerktoegang, login en gegevensuitwisseling.
Als u zonder cloud- of netwerktoegang werkt, moet u ervoor zorgen dat lokaal opgeslagen gegevens op een veilige manier worden geback-upt.
Papieren Records
Het is belangrijk om te onthouden dat gegevensbescherming niet alleen van toepassing is op elektronisch opgeslagen of verwerkte gegevens, maar ook persoonlijke gegevens in handmatige vorm (zoals papieren dossiers) waar deze deel uitmaken van een archiveringssysteem of bedoeld zijn.
Als u op afstand met papieren dossiers werkt, neemt u maatregelen om de veiligheid en vertrouwelijkheid van deze gegevens te waarborgen, bijvoorbeeld door ze in een archiefkast of lade te bewaren wanneer ze niet in gebruik zijn, ze veilig te verwijderen (bijv. versnippering) wanneer ze niet langer nodig zijn, en ervoor te zorgen dat ze niet ergens worden achtergelaten waar ze misplaatst of gestolen kunnen worden.
Als u te maken hebt met records die speciale categorieën persoonlijke gegevens bevatten (bijvoorbeeld gezondheidsgegevens), moet u extra voorzichtig zijn om hun veiligheid en vertrouwelijkheid te waarborgen, en deze gegevens alleen verwijderen van een veilige locatie waar het strikt noodzakelijk is om uw werk uit te voeren.
Waar mogelijk dient u schriftelijk bij te houden welke records en bestanden naar huis zijn genomen, om goede gegevenstoegang en governancepraktijken te behouden.
Lees de originele informatieopmerking bij Bescherming van Persoonsgegevens tijdens het werken op afstand
Een uittreksel uit een artikel van Nick Statt via The Verge
Google verbiedt zijn werknemers om ZO0M te gebruiken over beveiligingsproblemen
Google legt een verbod uit op het gebruik van het Zoom teleconferencing platform voor medewerkers. Het bedrijf citeert beveiligingsproblemen met de app die zijn ontstaan sinds Zoom werd een van de meest populaire diensten voor gratis video chatten tijdens de COVID-19 pandemie. Het nieuws werd voor het eerst gemeld door BuzzFeed News eerder vandaag [8 april 2020].
Google emailde werknemers vorige week over het verbod en vertelde werknemers die de Zoom app op hun door Google geleverde machines hadden geïnstalleerd dat de software binnenkort niet meer zou functioneren. Het is vermeldenswaard dat Google zijn eigen onderneming Zoom concurrent genaamd Meet biedt als onderdeel van zijn G Suite-aanbod.
Andere problemen zijn blootgestelde Zoom-opnames, niet-openbaar delen van gegevens met Facebook, blootgestelde LinkedIn-profielen en een „malware-achtige” installer voor macOS. Het bedrijf wordt nu geconfronteerd met een volledige privacy en beveiliging backlash. Zoom heeft gereageerd door te racen om de bescherming van consumenten en bedrijven aan te scherpen om harde concurrentie af te weren van Microsoft Teams en Skype, Google G Suite-apps en andere meer traditionele teleconferencing providers. Zoom zei eerder deze maand dat het nieuwe functies zou pauzeren voor 90 dagen om zich te concentreren op privacy en beveiliging.
Lees het volledige artikel op Google Bans haar werknemers van het gebruik van ZO0M over beveiligingsproblemen
Een uittreksel uit een artikel van Matthew Finnegan via Computerworld
Zoom Hit Door Investeerder rechtszaak als beveiliging, Privacy Zorgen Mount
De uitdagingen voor Zoom blijven stijgen, omdat het bedrijf nu geconfronteerd wordt met een investeerder rechtszaak en meer organisaties het gebruik van de video meeting app verbieden vanwege privacy en beveiliging. Het bedrijf heeft ook meer inspanningen geleverd om zijn beveiligings- en privacypraktijken te verbeteren door de voormalige CSO van Facebook in te huren als consultant.
Zoom heeft gezien een sterke stijging in het gebruik in de afgelopen weken als zelfisolatie in reactie op de pandemie stijgt de vraag naar videosoftware. Door zijn populariteit — zowel voor zakelijk als persoonlijk gebruik — en de aandelenkoers van het bedrijf gestegen is, is Zoom op een aantal fronten onder druk gekomen.
Op dinsdag [7 april 2020] diende aandeelhouder Michael Drieu een rechtszaak in bij een federale rechtbank in Californië, waarin werd beweerd dat Zoom „aanzienlijk overschat” de mate waarin zijn platform is gecodeerd, niet om deze „tekortkomingen” aan aandeelhouders bekend te maken.
Zoom toegelaten op 1 april tot een „discrepantie” in de definitie van end-to-end encryptie van de algemeen aanvaarde definitie. Drieu beweert dat hij en andere aandeelhouders „aanzienlijke verliezen en schade” hebben geleden als gevolg van een daling van de aandelenkoers van Zoom na de toelating.
Lees het volledige artikel op Zoom Hit By Investor Lawsuit As Security, Privacy Zorgen Mount
Een uittreksel uit een rechtszaak tegen Zoom Video Communications
Cullen v. Zoom Video Communications, Inc.
US District Court voor het noordelijke district van Californië, 30 maart 2020
Zoom is er echter niet in geslaagd om de persoonlijke informatie van de toenemende miljoenen gebruikers van zijn softwaretoepassing („Zoom App”) en videoconferentieplatform goed te beveiligen. Bij de installatie of bij elke opening van de Zoom App verzamelt Zoom de persoonlijke gegevens van zijn gebruikers en onthult, zonder adequate kennisgeving of autorisatie, deze persoonlijke informatie aan derden, waaronder Facebook, Inc. („Facebook”), waardoor de privacy van miljoenen gebruikers wordt geschonden.
Zaak 5:20 -cv-02155 Document 1 Gearchiveerd 03/30/20 (PDF)
Zoom-Klachtzaak 5-20-cv-02155 Document 1 Gearchiveerd 033020
Een uittreksel uit een rechtszaak tegen Zoom Video Communications
Drieu v Zoom Video Communications, Inc. et al
US District Court voor het noordelijke district van Californië, 7 april 2020
De waarheid over de tekortkomingen in de software-encryptie van Zoom begon al in juli 2019 aan het licht te komen. Echter, voor een groot deel door de verduistering van het bedrijf, was het pas tot de COVID19-pandemie in maart en april 2020, waarbij bedrijven en andere organisaties steeds meer afhankelijk waren van de video-communicatiesoftware van Zoom om werk op afstand te vergemakkelijken, terwijl overheden steeds meer onderkomen- plaatsen orders, dat de waarheid werd meer volledig bloot gelegd in een reeks van corrigerende onthullingen. Zoals blijkt uit een reeks nieuwsberichten en toelatingen van het bedrijf dat Zoom de mate waarin zijn videocommunicatiesoftware versleuteld was aanzienlijk had overschat, en organisaties bijgevolg haar werknemers verboden om Zoom te gebruiken voor werkactiviteiten, was de aandelenkoers van het bedrijf kelderde, schade aan investeerders.
Zaak 5:20 -cv-02353 Document 1 Gearchiveerd 04/07/20 (PDF)
Zoom-Klachtzaak 3-20-cv-02353 Document 1 Gearchiveerd 040720
Een uittreksel uit een artikel van Oded Gal via de Zoom Blog
De feiten rond zoom en encryptie vergaderingen/webinars
In het licht van recente interesse in onze encryptie praktijken, willen we beginnen met ons te verontschuldigen voor de verwarring die we hebben veroorzaakt door verkeerd suggereren dat Zoom vergaderingen in staat waren om end-to-end encryptie te gebruiken. Zoom heeft er altijd naar gestreefd om codering te gebruiken om inhoud te beschermen in zoveel mogelijk scenario's, en in die geest gebruikten we de term end-to-end encryptie. Hoewel we nooit van plan waren om een van onze klanten te misleiden, erkennen we dat er een discrepantie is tussen de algemeen aanvaarde definitie van end-to-end encryptie en hoe we het gebruikten. Deze blog is bedoeld om die discrepantie recht te zetten en duidelijk te maken hoe we de inhoud die over ons netwerk beweegt versleutelen.
Het doel van ons encryptieontwerp is om zo veel mogelijk privacy te bieden en tegelijkertijd de diverse behoeften van ons klantenbestand te ondersteunen.
Voor alle duidelijkheid: in een vergadering waarin alle deelnemers Zoom clients gebruiken en de vergadering niet wordt opgenomen, versleutelen we alle video-, audio-, schermdeel- en chatinhoud op de verzendende client en ontsleutelen deze op geen enkel moment voordat het de ontvangende clients bereikt.
Lees het volledige artikel op The Facts Around Zoom en Encryption Meetings/Webinars
Een uittreksel uit een artikel van Maria Crimi Speth van Jaburg Wilk
Hoe privé is Zoom Videoconferencing?
Velen van ons wonen vergaderingen bij via videoconferentie, zoals Zoom. Misschien hebt u zelfs vertrouwelijke interacties met uw cliënten, medische dienstverleners of juridische dienstverleners. Als u zich afvraagt hoe veilig deze interacties zijn, hebben we het beveiligings-, juridische en privacybeleid van Zoom (die zijn bijgewerkt op 18 maart 2020) geanalyseerd om u te helpen op de hoogte te blijven zonder alle kleine lettertjes te hoeven lezen.
Lees het volledige artikel bij How Private is Zoom® Videoconferencing?
Een uittreksel uit het privacybeleid van Zoom door Aparna Bawa via Zoom
Privacybeleid van Zoom
Bij Zoom is het waarborgen van de privacy en veiligheid van onze gebruikers en hun gegevens onze hoogste prioriteit. We willen ingaan op recente zorgen over het privacybeleid van Zoom.
We willen benadrukken dat:
Zoom verkoopt de gegevens van onze gebruikers niet.
Zoom heeft in het verleden nooit gebruikersgegevens verkocht en heeft geen intentie om de gegevens van gebruikers verder te verkopen.
Zoom controleert uw vergaderingen of de inhoud ervan niet.
Zoom voldoet aan alle toepasselijke privacywetten, -regels en -voorschriften in de jurisdicties waarin het actief is, inclusief de AVG en de CCPA.
We veranderen onze praktijken niet. We werken ons privacybeleid [29 maart 2020] aan om duidelijker, explicieter en transparanter te zijn.
Lees het volledige artikel op het privacybeleid van Zoom
Aanvullend lezen
De race naar de startlijn? Recente aankondigingen voor veilige externe beoordeling
Cyber Actors en Criminelen: Twee Cybersecurity Updates van de FBI
Bron: ComplexDiscovery