image

Privacytoezichthouder Hamburg waarschuwt deelstaat voor gebruik Zoom

woensdag 18 augustus 2021, 12:03 door Redactie, 6 reacties
Laatst bijgewerkt: 18-08-2021, 13:33

De privacytoezichthouder van Hamburg heeft de eigen deelstaat gewaarschuwd voor het gebruik van videobelsoftware Zoom. Volgens Der Hamburger Beauftragten für Datenschutz und Informationsfreiheit is het gebruik van de on-demand versie van Zoom in strijd met de AVG, aangezien hierbij persoonlijke data naar de Verenigde Staten wordt gestuurd.

Volgens de privacytoezichthouder zijn persoonsgegevens in de VS onvoldoende beschermd, waarbij wordt gewezen naar een eerdere uitspraak van het Europees Hof van Justitie. "Een gegevensoverdracht is daarom alleen mogelijk onder zeer strikte voorwaarden, die niet beschikbaar zijn wanneer de kanselarij van de Senaat van plan is om Zoom te gebruiken", zo stelt de toezichthouder.

Die voegt toe dat de Europese databeschermingscommissie eisen heeft opgesteld voor het uitwisselen van persoonlijke data naar een land zoals de VS. Uit informatie van de kanselarij van de Hamburgse Senaat over het gebruik van Zoom blijkt dat er niet aan deze eisen wordt voldaan. "Zeker publieke instanties horen zich aan de wet te houden. Het is daarom betreurenswaardig dat een dergelijke formele stap moet worden genomen", zegt Ulrich Kühn, de Hamburgse commissaris voor databescherming.

Volgens Kühn zijn er alternatieven beschikbaar die wel aan de regels voldoen. "Het is daarom onbegrijpelijk dat de kanselarij blijft staan op een aanvullend en juridisch zeer problematisch systeem." De privacytoezichthouder heeft vooralsnog geen plannen voor verdere stappen.

Update

Zoom laat in een reactie tegenover Security.NL weten dat het gebruikmaakt van modelcontracten voor het uitwisselen van data van EU-gebruikers.

Reacties (6)
18-08-2021, 12:17 door Anoniem
Wat nog niet helemaal duidelijk is:
* Waarom is er sprake van een datatransfer naar de VS? Is dat omdat Zoom daar gevestigd is? Of omdat het videoverkeer (mogelijk) via servers in de VS verloopt? Of omdat werknemers uit de VS kunnen inloggen op de servers via waar het videoverkeer loopt?
* Gaat een rechter hier in mee? Of zijn het vooral de toezichthouders die dit problematisch vinden? Sommige privacy juristen vinden denken dat de toezichthouders te strikt zijn in hun uitleg.
18-08-2021, 16:30 door Shadowlight - Bijgewerkt: 18-08-2021, 16:33
Zolang de wetgeving in de VS niet verandert, zul je nooit persoonsgegevens daarheen kunnen sturen, ook niet met modelcontracten want die zijn niets waard doordat de wetgeving deze overstijgt.

Maar bovenstaande geldt dan ook voor Microsoft Windows, deze stuurt ook data naar de VS en we kunnen niet eens zien wat voor data omdat ze dat encrypten, daar kunnen net zo goed persoonsgegevens tussen zitten, ergo Windows mag dan volgens deze redeneringen ook niet gebruikt worden.
18-08-2021, 16:42 door Anoniem
Door Anoniem: Wat nog niet helemaal duidelijk is:
* Gaat een rechter hier in mee? Of zijn het vooral de toezichthouders die dit problematisch vinden? Sommige privacy juristen vinden denken dat de toezichthouders te strikt zijn in hun uitleg.

Juist de rechters van het Hof van Justitie hebben met de Schrems-I en Schrems-II uitspraken de meest gebruikte vorm van het dataverkeer naar de VS verboden. Nogal logisch dat de toezichthouders uitvoering geven aan die hoogste rechterlijke uitspraken.
18-08-2021, 17:48 door Anoniem
Door Anoniem:
Door Anoniem: Wat nog niet helemaal duidelijk is:
* Gaat een rechter hier in mee? Of zijn het vooral de toezichthouders die dit problematisch vinden? Sommige privacy juristen vinden denken dat de toezichthouders te strikt zijn in hun uitleg.

Juist de rechters van het Hof van Justitie hebben met de Schrems-I en Schrems-II uitspraken de meest gebruikte vorm van het dataverkeer naar de VS verboden. Nogal logisch dat de toezichthouders uitvoering geven aan die hoogste rechterlijke uitspraken.
Met de meest gebruikte vorm doel je waarschijnlijk op PrivacyShield. Zoom gebruikt echter modelcontracten. Daarbij moeten aanvullende waarborgen worden afgesproken. De discussie is die nu loopt is wanneer er voldoende waarborgen zijn en of die wel genomen kunnen worden. Cloudproviders vinden dat er voldoende waarborgen genomen kunnen worden, toezichthouders niet. Dit is overigens een discussie die per individueel geval beoordeeld moet worden. Naar mijn weten zijn er nog geen gerechtelijke uitspraken op dit terrein.
19-08-2021, 09:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat nog niet helemaal duidelijk is:
* Gaat een rechter hier in mee? Of zijn het vooral de toezichthouders die dit problematisch vinden? Sommige privacy juristen vinden denken dat de toezichthouders te strikt zijn in hun uitleg.

Juist de rechters van het Hof van Justitie hebben met de Schrems-I en Schrems-II uitspraken de meest gebruikte vorm van het dataverkeer naar de VS verboden. Nogal logisch dat de toezichthouders uitvoering geven aan die hoogste rechterlijke uitspraken.
Met de meest gebruikte vorm doel je waarschijnlijk op PrivacyShield. Zoom gebruikt echter modelcontracten. Daarbij moeten aanvullende waarborgen worden afgesproken. De discussie is die nu loopt is wanneer er voldoende waarborgen zijn en of die wel genomen kunnen worden. Cloudproviders vinden dat er voldoende waarborgen genomen kunnen worden, toezichthouders niet. Dit is overigens een discussie die per individueel geval beoordeeld moet worden. Naar mijn weten zijn er nog geen gerechtelijke uitspraken op dit terrein.
Met de recente uitspraak is PrivacyShield null en void, oftewel kan niet meer gebruikt worden. Verder moeten modelcontracten nu worden gecheckt tegen de wetgeving van landen waarna persoonsgegevens verstuurd worden. Er moet worden gecheckt of er wetgeving is dat de privacy van de gegevens zijn gewaarborgd. Amerika (net zoals de UK) hebben zeer verregaande wetgeving die ervoor zorgen dat de privacy niet gewaarborgd zijn. In Amerika is dit de Cloud Act, deze wet betekend dat als de veiligheidsdiensten gegevens opvraagt over (personen buiten America) dat bedrijven die gevestigd zijn in Amerika, een zuster bedrijf hebben in Amerika, of diensten/goederen leveren aan Amerika, dat deze verplicht zijn om deze gegevens af te geven. In de UK de zogenaamde snoopers charter heeft nog veel verregaande wetgeving hierover. Dit was een van de grootste redes dat PrivacyShield null en void is verklaard vorig jaar.
23-08-2021, 14:52 door hanspaint
Ook Microsoft Teams stuurt data naar een server in Washington dc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.