#Nieuws

Zoom: een jaar later

Het is bijna een jaar geleden dat Zoom – een platform voor online video bijeenkomsten – flink onder vuur lag nadat aan het licht kwam dat zij gebruikersgegevens doorsluisden aan Facebook en bijhielden of deelnemers wel actief deelnamen aan videoconferences, zonder daarover transparant te zijn. Dit gebeurde bijvoorbeeld door bij te houden of Zoom het actieve venster was, en of een deelnemer zijn ogen gericht had op zijn scherm (attention tracking).[1] Daarnaast bleek dat het voor derden mogelijk was om zonder uitnodiging toegang te krijgen tot een vergadering, doordat het redelijk eenvoudig was om het meeting ID te raden. Vervolgens kwam aan het licht dat Zoom geen end-to-end encryptie bevat, terwijl in het privacy statement het tegenovergestelde werd beweerd. Alleen gegevens die tijdens online vergaderingen tussen gebruikers werden verstuurd waren beveiligd (versleuteld/ geëncrypt), maar de opslag op de servers van Zoom niet, waardoor zij toegang hadden tot de gegevens. Overigens was dit enkel bij de gratis versie het geval, in de betaalde versie werden de gegevens namelijk lokaal (on premise) opgeslagen.[2]  Het slechte imago is voor veel organisaties een reden om Zoom niet te gebruiken, maar is dit argument anno 2021 nog relevant? Zijn alternatieven als Microsoft Teams, Skype en Google Meet beter? Let wel: deze post gaat niet in op de doorgifte van gegevens (zie daarvoor onze post over Schrems2).

Genomen maatregelen

Op 1 april 2020 kondigde de CEO van Zoom Eric S. Yuan het ’90-Day Security Plan’ naar aanleiding van de hiervoor genoemde issues aan. Dit plan moest ervoor zorgen dat er maatregelen zouden worden getroffen voor de grootste privacy- en securityproblemen van Zoom. Op 1 juli 2020 kwam het verslag van de afgelopen 90 dagen naar buiten. Welke maatregelen heeft Zoom onder andere genomen?;

  • Zoom is gestopt met ‘attention tracking’,
  • De koppeling met Facebook is opgeheven,
  • Verbeterde encryptie voor meetings (nog steeds geen end-to-end), zowel voor betaalde als gratis gebruikers,
  • Privacy vriendelijke standaardinstellingen zoals toegangscodes om te voorkomen dat onbevoegden makkelijk in de meeting kunnen,
  • Stoppen met standaard monitoring van sessies, etc.

Verschillen met andere platformen

Om te bepalen of het argument om Zoom niet te gebruiken nog steeds relevant is, maken we een vergelijking met haar grootste concurrenten; Google Meet, Skype en Microsoft Teams. Google Meet maakt geen gebruik van end-to-end encryptie, daardoor kunnen conversaties zichtbaar zijn voor kwaadwillenden, en heeft Google de optie om mee te lezen/ kijken met gesprekken. Daarnaast slaat Google Meet gegevens op in de eigen cloud, waardoor zij altijd bij de gegevens kunnen. Skype maakt gebruik van TLS en AES 256-bit encryptie. Dit is de sterkste standaard encryptie op dit moment.[3] Let wel op: Skype slaat alle berichten en informatie over gesprekken op. Ook heeft Skype geen optie om gegevens lokaal (on premise) te kunnen opslaan. Dit betekent dat alle gegevens worden opgeslagen in de cloud, en Skype altijd toegang heeft tot gegevens. Microsoft Teams maakt gebruik van tweestapsverificatie (2FA) en versleutelt data terwijl deze wordt verzonden en ook wanneer het wordt geüpload. Voor MS Teams geldt hetzelfde als voor Skype: berichten en informatie over gesprekken worden in de cloud opgeslagen[4], waardoor ook zij altijd toegang hebben tot deze gegevens. Zoom maakt net als Skype gebruikt van TLS en AES 256-bit encryptie. In tegenstelling tot de andere platformen, heeft Zoom wel de optie om gegevens lokaal (on premise) te kunnen opslaan. Echter, deze functie is alleen toegankelijk voor betalende gebruikers van Zoom. In combinatie met de eerder beschreven maatregelen die Zoom heeft genomen, blijkt dat het platform sprongen vooruit heeft gemaakt op het gebied van privacy en security, en het niet onder doet voor de anderen.

Conclusie

Door de inhaalslag die Zoom heeft gemaakt is het verschil met andere platformen minimaal geworden en daarmee ook het argument om Zoom niet meer te gebruiken achterhaald.


[1] Notitie Zoom K. Versmissen

[2] Zie blog april 2020 ‘Zoom better safe than sorry!’

[3] https://www.atpinc.com/blog/what-is-aes-256-encryption

[4] https://www.vpngids.nl/veilig-internet/zakelijk/veilig-videobellen-online-vergaderen/