Videobellen met Zoom; is dat nog wel verantwoord?

Als gevolg van de Coronacrisis werken veel mensen vanuit huis. Om het werken op afstand met collega’s te vergemakkelijken, zochten veel organisaties hun toevlucht in videobellen. Er zijn dan ook veel overzichten te vinden van verschillende applicaties die dit mogelijk maken, zoals bijvoorbeeld dit overzicht op Frankwatching. Veel leveranciers van diensten op het gebied van videobellen zagen het aantal gebruikers flink groeien, waaronder ook Zoom. Hierdoor kwamen de diensten van Zoom onder een vergrootglas te liggen, en sindsdien zijn er veel security- en privacy gerelateerde kritieken op Zoom. Zie bijvoorbeeld dit artikel op Nu.nl of zoek eens op de term “Zoom” op Security.nl. De meest recente kwetsbaarheid van Zoom verscheen eergisteren op Bleeping Computer: het is mogelijk om via Zoom iemands Windows wachtwoord te stelen. En dat is op zijn zachtst gezegd niet zo fraai.

Er zijn veiligere alternatieven

Door de vele kritieken moeten organisaties zich afvragen of ze nog wel van Zoom gebruik willen maken. Hoewel dit vanwege verschillen in context en risk appetite voor ieder organisatie anders zal zijn, wordt het gebruiken / handhaven van Zoom steeds moeilijker te uit te leggen aan medewerkers of andere betrokkenen. Zij lezen immers ook het nieuws, maken zich zorgen over de veiligheid of hun privacy, en hebben mogelijk twijfels of vragen over het gebruik van Zoom.

Er zijn gelukkig genoeg alternatieven, zoals Jitsi dat mede door het open source karakter door bijvoorbeeld Bits of Freedom als favoriet wordt gezien wanneer het aankomt op privacy. Op VC4ALL.nl vindt je een overzicht van organisaties die een eigen publieke beschikbare instance van Jitsi hebben opgezet en deze momenteel gratis ter beschikking stellen. Wil je je nog verdiepen in andere tools, dan is dit overzicht van VPNGids.nl een goed startpunt waarin je ook snel kan zien of de privacyvoorwaarden enigszins acceptabel zijn en welke beveiligingsmaatregelen er genomen worden om videostreams te beveiligen.

Maar wat nou wanneer je vast zit aan Zoom omdat jouw werkgever al voor Zoom heeft gekozen, of wanneer je collega’s allemaal Zoom gebruiken? Voor een van mijn klanten stelde ik eerder deze week een richtlijn op voor het zo privacyvriendelijk als mogelijk gebruiken van Zoom. Hoewel ik niet pretendeer dat de tips & tricks volledig zijn én dat de privacy van Zoom gebruikers hiermee volledig geborgd is, wil ik dit overzicht graag met jullie delen.

Privacyvriendelijke instellingen voor Zoom

Een Zoom meeting heeft altijd één voorzitter (host) en één of meerdere deelnemers. De voorzitter is in de meeste gevallen verantwoordelijk voor het gebruiken van de juiste privacy instellingen. Een aantal basis instellingen kunnen worden aangepast vanuit de geïnstalleerde applicatie, maar sommige instellingen kunnen alleen worden aangepast door in te loggen op https://zoom.us/profile.

Op het moment van schrijven hanteert Zoom bepaalde standaard instellingen. Om het toepassen van de geadviseerde instellingen voor gebruikers met een nieuw account te vergemakkelijken, wordt per instelling de standaardwaarde vermeldt middels de tekst <standaard: ***>.

Tips & tricks voor alle gebruikers

  • Beperk het delen van gevoelige informatie via Zoom zoveel als mogelijk.
    • Let hierop tijdens het (beeld)bellen en chatten.
    • Verstuur geen bestanden via Zoom. Gebruik hiervoor de eigen middelen van jouw werkgever zoals bijvoorbeeld Outlook en SharePoint.
  • Zet de [stop my video and audio when my display is off or screen saver begins] optie aan. <standaard: aan> Hiermee voorkom je dat een meeting lange tijd actief blijft wanneer je bijvoorbeeld je laptop dicht klapt of wanneer je aandacht plotseling even naar andere zaken uitgaat. (klik hier voor meer informatie)
  • Schakel je video en audio standaard uit wanneer je deelneemt aan een meeting, en bekijk eerst je video preview en alle aanwezig deelnemers voordat je start met het delen van video en audio. Handig wanneer je vast opneemt, maar je nog niet helemaal gereed bent om in beeld te komen. (klik hier voor meer informatie)
    • Zet de [turn off your video when joining a meeting] optie aan. <standaard: uit>
    • Zet de [mute my microphone when joining a meeting] optie aan. <standaard: uit>
    • Zet de [always show video preview dialog when joining a video meeting] optie aan. <standaard: aan>
    • Zet de [hide non-video participants] optie uit. <standaard: uit>
  • Zoom biedt aan voorzitters de mogelijkheid tot het maken van opnames van een meeting. Deelnemers kunnen het maken van een opname door de voorzitter helaas niet tegenhouden, maar zien wél een duidelijke notificatie op het scherm wanneer de voorzitter een opname start. Wanneer dit gebeurt terwijl je er geen prijs op stelt, spreek de voorzitter hier dan op aan, of verlaat de meeting.

Tips & tricks voor voorzitters

  • Stel een wachtwoord in voor toegang tot meetings. Deel dit wachtwoord alleen met genodigde deelnemers. (klik hier voor meer informatie)
    • Zet de [require a password when scheduling new meetings] optie aan. <standaard: aan>
    • Zet de [require a password for instant meetings] optie aan. <standaard: aan>
  • Zet de [waiting room] optie aan. <standaard: uit> Deelnemers komen hierdoor in een virtuele wachtkamer terecht en moeten vervolgens door de voorzitter worden toegelaten tot de meeting. Handig voor wanneer een uitnodiging bijvoorbeeld is gedeeld met teveel collega’s. (klik hier voor meer informatie)
  • Zet de [join before host] optie uit. <standaard: uit> Hiermee voorkom je dat de eerste deelnemer aan de vergadering de voorzitter wordt. (klik hier voor meer informatie)
  • Zet de [attendee attention tracking] optie uit. <standaard: uit> Hiermee wordt voorkomen dat de voorzitter een melding krijgt wanneer een deelnemer tijdens het screen sharing langer dan 30 seconden een andere applicatie actief heeft. (klik hier voor meer informatie)
  • Schakel de verschillende recording mogelijkheden uit. Het is niet toegestaan om zonder expliciete toestemming van alle betrokkenen opnames te maken.
    • Zet de [local recording] optie uit. <standaard: aan>  (klik hier voor meer informatie)
    • Zet de [cloud recording] optie uit. <standaard: aan> (klik hier voor meer informatie)
  • Zet de [file transfer] optie uit. <standaard: aan> Hiermee wordt voorkomen dat deelnemers aan een meeting bestanden met elkaar delen. (klik hier voor meer informatie).
  • Maak je gebruik van de app (ZOOM Cloud Meetings) op je mobiele telefoon? Ben dan terughoudend met het toekennen van de permissies waar de app om vraagt. Bepaalde permissies geven de leverancier van Zoom toegang tot onnodig veel privacygevoelige informatie op je telefoon. Hoewel toegang tot je camera en de microfoon nodig zijn voor een goede werking van de app, vraagt Zoom in bepaalde gevallen ook toegang tot onder andere: contacten, gemaakte foto’s, agenda, en locatiegegevens. In veel gevallen is deze toegang niet noodzakelijk voor het gebruiken van de basisfunctionaliteit van Zoom.

Resterende risico’s

Door het toepassen van de bovenstaande tips & tricks kunnen gebruikers de privacy impact van Zoom verkleinen, maar daarmee is het risico uiteraard niet volledig verdwenen. Naast mogelijke zorgen over de beveiliging van Zoom, dien je als gebruiker ook vertrouwen te hebben in het feit dat Zoom verstandig omgaat met jouw persoonsgegevens en terughoudend is met het delen van deze gegevens met derden. En vergeet niet dat Zoom een Amerikaans bedrijf is, waardoor persoonsgegevens in handen van Zoom mogelijk ook door de Amerikaanse overheid kunnen worden opgevraagd.

Heb je nog een goede aanvulling of een correctie op het bovenstaande lijstje met instellingen? Feel free to share!

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.