Het RIVM roept werkgevers op hun medewerkers zoveel als mogelijk thuis te laten werken. Om toch de contacten met collega’s, klanten en partners te onderhouden, wordt er massaal gebruikt gemaakt van videobellen. Maar niet alle oplossingen hebben dezelfde kwaliteit als het gaat om privacy en security. Wij hebben de afgelopen weken een hele reeks oplossingen voor video-vergaderen getest op gebruiksvriendelijkheid, veiligheid en privacy. In deze blog bespreken we een aantal populaire tools en onze conclusies en wat aandachtspunten.
In het kort
End-to-end encryptie over thuisverbindingen is helaas niet realistisch vanwege het bandbreedteprobleem. Je vertrouwt dus altijd de server. Optie 1 is om dus zelf een server te draaien. Goede open source software bestaat. HackDefense kan helpen om dit binnen enkele dagen te realiseren. Optie 2 is een van de vele (gratis of betaalde) diensten te gebruiken. We analyseren er hieronder een aantal. Het afsluiten van verwerkersovereenkomsten (Data Protection Agreements) is in dat geval altijd verplicht en die gelden doorgaans alleen als je een betaalde dienst of businessversie gebruikt. Audittrail kan helpen bij het beoordelen van verwerkersovereenkomsten.
Populaire tools
1. Wire*
Wire is – naar eigen zeggen – ’s werelds meest zekere samenwerkingsplatform. Het opensourceplatform biedt gratis accounts en betaalde zakelijke abonnementen. Wire maakt gebruikt van end-to-end-versleuteling. De versleuteling die gebruikt wordt voor berichten heet Proteus. Dit is een door Wire bedacht protocol gebaseerd op het Open Whisper Systems-protocol van Signal. Audiogesprekken worden versleuteld met DTLS en SRTP. Wire slaat de volgende dingen op: wie het gesprek start, de tijd waarop een gesprek is gestart, welke mensen en apparaten er deelnemen aan een gesprek en de groepsnaam. Naast deze metadata maakt Wire gebruik van de diensten Localytics en Raygun voor het verzamelen van statistieken over hoe de dienst gebruikt wordt. Een gebruiker kan ervoor kiezen om hier niet aan mee te doen. De end-to-end-encryptie betekent wel een beperking op het aantal deelnemers als je geen glasvezel hebt. 4 of maximaal 5 deelnemers gaat nog, maar daarna houdt het op. Verwerkersovereenkomst: De Data Protection Agreement van het Zwitserse (dus binnen de EER) bedrijf is van toepassing op de Business Terms of Use, dus alleen de zakelijke abonnementen vallen hieronder.
2. Nextcloud*
Nextcloud, een opensource cloudopslagdienst, waarmee je ook een videochat kunt opzetten, dient op een eigen server geïnstalleerd te worden dus is het je eigen verantwoordelijkheid om je server veilig te houden. De ontwikkelaars van Nextcloud hebben in 2017 zelf getest hoe het daarmee staat. Slechts een derde van de geteste servers bleek veilig te zijn. Weet je zeker dat jouw server wel veilig is? Dan is Nextcloud wellicht een goede oplossing. De software van Nextcloud, of het nu de Nextcloud-server is of de apps, zijn ontworpen om geen gebruikersgegevens naar het bedrijf te sturen. De optionele Usage Survey-app kan gebruikersstatistieken zoals geïnstalleerde apps naar het bedrijf sturen om hen te helpen bij het verbeteren van de services. Voordat de gegevens van deze app naar Nextcloud worden gestuurd kan de gebruiker deze inzien en toestemming geven. Ook Nextcloud gebruikt end-to-end-encryptie in de gratis versie. Zolang je de Usage Survey-app niet gebruikt en dus geen persoonsgegevens toegankelijk zijn voor Nextcloud, is geen verwerkersovereenkomst nodig.
3. Cisco WebEx*
Cisco is al jarenlang marktleider op het gebied van bedrijfscommunicatietechnologie, waaronder webconferencing en videoconferencing. In het verleden kende WebEx wel een aantal kwetsbaarheden waardoor kwaadwillenden beveiligingsmaatregelen konden omzeilen en zo toegang kregen tot gevoelige gegevens. Volgens het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid zijn die kwetsbaarheden verholpen. Op de website van Cisco lezen we dat ze de volgende gegevens verzamelen voor verschillende doeleinden: persoonlijke gegevens zoals naam, adres, e-mailadres, telefoonnummer, accountnummer, wachtwoord, marketingvoorkeuren, informatie over je socialmediaaccount en betaalkaartnummer. Ook verzamelen ze persoonlijke informatie van vertrouwde externe bronnen en schakelen ze derde partijen in om persoonlijke informatie te verzamelen. Cisco heeft door de EU goedgekeurde Binding Corporate Rules (BCR). In de BCR wordt het interne privacybeleid van het bedrijf vastgelegd. Een goedgekeurde BCR geldt als één van de meest betrouwbare waarborgen voor doorgifte buiten de EU. Daarnaast heeft Cisco een, wat zij noemen, Master Data Protection Agreement beschikbaar. Deze moet dan nog wel door beide partijen ondertekend worden.
4. Google Hangouts*
Google Hangouts is een platform voor instant messaging, IP-telefonie en videoconferencing, ontwikkeld door Google. Het platform zit vol privacy- en beveiligingsproblemen. De Hangout-gesprekken worden namelijk wel versleuteld, maar dat is geen end-to-end-versleuteling. De berichten worden onderweg versleuteld. Dat houdt in dat de gesprekken tussen jouw apparaat en Google’s servers worden versleuteld. Google Hangouts is van het bedrijf Google en valt daarom ook onder de privacybeleid van Google. De Data Processing Agreement is van toepassing op bedrijven die een G Suite Agreement of Complementary Product Agreement (een productovereenkomst waarin de Data Processing Agreement expliciet van toepassing is verklaard) met Google hebben afgesloten. Let op, ze gelden niet automatisch, je moet met de voorwaarden akkoord gaan. Doorgifte buiten de EU/EER gaat op basis van het Privacy Shield-verdrag tussen de Verenigde Staten en de EU en de modelcontractclausules.
5. Zoom*
Zoom is enorm populair aan het worden. Het kent verschillende mogelijkheden, van gratis en ongelimiteerde een-op-een-gesprekken tot gratis groepscalls van maximaal veertig minuten. Het gemakkelijke is dat je deelnemers geen account bij Zoom hoeven te hebben. Ook Zoom kun je gebruiken vanaf zowel een computer als telefoon of tablet. Het probleem met Zoom is dat het bedrijf veel gegevens verzamelt van zijn gebruikers, zoals naam, fysiek adres, e-mailadres, telefoonnummer, functietitel en werkgever. Zelfs zonder account bewaart het bedrijf gegevens over het type apparaat dat je gebruikt en je IP-adres. Meld je je aan met Facebook, dan wordt ook de informatie van je Facebook-profiel verzameld, al gaven zij deze week aan dit nu uitgezet te hebben. Als je het privacybeleid van Zoom goed leest, dan kun je daaruit lezen dat je persoonlijke gegevens mogelijk bij Google terechtkomen. Zoom wordt bovendien momenteel door de Amerikaanse justitie onderzocht wegens ernstige problemen in de beveiliging. Zoom heeft een Data Protection Addendum beschikbaar op haar site. Deze dekt zowel de verwerkersovereenkomst als de doorgifte buiten de EU/EER. Dit Addendum kun je downloaden en ondertekenen (Zoom heeft er alvast een krabbel opgezet), maar dit geldt alleen in combinatie met een Master Subscription Agreement of een andere serviceovereenkomst met Zoom. Let op: in het addendum worden niet alle verzamelde persoonsgegevens benoemd (‘including, but not limited to’).
6. Skype*
Skype behoeft waarschijnlijk geen introductie. Het is het VoIP-programma van Microsoft, waarmee je over het internet kan (beeld-)bellen. Het programma is gratis verkrijgbaar voor Windows, macOS, Linux, iOS, Android en Windows Phone. Is het veilig? Niet echt. Ja, gesprekken van Skype- naar Skype-gebruiker zijn versleuteld. Maar zodra je Skype gebruikt om mobiele telefoons of vaste lijnen te bellen – wat veel mensen doen om van lagere tarieven te profiteren – is het deel van het gesprek dat plaatsvindt via het gewone telefoonnetwerk niet gecodeerd. Bel je alleen met andere Skype-gebruikers? Dan is Skype dus een prima manier om te videobellen. Omdat Skype van Microsoft is valt het onder het privacybeleid van Microsoft, net als Microsoft Teams. De Data Protection Agreement van Microsoft is van toepassing op alle Microsoft Enterprise Online-producten. Let dus op dat er Skype for Business gebruikt wordt.
7. Microsoft Teams*
Tenslotte is er natuurlijk nog het samenwerkingsplatform van Microsoft. Via het platform kun je ook met collega's, partners en klanten communiceren via chat, telefoon, of audio- en video-vergaderingen. Teams maakt gebruik van de veiligheidsmaatregelen van Microsoft Office 365. Bestanden worden opgeslagen in SharePoint en versleuteld met het encryptieprotocol van SharePoint. Microsoft zelf zegt op hun site niets over end-to-end-encryptie van Teams. Voor wat betreft privacy valt Teams onder het privacybeleid van Microsoft. Hierin staat onder andere dat Microsoft apparaat- en gebruiksgegevens, betalings- en accountgeschiedenis, browse-geschiedenis, interesses en favorieten verzamelt. Ook hier geldt dat de Data Protection Agreement automatisch van toepassing is op alle Volume Licensing Agreements en andere Enterprise-overeenkomsten. Ook zonder zo’n overeenkomst kun je van Teams gebruik maken, maar dan is er dus nog geen sprake van een geldende verwerkersovereenkomst. Doorgifte door Microsoft valt onder de Privacy Shield, daarnaast maken de goedgekeurde modelcontractclausules standaard onderdeel van de Volume Licensing agreements.
Onze conclusies
Gegevens*
Geen van de grote aanbieders van gratis videovergaderen verklaren zonder meer dat ze niets zullen doen met de gegevens die ze kunnen lezen uit de videovergadering. Zoom gaat hierin het verst: als gebruikers aanmelden met Facebook namen ze zelfs informatie uit je Facebook-profiel mee om hun data over mensen te verrijken. Nog altijd lijken zij meer te verzamelen dan nodig is en beveiligen ze deze gegevens ook nog eens bijzonder slecht.
Versleuteling*
End-to-end-versleuteling (zodat de aanbieder niet kan meekijken, -luisteren en -lezen) wordt hier en daar aangeboden, maar is niet praktisch voor vergaderingen met meer dan vier tot vijf mensen. Er is dan een stream nodig van elke gebruiker naar elke andere gebruiker, en de ‘upload’-capaciteit van de meeste particuliere verbindingen is daarvoor te klein.
Juridisch*
We hebben telkens gekeken naar de mogelijkheden die deze leveranciers aan organisaties bieden om aan juridische (AVG) verplichting te voldoen. Een verwerkersovereenkomst is immers verplicht als je een externe partij opdracht om persoonsgegevens te verwerken. Dit geldt ook als de gegevens versleuteld worden. Als de gegevens buiten de EU of de Europese Economische Ruimte (EER) worden verwerkt, heb je daarnaast aanvullende waarborgen voor die doorgifte nodig. De meeste partijen bieden wel iets, maar alleen voor de betaalde of businessdiensten.
Overall conclusie: gebruik een eigen server*
Overall concluderen wij dat er ofwel een hele goede verwerkersovereenkomst met de aanbieder nodig is, of gewoon een eigen server. Dit laatste is gelukkig niet zo ingewikkeld als het lijkt. Er zijn goede oplossingen beschikbaar. Als u wilt kunnen we u helpen om in korte tijd een eigen server online te krijgen. Neem gerust contact met ons op, we regelen het graag voor je. *Let op, we hebben de verwerkersovereenkomsten niet inhoudelijk beoordeeld. Onthoud dat, verwerkersovereenkomst of niet, je als opdrachtgever en verwerkingsverantwoordelijke ten aanzien van klanten en medewerkers altijd verantwoordelijk bent voor wat er door deze organisaties met persoonsgegevens gedaan wordt.
Toch extern? Denk hieraan!
Toch in zee met een externe aanbieder? Welke oplossing je ook gebruikt, denk aan het volgende:
1. Update de software
Er worden regelmatig beveiligingsproblemen opgelost met updates. Met name Zoom heeft dit de afgelopen maanden een aantal keer gedaan. Instrueer medewerkers om altijd de laatste versie van de software te gebruiken.
2. Toegangscode
Gebruik een toegangscode op videovergaderingen. Veel oplossingen bieden een supermakkelijke mogelijkheid: genereer een ‘invite URL’ en stuur die rond. Iedereen met die URL komt dan direct in je vergadering. Handig, maar anderen kunnen die URL raden. Zeker als je, net als Boris Johnson, je Zoom-ID deelt op Twitter.
3. Opname
Ook als de oplossing het niet mogelijk maakt om gesprekken op te nemen: er is altijd externe software beschikbaar die dit doet. Ga er dus altijd vanuit dat je gesprek wordt opgenomen.
4. Kijk uit met vertrouwelijke informatie
Gebruik je een externe provider? Ga ervan uit dat deze kan meekijken en -luisteren. Dat zullen ze niet door mensen laten doen, maar automatische analyse van de spraak- en beelddata om een profiel van de deelnemers op te bouwen is absoluut een mogelijkheid. Bespreek daarom geen hele gevoelige zaken, en deel geen vertrouwelijke documenten via de videovergadering. Vraag mensen gewoon om het document even te openen vanaf de netwerkschijf, en mee te kijken.
5. Verwerkersovereenkomst
Let op, we hebben de verwerkersovereenkomsten niet inhoudelijk beoordeeld. Onthoud dat, verwerkersovereenkomst of niet, je als opdrachtgever en verwerkingsverantwoordelijke ten aanzien van klanten en medewerkers altijd verantwoordelijk bent voor wat er door deze organisaties met persoonsgegevens gedaan wordt.
Meer weten?
Benieuwd wat de hackermindset van HackDefense voor jouw organisatie kan betekenen? Neem gerust contact met ons op, we denken graag met je mee. Bij Audittrail kun je terecht voor advies op het vlak van privacy, informatiebeveiliging en risicomanagement. Benieuwd naar ons spreekuur, helpdesk of heb je een specifieke vraag? Neem hier contact met ons op.