Over virtuele vergaderingen gesproken …
Tijdens deze periode van lockdown zoeken veel ondernemingen naar aangepaste en efficiente videoconferentie-tools. Er is nog nooit zo’n grote vraag naar geweest. In feite zijn ze oorspronkelijk niet gebouwd om zoveel verbindingen tegelijkertijd te maken, wat veiligheids- en stabiliteitsproblemen kan opleveren. Sommige tools hebben de eisen van de AVG/GDPR beter geïntegreerd dan andere.
Voor elk bedrijf is het een kwestie van kiezen van een aangepast instrument, rekening houdend met de criteria van veiligheid, stabiliteit, maar ook met het respect voor de AVG/GDPR en de behoeften van het bedrijf [(hoeveel mensen moeten in staat zijn om met elkaar te praten op hetzelfde moment? Hoeveel virtuele vergaderruimtes heeft het bedrijf tegelijkertijdnodig?)].
Hieronder hebben we de volgende punten nader bekeken:
- Aanbevelingen van de GBA en de CNIL voor het kiezen van een videoconferentie-tool
- Verwerker of onderaannemer? enkele gedachten …
- Videoconferentie en de AVG naleven, het is mogelijk! De visie van een ICT consultant en externe DPO (in het Frans)
- Vergelijking van Zoom, Webex meetings (Cisco), GoToMeeting (LogMeIn), Skype (Microsoft), Teams (Microsoft), Wire door NOYB
- Een goede attitude…
De GBA heeft algemene informatie verstrekt over het gebruik van persoonsgegevens in de strijd tegen de COVID-19-epidemie. Het herinnert aan de beginselen waarmee rekening moet worden gehouden: zoveel mogelijk anonimiseren, de beginselen van transparantie en minimalisatie naleven, alsmede de doelbinding, de opslagbeperking en de gegevensbescherming door ontwerp en door standaardinstellingen.
Lees het artikel op de website van de GBA
De aanbevelingen van de CNIL om een videoconferentie-tool te kiezen
Wat doet u best voor het downloaden van een applicatie?
-
- geef de voorkeur aan oplossingen die de privacy beschermen zoals Tixeo, gecertificeerd door ANSSI ;
- vermijd het downloaden van de applicatie van een onbekende website of bron;
- Gebruik alleen applicaties waarvoor u duidelijk vertelt wordt hoe uw gegevens worden hergebruikt (bijvoorbeeld in de applicatie zelf of op de website);
- lees de opmerkingen van de gebruikers in discussieforums of, vanaf uw telefoon, in deapplicatiewinkels;
- Controleer of de uitgever essentiële veiligheidsmaatregelen heeft getroffen, zoals versleuteling van end-to-endcommunicatie;
- Beveilig uw Wi-Fi-netwerk met een sterk wachtwoord door WPA2- of WPA3- codering in teschakelen;
- zorg ervoor dat uw antivirus en firewall up to date zijn.
Wat doen bij het aanmelden voor de dienst?
-
- Beperk waar mogelijk de hoeveelheid informatie die tijdens de registratie wordt verstrekt: gebruik een pseudoniem en een specifieke-mailadres, controleer de privacy-opties die bij het aanmaken van de account worden verstrekt,enz;
- Maak gebruik van een wachtwoord dat verschilt van de wachtwoorden die op andere online diensten wordengebruikt;
- lees de algemene gebruiksvoorwaarden, met name wat betreft de bescherming van persoonsgegevens, aangezien alle bedrijven die een dienst verlenen aan Europese gebruikers verplicht zijn de algemene verordening inzake gegevensbescherming (AVG) toe te passen
Bij het gebruik
-
- Neem de tijd om de instellingen van de applicatie te bekijken, met name wat betreft de bescherming van uw privacy (controleer bijvoorbeeld of er opties zijn waarmee u uw gegevens kunt downloaden of het gebruik van bepaalde informatie kuntbeperken);
- Sluit de applicatie op uw computer of telefoon als u deze niet meer gebruikt, vooral als de microfoon of webcam isgeactiveerd;
- Schakel uw microfoon en webcam uit als u ze niet gebruikt. U kuntuw webcam ook fysiek maskeren, bijvoorbeeld met een stukje tape of een cover;
Verwerker of onderaannemer ?
•• • door Florence de Villenfagne, juriste en externe DPO, member van dpo pro
Sommige aanbieders van deze videoconferentie-tools beschouwen zichzelf als verwerkers in de zin van de AVG, andere beschouwen zichzelf als verwerkingsverantwoordelijke. Als u met een verwerker werkt, vergeet dan in ieder geval niet te voldoen aan artikel 28 van de AVG. En zorg ervoor dat uzelf alle verplichtingen van de verwerkingsverantwoordelijke nakomt.
Enkele gedachten hierover…
Laten we eerst een uittreksel nemen uit WP169 waar de Artikel 29 Werkgroep het volgende vermeldde over de rol van de telecomoperator. Die kan zowel verwerkingsverantwoordelijke als verwerker zijn.
Een interessant voorbeeld van wettelijke richtsnoeren voor de private sector heeft betrekking op de rol van telecombedrijven: in overweging 47 van Richtlijn 95/46/EG wordt verduidelijkt dat “wanneer een bericht dat persoonsgegevens bevat, wordt verzonden via een telecommunicatie- of elektronische postdienst waarvan het enige doel is dit soort berichten door te geven, het de persoon is van wie het bericht uitgaat, en niet degene die de dienst aanbiedt, die normaliter zal worden beschouwd als verantwoordelijk voor de verwerking van de in het bericht vervatte persoonsgegevens; (…) dat evenwel de personen die deze diensten aanbieden normaliter zullen worden beschouwd als verantwoordelijk voor de verwerking van de aanvullende persoonsgegevens die noodzakelijk zijn voor de werking van de dienst”.
De aanbieder van telecommunicatiediensten behoort derhalve in beginsel alleen als voor de verwerking verantwoordelijke te worden beschouwd voor verkeers- en factureringsgegevens, en niet voor verzonden gegevens. Dit juridische richtsnoer van de communautaire wetgever sluit volledig aan bij de functionele benadering die in dit advies wordt gevolgd.
Bij het lezen van de gegevensbeschermingsverklaringen van de aanbieders van videoconferentiediensten blijkt dat de diensten vaak niet beperkt zijn tot de overdracht van beelden. Het is ook mogelijk om gesprekken op te nemen, kopieën te bewaren, enz. In dit geval is het met het gebruik van de cloud duidelijk dat de rol van de dienstverlener die van een verwerker in de zin van de AVG is. Laten we duidelijk zijn… Het is dus uw bedrijf dat verwerkingsverantwoordelijke is.
Als we de werking van bepaalde diensten nader bekijken, kan het onderscheid tussen verwerkingsverantwoordelijke /verwerker ook voortvloeien uit de organisatie van de dienst door de dienstverlener. Microsoft maakt bijvoorbeeld onderscheid tussen de diensten die het aan particulieren levert en de diensten die het aan bedrijven aanbiedt. In het geval van ondernemingen zijn het de ondernemingen die alle parameters moeten definiëren en in het geval van TEAMS beschouwt Microsoft zichzelf daarom als een verwerker.
Uittreksel uit de Privacy Policy van Microsoft (lees de policy)
If you use a Microsoft product with an account provided by an organization you are affiliated with, such as your work or school account, that organization can:
- Control and administer your Microsoft product and product account, including controlling privacy-related settings of the product or product
- Access and process your data, including the interaction data, diagnostic data, and the contents of your communications and files associated with your Microsoft product and product
If your organization provides you with access to Microsoft products, your use of the Microsoft products is subject to your organization’s policies, if any. You should direct your privacy inquiries, including any requests to exercise your data protection rights, to your organization’s administrator.
Faire de la vidéoconférence et respecter le RGPD, c’est possible !
•• • par Axel Raemaekers, consultant ICT, DPO externe, membre de dpo pro
Synthèse de la problématique
Les outils de visioconférence les plus répandus, surtout ceux qui sont proposés par les GAFAM et/ou qui sont liés à des réseaux sociaux, ont été développés à la base pour le partage de la vie privée et donc de données personnelles entre utilisateurs. Lorsqu’elles sont “gratuites”, ces applications exploitent d’une manière ou d’une autre les données personnelles transmises, c’est d’ailleurs le business modèle même de certaines de ces sociétés. Il n’y a pas de secret, développer ces applications et y allouer des ressources, ça coûte cher. D’aucun remettent d’ailleurs en question la notion de gratuité au profit d’une notion de “fausse gratuité” puisque le paiement du service passe par la fourniture de données.
Les difficultés de compréhension du public sur ce phénomène proviennent en grande partie de la manière dont ces entreprises se sont implantées, c’est-à-dire en proposant initialement un service certes très sympathique, mais sans faire preuve de la transparence requise quant aux données collectées et aux traitements qui sont réalisés sur ceux-ci. Les utilisateurs sont entrés dans un système sans être conscients de l’ensemble des implications. Lorsque le RGPD impose les principes de licéité des traitements, de loyauté pour obtenir un consentement, et de transparence vis-à-vis des personnes concernées, il apporte une réelle base pour travailler sainement.
Comme le démontre l’analyse de NOYB repris dans l’article suivant (voyez ne fût-ce que le tableau comparatif), ces solutions ne sont pas conformes au RGPD, et elles ne peuvent dont prétendre protéger la vie privée par défaut et dès la conception tel que l’exige l’article 25.
Quelques réflexions pour l’exemple
Dans ce contexte, l’analyse du portail Fédéral de l’éSanté est particulièrement surprenante lorsqu’elle annonce que WhatsApp est “acceptable”. On peut se demander comment ces applications conçues pour partager des données personnelles peuvent être “acceptables” pour des consultations médicales.
Un autre exemple est celui de l’application Zoom. Dans un article du 10 avril 2020, le magazine Trends Tendances relaie que Zoom transférait les données personnelles de ses utilisateurs à Facebook, sans demander leur consentement, et ce même s’ils n’étaient pas utilisateurs de Facebook.
(…) “Nous n’avons pas été à la hauteur des attentes en matière de respect de la vie privée et de sécurité”, reconnaît platement sur son blog Eric Yuan, le fondateur et CEO de l’entreprise.
(…) Les déboires de l’entreprise ont poussé Eric Yuan à débaucher Alex Stamos, ancien responsable de la sécurité informatique chez… Facebook.
(…) ce dernier a tenu à replacer les difficultés de Zoom dans leur contexte : “Faire grandir jusqu’à une telle taille une plateforme Internet reposant sur l’usage intensif de la vidéo, sans imposer de temps de latence à ses utilisateurs, le tout en l’espace de quelques semaines, est littéralement un défi sans précédent dans l’histoire de l’Internet.” Le prochain défi d’Alex Stamos est de corriger les failles de sécurité – elles aussi sans précédent -, d’améliorer les standards de la société en matière de protection de la vie privée, et de convaincre le grand public et les entreprises qu’il ne s’agissait que de maladies de jeunesse.
Du point de vue du DPO dont l’approche est basée sur le risque, les propos ci-dessus démontrent que l’application n’a pas été conçue conformément à l’article 25 du RGPD qui vise a garantir la vie privée par défaut et dès la conception de l’application. Par ailleurs, conformément à l’article 28, un responsable du traitement ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.
➜ N’oublions pas de considérer le cas des personnes concernées qui ont choisi de ne pas avoir de compte sur Facebook, mais dont les données s’y retrouvent communiquées malgré elles, simplement parce qu’elles ont participé à des réunions par visioconférence. Licéité, loyauté, transparence …
Pour le DPO dont l’approche est basée sur le risque, ces applications ne peuvent pas constituer une solution adéquate, et tout particulièrement pour le domaine médical, les services publics, et les associations para-étatiques qui sont le prolongement de l’autorité publique.
Il existe pourtant différentes technologies proposées par des sociétés qui adoptent une autre attitude. Nous avons voulu analyser de plus près les technologies Open-Source, commenter le point de vue de la plateforme éSanté sur les outils de vidéoconférence et faire un point sur les acteurs européens regroupés de manière solidaire sous le label #Open_solidarity.
L’alternative des technologies Open-Source
Plusieurs solutions open-source vous permettent de déployer rapidement un serveur de visioconférence dédié à l’entreprise. En quelques heures, vous pouvez disposer de votre propre serveur de vidéoconférence privatif. C’est le cas de la solution Jitsi, qui peut être installée sur un serveur cloud en quelques heures.
Le portail éSanté fait référence à Jitsi qui a pourtant le statut “non-recommandé”, alors que la solution WhatsApp de Facebook est renseignée comme “Acceptable” ! Voici notre point de vue à ce sujet.
Comme toujours, il faut être très nuancé… Le site éSanté fait référence au serveur public de Jitsi (https://meet.jit.si) qui permet de créer une conférence en ligne en trois clics. De plus, éSanté estime qu’il est important de disposer d’un chiffrement de bout en bout (où seules les personnes qui communiquent peuvent lire les messages échangés), ce qui ne veut pas dire que le trafic ne soit pas déjà sécurisé, il s’agira d’une deuxième couche de chiffrement dont seuls les correspondants disposeront des clés de cryptages/décryptages. Cette technologie est en cours d’implémentation dans Jitsi.
Ne confondez pas l’utilisation sur un serveur public avec une installation sur un serveur privatif ! Sur un serveur privatif, vous disposez toujours d’un contrôle complet et vous pouvez y adjoindre des mécanismes de sécurité, de gestion d’accès, des paramétrages issus de votre infrastructure en plus des possibilités de l’application elle-même.
En tant que DPO, nous devons tâcher d’avoir un point de vue aussi large que possible, quitte à nous adjoindre des avis techniques neutres et variés. Parfois des avis extérieurs au département informatique s’imposent car eux aussi ont des préférences, des habitudes, des pratiques, une “confiance” ou orientation à l’égard d’un fournisseur ou une technologie. L’objectivité va de paire avec la remise en question.
Plates-formes utiles pour une consultation sans contact physique: voyez l’analyse sur le portail Fédéral de l’éSanté, mais tenez compte des remarques sur cette analyse que nous formulons dans cet article – en particulier sur l’utilisation de WhatsApp dans le cadre des services de santé.
L’alternative des acteurs Européens
L’hébergeur français OVH publiait dans sa newsletter du 3 avril: “Depuis 20 ans, nous avons à cœur de fédérer un écosystème de partenaires et de clients engagés autour d’un socle de valeurs européennes qui garantissent les droits fondamentaux des entreprises.”
Des hébergeurs tels que la société française OVH soutiennent et permettent aux sociétés européennes de développer des solutions commerciales alternatives. Durant la crise du COVID-19, un certain nombre de ces sociétés se sont d’ailleurs regroupées de manière solidaire sous le label #Open_solidarity.
#Open_solidarity fédère aujourd’hui plus de 30 acteurs technologiques fournissant des solutions solidaires et en totale gratuité dans les domaines du télétravail, de la collaboration à distance (éducation, sécurité …) mais aussi de la santé. OVH les accompagne en prenant en charge le renforcement de leur infrastructure pour absorber les pics de charge dûs à cette mise à disposition gracieuse.
A l’heure où la crise du COVID-19 nous démontre qu’il faut rester capables de produire des biens et services essentiels en Europe, nous sommes convaincus qu’il convient aussi de soutenir les initiatives européennes et de favoriser le service et l’emploi de proximité, également en matière de solutions technologiques. Ces sociétés sont également plus facilement joignable et ouvertes aux partenariats.
Consulter la liste des entreprises européennes #Open_solidarity
Simple marché public ou appel d’offres
➜ Notons que les écoles, les hôpitaux et les autres acteurs publics doivent lancer un appel d’offres ou un marché public pour choisir leur solution idéale (ce qui offre l’opportunité de définir les besoins et les ressources nécessaires), soit auprès de prestataires informatiques ou hébergeurs pour les installations d’applications open-source privatives, soit auprès des acteurs européens dont nous avons parlés.
Vergelijking van Zoom, Webex meetings (Cisco), GoToMeeting (LogMeIn), Skype (Microsoft), Teams (Microsoft), Wire door NOYB
•• • door NOYB
Naar een goede attitude…
We’re not the cowboys of the 2000’s anymore !
De dagen dat we het ons konden veroorloven om ons met spontaniteit en zorgeloos op de laatste nieuwigheid te storten zijn voorbij. Dit is niet meer mogelijk zolang we verantwoordelijk moeten handelen in overeenstemming met de AVG, maar ook met gezond verstand, rekening houdend met alle aspecten:
-
- De oplossing integreren in het ecosysteem van het bedrijf (de tool eenvoudig en veilig inzetten op computers)
- De controle over hulpmiddelen en gegevens behouden (de rechten van de betrokkenen garanderen, de informatiestroom via deze kanalen in de hand houden, enz.)
- De toegang voor inkomende en uitgaande medewerkers beheren, samen met andere toepassingen en middelen
- De veiligheid en het wettelijke kader onder de knie krijgen
➜ Let op! Wanneer een werknemer een account opent voor een aanvraag bij een onderaannemer, tekent hij namens zijn werkgever een contract zonder dat hij daartoe bevoegd is