Advertentie
De producten van Zoom zijn volledig cloudgebaseerd. Het onderliggende platform gebruikt Amazon Web Services (AWS) als backbone, aangevuld met regionale colocatie in gehuurde datacenters. De laatste doet Zoom speciaal om mediabestanden met voldoende snelheid te kunnen leveren. Alle data-at-rest wordt in AWS opgeslagen. Het is niet mogelijk als bedrijf hier zelf andere keuzes in te maken.
Een aspect van de cloud dat door de nieuwe richting van de regering van de Verenigde Staten extra actueel is, betreft de soevereiniteit en de zeggenschap over de data. Zoom is een Amerikaans bedrijf (gevestigd in San José, Californië) en valt daarmee onder Amerikaanse wetgeving, inclusief de regels voor toegang tot data door de Amerikaanse overheid. Zoom biedt om die reden betalende gebruikers de optie om “bepaalde data voor Meetings, Webinars en Team Chat” op te slaan binnen de Europese Economische Ruimte (EER). “Deze data wordt alleen in individuele gevallen en onder uitzonderlijke omstandigheden gedeeld met teams in de VS”, aldus de voorwaarden.
Aanvullend biedt het enkele samen met het Nederlandse SURF ontwikkelde privacyfuncties, zoals het beter vastleggen van specifieke beheerdersacties (auditlogs), meer zicht op het beleid voor het bewaren en verwijderen van data en ook rapportage over eventuele toegangsverzoeken tot de gebruikersdata. Op de site geeft het veel toelichting op de opslag en positie van de gebruiker.
Zekerheden
AI, cloudgebruik en de Amerikaanse oorsprong van Zoom zorgen ervoor dat het platform extra kritisch wordt bekeken. Naast regelgeving, zoals de AVG en de Europese AI Act, probeert Zoom daarom duidelijk te maken hoe AI wordt ingezet en welke data daarbij wordt verwerkt. Over beveiliging en privacy publiceert het bedrijf uitgebreide documentatie.
Ook legt Zoom zijn subverwerkers strikte eisen op. Zij moeten voldoen aan dezelfde verplichtingen als vastgelegd in de gegevensverwerkingsovereenkomst van Zoom en worden minimaal jaarlijks gecontroleerd binnen het Third Party Risk Management-programma, uitgevoerd door onafhankelijke auditors. Via het Trust Center publiceert Zoom daarnaast een groot aantal certificeringen en auditrapporten, waaronder ISO 27001, ISO 27017/18, SOC 2 Type II en AVG-compliance. Opvallend is ook de publiek beschikbare DPIA-privacyanalyse die samen met het Nederlandse SURF is uitgevoerd.