Winkelmand

Geen producten in je winkelmand.

Wat Zoom moet doen om niet aan zijn eigen succes ten onder te gaan

Het gebruik van videovergadertool Zoom explodeert. Maar met die massa gebruikers en alle aandacht kwamen ook privacyissues aan het licht. Hoe overleeft Zoom zijn succes?

Je leest nu: Wat Zoom moet doen om niet aan zijn eigen succes ten onder te gaan

Als iets de wereld leefbaar en werkbaar maakt in deze tijd, zijn het wel de videoconferencing-tools die vergaderen op afstand mogelijk maken. Zelfs organisaties die tot voor kort alleen mail gebruikten, wennen aan het gebruik van Microsoft Teams, Webex en… Zoom.

Zelfs Boris Johnson is fan

Want Zoom, opgericht in 2011, is in een paar weken tijd uitgegroeid tot publiekslieveling. Het gebruik van de app verviervoudigde vergeleken met de tijd van voor de coronapandemie. De aandelen van het bedrijf verdubbelden sinds december in waarde, dwars tegen de beurskrach in. Zelfs Boris Johnson gebruikt Zoom voor kabinetsoverleg.

Maar tegelijk met die toegenomen populariteit, of misschien wel dankzij de gebruikersexplosie, kwamen ook eigenschappen van Zoom aan het licht die het nu dreigen op te breken. Zo bleek dat Zoom gegevens van gebruikers deelde met Facebook als ze, lekker makkelijk, inlogden via Facebook. Maandag werd Zoom daarvoor in de VS aangeklaagd in een class action suit: gebruikers vinden dat ze hadden moeten worden ingelicht en eisen daarom schadevergoeding.

Verontschuldigingen

De sluis naar Facebook is redelijk vlot gesloten voor iPhonegebruikers doordat Zoom de inlogfunctie voor iOS uitschakelde, met uitgebreide verontschuldigingen van CEO en medeoprichter Eric Yuan: ‘We blijven toegewijd aan de privacy van onze gebruikers.’ Dat kan zijn, maar Zoom bleek ook nogal slordig om te gaan met mailadressen van Microsoftgebruikers, die schijnbaar willekeurig op een hoop werden gegooid zodat gebruikers de adressen van totaal onbekenden in hun scherm zagen verschijnen.

Nog meer slechte pers kreeg Zoom deze week: de software van de tool die collega’s, gezinnen en complete schoolklassen verbindt bleek lek en hackers zouden via een achterdeur mailadressen kunnen bemachtigen. Voormalig NSA-hacker Patrick Wardle dook nog twee andere kwetsbaarheden op, waarvoor hackers overigens wel met hun handen aan je laptop moeten zitten om ze te misbruiken: het appje installeert zichzelf op Mac-computers. Weer: handig, maar niet per se veilig.

Tot overmaat van ramp vond de FBI het nodig te waarschuwen voor Zoom-bombing: lolbroeken kunnen toegangscodes kapen en daarmee tijdens vergaderingen porno of ander ongewenst materiaal laten zien. Overigens is dit goed te voorkomen: wie een wachtwoord meestuurt waarmee mensen aan een Zoomvergadering kunnen deelnemen, blijft van zulk gelazer verschoond.

Op twee fronten knokken

De video-app die zoveel harten veroverde, verliest door de aandacht van gebruikers, securityexperts, privacyjuristen en de FBI nu veel van zijn glans – en een paar tientjes van zijn koers. Terwijl gebruikers op zoek gaan naar alternatieven (onze zustersite Sprout heeft wel een paar suggesties) moet Yuan nu op twee fronten knokken om te voorkomen dat Zoom niet ten onder gaat aan zijn eigen succes.

Tip: spreek als organisatie af hoe je je vergadertools gebruikt

Allereerst: de technische tekortkomingen van zijn software zo snel mogelijk verhelpen. Wat dit betreft heeft Zoom geen vlekkeloze staat van dienst: hackers van de bonafide soort waarschuwden al vorig jaar voor een lek in de software voor Apple-apparaten waarmee hackers de webcam konden kapen. Apple moest zelf ingrijpen om deze mogelijkheid te schrappen. De reactie op dergelijke zero day-berichten kon sneller.

‘Dit is wat we gaan doen’

Hoe het ook kan, bewees Zoom woensdag. ‘Dit is wat we gaan doen’, schreef Yuan op het Zoom-blog: hij zet de ontwikkeling van nieuwe features stop, zodat álle developers zich kunnen richten op veiligheids- en privacy-issues. Hij belooft derden alle software en het gebruik ervan te laten doorlichten, hij verhoogt de bonussen die hackers krijgen als ze een lek weten te vinden en hij gaat wekelijks een webinar houden waarin hij ingaat op privacy en veiligheid.

Uitleggen wat je doet, dat is een hele goede eerste stap om te zorgen dat je vertrouwen van klanten behoudt of terugwint. Maar om ellende in de toekomst te voorkomen is dit misschien nog veel belangrijker: Yuan moet, en dat is een gedeelde verantwoordelijkheid met alle aanbieders van videovergadergereedschap, het publiek opvoeden in het gebruik van videotools.

De zwakste schakel

De techneuten van Zoom zullen knap genoeg zijn om elk gat te dichten, en sneller dan voorheen. Maar zoals voor meer software geldt, is de mens de zwakste schakel. Zegt ook privacyjurist Gert-Jan Kroese van Privacy Valley: ‘Over het algemeen is er vaak een trade off tussen gebruiksgemak en veiligheid. Inloggen met Facebook is lekker makkelijk, maar hoeveel gebruikers realiseren zich werkelijk dat je daarvoor betaalt met je data?’

En neem de toegang tot een vergadering: een linkje delen met iedereen is handig. ‘Maar het is veiliger om iedereen in te laten loggen met een eigen link en wachtwoord. Of iemand standaard in de wachtkamer zetten, en pas toe te laten tot de organisator de identiteit heeft geverifieerd. Dat is wel de vuistregel: om het echt veilig te houden, moet je meestal iets extra’s doen. En dat vinden gebruikers vaak lastig.’

Zoom is helder

Zoom en andere vergadertools vallen in de regel zo in te stellen, dat ze aan alle privacynormen voldoen. Privacy Valley scande onlangs Zoom Telehealth, een versie speciaal voor de Amerikaanse zorg, op privacy voor gebruik binnen Nederland. ‘Op basis van de documentatie kon dat prima: als ze doen wat ze zeggen te doen, voldoen ze aan de AVG en misschien ook wel aan de strengere normen voor het delen van borgdata. Al zijn de Kamer en VWS erg terughoudend om opslag van medische data in de VS toe te staan. Ons viel daarnaast ook op dat Zoom in zijn documentatie duidelijker een eerlijker is voor hoe het omgaat met privacy dan Facebook, Google en veel andere partijen. Het is zelfs voor gewone gebruikers te begrijpen.’ De zorgversie van Zoom kost overigens wel 200 dollar per maand. 

Het belangrijkste advies dat Kroese kan geven blijft: spreek als organisatie af hoe je je vergadertools gebruikt. ‘Neem je de vergadering op; waarom? Sta je toe dat mensen van de meeting screendumps maken en een automatisch uitgeschreven verslag wordt gemaakt? Gebruik je trackingtools, die controleren of de aanwezigen wel echt aan het opletten zijn? Allemaal erg handig, maar wel allemaal met een grote privacy-impact voor de deelnemers. Vaak is de onwetende derde die wordt uitgenodigd als bijdeelnemer voor een vergadering het slachtoffer. Dan wordt bijvoorbeeld bijvoorbeeld ongemerkt een foto screenshot van een sollicitant gemaakt, om na afloop nog even op internet te checken wat er over hem te vinden is. Dat kan en mag niet.’