Vragen over videoconferencingtools


Update vanuit VNG Realisatie: Voor ca. 130 gemeenten heeft VNG een gezamenlijke aanbesteding afgerond. Dit contract is gegund aan Atos. Binnen GT Connect levert Atos de samenwerkingstool  Circuit. Neem voor vragen over deze tool contact op met leverancier Atos.


De IBD ontving in de afgelopen dagen veel vragen van gemeenten over videoconferencing tools. We hebben de adviezen voor u op een rijtje gezet. Ook hebben we een korte quickscan gedaan op de beveiligingsmaatregelen van de meest genoemde tools.

Videobellen is in deze tijd een welkome aanvulling op alle andere kanalen die we al gebruiken om met elkaar te communiceren nu het persoonlijke contact tot een minimum beperkt moet worden. Videobellen is niets meer dan een stream van beeld en geluid daar waar we voorheen voornamelijk alleen geluid van de telefoon gebruikten. De beveiligingsmaatregelen zijn ook niet anders dan die we nu al gebruiken voor de communicatie via mail, geluid en chatten gebruiken. Het NCSC heeft in 2017 een factsheet “Kies een berichtenapp voor uw organisatie”  geschreven die ook goed toepasbaar is op tools voor videobellen.

Let op dat er altijd een zekere mate van beveiligings- en privacyrisico is bij het gebruik van dergelijke tools. Het risico moet u afwegen tegen het doel en de omstandigheden. Videochatten zal bijna nooit het medium zijn voor het uitwisselen van (zeer) vertrouwelijke informatie.

Dit advies gaat in op technische en juridische maatregelen, de factor mens is echter een hele belangrijke. Zeker in deze periode van thuiswerken is het goed mogelijk dat gezinsleden van de deelnemers delen van het gesprek meekrijgen, screenshots en video-opnames kunnen worden gedeeld, etc. Dat vereist een zekere mate van vertrouwen in de deelnemers.

Daarom tip 1:

  • Besef wat u deelt! Houd rekening met het feit dat wat u bespreekt in principe openbaar zou kunnen worden.

Een generieke aanpak voor het beoordelen van een app voor videobellen kan zijn:

Denk voor de risicoafweging aan de volgende punten:

  • De keuze voor een app is afhankelijk van het doel van de vergadering en welke (persoons)gegevens er worden gedeeld in zo’n vergadering. Ook kunnen organisaties waar u mee gaat vergaderen andere eisen stellen aan de vergaderomgeving.
  • De risico’s die te maken hebben met Amerikaanse cloudleveranciers hebben we op onze website al op een rijtje gezet
  • Controleer of de videoapp/aanbieder tenminste over de volgende maatregelen beschikt:
    • End-to-end encryptie
    • Hashing van wachtwoorden
    • AES 256 bit TLS encryptie bij voorkeur
    • SAML 2.0
    • Unieke vergader id’s om vergaderingen af te schermen
    • Compliant aan AVG/GDPR of EU privacyshield
    • Bij voorkeur: Datacenter in EU, verwerking in EU
    • Gecertificeerd: ISAE 3402 type 2, SOC 2 type 2, ISO 27001
    • Client over HTTPS
    • Lage latency
    • Indien gewenst: on-premise mogelijkheden met eventueel cloud back-up
  • Controleer de bovenstaande beveiligingseisen (zie hiervoor de quickscan).
  • Controleer of de aanbieder van de app voldoet aan de AVG/GDPR en of er privacyvriendelijke instellingen aanwezig zijn, zoals de keuze om persoonsgegevens alleen op te slaan in de EU of een optie om een adresboek van de organisatie niet te uploaden naar de server. Lees ook de aanbevelingen van het NCSC, de Autoriteit Persoonsgegevens en ICTRecht over videochatdiensten.
  • Als (een deel van) de opslag of andere verwerking van persoonsgegevens door de aanbieder buiten de EER plaatsvindt, controleer dan of er een adequaatsheidsbesluit is genomen door de Europese Commissie, of (bij Amerikaanse partijen) of er een Privacyshield certificaat is. Verifieer het certificaat op https://www.privacyshield.gov/list.
  • Zorg ervoor dat de omgang met en inrichting van de tool zoveel mogelijk privacyvriendelijk gebeurt: zet (attention)trackingfuncties uit en neem het gesprek niet op.
  • Wijs iemand in de groep aan die in de gaten houdt of hetgeen besproken wordt ook besproken kan en mag worden (let in het bijzonder op persoonsgegevens).
  • Creëer een intern of besloten adresboek/contactlijst van de organisatie om te gebruiken in de app.
  • Maak medewerkers bewust van de omgeving wanneer u de tool gebruikt. Denk om zaken zoals wie kan meeluisteren, of er (gevoelige) persoonsgegevens in beeld zijn tijdens de videoconference en het afsluiten van de videoconference na afronding van het gesprek.
  • Stel een toegangsbeperkende maatregel (bijv. pincode) in voor het gebruik van de app of kies een app die een random nummer gebruikt voor een uniek gesprek.
  • Gebruik alleen apps waarbij end-to-end encryptie ingeschakeld is.
  • Wordt de app ook mobiel gebruikt, zorg dan bij voorkeur voor een MDM/MAM oplossing voor het beheer van de mobiele devices.
  • Wordt de toepassing ook gebruikt voor klantcontact, zorg dan voor een verificatieprocedure, zodat u kunt vaststellen dat u ook zeker weet dat de ander is wie hij zegt dat hij is.

En verder: test voordat u het gaat gebruiken!