Zoom en het gebruik van AI-systemen

AI-systemen

Inleiding

Zoom ligt onder vuur omdat hun nieuwe algemene voorwaarden suggereren dat betrokkenen niet kunnen kiezen of hun gegeven al dan niet verwerkt worden door de AI-systemen die door Zoom worden gebruikt. In deze blog zullen we deze problematiek onderzoeken en bespreken welke gevolgen dit kan hebben voor Zoom.

Wat stond er in de algemene voorwaarden van Zoom?

In maart 2023 heeft Zoom nieuwe clausules in haar algemene voorwaarden toegevoegd betreffende de toestemming voor het gebruiken van klantengegevens voor zaken zoals AI-modeltraining. Hetgeen controverse veroorzaakte was de volgende regel opgenomen in deze clausules:

“Notwithstanding the above, Zoom will not use audio, video or chat Customer content to train our artificial models without your consent.

Deze zin suggereert dat gebruikers die een contractuele overeenkomst met Zoom aangaan, zich ertoe verbinden om Zoom een zeer uitgebreid recht te verlenen om zijn/haar persoonsgegevens te verwerken. 

Zoom behoudt zich door deze nieuwe clausules een waslijst aan rechten voor met betrekking tot Klantendata, waaronder (maar niet beperkt tot) het publiceren, delen, herdistribueren, weergeven en maken van afgeleide werken met deze data. Zoom verleent zichzelf ook een “eeuwigdurende, wereldwijde, niet-exclusieve, royalty-vrije” licentie om gebruik te maken van klantendata op schijnbaar elke manier die het geschikt acht.

Dit gaat zeer duidelijk in tegen alle mogelijke privacygerelateerde wettelijke vereisten waaraan Zoom zou moeten voldoen om toepasbaar te zijn in de EU.

Zoom’s AI-gegevensverzameling en de GDPR  

Zoom zou hierdoor in de problemen kunnen komen door de EU-privacyregels, zowel onder de voorwaarden van de GDPR als de ePrivacy-richtlijn.

Het is vrij duidelijk dat Zoom op deze manier niet voldoet aan de GDPR-vereiste dat betrokkenen opt-in toestemming moeten geven voor dit niveau van verwerking van hun persoonsgegevens.

ePrivacy-richtlijn

De ePrivacy-richtlijn kan mogelijk door elk afzonderlijk EU-land worden ingeroepen op basis van afluisteren, aangezien de eindgebruiker moet instemmen met de manier waarop gegevens door derden worden onderschept door de AI-gegevensverzameling van het bedrijf.

Voorheen was ePrivacy enkel gericht op traditionele telecomdiensten, echter werd de wet eind 2020 gewijzigd via de Europese elektronische communicatiecode om de vertrouwelijkheidsplicht uit te breiden tot zogenaamde over-the-top-diensten zoals Zoom.

Artikel 5 van deze richtlijn bepaalt dat het afluisteren, opslaan of andere vormen van onderscheppen of bewaken van communicatie en de gerelateerde verkeersgegevens door andere personen dan gebruikers, zonder toestemming van de betrokken gebruikers verboden is. Deze bepaling lijkt in casu zeer relevant.

AI-systemen

Reactie van Zoom

Op deze nieuwe algemene voorwaarden kwam zeer veel kritiek en toenemende klachten van klanten. Als reactie hierop heeft Zoom recent een kleine wijziging doorgevoerd in de Algemene voorwaarden.

Zoom zegt namelijk nu dat het geen audio-, video- of chat-klantinhoud zal gebruiken als onderdeel van zijn AI-gegevensverzameling zonder toestemming van de gebruiker. Het heeft een verdere update op zijn blog gepubliceerd met elementen zoals plaknotities, whiteboards, opmerkingen en kalenders. Dit betekent echter niet dat alle problemen opgelost zijn.

Service Generated Data

Zoom geeft zichzelf echter nog altijd vergelijkbare onbelemmerde toegang tot wat men de”Service Generated Data” noemt. Naast telemetrie en diagnostische informatie omvat deze gegevenscategorie ‘productgebruiksgegevens’ en ‘soortgelijke inhoud of gegevens’ die nog steeds heel goed van toepassing kunnen zijn op gebruikersuploads. Dit betekent dat er in essentie niets is gewijzigd.

Zelfs indien er een opt-in-systeem wordt voorzien, zal Zoom zich het recht voorhouden om namens elke deelnemer deze opt-in uit te voeren. Individuen zouden niet de mogelijkheid hebben om zichzelf of hun eigen bijdragen af te melden voor enige samenwerking die al door een beheerder van Zoom is goedgekeurd.

Conclusie

Zoom werd in het verleden al meermaals aangeklaagd wegens problemen rond gegevensprivacy en frauduleuze marketingpraktijken.  Zo kreeg Zoom in 2021 reeds een boete nadat zij zonder toestemming of kennisgeving gebruikersgegevens deelde met LinkedIn, Facebook en Google.

Wat betreft mogelijke GDPR-maatregelen tegen Zoom voor hun AI-gegevensverzamelingspraktijen, zijn er nog geen acties ondernomen. Ook bestaat er enige algemene verwarring over hoe dat precies zou verlopen. Zoom heeft namelijk een EU-kantoor in Nederland, maar de Nederlandse gegevensbeschermingsautoriteit zegt dat het niet is geregistreerd als hoofdtoezichthouder. Als het bedrijf geen EU-kantoor heeft dat voldoet aan de norm voor een gegevensbeheerder, kunnen hiervoor sancties worden opgelegd. Een ding is zeker, als Zoom niet dringende stappen onderneemt, zullen de Gegevensbeschermingsautoriteiten ongetwijfeld hoge boetes kunnen opleggen aan Zoom moest er een zaak tegen hen worden geopend rond hun AI-gegevensverzamelingspraktijen.

Meer lezen over AI en de privacywetgeving

Delen:

Meer berichten

GDPR En Openbaar Bestuur

Inleiding: In het digitale tijdperk waarin we leven, wordt het beheren van persoonsgegevens een steeds grotere uitdaging, vooral voor overheidsinstanties die een

cybersecurity in 2024

Cybersecurity Maatregelen In 2024

Inleiding: Na een uitdagend 2023, waarin zowel op het gebied van cybersecurity als wereldwijd opmerkelijke gebeurtenissen plaatsvonden, richten we nu onze blik

Meer info: