DPIA op Webex voor Rijksoverheid

Reikwijdte van de DPIA

De DPIA bevat een technische analyse en juridische beoordeling van de gegevensverwerking via 7 specifieke Webex-diensten:

1. Webex Meetings (inclusief persoonlijke en gedeelde vergaderruimten en inbellen via de telefoon)
2. Webex Presence (laat zien wie online is)
3. Webex Messaging (chat, vergelijkbaar met Teams)
4. Slido (enquêteapplicatie, overgenomen door Cisco)
5. Whiteboard-applicatie geïntegreerd in Webex
6. Secure Messaging (Clam AV scant inhoud zoals hyperlinks en bijlagen op virussen, phishing, ransomware en malware)
7. Webex Webinar (inclusief) opname met opslag in de Cisco-cloud — deze functionaliteit wordt alleen gebruikt voor grote vergaderingen.

Vijf categorieën persoonsgegevens

Deze DPIA beoordeelt de gegevensbeschermingsrisico's voor 5 categorieën persoonsgegevens:

1. Inhoudelijke Gegevens (chats, gedeelde bestanden, vergaderings- (ruimte)namen, optionele avatar-/profielfoto's, webinaropnames), mogelijke toekomstige gegevensverwerking via transcripties en ondertiteling.
2. Account Gegevens
3. Diagnostische Gegevens (inclusief auditlogs voor de beheerders, telemetriegegevens en Cisco-beveiligingslogs)
4. Support Gegevens (inhoud van ingediende tickets met metagegevens over wie een verzoek heeft ingediend en wanneer)
5. Website Gegevens (zowel de 3 inlogwebsites admin.webex.com, rijksvideo.webex.com en user.webex.com, als de 2 openbaar toegankelijke sites trustportal.cisco.com en help.webex.com met relevante technische en juridische informatie).

De DPIA bevat géén analyse van beveiligingsrisico's, noch een analyse van generatieve AI-diensten die door Cisco worden aangeboden als functies van Webex, zoals ondertiteling en transcripties.

AVG-rollen van Cisco, CIO-Rijk, BD en overheidsorganisaties

CIO-Rijk en de overheidsorganisaties die Webex gebruiken, zijn gezamenlijke verantwoordelijken. De BD treedt op als verwerker voor CIO-Rijk en de overheidsorganisaties, biedt tweedelijnsondersteuning en beheert de centrale instellingen en logs.

Een van de belangrijkste wijzigingen in de gewijzigde gegevensverwerkingsovereenkomst is de expliciete opname van de vijf categorieën persoonsgegevens en de toevoeging van een uitputtende lijst van verenigbare doelen waarvoor Cisco gemachtigd is om bepaalde persoonsgegevens verder te verwerken voor zijn eigen legitieme zakelijke doeleinden, wanneer dit strikt noodzakelijk is. Dergelijke doelen omvatten facturering, het aggregeren van gegevens voor interne managementrapportages van Cisco en het nakomen van wettelijke verplichtingen die op Cisco rusten. Bij de verwerking van bepaalde (gepseudonimiseerde) persoonsgegevens voor deze doelen heeft Cisco de rol van geautoriseerde verantwoordelijke.

Risico's en maatregelen

De DPIA bevat een analyse van 20 risico's voor de bescherming van persoonsgegevens. De meeste van deze risico's zijn of worden beperkt door maatregelen van Cisco. Andere risico's kunnen worden beperkt als de BD de aanbevolen maatregelen implementeert.

Cisco heeft een aantal van de overeengekomen maatregelen al geïmplementeerd, zoals het publiceren van een lijst met de telemetriegegevens. Gezien de relatief korte termijn waarbinnen Cisco de resterende overeengekomen maatregelen zal implementeren, heeft de Nederlandse overheid een voldoende concreet zicht op de verbeteringen en kunnen de overheidsorganisaties erop vertrouwen dat zij voldoende controle hebben over de gegevensverwerking.

In de tussentijd kunnen overheidsorganisaties indien nodig aanvullend beleid implementeren, zoals het geven van aanvullende instructies aan medewerkers over wanneer E2EE voor vergaderingen moet worden ingeschakeld en over bewaartermijnen voor chats en gedeelde bestanden.