# Uitleg over soevereiniteitscontroles voor de publieke sector van de Europese Unie
### Inleiding
Dit document legt uit hoe Zoom instellingen in de publieke sector in de Europese Unie (EU) helpt bij het voldoen aan hun strikte behoeften op het gebied van gegevensprivacy en beveiliging.
#### Zoom ondersteunt de unieke vereisten voor EU-naleving en soevereiniteitscontroles in de publieke sector
Het Zoom-platform ondersteunt de toenemende behoefte aan soevereiniteitscontrole binnen de Europese Unie. Organisaties in de publieke sector van de EU hebben veilige, conforme en betrouwbare communicatiesystemen nodig die hen kunnen helpen te voldoen aan sector- en regionale regelgeving. Zoom begrijpt dat organisaties in de publieke sector oplossingen nodig hebben die hen helpen bij het beheren van steeds grotere verplichtingen op het gebied van verantwoord gegevensbeheer, terwijl ze betrouwbare en eenvoudig te beheren communicatiesystemen mogelijk maken.
Zoom zet zich in om klanten in de publieke sector te helpen hun behoeften te vervullen met een verscheidenheid aan services, oplossingen en tools, waaronder infrastructuur gehost in de EU, flexibele hybride implementatiekaders, opties voor door de klant beheerde versleuteling en transparant beleid voor gegevensverwerking. Door gebruik te maken van deze aanbiedingen kunnen IT-teams in de publieke sector hun toezicht op en controle over de opslag, verwerking en toegang tot hun gegevens op het Zoom-platform verbeteren.
Voor informatie over Zoom en de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, zie onze [documentatie van het Trust Center](https://www.zoom.com/en/trust/gdpr/).
#### Een kader met drie lagen stelt organisaties in staat hun gegevens te beheren via infrastructuur, versleuteling en hybride hosting volgens hun beleid
Zooms kader met drie lagen is ontworpen om organisaties in de publieke sector meer controle te geven over hun gegevens en communicatie:
* **Platformlaag**: Zoom biedt een speciale EU-infrastructuur om zijn services te hosten in datacenters in de EU.
* **Versleutelingslaag**: Organisaties kunnen hun eigen versleutelingssleutels beheren met Customer Managed Key (CMK) of Hold-Your-Own-Key (HYOK)-opstellingen.
* **Contentlaag**: Organisaties kunnen Zoom Node installeren om vergaderingen, chat en opnames te hosten in hun eigen IT-omgeving.
#### Het kader met drie lagen levert vier belangrijke voordelen voor de publieke sector op
Organisaties in de publieke sector, waaronder scholen, ziekenhuizen en overheidsinstanties, verwerken dagelijks mogelijk gereguleerde gegevens tijdens hun dagelijkse communicatie- en samenwerkingsprocessen. Deze instellingen moeten lokale en EU-brede regels volgen om de gegevens veilig, privé en alleen toegankelijk voor bevoegde personen te houden.
De aanpak van Zoom voor organisaties in de publieke sector biedt de volgende voordelen:
* **Gegevensresidentie**: Ervoor zorgen dat bepaalde gegevens fysiek en logisch binnen de EU blijven.
* **Cryptografische controle**: De organisatie in staat stellen de toegang te beheren en eigenaar te zijn van haar versleutelingssleutels.
* **Veerkracht**: Helpen ervoor te zorgen dat communicatie kan doorgaan, zelfs tijdens storingen of netwerkproblemen.
* **Transparantie**: Inzicht bieden in gegevensstromen. Hoe en wanneer worden gegevens geraadpleegd: wie heeft wat geraadpleegd en waarom?
Zoom helpt openbare instellingen deze doelen te bereiken met configureerbare infrastructuur, gedetailleerde beleidsregels en sterke privacybescherming.
#### Ondersteuning voor AVG-naleving zonder maatwerkontwikkeling
Zoom biedt ondersteuning voor AVG-naleving door de vereisten ervan in de kernservices op te nemen, contractuele verplichtingen aan te bieden via de Gegevensverwerkingsovereenkomst en technische beveiligingsmaatregelen te implementeren. Voor alle klanten die streven naar AVG-afstemming hanteert Zoom passende beveiligingsmaatregelen, biedt het een selfservice-tool voor verzoeken van betrokkenen om toegang tot gegevens (DSAR) en biedt het transparantie rondom gegevensverwerkingspraktijken, terwijl het opties biedt voor internationale gegevensoverdrachten via mechanismen zoals het EU-VS-kader voor gegevensprivacy en standaardcontractbepalingen.
Voor organisaties in de publieke sector van de EU in de zorg, het onderwijs, de overheid en gereguleerde sectoren die op zoek zijn naar een meer beheerde aanpak van AVG-naleving, kan het beschikbare kader met drie lagen van Zoom op platform-, versleutelings- en contentniveau de AVG-conforme activiteiten binnen de Europese Unie verder verbeteren zonder dat er aangepaste code of complexe ontwikkeling nodig is.
### Infrastructuur
Zoom biedt de infrastructuur en controles die organisaties in de publieke sector helpen om te voldoen aan strenge EU-vereisten voor gegevensprivacy, beveiliging en service-weerbaarheid.
#### Infrastructuur in de EU houdt bepaalde gegevens binnen de Europese grenzen
Voor klanten in de Europese Unie (EU) die persoonlijke gegevens, waaronder Content, Account, Diagnostic, Support en Website Data met beperkte toegang, liever niet naar de VS overdragen, biedt Zoom een speciale infrastructuur, bekend als de Zoom EU Infrastructure. Deze infrastructuur host accounts voor klanten in het onderwijs en Enterprise in de EU en ondersteunt momenteel een brede selectie aan Zoom-producten, waaronder Meetings, Webinar, Chat, Zoom Phone, Zoom Contact Center en meer.
Zoom biedt klanten die worden gehost in de regionale Zoom EU Infrastructure de mogelijkheid om gegevens binnen de regio op te slaan en te verwerken. Zoom draagt geen gegevens over buiten deze infrastructuur en heeft er ook geen toegang toe van buiten deze infrastructuur, tenzij er vooraf een overeenkomst met een klant is gesloten of wanneer specifieke uitzonderingen van toepassing zijn, waaronder wanneer dit wettelijk vereist is, voor trust- en veiligheidsdoeleinden en om serviceberichten te verstrekken en de services mogelijk te maken. Voor meer gedetailleerde informatie, zie onze [Feitenblad over de Zoom EU Infrastructure](https://media.zoom.com/download/assets/zoom-eu-infrastructure-fact-sheet.pdf/3d23251255a811f0bc811651fbd1a193?ampDeviceId=1bace143-1d0e-44f0-9c65-1a66500c6b00\&SessionId=1753276105171&_ics=1753276103466\&irclickid=~1SRQVOMRZQJDEDuADEKQHyzvmqvwyFELCzDJKABqmha2SOLDwqne&_gl=1*wa7gnv*_gcl_au*ODA1ODkzMDYuMTc0NzEyOTE3NQ..*_ga*MTMyNTgyNjUzOS4xNzMxNjc3MjU2*_ga_L8TBF28DDX*czE3NTMyNzYxMDQkbzEzMiRnMSR0MTc1MzI3NjgxMyRqNTckbDAkaDA.).
#### Functies voor identiteit, toegang en privacy
Zoom bevat standaard mogelijkheden voor identiteits- en toegangsbeheer die integreren met bestaande organisatiesystemen.
#### Standaard authenticatie en autorisatie
Zoom biedt typische enterprise-identiteitsintegratie via Single Sign-On (SSO) met providers die voldoen aan SAML 2.0, SCIM 2.0-inrichting voor geautomatiseerd gebruikersbeheer en Role-Based Access Control (RBAC) met aanpasbare rollen en machtigingen. Deze functies integreren met door de klant geleverde regionale Identity Providers (IdP's), die worden beheerd en gehost door de klant of hun gekozen IdP-leverancier, en verbinden met Zooms EU-infrastructuur via SAML 2.0.
#### Ingebouwde privacy- en gegevenscontroles
Het platform bevat standaard privacy-by-design-functies die aansluiten op de AVG-vereisten:
* **Minimalisering van gegevens** via gepseudonimiseerde identificatiegegevens in systeemlogboeken
* **Beheerderscontroles voor gegevens** voor het instellen van bewaartermijnen en het verwerken van verwijderingsverzoeken
* **Toegangsregistratie** voor beveiligingsmonitoring en audittrails
* **Minst-privilege- en rolgebaseerde toegang** controles voor de toegang van Zoom tot klantgegevens en content
#### Eigendom van organisatorische gegevens
Net als bij andere enterprise-platforms behouden organisaties controle over de levenscyclus van gebruikers en content, waarbij Zoom de technische infrastructuur levert ter ondersteuning van intern beleid en wettelijke vereisten zoals naleving van artikel 17 van de AVG.
### Zoom Node
Overweeg Zoom Node voor meer controle over uw gegevens. Dit hybride platform stelt u in staat om workloads van Zoom Workplace, waaronder mediaroutering, chatopslag, opname en webtoegang, rechtstreeks binnen uw eigen omgeving uit te voeren. Zoom Node is perfect voor klanten die behoefte hebben aan lokalisatie van media, beter beheer van contentgegevens of ononderbroken werking, terwijl de vertrouwde Zoom-ervaring behouden blijft. Voor meer informatie over Zoom Node-concepten, zie de [zoom-node-explainer](https://library.zoom.com/technical-library/nl/geavanceerde-onderneming-services/zoom-node/zoom-node-explainer "mention").
In de kern werkt Zoom Node als een virtuele machine (VM) waarop het **Zoom Node OS** draait. Zoom Node maakt lokale hosting van geselecteerde Zoom-services mogelijk via modulaire servicecomponenten en bevat:
* **Zoom Node OS**: De kernlaag die containerized modules aanstuurt. Deze verzorgt communicatie, lifecycle-orchestratie en resourcebeheer.
* **Servicemodules**: Onafhankelijke functionele componenten (bijv. Meeting, Recording, Chat) die in geïsoleerde containers binnen de VM worden geïmplementeerd.
Deze modulaire structuur stelt klanten in staat alleen de services uit te voeren die zij nodig hebben, waardoor beheer wordt vereenvoudigd en het gebruik van resources wordt geoptimaliseerd.
Zoom Node biedt controle en flexibiliteit met behoud van een soepele Zoom-gebruikerservaring. De voordelen van Zoom Node zijn onder meer:
* **Modulariteit**: Implementeer alleen de services die u nodig hebt.
* **Lokalisatie**: Lokale mediaverwerking en -bewaring voor vergaderingen en webinars.
* **Toekomstbestendigheid**: Compatibel met toekomstige hybride services (Zoom Chat, Zoom Phone).
#### Zoom Node ondersteunt modulaire implementatie van kernservices zoals vergaderingen, opnames, chat, browsertoegang en room-connectiviteit
Dit zijn de momenteel beschikbare modules voor Zoom Node:
* [**Meetings Hybrid Module**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0058495): Laat Zoom-vergaderservers lokaal draaien om controle te behouden over audio-, video- en contentstreams.
* [**Web Access Gateway**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0080509): Een Web Gateway waarmee Zoom-gebruikers die via de browser deelnemen, kunnen deelnemen aan een privévergadering die wordt gehost op Meetings Hybrid, zonder toegang tot de Zoom-cloud nodig te hebben
* [**Recording Hybrid Module**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0074360): Bewaar vergaderopnames on-premises in plaats van in de Zoom-cloud.
* [**Content Streaming Service**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0074360): Een brokerservice voor videostreaming voor Zoom Meeting- en webinaropnames, opgeslagen in rust op de Netwerkbestandsopslag van de klant. Deze service geeft de host van de vergadering toegang tot het afspelen, downloaden en opnieuw verspreiden van de opname via het Zoom-webportaal, wat de workflow weerspiegelt voor opnames die in de Zoom-cloud zijn opgeslagen.
* [**Chat Hybrid Module**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0067370): Slaat interne chatcontent op en beheert deze binnen uw eigen omgeving.
* [**Meeting Survivability**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0076794): Failover on-premises in geval van cloudverstoring.
* [**Hybrid Room Interoperability**](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0076692): Verbind op standaarden gebaseerde roomsystemen met Zoom-vergaderingen met de oplossing Hybrid Room Interoperability.
Hybride configuraties ondersteunen het organisatiebeleid van klanten met betrekking tot gegevenscontrole en disaster recovery, terwijl de kernfunctionaliteit van de Zoom Workplace-app behouden blijft. Zie onze speciale [Zoom Node-overzichtspagina](https://www.zoom.com/en/products/zoom-node/) voor de nieuwste informatie over de verschillende modules.
Voor implementatie-informatie, zie de [zoom-node-deployment-field-guide](https://library.zoom.com/technical-library/nl/geavanceerde-onderneming-services/zoom-node/zoom-node-deployment-field-guide "mention").
#### Zoom Node wordt beheerd via een cloudinterface die module-activatie, prestatiemonitoring, software-updates en logboekregistratie ondersteunt
Beheerders kunnen Zoom Node beheren via een gecentraliseerde console. Met deze console kunnen zij:
* specifieke modules in- of uitschakelen
* De gezondheid van services en netwerkprestaties bewaken
* Updates toepassen volgens een gecontroleerd schema
* Beveiligingsinstellingen en toegangslogboeken bekijken
### Versleuteling
Zoom ondersteunt geavanceerde versleutelingstools, waaronder Customer Managed Key (CMK), die organisaties meer controle geven over hoe hun gegevens worden beschermd. Zoom biedt meerdere opties voor het beschermen van gevoelige communicatie, waaronder volledig eigendom van versleutelingssleutels.
#### Customer Managed Key (CMK) stelt instellingen in staat hun eigen versleutelingssleutels te beheren en te controleren met vertrouwde services of interne systemen
[Zoom CMK](https://www.zoom.com/en/products/cmk/) integreert met populaire Key Management Service (KMS)-providers, zoals:
* Amazon Web Services (AWS) KMS
* Microsoft Azure Key Vault
* Oracle OCI Vault
* Thales CipherTrust (via AWS External Key Store)
U kunt ook uw eigen Hardware Security Module (HSM) hosten, zoals Thales Luna HSM, om controle over versleutelingssleutels te bieden en afhankelijkheid van externe, in de VS gevestigde systemen te vermijden, wat een volledige HYOK-oplossing (Hold-Your-Own-Key) oplevert.
#### CMK kan veel soorten gevoelige Zoom-content versleutelen
CMK kan veel soorten gevoelige Zoom-content versleutelen, waaronder:
* Opnames van vergaderingen en webinars (audio, video, chat)
* Transcripten (zonder geïndexeerd zoeken)
* Voicemails en gespreksopnames
* Toegangstokens voor agenda's
* Integratietokens voor Microsoft Teams
* Chatberichten en bestanden
* Whiteboards
* Content gegenereerd door AI Companion-functies
Voor organisaties die vereisen dat bepaalde gegevens, zoals chatberichten, niet worden ontsleuteld door de Zoom-cloud, biedt Zoom de Zoom CMK Hybrid-module. Met Zoom CMK Hybrid kunnen organisaties hun eigen gegevenssleutels genereren en beheren voor gebruik met client-side versleuteling binnen hun beveiligingsgrens, met behulp van een afzonderlijke door de klant beheerde sleutel.
Zie het Zoom-ondersteuningsartikel [Content beschermd door Customer Managed Key](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0057898) voor de huidige lijst.
#### End-to-endversleuteling (E2EE) is ontworpen zodat alleen deelnemers toegang hebben tot media tijdens vergaderingen of oproepen
Er zijn aanvullende beveiligingscontroles beschikbaar voor klanten om hun vergaderingen te beveiligen. Zoom biedt optionele end-to-endversleuteling (E2EE) die kan worden ingeschakeld in de desktop- of mobiele Workplace-apps voor:
* Zoom Phone-gesprekken van één op één binnen hetzelfde account
* Zoom Meetings met maximaal 1.000 deelnemers
{% hint style="info" %}
E2EE wordt niet ondersteund voor oproepen via de webclient of PSTN, of voor Zoom Contact Center- en Zoom Virtual Agent-services.
{% endhint %}
E2EE voor Zoom Meetings gebruikt dezelfde 256-bit AES-GCM-versleutelingsmethode die standaard verbeterde versleuteling ondersteunt. Wanneer ingeschakeld, is het Zoom-systeem zo ontworpen dat de cryptografische sleutels alleen bekend zijn bij de apparaten van de deelnemers aan de vergadering. Hierdoor hebben derden, waaronder Zoom, geen toegang tot de privésleutels van de vergadering.
Daarnaast heeft Zoom post-quantum E2EE (PQ E2EE) geïntroduceerd voor Zoom Workplace, specifiek voor ondersteuning van Zoom Meetings, Zoom Phone en Zoom Rooms. De lancering van deze nieuwe beveiligingsverbetering maakt Zoom het eerste Unified Communications as a Service (UCaaS)-bedrijf dat een post-quantum E2EE-oplossing voor videoconferenties aanbiedt. Post-quantum end-to-endversleuteling (PQ E2EE) biedt dezelfde beveiligingseigenschap als end-to-endversleuteling (E2EE): alleen de deelnemers aan de vergadering, en zelfs niet de server van Zoom, hebben toegang tot de sleutels die worden gebruikt om de vergadering te versleutelen. In tegenstelling tot end-to-endversleuteling is PQ E2EE ontworpen om bestand te zijn tegen de dreiging van een tegenstander die versleuteld netwerkverkeer kan onderscheppen en die hoopt in de toekomst een kwantumcomputer te verkrijgen en deze te gebruiken om de onderschepte gegevens te ontsleutelen.
Klanten die geïnteresseerd zijn in deze extra versleutelingsfuncties kunnen E2EE inschakelen. Er zijn echter [vereisten en beperkingen](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0065408) waarvan u op de hoogte moet zijn.
**Vereisten voor de client**: E2EE vereist dat alle deelnemers aan de vergadering deelnemen via de Zoom Workplace-desktopapp, mobiele app of een Zoom Room.
**Functiebeperkingen**: Het inschakelen van E2EE is niet compatibel met bepaalde functies, waaronder:
* Cloudopname voor Zoom Meetings
* Automatische gespreksopname voor Zoom Phone
* Functies van AI Companion
* Voortdurende chat tijdens vergadering
* Extra functies die in onze ondersteuningsdocumentatie worden vermeld
Raadpleeg onze ondersteuningsartikelen voor [Zoom Phone](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0059027) en [Zoom Meetings](https://support.zoom.com/hc/en/article?id=zm_kb\&sysparm_article=KB0065408) voor volledige details over beperkingen, afhankelijkheden en implementatie.
#### Versleutelingsopties op clientniveau voor verbeterde beveiliging van Zoom Chat
Zoom Chat biedt meerdere versleutelingsopties naast standaardversleuteling, elk ontworpen voor verschillende beveiligingsvereisten en organisatiestructuren.
#### Standaard chatversleuteling (standaard)
Standaard versleutelt Zoom Chat-berichten tijdens overdracht met TLS en in rust met AES-256-versleuteling met door Zoom beheerde sleutels. Dit biedt basisbeveiliging voor de meeste organisatorische behoeften.
#### Geavanceerde chatversleuteling (ACE)
ACE gebruikt door het apparaat gegenereerde en opgeslagen sleutels om berichten tussen chatdeelnemers te versleutelen, met extra TLS-bescherming tijdens overdracht. Sleutels worden gegenereerd en gebruikt op de apparaten van chatdeelnemers, wat verbeterde privacy biedt maar de functionaliteit beperkt wanneer deelnemers niet tegelijkertijd online zijn.
#### Geavanceerde CMK-chatversleuteling (ACCE)
ACCE gebruikt door de klant beheerde sleutels via Zooms CMK-service, maar sleutels worden gegenereerd en beveiligd in de Zoom-cloud. Deze optie biedt controle over klantensleutels terwijl betere compatibiliteit tussen accounts behouden blijft dan bij apparaatgebaseerde oplossingen.
#### Client-side CMK Hybrid-chatversleuteling (CSE)
CSE gebruikt door de klant beheerde sleutels die on-premises worden gegenereerd en opgeslagen via CMK Hybrid-infrastructuur. Dit biedt het hoogste niveau van controle voor de klant over versleutelingssleutels, omdat deze nooit in de cloudomgeving van Zoom verblijven.
**Belangrijkste verschillen**
* **ACE**: Door het apparaat gegenereerde sleutels, alleen berichten binnen hetzelfde account
* **ACCE**: Klantsleutels in de Zoom-cloud, werkt tussen accounts
* **CSE**: Klantsleutels on-premises, berichten binnen hetzelfde account met ACCE-fallback voor externe communicatie
**Vereisten**
* **ACE**: Betaalde accounts, activering door beheerder
* **ACCE**: Zoom Enterprise Plus (of hoger) of CMK Add-on-licentie
* **CSE**: Zoom Enterprise Plus- of CMK Hybrid-licenties (met minimaal twee CMK Hybrid-licenties en twee servers voor fouttolerantie)
**Belangrijke beperkingen**
Alle geavanceerde versleutelingsopties beperken de functionaliteit van Chat, waaronder:
* Functies van AI Companion
* Berichten bewerken en vertalen
* Geanimeerde GIF's en linkvoorvertoningen
* Berichten archiveren met aanbieders van derden
* Integratie van voortdurende chat tijdens vergadering
**Beschikbaarheidsnotities**
* CSE is alleen beschikbaar voor CMK Hybrid-klanten met on-premises sleutelbeheerinfrastructuur
* ACCE dient als terugvalprotocol voor accounts met CSE wanneer wordt gecommuniceerd met externe contacten
* Organisaties moeten evalueren of de verbeterde beveiliging de functiebeperkingen rechtvaardigt, aangezien standaardversleuteling de kaders voor naleving van regelgeving mogelijk voldoende ondersteunt
#### Een veilig verbindingsproces ondersteunt regionale servertoewijzing en gegevensnaleving
Of u nu de Zoom Workplace-app gebruikt, deelneemt aan vergaderingen of via uw browser toegang krijgt tot het Zoom-webportaal, Zoom Meetings zijn ontworpen om klantgegevens tijdens overdracht te versleutelen met vertrouwde methoden wanneer wordt gecommuniceerd met het Zoom-webportaal of services op het Zoom Cloud Platform. Dit omvat het verbindingsproces en realtime media tijdens overdracht (video, audio en gedeelde content tijdens vergaderingen).
Wanneer een gebruiker een Zoom Meeting of Zoom Phone-oproep start:
1. De Zoom Workplace-app maakt eerst contact met Zooms wereldwijde Lookup Service met TLS 1.2- of TLS 1.3-versleuteling.
2. Lookup-metagegevens, inclusief IP-geolocatie en apparaatinformatie, worden verzonden via HTTPS (poort 443) met TLS 1.2- of hogere versleuteling.
3. Op basis van locatie en beschikbaarheid wordt de app naar de optimale Zoom Zone Controller en regionale mediaknoop geleid.
4. De Zoom Workplace-app test de connectiviteit met elke knoop en zet versleutelde mediasessies op (video, audio, content) via:
1. UDP (voorkeur, poort 8801) met AES-256-GCM-versleuteling
2. TCP (terugval, poort 8801) met AES-256-GCM-versleuteling
3. TCP (tweede terugval, poort 443) met TLS 1.2- of TLS 1.3-versleuteling
Meer details over het versleutelingsontwerp van Zoom met gebruik van industrienorm-versleutelingsmethoden voor gegevens tijdens overdracht en in rust vindt u in onze [Zoom Encryption Whitepaper](https://explore.zoom.us/docs/doc/Zoom%20Encryption%20Whitepaper.pdf). Voor verificatie van Zoom-beveiligingspraktijken kunt u onze verklaringen en certificeringen bekijken door ons [Zoom Trust Center](https://www.zoom.com/en/trust/legal-compliance/).