Hälso- och sjukvård

• Hälso- och sjukvård
  • Utbildning
  • Myndigheter
  • Finansiella tjänster
  • Återförsäljning
  • Tillverkning
• Lösningar
  • Hälso- och sjukvård i Storbritannien
  • Zoom för biovetenskap
  • Hälso- och sjukvård i hemmet
  • Leverera virtuell vård till patienter i hemmet
  • Förenkla enhetlig kommunikation för NHS-organisationer
• Resurser
  • Hybridarbete
  • Enhetlig kommunikation för hälso- och sjukvård
  • GDPR-efterlevnad
  • Finansiering för hälso- och sjukvård
  • Blogginlägg om hälso- och sjukvård
  • Hälso- och sjukvårds-community
  • Appar för hälso- och sjukvård
  • Kundberättelser
  • Flexibilitet är hälso- och sjukvårdens framtid
• Hårdvara
• Prissättning

Zooms mål är att skapa glädje genom fiktionsfri videokommunikation och vi förstår att denna glädje kräver integritet och säkerhet. Därför strävar vi efter att skydda och säkra våra kunders kommunikation till så hög nivå som möjligt, som datasekretesskyldigheterna i det Europeiska ekonomiska samarbetsområdet (”EES”) – huvudsakligen dataskyddsförordningen (”GDPR”).

Zoom välkomnar GDPR som en möjlighet att skapa en starkare grund för dataskydd till allas fördel. Zoom inser att våra kunder (registeransvariga) måste se till att Zoom (personuppgiftsbiträdet) implementerar tekniska och organisationsmässiga åtgärder på ett sätt som sker i enlighet med GDPR:s efterlevnadsskyldigheter. Zoom finns här för att hjälpa och stötta våra kunder i deras roll som registeransvariga.

Följande viktiga fakta återspeglar Zooms åtagande vad gäller förfaranden för datainsamling.

Kontraktsenliga GDPR-skyldigheter för alla Zoom-kunder

GDPR kräver att registeransvariga (som organisationer och utvecklare som använder Zooms tjänster) enbart använder personuppgiftsbiträden (som Zoom) som bearbetar personuppgifter på den registeransvarigas vägnar och erbjuder tillräckliga garantier för att uppfylla de specifika kraven i GDPR. Zoom erbjuder dessa åtaganden för alla våra kunder genom att införliva Zooms tillägg för databearbetning i Zooms tjänstevillkor.

Zooms kontraktsenliga åtaganden som rör GDPR:

• Zoom strävar efter att vara transparent och förpliktigar sig att använda personuppgifter enbart enligt vad som anges i vårt avtal om att tillhandahålla våra tjänster eller enligt vad som i övrigt anges av våra kunder.
• Zoom upprätthåller lämpliga tekniska och organisationsmässiga säkerhetsåtgärder för att skydda de personuppgifter vi behandlar.
• Zoom hjälper kunder att uppfylla sina skyldigheter när registrerade personer utövar de rättigheter som är kopplade till de personuppgifter som behandlas vid användningen av våra tjänster (som begäranden om information, åtkomst, rättelse och borttagning).

Stöd för internationell dataöverföring

I juli 2020 meddelade Europeiska unionens domstol (”EU-domstolen”) sitt utslag i fallet C-311/18 (vanligtvis kallat ”Schrems II-målet”) om giltigheten för dataöverföringar utanför EES. Beslutet i Schrems II-målet hade sitt ursprung i ett klagomål från en österrikisk registrerad person, Maximilian Schrems, som gällde överföringar av hans personuppgifter till USA och möjligheten för amerikanska myndighetsorgan att komma åt hans uppgifter.

I Schrems II-beslutet förklarade EU-domstolen att EU-U.S. Privacy Shield-ramverket inte längre omfattade en laglig metod för överföring av personuppgifter från EES till USA.

Men EU-domstolen förklarade också att den Europeiska kommissionens standardavtalsklausuler – som utgör grunden för Zooms internationella överföringar – förblir en laglig mekanism för överföring av personuppgifter från EES till icke-EES-kunder.

Efter detta beslut publicerade EU-kommissionen nya standardavtalsklausuler i juni 2021. Zoom införlivade de nya standardavtalsklausulerna i tillämpliga avtal efter de övergångsperioder som angavs av EU-kommissionen (dvs. den 27 september 2021 för nya avtal och den 27 december 2022 för befintliga avtal). Se våra kunders vanliga frågor och svar om de nya standardavtalsklausulerna för mer information.

Nytt krav: ”Lär känna dina överföringar”

I och med Schrems II-beslutet infördes även ett nytt krav: Innan dataexportörer överför personuppgifter till ett land utanför EES som inte anses garantera en tillräcklig skyddsnivå måste de bedöma huruvida standardavtalsklausulerna på ett tillfredsställande sätt garanterar att personuppgifterna förblir skyddade i mottagarlandet i en utsträckning som ”väsentligen motsvarar” EU:s dataskyddsregler.

Med andra ord förväntas nu dataexportören och dataimportören innan de förlitar sig på standardavtalsklausulerna att bedöma huruvida lagarna och förfarandena i det land som mottar uppgifterna kan underminera den skyddsnivå som i övrigt tillhandahålls. I syfte att hjälpa våra kunder med denna bedömning har vi tagit fram bedömningar av dataöverföringskonsekvens för följande produkter:

Bedömning av dataöverföringskonsekvens för Zoom Meetings/Webinar/Chat
Bedömning av dataöverföringskonsekvens för Zoom Phone
Bedömning av dataöverföringskonsekvens för Zoom Contact Center
Bedömning av dataöverföringskonsekvens för Zoom Virtual Agent

Robusta specifika åtgärder för att garantera europeiskt dataskydd

Zoom förpliktigar sig att bibehålla en hög säkerhetsnivå:

• Zoom utnyttjar en rad krypteringstekniker för att skydda data under överföring och i vila.
• Zoom utnyttjar säkerhetsåtgärder för att bidra till den konstanta konfidentialiteten, integriteten, tillgängligheten och motståndskraften hos våra system och tjänster för bearbetning.
• Zoom vidtar åtgärder för att underlätta snabb återställning av tillgängligheten och åtkomsten till våra system och tjänster för bearbetning vid en fysisk eller teknisk incident.
• Zoom implementerar en process för att regelbundet testa, bedöma och utvärdera effektiviteten hos tekniska och organisationsmässiga åtgärder för att främja säkerheten för de data vi bearbetar.

Mer specifikt omfattar de säkerhetsåtgärder Zoom använder för att säkra den kommunikation som skickas via och lagras på Zooms plattform följande:

• Valfri totalsträckskryptering för Meetings: Användare kan välja att aktivera totalsträckskryptering för Zoom Meetings. Detta erbjuder en hög säkerhetsnivå eftersom ingen tredjepart – inklusive Zoom – har åtkomst till mötets privata nycklar.
• Standardkryptering: Anslutningen mellan en viss enhet och Zoom krypteras som standard med en blandning av TLS 1.2+ (Transport Layer Security), Advanced Encryption Standard – 256-bitars AES GCM-kryptering och SRTP (Secure Real-time Transport Protocol). Exakt vilka metoder som använd beror på huruvida användaren utnyttjar Zoom-klienten, en tredjepartsenhet eller Zoom Phone-produkten. Du hittar mer information i vår vitbok om kryptering.
• Skydd mot oauktoriserade mötesdeltagare: Zoom har implementerat otaliga säkerhetsanordningar och kontroller för att förhindra oauktoriserade deltagare från att gå med i möten:

• • Elvasiffriga unika mötes-ID:n
  • Komplexa lösenord
  • Väntrum med möjligheten att automatiskt släppa in deltagare med ditt domännamn eller en annan vald domän
  • Lås möte-funktion som kan förhindra någon från att gå med i ett möte
  • Möjligheten att ta bort deltagare
  • Autentiseringsprofil som enbart beviljar åtkomst för registrerade användare eller begränsar den till specifika domäner
  • Verktyget för att anmäla riskmöte kan genomsöka inlägg på offentliga sociala medier och andra offentliga onlineresurser efter Zoom-möteslänkar

• Selektiva mötesinbjudningar: Värden kan välja ut deltagare att bjuda in via e-post, chatt eller sms. Detta ger mer kontroll över spridningen av informationen för mötesåtkomst. Värden kan även konfigurera mötet för att enbart tillåta att medlemmar från en viss e-postdomän går med.
• Säkerhet under möte: Under mötet levererar Zoom omfattande medieinnehåll i realtid på ett säkert sätt till samtliga deltagare i Zoom-mötet. Allt innehåll som delas med deltagarna i ett möte utgör enbart en representation av ursprungliga data. Innehållet kodas och optimeras för delning med hjälp av en säkrad implementering.
• Värdkontroller: Mötesvärden kan använda kontroller för att aktivera/inaktivera deltagarnas möjlighet att dela innehåll, chatta och döpa om sig själva.
• Rapportering: Rapportera en användare-funktionen ger mötesvärden möjlighet att flagga problematiskt beteende.
• Säkerhetskontroller i produkten: Säkerhetskontroller med en särskild säkerhetsikon i huvudgränssnittet.
• Rollbaserad användarsäkerhet: Följande säkerhetsfunktioner är tillgängliga för mötesvärden före mötet:

• • Säker inloggning med standardprocess med användarnamn och lösenord eller enkel SAML-inloggning
  • Starta ett säkrat möte med en lösenkod
  • Schemalägg ett säkrat möte med en lösenkod

• Förhindring av robotsamtal: Användare kan förhindra robotsamtal med hastighetsbegränsning och reCAPTCHA (kräver mänsklig åtgärd) på alla plattformar.

Val för bearbetning och lagring av data

Zoom förstår att våra kunder kan vilja göra val om vilka datacenter som bearbetar och lagrar vissa data.

Data under överföring och bearbetning: Zoom dirigerar kunddata i överföring via sitt globala nätverk av samlokaliserade datacenter och offentliga molndatacenter (inklusive Amazon Web Services-datacenter (”AWS”)). Zoom-tjänsterna har utformats för att fungera så att information som kommer in i Zoom-ekosystemet dirigeras genom det datacenter som ligger närmast den användare som skickar eller tar emot dessa data.

Kontoägare och administratörer med betalda konton kan, på konto-, grupp- eller användarnivå, välja till eller bort specifika Zoom-datacenter som ska användas för bearbetningen av deltagares video, ljud och delat innehåll i möten och webbinarier i realtid medan möten och webbinarier hålls. Datacentren i det land med den region där ett konto etablerats är låsta för val av bearbetning. Valen av Zoom-datacenter gäller enbart när ett konto är värd för ett möte eller webbinarium. När ett konto som är värd för ett möte eller webbinarium har valt bort ett eller flera datacenter bearbetas alla deltagares video, ljud och delat innehåll i möten och webbinarier i realtid enbart av ett tillvalt Zoom-datacenter. Zoom kan dock dirigera trafik via datacenter med nätverksroutningprotokoll av branschstandard vid genomkorsning av Zooms privata nätverksanslutningar (dvs. kantroutning). Du hittar mer information i denna hjälpartikel.

Datalagring: Kunder kan välja datalagringsplats för en del av sitt Kundinnehåll. Kundinnehåll är information som tillhandahålls av en kund via användningen av Zoom-tjänsten, däribland alla data som en kund väljer att spela in eller dela under ett möte eller webbinarium, inklusive exempelvis molninspelningar, mötesavskrifter, chattavskrifter (under möte eller bestående) och filer som utväxlas under ett möte eller i den bestående chattkanalen.

Kundinnehåll lagras som standard i USA. Kunder med betalda konton kan välja lagringspakts för en del av sitt kundinnehåll för sitt konto. Enbart kontoinnehavare, kontoadministratörer eller de som har kontoprofilsbefogenheter kan ändra denna inställning. Du hittar mer information i denna hjälpartikel. Observera att kundinnehåll, kontodata och diagnostikdata fortfarande lagras i USA.

Strikta protokoll för att svara på myndighetsbegäranden om information

Zoom förpliktigar sig att skydda våra kunders och användares integritet och tillhandahåller användardata till myndigheter enbart som svar på giltiga och lagliga begäranden i enlighet med vår Guide för myndighetsbegäranden och relevanta juridiska policyer.

I alla geografiska områden:

• Myndighetsbegäranden måste utfärdas enligt tillämpliga lagar och bestämmelser och via officiella kanaler, samt kräver ett undertecknat officiellt dokument eller en e-postbegäran som skickas från en myndighetsenhets officiella e-postadress.
• Varje begäran måste vara tydlig, inte överdrivet generell och ha en giltig rättslig grund. Vi avvisar eller ifrågasätter begäranden som inte uppfyller dessa krav.
• Vi tillämpar ytterligare granskning på vissa myndighetsbegäranden för användarinformation baserat på våra principer och vårt intresse av att främja ett lyckat samarbete världen över.

Om en begäran är för vag ifrågasätter Zoom giltigheten hos begäran för att begränsa de typer av information som skickas in.

Zoom meddelar vanligtvis användare om myndighetsbegäranden om information, inklusive en kopia av den mottagna begäran, såvida vi enligt lag inte tillåts meddela användaren. Begäranden om undantag från meddelande till användaren måste omfatta en beskrivning av de fordrande omständigheterna eller meddelandets potentiella negativa effekt.

Ökad transparens

• Transparensrapporter: Zoom publicerade sin första rapport om antalet mottagna begäranden från amerikanska och internationella myndigheter i december 2020 (transparensrapport om myndighetsbegäranden). Vi strävar efter att göra varje transparensrapport bättre än den föregående. Vår senaste transparensrapport finns tillgänglig här. Ytterligare transparensrapporter görs tillgängliga i Zooms tillitscenter.
• Aviseringar i produkten: Zoom uppdateras ständigt för att integrera funktionsspecifika integritetsaviseringar i Zoom-upplevelsen i syfte att hjälpa användarna att i kontext förstå vem som kan se och dela det innehåll och den information de delar på Zoom. Om en användare till exempel vill veta vem som kan se meddelandena hon eller han skickar i Zooms chattfunktion kan användaren gå till ”Vem kan se dina meddelanden?” för att se vem som kan komma åt meddelanden användaren skickar till alla, såväl som privata meddelanden hon eller han skickar.

Zoom utformar sina tjänster med GDPR-krav som prioritet

Zoom förpliktigar sig att göra allt vi kan för att skapa produktfunktioner som uppfyller GDPR-kraven och främjar skydd av de personuppgifter som bearbetas via våra tjänster. För mer information om våra dataförfaranden kan du läsa vårt integritetsmeddelande eller skicka ett e-postmeddelande till privacy@zoom.us om du har GDPR-specifika frågor.