Videoconferentiesoftware: info, veiligheid en gegevensbescherming

Videoconferentiesoftware krijgt vrijwel elke week updates. Maar hoe zit het met de veiligheid en gegevensbescherming?

Je zou er een spelletje bingo van kunnen maken: de kreten die bij elke videoconferentie wel eens langskomen. ‘Hoor je me?’, ‘Je moet je microfoon aanzetten!’, ‘Ik kan mijn scherm niet delen!’. Videochatprogramma’s worden ook al fantiek ingezet bij virtuele gameavonden, clubvergaderingen en familiebijeenkomsten.

Van de talloze beschikbare videoconferentieprogramma’s hebben we er tien nader bekeken. Elk van de videoconferentiesoftware biedt speciale functies.

Ook als je bedrijf doorgaans dezelfde conferentiesoftware gebruikt, kom je bij vergaderingen met contacten van andere bedrijven er vaak niet omheen om ook andere conferentiesoftware te gebruiken. Vanuit elk programma is het echter mogelijk om via e-mail een uitnodigingslink te sturen, die je vervolgens in een app of browser kunt openen.

De client-apps van videoconferentie-applicaties houden je op de hoogte van nieuwe functies die bijna wekelijks verschijnen. Als je een app gebruikt in plaats van een browser, hoef je niet telkens in te loggen en ben je met je account in sommige gevallen direct beschikbaar voor gesprekken.

BigBlueButton, Skype en Meet.jit.si (Jitsi) zijn gratis. Zoom, Google Meet en Teams hebben een gratis versie van hun programma, waarin sommige functies van de betaalde versie ontbreken.

Zoom biedt uitgebreide instellingen en een vergaderingsplanner die afspraken naar wens inboekt in Outlook of iCal.

Bij Zoom is bij de gratis versie het aantal deel­nemers beperkt tot maximaal 100 personen en is er een tijdslimiet van 40 minuten per gesprek. In de betaalde versie zijn tot 1000 deelnemers mogelijk zonder tijdslimiet. Onder andere Cisco Webex, GoToMeeting, Nextcloud Talk en Stackfield zijn niet gratis. Die programma’s bieden elk verschillende abonnementsmodellen.

Als je op zoek bent naar maximale controle en veiligheid voor je videoconferentiesoftware, kun je overwegen om zelf te hosten. Dit heeft voordelen wat de gegevensbescherming betreft en vereist geen gebruikersaccount of installatie van een client. Dat kan ook met Stackfield en Nextcloud Talk.

Voor grote groepen met meer dan 100 personen zijn vooral Teams, Webex, Zoom, BigBlueButton, Google Meet, GoToMeeting en Stackfield geschikt. De meeste videoconferentiesoftware toont deelnemers in vierkante tegels op het scherm.

Om videoconferenties natuurlijker te maken, heeft Teams de Together Mode geïntroduceerd. In die modus plaats het programma tot 49 deel­nemers in een virtuele vergaderzaal. Om dat te starten, ga je naar je account en daar naar Instellingen, en activeer je de optie ‘Nieuwe vergaderings­ervaring inschakelen’.
Daarna start je Teams opnieuw op.

Hierna kun je de Together-modus activeren bij vergaderingen met vijf of meer deelnemers. De vijf personen zijn alleen nodig bij starten van de Together-modus. Als daarna bijvoorbeeld drie deel­nemers de vergadering verlaten, kan die modus met twee personen worden gebruikt.

Bij vergaderingen met veel collega’s is het vaak productiever om de grote groep vijf of tien minuten in kleine groepjes op te delen om ideeën te verzamelen. Dergelijke praktische breakout-sessies zijn moge­lijk in Zoom, Webex en BigBlueButton.

Virtuele whiteboards kun je gebruiken om de resul­taten van het werk van groepen vast te leggen. Je vind die mogelijkheid in BigBlueButton, Webex, Zoom en in de macOS-versie van GoToMeeting. Met de selectietool kun je afzonderlijke elementen verplaatsen en wijzigen. Als organisator kun je de whiteboards en chats uit de breakout-rooms opslaan.

Actieve gegevensbescherming betekent uiteindelijk: wie heeft er toegang tot welke gegevens? Bij videoconferentiesoftware zijn er een aantal technieken die daarop van invloed zijn. In een ideale situatie draai je een eigen server waar Jitsi of BigBlueButton op draait, of huur je er een en houd je alle informatie binnen eigen beheer.

Voor de beveiliging van gegevens die over het netwerk worden verstuurd, is een transportversleuteling van belang. Op de server zijn alle gegevens echter in leesbare tekst beschikbaar. Bijna alle videoconferentieplatforms maken gebruik van transportversleuteling. Dat heeft vooral gevolgen als je gebruikmaakt van een cloudservice zoals Skype, Teams of Zoom.

In die gevallen heeft de exploitant in principe toegang tot alle gespreksinhoud – en zou hij die bijvoorbeeld op gerechtelijk bevel kunnen of moeten vrijgeven. Ook kunnen hackers die in de netwerken van de aanbieders hebben ingebroken zich toegang verschaffen tot zulke gegevens. Daar biedt alleen end-to-end-encryptie (E2E) bescherming tegen.

Dat is goed wat de gegevensbescherming betreft, maar problematisch vanuit praktisch oogpunt omdat het een hele reeks technische beperkingen met zich meebrengt.

Blijf op de hoogte van de nieuwste online artikelen, informatie en tips!
Schrijf je in voor de nieuwsbrief:

Het tonen van ondertitels of vertalingen, of het aanpassen van de beeldkwaliteit aan de verbindingssnelheid van individuele deelnemers vereisen allemaal dat de server de beeld- en audiodata kan wijzigen, waarvoor hij dus meestal toegang moet hebben tot de onversleutelde ruwe data. Zelfs een opname van de conferentie aan de serverkant is natuurlijk niet mogelijk als de server alleen maar cryptische gegevens ziet.

Dat is ook de meest genoemde reden waarom er tot nu toe nauwelijks videoconferentiesystemen zijn die E2E-versleuteling bieden. Bij Zoom is  end-to-end-encryptie als optie aan te zetten. Nextcloud Talk biedt op verzoek al end-to-end-versleuteling voor bestanden, beelden en geluid.

Met Jitsi zijn de eerste aanzetten gemaakt om de WebRTC-datastromen te voorzien van E2E-versleutling. Wanneer dat ­echter praktisch kan worden toegepast is nog niet bekend. Microsoft en Google hebben tot nu toe nog niets over encryptie van hun diensten gemeld: geen wonder, aangezien het gebruik van end-to-end-versleuteling fundamenteel haaks op hun bedrijfsstrategie staat.

Internet- en IT-beveiligingsdienstverlener PSW Group heeft o.a.  GoToMeeting een positieve beoordeling gegeven op het gebied van AVG-compliance en gegevensbescherming. De servers van GoToMeeting bevinden zich echter buiten Europa.

Het centrale probleem bij E2E is het beheer van sleutels. Elk eindapparaat moet dan namelijk met elk ander eindapparaat een geheime sleutel overeenkomen die alleen die twee kennen. Dat vereist een betrouwbare Public Key Infrastructure (PKI) die de exploitant moet leveren.

En is er één zwak punt dat niet mag worden vergeten: de serveroperator heeft nog steeds toegang tot de metadata, dat wil zeggen wie er met wie heeft overlegd, wanneer en hoe vaak dat is gebeurd. En dat zijn ook zeer belangrijke gegevens die het waard zijn om te worden beschermd. Daarom is het inzetten van een eigen of gehuurde server met een goede transportversleuteling misschien wel het meest efficiënte compromis.

De internet- en IT-beveiligingsdienstverlener PSW Group heeft Cisco WebEx en GoToMeeting een positieve beoordeling gegeven op het gebied van AVG-compliance en gegevensbescherming. De servers van GoToMeeting bevinden zich echter buiten Europa.  Cisco WebEx exploiteert data­centers in Nederland en het Verenigd Koninkrijk waar gegevens van Europese gebruikers worden opgeslagen.

In het geval van gratis gebruikers­accounts behoudt het Amerikaanse bedrijf zich echter het recht voor om de gegevens ook buiten de regio van de rekeninghouder op te slaan.

Als je onduidelijkheid wat gegevensbescherming betreft wilt voorkomen, kun je beter een provider uit Europa kiezen, zoals Nextcloud of Stackfield. Die laatste is in feite een projectmanagementtool met videochatfunctionaliteit.

Wat de Europese videoconferentiesoftware betreft die als alternatief voor Amerikaanse oplossingen zouden kunnen dienen, is de keuze nogal beperkt. Alle programma’s ondersteunen video- en audiogesprekken, chatten en het delen van schermen.

Bij het gebruik van beveiligingstechnieken moet je je ervan bewust zijn dat end-to-end-encryptie niet altijd client-to-client betekent, en dat dat type versleuteling niet voor alle functies en overdrachtsmethoden geschikt is.

Bij Nextcloud Talk, Webex en de Skype-app kan dat echter voor specifieke doeleinden worden ingeschakeld. Bij Zoom en BBB zijn zowel break­out-rooms als whiteboards beschikbaar.

Als je regelmatig grotere vergaderingen moet houden, over de nodige IT-infrastructuur beschikt en bereid bent daar een beetje tijd in te steken, kun je een eigen server opzetten. Dat kan met BigBlueButton, Jitsi, Nextcloud Talk en met Stackfield, en met elk videoconferentieprogramma dat ‘on-premise’ beschikbaar is. Teams en Zoom bieden het grootste scala aan functies.

(Informatie afkomstig uit het artikel van Kim Sartorius en Daniel Dupré , c’t magazine 12/2020, p. 64)