Overheidsinstellingen moeten oppassen met...

1 augustus 2019

Overheidsinstellingen moeten voorlopig afzien van het gebruik van Office Online en de mobiele Office apps en kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, namelijk: Security (Beveiliging). Dat adviseert Strategisch Leveranciersmanagement Microsoft Rijk op basis van een Privacy Impact Assessment (PIA) door Privacy Company. De manier waarop deze applicaties gegevens verwerken is in strijd met de Algemene verordening gegevensbescherming (AVG) zoals die voor het Rijk geldt.

SLM Rijk liet november 2018 een audit uitvoeren naar het gebruik van Microsoftapplicaties door de Rijksoverheid. Uit deze audit door de Privacy Company bleek dat Microsoft op grote schaal persoonsgegevens verzamelt en bewaart over het gedrag van individuele werknemers, zonder daarover te informeren. De Privacy Company noemde de uitkomsten van de Data Privacy Impact Assessment (DPIA) in een uitlegblog ‘alarmerend’. Minister Fred Grapperhaus van Justitie en Veiligheid stuurde de bevindingen naar de Tweede Kamer en liet weten met een verbeterplan te komen. 

Microsoft trof daarop technische, organisatorische en contractuele maatregelen waardoor de geconstateerde privacyrisico’s verholpen moesten zijn. Dat blijkt deels te zijn gebeurd; zo zijn de acht eerder geconstateerde privacyrisico’s voor Office 365 ProPlus opgelost. “Microsoft treedt alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid”, schrijft de Privacy Company.

Windows 10 Enterprise
 
De nieuwe privacyvoorwaarden voor het Rijk zijn echter nog niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps, schrijft de Privacy Company. Ook zijn bepaalde technische verbeteringen die Microsoft doorvoerde in Office 365 ProPlus, (nog) niet beschikbaar in Office Online. “Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling.”

De Privacy Company adviseert bedrijven en organisaties buiten de Rijksoverheid zelf een aantal maatregelen te treffen. Denk aan het upgraden naar een versie 1905 of hoger van Office 365 ProPlus of het uitschakelen van Customer Experience Improvement Programma (CEIP) en de LinkedIn-integratie voor Microsoft-werknemeraccounts in Office ProPlus. Het nemen van deze privacybeschermende maatregelen is niet voldoende, zegt de Privacy Company. Voor sommige issues is alleen Microsoft in staat om de hoge privacyrisico’s weg te nemen.

SLM Rijk is in gesprek met Microsoft voor het ontwerp van een structurele oplossing voor Windows 10 Enterprise klanten voor versie 1809 en later, waardoor – volgens Microsoft - overheidsorganisaties in staat zijn om de AVG op een makkelijkere manier na te leven bij het gebruik van telemetrieniveaus Basis en hoger. Aan deze oplossing wordt gewerkt. Microsoft verwacht later dit jaar een aankondiging hierover te kunnen doen.

Meer informatie