Skip to main content

Nieuwe DPIA’s zakelijke Microsoft Office en Windows

In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, Office 365 ProPlus en Office Online + de mobiele Office apps. Met toestemming van het Ministerie publiceren zij twee blogs over hun bevindingen, deze lange blog en een korte blog.

Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het ministerie van Justitie, 070 370 73 45.

Resultaten onderhandelingen Rijksoverheid met Microsoft

SLM Microsoft Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke versies van de Office en de Windows 10 software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen. Uit drie nieuwe DPIA’s (gegevensbeschermingseffectbeoordelingen) die Privacy Company heeft uitgevoerd voor de Rijksoverheid blijkt dat Microsoft door een combinatie van technische, organisatorische en contractuele maatregelen de acht eerder geconstateerde privacyrisico’s heeft verholpen voor Office 365 ProPlus. Zie de eerdere blog over deze risico’s. In een recente brief aan de Kamer staan de resultaten opgesomd van de onderhandelingen die SLM Microsoft Rijk heeft gevoerd met Microsoft: Microsoft treedt alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid.

Maar de nieuwe privacyvoorwaarden voor het Rijk zijn nog niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps. Bovendien zijn bepaalde technische verbeteringen die Microsoft heeft doorgevoerd in Office 365 ProPlus, (nog) niet beschikbaar in Office Online. Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling. Het Rijk blijft wel in onderhandeling met Microsoft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.

SLM Rijk adviseert de overheidsinstellingen daarom voorlopig af te zien van het gebruik van Office Online en de mobiele Office apps, en te kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, namelijk: Security (Beveiliging).

Voor bedrijven en organisaties buiten de Rijksoverheid geldt dat zij zelf wel een aantal maatregelen kunnen treffen (zie de opsomming onderaan deze blog) maar dat alleen Microsoft in staat is om de hoge privacyrisico’s weg te nemen. Daarom zouden deze organisaties vergelijkbare privacygaranties als het Rijk moeten bedingen, bij voorkeur via een koepel of vakorganisatie. Het kan geen kwaad om daarbij te wijzen op het lopende onderzoek van de European Data Protection Supervisor naar de contractvoorwaarden die Microsoft aanbiedt aan de Europese instellingen. Los daarvan kunnen organisaties ook een eigen DPIA uitvoeren, gebaseerd op de rapporten van het Rijk, en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens, zoals bedoeld in artikel 36 van de AVG.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen