Nieuwe DPIA’s zakelijke Microsoft Office en Windows

In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, Office 365 ProPlus en Office Online + de mobiele Office apps. Met toestemming van het Ministerie publiceren zij twee blogs over hun bevindingen, deze lange blog en een korte blog.

Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het ministerie van Justitie, 070 370 73 45.

Resultaten onderhandelingen Rijksoverheid met Microsoft

SLM Microsoft Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke versies van de Office en de Windows 10 software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen. Uit drie nieuwe DPIA’s (gegevensbeschermingseffectbeoordelingen) die Privacy Company heeft uitgevoerd voor de Rijksoverheid blijkt dat Microsoft door een combinatie van technische, organisatorische en contractuele maatregelen de acht eerder geconstateerde privacyrisico’s heeft verholpen voor Office 365 ProPlus. Zie de eerdere blog over deze risico’s. In een recente brief aan de Kamer staan de resultaten opgesomd van de onderhandelingen die SLM Microsoft Rijk heeft gevoerd met Microsoft: Microsoft treedt alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid.

Maar de nieuwe privacyvoorwaarden voor het Rijk zijn nog niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps. Bovendien zijn bepaalde technische verbeteringen die Microsoft heeft doorgevoerd in Office 365 ProPlus, (nog) niet beschikbaar in Office Online. Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling. Het Rijk blijft wel in onderhandeling met Microsoft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.

SLM Rijk adviseert de overheidsinstellingen daarom voorlopig af te zien van het gebruik van Office Online en de mobiele Office apps, en te kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, namelijk: Security (Beveiliging).

Voor bedrijven en organisaties buiten de Rijksoverheid geldt dat zij zelf wel een aantal maatregelen kunnen treffen (zie de opsomming onderaan deze blog) maar dat alleen Microsoft in staat is om de hoge privacyrisico’s weg te nemen. Daarom zouden deze organisaties vergelijkbare privacygaranties als het Rijk moeten bedingen, bij voorkeur via een koepel of vakorganisatie. Het kan geen kwaad om daarbij te wijzen op het lopende onderzoek van de European Data Protection Supervisor naar de contractvoorwaarden die Microsoft aanbiedt aan de Europese instellingen. Los daarvan kunnen organisaties ook een eigen DPIA uitvoeren, gebaseerd op de rapporten van het Rijk, en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens, zoals bedoeld in artikel 36 van de AVG.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De AVG versus de Wet politiegegevens (Wpg)
: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wpg van toepassing zijn op het werk van Boa’s en waar je als gemeente aan moet voldoen bij het verwerken van gegevens.
Implementatie van BCM – voorkomen is beter dan genezen
Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we ook wel Bedrijfs Continuïteits Management (BCM) of Bedrijfscontinuïteit. Maar hoe ga je hier mee aan de slag?
Voldoe je als gemeente aan de AVG?
Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Meer recente berichten

Zo bereid je je voor op Russische cyberaanval
Verder lezen
Privacy gebruikers van sommige zelfhulpapps onder de maat
Verder lezen
Ambitieus plan voor Europees patientendossier
Verder lezen
DTC waarschuwt ruim 300 keer voor kwetsbare Atlassian Confluence systemen
Verder lezen
IT bedrijf niet aansprakelijk voor gevolgen ransomware
Verder lezen
Zorgen om privacy werknemers bij wet Werken waar je wilt
Verder lezen
Inperking privacy door cyberwet legitiem
Verder lezen
Risico op verwarring tijdens cybercrises door wetsvoorstel
Verder lezen
Pointer: Tienduizenden routers in Nederland slecht beveiligd
Verder lezen
Toezichthouders willen verbeteringen Data Act
Verder lezen