Nieuwe DPIA’s zakelijke Microsoft Office en Windows
In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, Office 365 ProPlus en Office Online + de mobiele Office apps. Met toestemming van het Ministerie publiceren zij twee blogs over hun bevindingen, deze lange blog en een korte blog.
Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het ministerie van Justitie, 070 370 73 45.
Resultaten onderhandelingen Rijksoverheid met Microsoft
SLM Microsoft Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke versies van de Office en de Windows 10 software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen. Uit drie nieuwe DPIA’s (gegevensbeschermingseffectbeoordelingen) die Privacy Company heeft uitgevoerd voor de Rijksoverheid blijkt dat Microsoft door een combinatie van technische, organisatorische en contractuele maatregelen de acht eerder geconstateerde privacyrisico’s heeft verholpen voor Office 365 ProPlus. Zie de eerdere blog over deze risico’s. In een recente brief aan de Kamer staan de resultaten opgesomd van de onderhandelingen die SLM Microsoft Rijk heeft gevoerd met Microsoft: Microsoft treedt alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid.
Maar de nieuwe privacyvoorwaarden voor het Rijk zijn nog niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps. Bovendien zijn bepaalde technische verbeteringen die Microsoft heeft doorgevoerd in Office 365 ProPlus, (nog) niet beschikbaar in Office Online. Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling. Het Rijk blijft wel in onderhandeling met Microsoft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.
SLM Rijk adviseert de overheidsinstellingen daarom voorlopig af te zien van het gebruik van Office Online en de mobiele Office apps, en te kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, namelijk: Security (Beveiliging).
Voor bedrijven en organisaties buiten de Rijksoverheid geldt dat zij zelf wel een aantal maatregelen kunnen treffen (zie de opsomming onderaan deze blog) maar dat alleen Microsoft in staat is om de hoge privacyrisico’s weg te nemen. Daarom zouden deze organisaties vergelijkbare privacygaranties als het Rijk moeten bedingen, bij voorkeur via een koepel of vakorganisatie. Het kan geen kwaad om daarbij te wijzen op het lopende onderzoek van de European Data Protection Supervisor naar de contractvoorwaarden die Microsoft aanbiedt aan de Europese instellingen. Los daarvan kunnen organisaties ook een eigen DPIA uitvoeren, gebaseerd op de rapporten van het Rijk, en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens, zoals bedoeld in artikel 36 van de AVG.
Verder lezen bij de bron- Cybersecurity in het quantumtijdperk: over dertig jaar ligt data op straat - 30 november 2023
- Hoe AI kan bijdragen aan cybersecurity in de zorg - 29 november 2023
- Chinese hackers hadden twee jaar lang toegang tot netwerk NXP - 29 november 2023
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Cybersecurity in het quantumtijdperk: over dertig jaar ligt data op straat | Verder lezen | |
Hoe AI kan bijdragen aan cybersecurity in de zorg | Verder lezen | |
Chinese hackers hadden twee jaar lang toegang tot netwerk NXP | Verder lezen | |
Partijen overtreden cookiewet met plaatsen volgcookies | Verder lezen | |
Omarming zero trust heeft in Europa meer tijd nodig | Verder lezen | |
Waarom klanten en partners steeds meer belang hechten aan jouw cyberbeveiligingsaanpak | Verder lezen | |
Rechtszaak: Stichting Data Bescherming Nederland beschuldigt Amazon van schending privacy rechten Nederlandse consumenten | Verder lezen | |
Principe akkoord over Europese variant DigiD | Verder lezen | |
Cyberaanval legt alarmeringssysteem voor ouderen en ernstig zieken plat | Verder lezen | |
Hackers komen niet meer langs de achterdeur, maar door je voordeur naar binnen | Verder lezen |