In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, Office 365 ProPlus en Office Online + de mobiele Office apps. Met toestemming van het Ministerie publiceren zij twee blogs over hun bevindingen, deze lange blog en een korte blog.

Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het ministerie van Justitie, 070 370 73 45.

Resultaten onderhandelingen Rijksoverheid met Microsoft

SLM Microsoft Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke versies van de Office en de Windows 10 software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen. Uit drie nieuwe DPIA’s (gegevensbeschermingseffectbeoordelingen) die Privacy Company heeft uitgevoerd voor de Rijksoverheid blijkt dat Microsoft door een combinatie van technische, organisatorische en contractuele maatregelen de acht eerder geconstateerde privacyrisico’s heeft verholpen voor Office 365 ProPlus. Zie de eerdere blog over deze risico’s. In een recente brief aan de Kamer staan de resultaten opgesomd van de onderhandelingen die SLM Microsoft Rijk heeft gevoerd met Microsoft: Microsoft treedt alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid.

Maar de nieuwe privacyvoorwaarden voor het Rijk zijn nog niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps. Bovendien zijn bepaalde technische verbeteringen die Microsoft heeft doorgevoerd in Office 365 ProPlus, (nog) niet beschikbaar in Office Online. Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling. Het Rijk blijft wel in onderhandeling met Microsoft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.

SLM Rijk adviseert de overheidsinstellingen daarom voorlopig af te zien van het gebruik van Office Online en de mobiele Office apps, en te kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, namelijk: Security (Beveiliging).

Voor bedrijven en organisaties buiten de Rijksoverheid geldt dat zij zelf wel een aantal maatregelen kunnen treffen (zie de opsomming onderaan deze blog) maar dat alleen Microsoft in staat is om de hoge privacyrisico’s weg te nemen. Daarom zouden deze organisaties vergelijkbare privacygaranties als het Rijk moeten bedingen, bij voorkeur via een koepel of vakorganisatie. Het kan geen kwaad om daarbij te wijzen op het lopende onderzoek van de European Data Protection Supervisor naar de contractvoorwaarden die Microsoft aanbiedt aan de Europese instellingen. Los daarvan kunnen organisaties ook een eigen DPIA uitvoeren, gebaseerd op de rapporten van het Rijk, en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens, zoals bedoeld in artikel 36 van de AVG.

Deze versturen we 3-4x per jaar.