DPIA toont privacyrisico’s zakelijke Microsoft Office software
In opdracht van het Ministerie van Veiligheid en Justitie voerde Privacy Company een DPIA uit op Microsoft Office ProPlus (Office 2016 MSI en Office 365 CTR). Op verzoek van het Ministerie publiceren wij deze blog over de bevindingen. Voor vragen over het onderzoek kunt u zich wenden tot SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het ministerie van Justitie, 070 370 73 45.
De afdeling SLM Rijk voert de onderhandelingen met Microsoft voor 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke versie van de software die in gebruik is bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen.
De uitkomsten van deze DPIA (gegevensverwerkingseffectbeoordeling) zijn alarmerend. Microsoft verzamelt en bewaart op grote schaal persoonsgegevens over het gedrag van individuele werknemers, zonder daarover te informeren. Het Engelstalige rapport is hier door het ministerie gepubliceerd.
SLM Rijk stelt vanaf vandaag, met hulp van Microsoft, een pakket instellingen beschikbaar voor de beheerders bij de overheidsinstellingen om de uitstoot van persoonsgegevens te verkleinen (zero exhaust settings). Microsoft heeft gedurende het uitvoeren van deze DPIA toezeggingen gedaan om andere aantal belangrijke maatregelen te treffen om de risico’s te verkleinen.
Office 2016 en Office 365
Tot nu toe maken overheidsinstellingen gebruik van versies van Office 2016 en Office 365 (of nog oudere versies) die worden geïnstalleerd op de computers van de ambtenaren. De instellingen slaan de inhoudelijke gegevens op in eigen computers en netwerken. Maar dit gaat veranderen. Er loopt een pilot om gegevens op te slaan in de Microsoft cloud, in SharePoint en OneDrive. En er loopt ook een test met de web-only versie van Office 365, dus zonder dat de software nog op de apparaten van de ambtenaren wordt geïnstalleerd. Maar ook bij de huidige installaties verzamelt Microsoft gegevens over het gebruik van de software.
Grootschalige en heimelijke verwerking van gegevens
Microsoft verzamelt systematisch en op grote schaal gegevens over het individuele gebruik van Word, Excel, PowerPoint en Outlook. Zonder mensen daarover te informeren. Heimelijk dus. Zonder mensen enige keuze te bieden of mogelijkheid om het uit te zetten. En zonder dat iemand kan zien om wat voor gegevens het gaat, omdat de datastroom versleuteld is. Net als in Windows 10 heeft Microsoft aparte software ingebouwd in de Office software die in de computer allerlei handelingen vastlegt die een gebruiker verricht. Microsoft verstuurt deze telemetriegegevens af en toe in een batch naar haar eigen servers in de Verenigde Staten. Bijvoorbeeld een handeling in Word dat je een paar keer achter elkaar de backspace toets gebruikt, en dus waarschijnlijk een woord niet goed kunt spellen. Maar ook de zin voor en na een woord waarvoor je de online spellingchecker of de vertaalservice gebruikt. Want Microsoft verzamelt niet alleen gebruiksgegevens via de ingebouwde telemetriesoftware, maar legt het gedrag van gebruikers ook vast in logbestanden van haar servers, bijvoorbeeld als gebruikers via de Office software Online diensten gebruiken. Dan kan Microsoft persoonsgegevens daarover vastleggen in zogenaamde system-generated event logs.
Verschil tussen content, functionele en diagnostische gegevens
Microsoft is een internetdienstverlener. Het is onvermijdelijk dat je gegevens moet geven aan Microsoft zoals bijvoorbeeld de header van je e-mail en je IP-adres om van de diensten gebruik te kunnen maken. Maar Microsoft zou deze vluchtige, functionele gegevens niet mogen bewaren, tenzij het bewaren strikt noodzakelijk is voor bijvoorbeeld beveiligingsdoeleinden. In het DPIA rapport worden de soorten gegevens die Microsoft via Office ProPlus verzamelt, in drie categorieën ingedeeld:
- De inhoud van bestanden en communicatie die je ofwel lokaal, of op de Cloud computers van Microsoft opslaat, de content data
- De gegevens die je wel via internet moet versturen naar Microsoft om verbinding te kunnen maken met hun internetdiensten, de functionele gegevens, en
- De gegevens die Microsoft opslaat voor analyse van het gebruik, de diagnostische gegevens.
Privacy Company heeft deze indeling gemaakt naar analogie van de indeling van communicatiegegevens in ePrivacy wetgeving in Europa. Hierin wordt onderscheid gemaakt tussen content, verkeers- en locatiegegevens die ontstaan door het gebruik van de communicatiediensten, en gegevens die strikt noodzakelijk zijn voor het overbrengen van communicatie, maar daarna gewist of geanonimiseerd moeten worden.
Microsoft benadrukt dat zij deze gegevens in andere categoriën verdeelt. Microsoft gebruikt (onder andere) de categorieën ‘Customer Data’ en ‘Personal Data’. Microsoft gebruikt de term Diagnostic Data alleen voor de specifieke telemetriegegevens die zij verzamelt via de ingebouwde softwareclient in het lokaal geïnstalleerde Office pakket.
23.000 tot 25.000 soorten events
Microsoft biedt (nog) geen mogelijkheid om te kijken naar de inhoud van de diagnostische gegevensstroom. Het enige dat bekend is, is dat om 23 tot 25 duizend soorten gebeurtenissen gaat (events). En dat er 20 tot 30 teams met engineers werken met deze gegevens. Engineers die dynamisch nieuwe events kunnen toevoegen aan de datastroom vanaf alle computers met Office. En dat is veel specifieker dan bij Windows 10 telemetrie het geval is. Daar gaat het bij volledige telemetrie om duizend tot twaalfhonderd soorten events. En om 10 teams met engineers. De Autoriteit Persoonsgegevens deed in 2017 onderzoek naar de verwerking van telemetriegegevens binnen de consumenten en kleinzakelijke versies van Windows 10 (Home en Pro). De AP concludeerde dat Microsoft op een groot aantal punten de wet overtrad, onder andere door het gebrek aan transparantie en doelbinding, en het ontbreken van een grondslag voor de verwerking.
In reactie op dat onderzoek voerde Microsoft in de versies van voorjaar van 2018 een aantal verbeteringen door. De AP concludeerde in het voorjaar van 2018 dat Microsoft een verbeterplan heeft gepresenteerd waarmee alle geconstateerde overtredingen beëindigd zouden worden. Maar de AP heeft geen onderzoek gedaan naar de gegevensverwerking via de Office software.
Microsoft als (gezamenlijke) verantwoordelijke en niet als verwerker
Net als bij Windows, bepaalt Microsoft ook bij Office zelf de doelen van de gegevensverwerking, en de bewaartermijn van de gegevens (30 dagen tot 18 maanden, of zoveel langer als Microsoft nodig acht). Uit het DPIA rapport blijkt dat Microsoft de diagnostische gegevens in ieder geval voor 7 doelen verwerkt, en ook voor alle doeleinden die zij daarmee verenigbaar acht. De doelen zijn:
- Beveiliging (het zo snel mogelijk identificeren en mitigeren van beveiligingsdreigingen en risico's door updates van Office ProPlus applicaties en verbeteringen van de Connected Services)
- Up to Date houden (het bezorgen en installeren van de laatste updates van de Office ProPlus applicaties zonder de ervaring te verstoren)
- Goed werkend houden (het zo snel mogelijk identificeren en verhelpen van storingen, 'bugs' en andere productproblemen door updates van de Office ProPlus applicaties en verbeteringen van de Connected Services)
- Product ontwikkeling (leren van de diagnostische gegevens om nieuwe mogelijkheden toe te kunnen voegen)
- Product innovatie (bedrijfsintelligentie, ontwikkeling van nieuwe diensten)
- Algemene afgeleide gegevens gebaseerd op lange termijn analyses (ter ondersteuning van machine learning)
- Het tonen van gerichte aanbevelingen op het scherm aan de gebruiker
- Elk doeleinde dat Microsoft verenigbaar acht met de bovenstaande 7 doeleinden.
Bij de Office software is een aantal internetdiensten inbegrepen. Maar Microsoft biedt ook zogenaamde ‘vrijwillige’ Connected Services, zoals de online spellingchecker en de vertaalservice. Microsoft beschouwt zichzelf bij het gebruik van deze Connected Services als verantwoordelijke voor de gegevensverwerking, en verwerkt de persoonsgegevens over het gebruik van deze diensten voor alle 12 doelen uit haar algemene privacyverklaring
Hoge dataprotectierisico’s voor betrokkenen
Het DPIA rapport geeft een uitgebreide beschrijving van 8 hoge risico’s voor betrokkenen. De overheidsinstellingen die Office gebruiken moeten de feitelijke risico’s beoordelen in eigen DPIA's, op grond van de specifieke persoonsgegevens die zij verwerken. Het rapport van SLM Rijk helpt hen daarbij.
Microsoft heeft gedurende het uitvoeren van deze DPIA een aantal belangrijke toezeggingen gedaan aan SLM Rijk om de risico’s te verkleinen. Microsoft heeft zer0-exhaust settings ontwikkeld. Daarnaast is Microsoft voornemens om adequaat te gaan informeren, een data viewer tool in te bouwen en in Office zelf de mogelijkheid te geven om het telemetrieniveau te kunnen bepalen. Daarnaast gaan SLM Rijk en Microsoft samenwerken aan de juiste kwalificatie van Microsoft als verantwoordelijke of als verwerker. Zolang die maatregelen nog niet zijn doorgevoerd, zijn er nog 6 hoge restrisico’s voor betrokkenen:
- De onrechtmatige opslag van gevoelige/gerubriceerde/bijzondere persoonsgegevens, zowel in de verkeersgegevens als inhoud van diagnostische gegevens
- De onjuiste kwalificatie van Microsoft als verwerker, in plaats van als gezamenlijke verantwoordelijke als bedoeld in artikel 26 van de AVG
- Onvoldoende controle over subverwerkers en de feitelijke gegevensverwerking
- Het gebrek aan doelbinding, zowel ten aanzien van de verzamelde historische diagnostische gegevens als ten aanzien van de mogelijkheid om dynamisch nieuwe soorten gegevens te verzamelen
- De doorgifte van alle soorten Office diagnostische gegevens buiten Europa, op basis van het Privacy Shield, terwijl de geldigheid hiervan onderwerp is van een procedure bij het Europees Hof van Justitie
- De onbeperkte bewaartermijn van de diagnostische gegevens en het ontbreken van een middel om historische diagnostische gegevens te verwijderen (anders dan het vernietigen van de hele gebruiker).
Wat kunnen systeembeheerders nu al doen om de risico’s te verkleinen?
Beheerders van de zakelijke Office ProPlus versies kunnen op dit moment al een aantal concrete maatregelen treffen om de privacyrisico’s voor werknemers en andere mensen in Nederland te verkleinen:
- Toepassen van het pakket instellingen om de uitstoot van persoonsgegevens te verkleinen (zero exhaust settings).
- Centraal verbieden van het gebruik van de 'vrijwillige' Connected Services
- Centraal uitzetten van de mogelijkheid dat werknemers ervoor kunnen kiezen om persoonsgegevens door te geven aan Microsoft "om Office te verbeteren"
- Geen gebruik maken van SharePoint Online /OneDrive
- Geen gebruik maken van de web-only versie van Office 365
- Het Active Directory account van bepaalde VIP gebruikers (periodiek) vernietigen (en nieuwe accounts voor hen aanmaken), om ervoor te zorgen dat de diagnostische gegevens van die gebruiker vernietigd worden door Microsoft
- Overwegen om een pilot te doen met alternatieve software voor bepaalde functionaliteit, nadat daar een DPIA voor is gedaan
- Overwegen om lokale accounts te gebruiken (dus zonder Microsoft account) voor het werken met vertrouwelijke/gevoelige persoonsgegevens
Deze maatregelen zijn niet in alle gevallen realistisch of haalbaar. De afnemers van Office kunnen sowieso niet alle risico’s oplossen. Voor de contracten en de doorgifte naar de VS moet een Europese oplossing worden gezocht. SLM Rijk en Microsoft zullen de komende maanden nauw blijven overleggen. Privacy Company doet intussen vervolgonderzoek naar de inhoud van de telemetrie data.