Nieuwe DPIA voor de Rijksoverheid en universiteiten op Microsoft Teams, OneDrive en SharePoint Online

February 21, 2022

In opdracht van het Ministerie van Justitie en Veiligheid en SURF, de ICT-inkooporganisatie van hogescholen en universiteiten, heeft Privacy Company opnieuw onderzoek gedaan naar de privacyrisico’s van Microsoft Teams, OneDrive en SharePoint. De uitkomst is dat Microsoft maatregelen heeft getroffen om zes hoge risico’s te verhelpen, maar dat organisaties deze clouddiensten niet mogen gebruiken voor de uitwisseling of opslag van gevoelige en bijzondere persoonsgegevens. Dat mag alleen als ze de inhoud kunnen versleutelen met eigen sleutels. Dit komt door het hoge risico van mogelijke toegang tot die gegevens vanuit de Verenigde Staten. Dit risico blijft ook bestaan als Microsoft vanaf volgend jaar vrijwel alle persoonsgegevens van haar Europese zakelijke klanten exclusief in Europese datacentra verwerkt.

Wij publiceren deze blog met toestemming van het Ministerie en SURF. De volledige Engelstalige DPIA kunt u hier lezen. Voor vragen over het onderzoek kunt u zich wenden tot SLM Rijk (Strategisch Leveranciersmanagement Microsoft, Google en AWS Rijk), bereikbaar via perswoordvoering van het Ministerie van Justitie, 070 370 73 45.

Teams, OneDrive en SharePoint

Met Microsoft Teams kunnen mensen videobellen en informatie delen via permanente chatkanalen, met mensen binnen en buiten hun organisatie. De diensten OneDrive en SharePoint worden gebruikt voor het opslaan en delen van bestanden in de Microsoft cloud. Teams, OneDrive en SharePoint zijn clouddiensten. De DPIA gaat niet in op mogelijkheden om OneDrive en SharePoint lokaal, on premise, aan te bieden.

Om gebruik te maken van de online diensten, kunnen gebruikers software installeren op hun eigen apparaten of via een browser inloggen. In deze DPIA is het gegevensverkeer onderzocht van de drie diensten vanuit geïnstalleerde applicaties op de besturingssystemen MacOS, Windows, iOS en Android, en via een Chrome browser. Om in te loggen is gebruik gemaakt van de Microsoft Azure Active Directory (een soort online telefoonboek, met de inlognamen en wachtwoorden van alle gebruikers).

Risico’s van doorgifte naar de Verenigde Staten

De nieuwe DPIA gaat vooral over de risico’s van de verzameling en verwerking van zogenaamde diagnostische gegevens, dat wil zeggen, gegevens over het individuele gebruik van de diensten. Bijvoorbeeld: hoe vaak je met wie belt via Teams, wat voor plaatjes je toevoegt in de chat of op een intranetpagina, en wat voor soort documenten je schrijft, leest en deelt. Maar dit rapport gaat ook over de privacyrisico’s van het gebruik van Microsoft’s cloud voor de inhoudelijke gegevens die je via deze diensten kunt delen.

Diagnostische gegevens

Microsoft verzamelt de diagnostische gegevens op meerdere technische manieren, via systeemgegenereerde logboeken van gebeurtenissen op haar eigen cloud servers en via de zogenaamde telemetrie-client die ingebouwd zit in de software van Teams, OneDrive en SharePoint. Die client is, ook in Office for the Web, geprogrammeerd om systematisch telemetriegegevens op het apparaat van de eindgebruiker te verzamelen en regelmatig te versturen naar de servers van Microsoft in de VS. De diagnostische gegevens zijn anders dan, en technisch goed te onderscheiden van, de functionele gegevens die Microsoft (tijdelijk) moet verwerken om gebruikers in staat te stellen om gebruik te maken via internet van de online diensten van Microsoft.

Speciale privacyvoorwaarden Rijksoverheid en universiteiten

SLM Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Eind 2019 heeft SURF dezelfde voorwaarden afgesloten voor de Nederlandse hogescholen en universiteiten. Het gaat om de grootzakelijke (Enterprise en Education) versies van de Office software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en aangesloten zelfstandige bestuursorganen. Sindsdien treedt Microsoft alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid. Privacy Company heeft sinds die tijd regelmatig herhaalonderzoek gedaan om te controleren of Microsoft de afspraken nakwam, en de beloofde verbetermaatregelen had getroffen.

Zes lage privacyrisico’s voor de diagnostische persoonsgegevens

Het resultaat van deze DPIA, na herhaald overleg met Microsoft, is dat er geen bekende hoge risico's meer zijn voor de verwerking van de diagnostische gegevens, als beheerders de eerdere aanbevelingen over het gebruik van Office 365 opvolgen. Maar er is wel een hoog risico als organisaties Teams gebruiken om zeer gevoelige en bijzondere categorieën gegevens te verwerken, vanwege de mogelijke toegang door opsporings- en veiligheidsdiensten in de VS. De zes lage risico’s zijn:

  1. Verlies van controle en heridentificatie van pseudonieme persoonsgegevens door de structurele doorgifte van telemetriegegevens naar de VS. Uit het onderzoek blijkt dat deze verkeersstroom beperkt in omvang is, en alleen pseudonieme persoonsgegevens bevat (op één uitzondering na, zie risico nr. 2). Vanaf 2023 kunnen organisaties ervoor kiezen om alle diagnostische gegevens, support tickets en account gegevens exclusief in de EU te laten verwerken. Ook na 2022 zal Microsoft nog steeds sommige persoonsgegevens aan de VS doorgeven om security incidenten op te sporen en op te lossen, maar deze doorgiften zullen incidenteel zijn, niet structureel, en zullen over het algemeen alleen gepseudonimiseerde en geaggregeerde gegevens betreffen.
  2. Verlies van controle en oneigenlijke verdere verwerking vanwege de incidentele verwerking van padnamen, gebruikersnamen en e-mailadressen in specifieke telemetrieberichten over OneDrive. Microsoft heeft uitgelegd dat dit de enige uitzondering is op de regel dat telemetrieberichten alleen pseudonieme gegevens bevatten. Microsoft heeft uitgelegd waarom dit nodig kan zijn in OneDrive, bijvoorbeeld in het geval dat meerdere gebruikers tegelijkertijd toegang hebben tot hetzelfde document. Microsoft heeft ook uitgelegd dat de toegang tot deze diagnostische OneDrive-gegevens wordt gecontroleerd, beperkt is tot de just-in-time beveiligingsgroep, dat de gegevens verzameld worden via een apart kanaal, en nooit langer dan 30 dagen worden bewaard. Systeembeheerders kunnen zelf ook risicoverlagende maatregelen toepassen, zoals het gebruik van pseudoniemen in de Azure AD, en het opstellen van beleid dat medewerkers geen persoonsgegevens mogen gebruiken in bestands- en padnamen.
  3. Verlies van controle en gebrek aan transparantie over de telemetriegegevens uit de browser, en over het gebruik van zogenaamde ‘Verbonden Ervaringen’ (Connected Experiences). Microsoft noemt deze categorie van telemetriegegevens Required Service Data. Zelfs als een organisatie het verzamelen van telemetrie centraal heeft geminimaliseerd, door het niveau 'Neither' te selecteren, verzamelt Microsoft dezelfde hoeveelheid Required Service Data. Volgens Microsoft zijn deze gegevens te dynamisch of te bedrijfsvertrouwelijk van aard om in detail te publiceren, maar geeft ze wel inzage (indien beschikbaar) via inzageverzoeken. Microsoft heeft herhaald dat ze deze gegevens uitsluitend verwerkt voor de drie overeengekomen verwerkingsdoeleinden.
  4. Beperkingen op het recht van inzage voor betrokkenen. Uit het onderzoek blijkt dat de functie die Microsoft aanbiedt aan systeembeheerders om de diagnostische gegevens uit te draaien over het gebruik van de diensten door één of meerdere werknemers, resultaten oplevert die moeilijk te begrijpen zijn. In reactie op deze bevinding heeft Microsoft toegezegd om beheerders beter te helpen bij inzageverzoeken, ook als dat uitleg vergt waarom sommige Required Service Data géén persoonsgegevens zijn of niet meer beschikbaar zijn omdat ze onmiddellijk van alle identifiers zijn ontdaan.
  5. Oneigenlijke verdere verwerking door derde partijen. Uit controle-onderzoeken van Privacy Company bleek dat Microsoft verkeer doorgaf naar een aantal derde partijen via ingebouwde diensten in Teams, OneDrive en SharePoint. Microsoft heeft dit risico grotendeels verholpen door ofwel een subverwerkersovereenkomst aan te gaan, of door systeembeheerders in staat te stellen het verkeer centraal te blokkeren (bijvoorbeeld plaatjes van Giphy uitzetten, ook voor gastgebruikers). In dit onderzoek bleek dat er nog wel verkeer was naar Microsoft’s zoekmachine Bing als een Enterprise of Education klant een plaatje wilde invoegen in een SharePoint pagina. Microsoft is een zelfstandige verantwoordelijke, met eigen commerciële doelen, voor de gegevensverwerking via Bing. Daarom zou dit verkeer niet voor mogen komen als beheerders dit soort ‘Microsoft-als-verantwoordelijke’ diensten centraal hebben uitgezet (de Additional Optional Connected Experiences). Microsoft heeft toegezegd dat verkeer naar Bing vanuit SharePoint uiterlijk in juli 2022 verwijderd zal zijn.
  6. Personeelsvolgsysteem: chilling effect. Microsoft biedt twee verschillende analytische diensten aan voor Teams: Teams Analytics & Reports en Viva Insights. De eerste tool (Teams Analytics & Reports) geeft gedetailleerde inzichten aan systeembeheerders over individueel werkgedrag. Systeembeheerders van universiteiten en overheidsorganisaties kunnen dit risico beperken door deze functionaliteit uit te schakelen. Microsoft is niet bereid de standaardinstelling te wijzigen. De andere tool, Viva Insights, is wel privacyvriendelijker geconfigureerd. Die staat standaard uit. Deze tool omvat MyAnalytics en Workplace Analytics. Dit zijn diensten die werknemers informatie bieden over hun productiviteit, en managers inzicht bieden in de werkpatronen van individuele werknemers. Als een beheerder de dienst expliciet inschakelt, heeft de individuele gebruiker nog steeds de mogelijkheid om zich af te melden.

Hoog risico voor bijzondere persoonsgegevens die niet met een eigen sleutel zijn versleuteld

Microsoft is een Amerikaans bedrijf, en de Amerikaanse wetgeving voor inlichtingendiensten biedt volgens het Europees Hof van Justitie (Schrems-II) niet voldoende rechtsbescherming aan Europeanen als hun persoonsgegevens worden opgevraagd of afgeluisterd. Dit risico doet zich zelfs voor wanneer deze gegevens uitsluitend in de EU worden verwerkt en opgeslagen, omdat toegang tot deze gegevens kan worden gevorderd via Amerikaanse wetgeving zoals de US CLOUD Act. Het feit dat Microsoft eigen encryptie toepast op alle gegevens van klanten tijdens het transport via internet, en op de opgeslagen bestanden, kan dit risico ook niet wegnemen. Zolang Microsoft, al lijkt het vooral theoretisch, toegang heeft tot de sleutel, kan zij gedwongen worden de gegevens te ontsleutelen en te verstrekken.

De belangrijkste maatregel die organisaties in Europa kunnen nemen tegen dit risico van massa surveillance is het versleutelen van de gegevens met een eigen sleutel, waar ook een leverancier zoals Microsoft geen toegang toe heeft. Microsoft biedt wel end-to-end encryptie (E2EE) aan voor de opslag van veelgebruikte bestandssoorten in OneDrive en SharePoint, maar nog niet voor videobellen in Teams met meer dan twee mensen, alleen voor ongeplande één-op-één videogesprekken.

Organisaties zouden dus geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen, tenzij de gegevens van nature openbaar zijn (zoals hoorcolleges of sommige rechtszaken), omdat zij geen controle hebben over de encryptiesleutels. Om gevoelige en bijzondere persoonsgegevens te beschermen in OneDrive en SharePoint kunnen organisaties gebruik maken van Microsoft’s Double Key Encryption (DKE). Privacy Company heeft op verzoek van het NBV van de AIVD een openbaar rapport geschreven over DKE.

Aanbevolen maatregelen publieke sectororganisaties

Tips voor de organisatie:

  • Deel geen zeer gevoelige of bijzondere persoonsgegevens via Teams, tenzij het om een openbare bijeenkomst gaat
  • Zet E2EE aan in Teams voor 1-op-1 gesprekken, en schakel E2EE in voor alle vergaderingen en chats zodra Microsoft dit mogelijk maakt
  • Maak spelregels voor het delen van persoonsgegevens in Teams en OneDrive, die alle deelnemers, inclusief gastgebruikers, moeten accepteren
  • Gebruik Microsoft Double Key Encryption voor de opslag van bestanden met zeer gevoelige of bijzondere persoonsgegevens in OneDrive of SharePoint. Dat kan helaas niet voor opnames van Teams gesprekken, tenzij de opnames op een eigen lokale server zijn gemaakt.
  • Gebruik Customer Lockbox voor andere opgeslagen persoonsgegevens
  • Overweeg het gebruik van pseudoniemen voor werknemers waarvan de identiteit vertrouwelijk is, ook bij gebruik van de Azure AD als Single Sign On naar diensten van andere bedrijven
  • Gebruik geen SMS voor authenticatie om de overdracht van onversleutelde mobiele telefoonnummers te voorkomen. Gebruik in plaats daarvan de Authenticator-app of een hardware token
  • Schakel de Additional Optional Connected Experiences uit in Office365
  • Verbiedt toegang tot applicaties van derde partijen in de app-winkel in Teams
  • Zet de telemetrieverzameling in de geïnstalleerde applicaties op het laagste niveau
  • Zet de telemetrieverzameling in Windows op het laagste ‘security’ niveau
  • Waarschuw eindgebruikers om het komende half jaar geen plaatjes in te voegen in SharePoint via de ingebouwde zoekmachine Bing
  • Maak geen gebruik van de nieuwe analytische dienst Teams Analytics & Reports: kies in ieder geval voor pseudonieme weergave
  • Stel beleid op om te voorkomen dat Microsoft’s analytische diensten gebruikt worden als personeelsvolgsysteem
  • Maak bewaartermijnenbeleid bekend en dwing naleving af, verwijder verouderde gegevens (om de risico's van toegang vanuit de V.S. te beperken)
  • Stel een beleid op om te voorkomen dat bestandsnamen en bestandspaden persoonsgegevens bevatten
  • Informeer medewerkers over de inzagemogelijkheden via de Data Viewer tool en door een inzageverzoek in te dienen bij de beheerder(s) van de organisatie
  • Gebruik Microsoft’s Data Viewer tool zelf ook voor inzage in de diagnostische gegevens en vergelijk de uitkomsten met een eigen analyse van het uitgaande netwerkverkeer uit een test-omgeving.

Conclusies

Sinds juni 2019 heeft Microsoft, als gevolg van de onderhandelingen met SLM Rijk en SURF, veel juridische, technische en organisatorische maatregelen genomen om de risico's voor betrokkenen bij de verwerking van persoonsgegevens door het gebruik van Teams, OneDrive, SharePoint en de Azure AD te beperken. In antwoord op de eerste bevindingen van deze DPIA heeft Microsoft toegezegd een aantal tekortkomingen te verbeteren, en heeft ze belangrijke garanties gegeven over haar gegevensverwerking.

Gelet op de risico’s van het gebruik van Amerikaanse cloud providers moet Microsoft meer aanpassingen en verbeteringen doorvoeren om het resterende hoge risico en de zes vastgestelde lage risico's te beperken. Microsoft moet bekend maken wanneer zij E2EE mogelijk maakt voor alle Teams-uitwisselingen. Bovendien moet Microsoft transparanter worden over de inhoud van de Required Service Data en een audit laten doen op de naleving van de overeengekomen doelbinding en bewaartermijnen voor die persoonsgegevens. Ten slotte moet Microsoft voldoen aan de eis dat standaardinstellingen privacyvriendelijk zijn (data protection by default). Dat betekent dat Microsoft systeembeheerders in staat moet stellen nieuwe analysediensten actief aan te zetten, op basis van duidelijke informatie.

Waarschuwing

Het is onzeker hoe de nationale gegevensbeschermingsautoriteiten de doorgifte risico’s zullen beoordelen in hun gezamenlijk onderzoek naar het gebruik van clouddiensten door publieke sector organisaties. De resultaten worden eind 2022 verwacht. Voor deze DPIA zijn de risico's van doorgifte streng beoordeeld, met inbegrip van een afzonderlijke DTIA. Indien nodig zullen deze DPIA en DTIA in 2023 worden geactualiseerd.

Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Microsoft de EU Data Boundary heeft voltooid, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Microsoft diensten.

Meer lezen

Lees ook onze eerdere blogs over DPIAs op Microsoft Office:

Download
Sjoera
Adviseur