SLM Microsoft Rijk bijeenkomst over nieuwe privacy garanties Microsoft

August 16, 2019

Hoe vertel ik het mijn medewerkers? Dat was de meest gestelde vraag tijdens de bijeenkomst op 15 augustus 2019 over de uitkomsten van de privacyonderhandelingen van de overheid met Microsoft. Hoe vertel ik mijn medewerkers dat ze de mobiele Office apps, zoals Outlook inclusief de agenda, niet mogen gebruiken op hun smartphone?

Ruim honderd vertegenwoordigers van verschillende rijksinstellingen, NGO’s, gemeenten, zelfstandige bestuursorganen, onderwijs- en zorginstellingen lieten zich bijpraten door Strategisch Leveranciersmanagement Microsoft Rijk over de uitkomsten van een aantal nieuwe Data Protection Impact Assessments (DPIA’s).

Privacy Company presenteerde de resultaten van vier nieuwe onderzoeken naar de privacyrisico’s van het gebruik van Office 365 ProPlus, Windows 10 Enterprise, Office Online en de mobiele Office apps en het gebruik van Virtual Machines in de Microsoft Azure cloud. Drie van deze DPIA’s zijn gepubliceerd, inclusief een uitgebreide Nederlandse samenvatting en alle bijlagen met technische details. Privacy Company schreef begin deze maand al een korte en een lange blog over deze beoordelingen, met een concrete lijst adviezen om de privacyrisico’s zoveel mogelijk te beperken.

Behaalde resultaten

Kort samengevat is SLM Microsoft Rijk erin geslaagd om de hoge privacyrisico’s bij het gebruik van Office 365 ProPlus te mitigeren door scherpe nieuwe contractuele privacyvoorwaarden, en door technische verbeteringen die Microsoft heeft doorgevoerd.

Er zijn nog vier privacyrisico’s voor betrokkenen bij het gebruik van nieuwe versies van Windows 10 Enterprise, maar als de beheerders het telemetrieniveau op Security zetten, en géén gebruik maken van de cloudsynchronisatie-functionaliteit in Timeline, zijn die risico’s laag. Microsoft heeft aangekondigd de komende tijd aan verbeteringen te werken zodat de risico’s ook laag blijven als de telemetrie een niveau hoger wordt gezet, op Basis.

Resterende risico's betrokkenen

Bij Office Online en de mobiele Office apps zijn er nog vijf hoge risico’s voor betrokkenen. Die vloeien vooral voort uit het feit dat Microsoft zichzelf als verantwoordelijke beschouwt voor de mobiele apps, en niet als verwerker. In haar rol als verantwoordelijke staat Microsoft zichzelf toe de persoonsgegevens voor veertien doelen te verwerken, waaronder adverteren en het sturen van gepersonaliseerde communicatie. Uit het technisch onderzoek naar de telemetriegegevens van de apps blijkt dat Microsoft via tenminste drie van de apps gegevens over het gebruik van de apps doorstuurt naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling.

Voor de overheidsorganisaties die gebruik mogen maken van het aangescherpte Rijkscontract was er dus goed nieuws over het gebruik van Office 365 ProPlus en Windows 10 Enterprise. Maar geen goed nieuws over Office Online en de mobiele Office apps. Want hoe vertel je je medewerkers dat ze die handige apps niet meer mogen gebruiken? Als je het gebruik van de apps technisch blokkeert via Intune of via access control, is er een grote kans dat medewerkers olifantenpaadjes inslaan, en andere tools gaan gebruiken om alsnog hun agenda en mail te bekijken op hun mobieltjes.

Microsoft schrijft in de nieuwe informatie over de privacycontroles over diagnostische gegevens dat ze voornemens is om verbeteringen door te voeren in de mobiele apps en dat ze hierover ‘de komende maanden’ meer informatie bekend zal maken. Maar dit vonden de aanwezigen niet concreet genoeg. Zoals ook blijkt uit het memo met de stand van zaken blijft SLM Microsoft Rijk de komende tijd aandringen bij Microsoft op een zo snel mogelijke implementatie van deze verbeteringen.

Andere versies van Office en Windows

Een andere veel gestelde vraag was: hoe zit het met andere versies van Office en Windows? SLM Microsoft Rijk beaamde dat die niet onder de nieuwe privacygaranties vallen. Microsoft heeft ook geen incentive om de nieuwe privacykeuzes daarin in te bouwen. Dus het advies is om zo snel mogelijk over te schakelen naar versie 1903 van Windows 10 Enterprise en versie 1905 of hoger van Office 365 ProPlus, en die conform de adviezen zo privacyvriendelijk mogelijk instellen.

Voor de organisaties die buiten de Rijkscontracten vallen, zijn er hoge privacy risico’s bij het gebruik van de verschillende Office producten. Zonder contractuele verbeteringen op het gebied van doelbinding en bijvoorbeeld effectieve auditrechten, gelden nog bijna alle hoge privacyrisico’s uit de eerste DPIA over Office 365 ProPlus, van oktober 2018.

European Cloud Council

Voor veel organisaties in de publieke sector had Strategisch leveranciersmanager Paul van den Berg niettemin goed nieuws. SLM Microsoft Rijk werkt nauw samen met de Vereniging van Nederlandse Gemeenten en SURFmarket (de inkoper voor onderwijsinstellingen) om dezelfde privacyvoorwaarden bij Microsoft te bedingen. Daarnaast organiseert SLM Microsoft Rijk op 29 augustus, samen met de European Data Protection Supervisor, de eerste bijeenkomst van de European Cloud Council. Via dit nieuwe overleg willen alle inkopers van overheidsorganisaties in de EU de krachten bundelen om gezamenlijk betere privacyvoorwaarden af te dwingen, niet alleen bij Microsoft, maar bij alle hyperscale software- en cloudaanbieders.

Privacy Company doet (Engelstalig) verslag van deze bijeenkomst via een nieuwe blog.

Download
Sjoera
Adviseur