Microsoft Office en Windows 10 data verzameling schendt AVG regels
Het telemetrie datagegevens verzamelingsmechanisme van Microsoft Office en Windows 10 schendt de algemene verordening gegevensbescherming, zo meldt de Nederlandse overheid na een Data Protection Impact Assessment (DPIA) dat het ministerie van Justitie en Veiligheid heeft laten uitvoeren. Tot april 2019 heeft Microsoft de tijd om aanpassingen door te voeren.
Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft Rijk), onderdeel van heeft het ministerie van Justitie en Veiligheid, heeft eerder Privacy Company opdracht gegeven voor het uitvoeren van een Data Protection Impact Assessment (DPIA) op Microsoft Office. De resultaten van dit onderzoek zijn onlangs gepresenteerd (pdf).
Het rapport, geschreven door The Privacy Company en besteld door de Nederlandse overheid, bekijkt hoe Microsoft omgaat met de informatie die het verzamelt via de online versie van Office 365 en de Office ProPlus suite. Die laatste is de enterprise versie van Office 365, die door bedrijven op pc's wordt geïnstalleerd, maar die wel nog met Office 365 servers contact maakt. Zo'n 300.000 medewerkers van de Nederlandse overheid gebruiken de software, die nu nog op servers van de overheid zelf staan, maar binnenkort naar een publieke of hybride cloud (in OneDrive of Sharepoint) moeten gaan. Nederland wilde eerst weten wat Microsoft daar met de informatie aanvangt.
Aanleiding van het onderzoek is dan ook de beslissing van Microsoft om niet bekend te maken welke informatie het verzamelt over gebruikers. Het geeft ook geen optie om het verzamelen van die gegevens uit te zetten, in tegenstelling tot bedrijven (zoals Google), die dan wel veel verzamelen maar daar ook redelijk transparant over communiceren.
Telemetrische data
Het gaat, volgens het rapport, om telemetriegegevens en andere informatie uit Office applicaties, waaronder titels van e-mails en zinnen waarop de vertaling- of spellingtools werden losgelaten. Vermoedelijk gebruikt Microsoft de data om zijn eigen software te verbeteren.
De informatie werd echter zonder medeweten van de gebruikers verzameld en opgeslagen op servers in de Verenigde Staten. En dat is in strijd met de GDPR-regels, zegt The Privacy Company. Het zou Microsoft mogelijk een miljoenenboete kunnen opleveren, maar zo ver is het nog niet. De Nederlandse overheid werkt momenteel samen met de techgigant om het probleem op te lossen.
Het lijkt erop dat Microsoft geprobeerd heeft zichzelf in lijn te stellen met de GDPR-richtlijk door zijn Office documenten op Europese servers te zetten, maar het verzamelde daarnaast ook gegevens die mogelijk persoonlijke data bevatten, en die ook op Amerikaanse servers terechtkwamen. "Microsoft verzamelt systematisch en op grote schaal gegevens over het individuele gebruik van Word, Excel, PowerPoint en Outlook. In het geheim, zonder dat aan mensen te melden", schrijft The Privacy Company in een blogpost naar aanleiding van het rapport. "Microsoft biedt geen opties over de hoeveelheid data die wordt verzameld, en geeft ook niet de mogelijkheid om de datagaring uit te zetten, of te zien welke data verzameld worden, omdat de datastroom versleuteld is."
Volgens het bedrijf is het uiteraard nodig om IP-adressen en mailtitels te verzamelen om communicatie mogelijk te maken, maar hoeft Microsoft die data daarom niet ook bij te houden. Volgens het rapport houdt Microsoft zo'n 25.000 verschillende soorten 'events' bij.
Microsoft, van zijn kant, meldt dat het de nodige veranderingen zal aanbrengen tegen april 2019, en heeft een versie van Office uitgebracht die geen data zou doorsturen. De Nederlandse privacycommissie zal de situatie opvolgen.
De overheid meldt het volgende over het onderzoek:
"Een aantal grote ICT-leveranciers (zoals Microsoft, Oracle en SAP) heeft binnen de Rijksoverheid één aanspreekpunt. Het aanspreekpunt voor Microsoft is Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft), gevestigd binnen het ministerie van Justitie en Veiligheid en dit wordt uitgevoerd door de plaatsvervangend secretaris-generaal Ronald Barendse.
SLM Microsoft heeft conform de AVG een Data Protection Impact Assessment (DPIA) laten uitvoeren op de producten en diensten van Microsoft. Er is met dit eigen onderzoek van het ministerie van Justitie en Veiligheid vastgesteld dat er via de producten ‘Windows 10 Enterprise’ en ‘Microsoft Office’ informatie van en over de gebruiker verzameld en opgeslagen wordt in een database in de VS op een manier die hoge risico’s meebrengt voor de privacy van de gebruiker.
SLM Microsoft is op basis van deze bevindingen met Microsoft in gesprek gegaan en heeft op 26 oktober overeenstemming bereikt over een verbeterplan van Microsoft. Microsoft verplicht zich in dit plan om haar producten dusdanig te wijzigen dat het gebruik daarvan voor de Nederlandse overheid binnen de context van de AVG en ander vigerende wet- en regelgeving mogelijk is. Microsoft committeert zich deze wijzingen in april 2019 ter verificatie aan te bieden.
SLM Microsoft zal de nieuwe versies van de producten dan opnieuw beoordelen. In de tussentijd zullen onderdelen van het Rijk aanvullende maatregelen moeten nemen om de datastromen naar Microsoft zo veel mogelijk te stremmen. Hiermee kan het gebruik van Microsoft diensten AVG compliant ingericht worden.
Er is met Microsoft afgesproken dat er regelmatig gerapporteerd wordt over de voortgang en indien deze onvoldoende is, of als het duidelijk is dat de geboden verbeteringen toch onvoldoende zijn, zal SLM Microsoft haar positie opnieuw wegen en is ook de gang naar de Autoriteit Persoonsgegevens met een verzoek voor een voorafgaande raadpleging en een handhaving een mogelijkheid."
Voorwaarden
Het Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft Rijk) is belegd binnen het ministerie van Justitie en Veiligheid. SLM Microsoft Rijk stelt de sectoren en hun behoeften centraal. SLM ontzorgt de sectoren door eenheid en eenduidigheid van handelen en adviseren. Centraal staan het organiseren van netwerken, gezamenlijke ontwikkeling van kennis en kunde en het mobiliseren van innovatiekracht. SLM realiseert deze doelen door in een centraal kader met Microsoft verbeterde voorwaarden af te spreken, risico's te verminderen en kosten te besparen aldus de overheid.
Bekijk de video over de DPIA van SLM.
Door: Witold Kepinski in samenwerking met Datanews
Meer over data
Over Witold Kepinski
