Microsoft past cloud contracten aan na Nederlandse kritiek
Microsoft gaat cloudcontracten met zakelijke klanten wereldwijd aanpassen onder druk van het Nederlandse ministerie van Justitie. De aanpassingen moeten meer transparantie geven over het gebruik van data en de privacy van gebruikers beter waarborgen.
Dit meldt het FD. De wijzigingen zijn tot stand gekomen na gesprekken van het Europese Directoraat-Generaal voor Informatica (Digit) met Microsoft. "We gaan met de nieuwe contracten verder dan de Europese privacyregels", zegt Julie Brill, verantwoordelijk voor privacy bij Microsoft, tegen het FD. Brill doelt hiermee op de Algemene Verordening Gegevensbescherming (AVG). "We beantwoorden hiermee de zorgen die onder klanten leven. Hiermee geven we ze meer duidelijkheid over onze verantwoordelijkheid ten aanzien van hun data. We gaan hiermee ook verder dan de concurrentie. We zijn straks de enige grote cloudaanbieder die wereldwijd deze nieuwe voorwaarden contractueel vastlegt."
Kritisch rapport
Het ministerie van Justitie publiceerde eind 2018 een kritisch rapport over een onderzoek naar data privacy. Hierin concludeert het ministerie dat Microsoft via programma's als Office stiekem gedragsgegevens van 300.000 werkplekken van de Rijksoverheid verzamelt. Het gaat hierbij om werkplekken op uiteenlopende locaties, variërend van ministeries en politie tot rechtspraak en toezichthouders. Het onderzoek concludeert dat onduidelijk is welke gegevens Microsoft verzamelt over het gedrag van gebruikers en welke gegevens op Amerikaanse servers worden bewaard.
Naar aanleiding van het onderzoek startte de Europese Toezichthouder voor gegevensbescherming (EDPS) een onderzoek naar contracten tussen Europese instellingen en Microsoft. De toezichthouder maakte oktober bekend 'serieuze zorgen' te hebben over de bescherming van burgerrechten in deze contracten.
'In gesprek als klant'
Brill stelt dat Microsoft al aan de AVG-eisen voldoet en spreekt dan ook over aanvullende stappen. Deze komen voort uit gesprekken met het ministerie van Justitie, die hierbij klant is en geen toezichthouder. "Nadat in de media berichten verschenen dat we met Justitie in gesprek waren, meldden zich ook andere klanten, waaronder ook de Europese instituten", zegt Brill.
De Nederlandse bezwaren zijn vastgelegd in een verbeterplan en in juni opgelost. Zo krijgen beheerders de mogelijkheid de verzameling van gegevens van gebruikers tot een minimum te beperken. Daarnaast wordt vanaf 2020 in alle contracten expliciet vastgelegd hoe Microsoft omgaat met data die het verplicht moet verzamelen voor Amerikaanse toezichthouders. "Niet alleen overheidscontracten worden aangepast, maar ook overeenkomsten met grote en mkb-bedrijven", zegt Brill tegen het FD. "We hebben toegang tot data wel nodig, omdat we op een aantal punten verantwoording moeten afleggen in de VS, met geaggregeerde gegevens."