In opdracht van het Ministerie van Justitie en Veiligheid en SURF, de ICT-inkooporganisatie van hogescholen en universiteiten, heeft Privacy Company opnieuw onderzoek gedaan naar de privacyrisico’s van Microsoft Teams, OneDrive en SharePoint. De uitkomst is dat Microsoft maatregelen heeft getroffen om zes hoge risico’s te verhelpen, maar dat organisaties deze clouddiensten niet mogen gebruiken voor de uitwisseling of opslag van gevoelige en bijzondere persoonsgegevens. Dat mag alleen als ze de inhoud kunnen versleutelen met eigen sleutels. Dit komt door het hoge risico van mogelijke toegang tot die gegevens vanuit de Verenigde Staten. Dit risico blijft ook bestaan als Microsoft vanaf volgend jaar vrijwel alle persoonsgegevens van haar Europese zakelijke klanten exclusief in Europese datacentra verwerkt.
Wij publiceren deze blog met toestemming van het Ministerie en SURF. De volledige Engelstalige DPIA kunt u hier lezen. Voor vragen over het onderzoek kunt u zich wenden tot SLM Rijk (Strategisch Leveranciersmanagement Microsoft, Google en AWS Rijk), bereikbaar via perswoordvoering van het Ministerie van Justitie, 070 370 73 45.
Met Microsoft Teams kunnen mensen videobellen en informatie delen via permanente chatkanalen, met mensen binnen en buiten hun organisatie. De diensten OneDrive en SharePoint worden gebruikt voor het opslaan en delen van bestanden in de Microsoft cloud. Teams, OneDrive en SharePoint zijn clouddiensten. De DPIA gaat niet in op mogelijkheden om OneDrive en SharePoint lokaal, on premise, aan te bieden.
Om gebruik te maken van de online diensten, kunnen gebruikers software installeren op hun eigen apparaten of via een browser inloggen. In deze DPIA is het gegevensverkeer onderzocht van de drie diensten vanuit geïnstalleerde applicaties op de besturingssystemen MacOS, Windows, iOS en Android, en via een Chrome browser. Om in te loggen is gebruik gemaakt van de Microsoft Azure Active Directory (een soort online telefoonboek, met de inlognamen en wachtwoorden van alle gebruikers).
De nieuwe DPIA gaat vooral over de risico’s van de verzameling en verwerking van zogenaamde diagnostische gegevens, dat wil zeggen, gegevens over het individuele gebruik van de diensten. Bijvoorbeeld: hoe vaak je met wie belt via Teams, wat voor plaatjes je toevoegt in de chat of op een intranetpagina, en wat voor soort documenten je schrijft, leest en deelt. Maar dit rapport gaat ook over de privacyrisico’s van het gebruik van Microsoft’s cloud voor de inhoudelijke gegevens die je via deze diensten kunt delen.
Microsoft verzamelt de diagnostische gegevens op meerdere technische manieren, via systeemgegenereerde logboeken van gebeurtenissen op haar eigen cloud servers en via de zogenaamde telemetrie-client die ingebouwd zit in de software van Teams, OneDrive en SharePoint. Die client is, ook in Office for the Web, geprogrammeerd om systematisch telemetriegegevens op het apparaat van de eindgebruiker te verzamelen en regelmatig te versturen naar de servers van Microsoft in de VS. De diagnostische gegevens zijn anders dan, en technisch goed te onderscheiden van, de functionele gegevens die Microsoft (tijdelijk) moet verwerken om gebruikers in staat te stellen om gebruik te maken via internet van de online diensten van Microsoft.
SLM Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Eind 2019 heeft SURF dezelfde voorwaarden afgesloten voor de Nederlandse hogescholen en universiteiten. Het gaat om de grootzakelijke (Enterprise en Education) versies van de Office software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en aangesloten zelfstandige bestuursorganen. Sindsdien treedt Microsoft alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid. Privacy Company heeft sinds die tijd regelmatig herhaalonderzoek gedaan om te controleren of Microsoft de afspraken nakwam, en de beloofde verbetermaatregelen had getroffen.
Het resultaat van deze DPIA, na herhaald overleg met Microsoft, is dat er geen bekende hoge risico's meer zijn voor de verwerking van de diagnostische gegevens, als beheerders de eerdere aanbevelingen over het gebruik van Office 365 opvolgen. Maar er is wel een hoog risico als organisaties Teams gebruiken om zeer gevoelige en bijzondere categorieën gegevens te verwerken, vanwege de mogelijke toegang door opsporings- en veiligheidsdiensten in de VS. De zes lage risico’s zijn:
Microsoft is een Amerikaans bedrijf, en de Amerikaanse wetgeving voor inlichtingendiensten biedt volgens het Europees Hof van Justitie (Schrems-II) niet voldoende rechtsbescherming aan Europeanen als hun persoonsgegevens worden opgevraagd of afgeluisterd. Dit risico doet zich zelfs voor wanneer deze gegevens uitsluitend in de EU worden verwerkt en opgeslagen, omdat toegang tot deze gegevens kan worden gevorderd via Amerikaanse wetgeving zoals de US CLOUD Act. Het feit dat Microsoft eigen encryptie toepast op alle gegevens van klanten tijdens het transport via internet, en op de opgeslagen bestanden, kan dit risico ook niet wegnemen. Zolang Microsoft, al lijkt het vooral theoretisch, toegang heeft tot de sleutel, kan zij gedwongen worden de gegevens te ontsleutelen en te verstrekken.
De belangrijkste maatregel die organisaties in Europa kunnen nemen tegen dit risico van massa surveillance is het versleutelen van de gegevens met een eigen sleutel, waar ook een leverancier zoals Microsoft geen toegang toe heeft. Microsoft biedt wel end-to-end encryptie (E2EE) aan voor de opslag van veelgebruikte bestandssoorten in OneDrive en SharePoint, maar nog niet voor videobellen in Teams met meer dan twee mensen, alleen voor ongeplande één-op-één videogesprekken.
Organisaties zouden dus geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen, tenzij de gegevens van nature openbaar zijn (zoals hoorcolleges of sommige rechtszaken), omdat zij geen controle hebben over de encryptiesleutels. Om gevoelige en bijzondere persoonsgegevens te beschermen in OneDrive en SharePoint kunnen organisaties gebruik maken van Microsoft’s Double Key Encryption (DKE). Privacy Company heeft op verzoek van het NBV van de AIVD een openbaar rapport geschreven over DKE.
Tips voor de organisatie:
Sinds juni 2019 heeft Microsoft, als gevolg van de onderhandelingen met SLM Rijk en SURF, veel juridische, technische en organisatorische maatregelen genomen om de risico's voor betrokkenen bij de verwerking van persoonsgegevens door het gebruik van Teams, OneDrive, SharePoint en de Azure AD te beperken. In antwoord op de eerste bevindingen van deze DPIA heeft Microsoft toegezegd een aantal tekortkomingen te verbeteren, en heeft ze belangrijke garanties gegeven over haar gegevensverwerking.
Gelet op de risico’s van het gebruik van Amerikaanse cloud providers moet Microsoft meer aanpassingen en verbeteringen doorvoeren om het resterende hoge risico en de zes vastgestelde lage risico's te beperken. Microsoft moet bekend maken wanneer zij E2EE mogelijk maakt voor alle Teams-uitwisselingen. Bovendien moet Microsoft transparanter worden over de inhoud van de Required Service Data en een audit laten doen op de naleving van de overeengekomen doelbinding en bewaartermijnen voor die persoonsgegevens. Ten slotte moet Microsoft voldoen aan de eis dat standaardinstellingen privacyvriendelijk zijn (data protection by default). Dat betekent dat Microsoft systeembeheerders in staat moet stellen nieuwe analysediensten actief aan te zetten, op basis van duidelijke informatie.
Waarschuwing
Het is onzeker hoe de nationale gegevensbeschermingsautoriteiten de doorgifte risico’s zullen beoordelen in hun gezamenlijk onderzoek naar het gebruik van clouddiensten door publieke sector organisaties. De resultaten worden eind 2022 verwacht. Voor deze DPIA zijn de risico's van doorgifte streng beoordeeld, met inbegrip van een afzonderlijke DTIA. Indien nodig zullen deze DPIA en DTIA in 2023 worden geactualiseerd.
Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Microsoft de EU Data Boundary heeft voltooid, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Microsoft diensten.
Meer lezen
Lees ook onze eerdere blogs over DPIAs op Microsoft Office: