Nieuwe DPIA’s zakelijke Microsoft Office en Windows software: nog steeds privacyrisico’s (korte blog)

In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, Office 365 ProPlus en Office Online + de mobiele Office apps. Met toestemming van het Ministerie publiceren wij twee blogs over onze bevindingen, deze korte en een lange blog. Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het ministerie van Justitie, 070 370 73 45.

Nieuwe privacyvoorwaarden Rijksoverheid

SLM Microsoft Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke versies van de Office en de Windows 10 software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen. Uit drie nieuwe DPIA’s (gegevensbeschermingseffectbeoordelingen) die Privacy Company heeft uitgevoerd voor de Rijksoverheid blijkt dat Microsoft door een combinatie van technische, organisatorische en contractuele maatregelen de acht eerder geconstateerde privacyrisico’s heeft verholpen voor Office 365 ProPlus (de desktopversie van Office). Zie de eerdere blog over deze risico’s. In een recente brief aan de Kamer staan de resultaten opgesomd van de onderhandelingen die SLM Microsoft Rijk heeft gevoerd met Microsoft: Microsoft treedt alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid.

Getroffen maatregelen Microsoft Office 365 ProPlus

Microsoft heeft daarnaast de afgelopen maanden wereldwijd een groot aantal technische en organisatorische verbeteringen doorgevoerd in Office 365 ProPlus. Sinds mei 2019 publiceert Microsoft uitgebreide documentatie over de diagnostische gegevens over het gebruik van Office ProPlus. Microsoft heeft haar bestaande Data Viewer Tool voor Windows 10 aangepast om ook de Office 365 ProPlus telemetriegegevens te tonen. Hierdoor kunnen betrokkenen de Office ProPlus gegevens bekijken die Microsoft van hun apparaat verzamelt.

Microsoft biedt sinds mei 2019 een groot aantal veelgebruikte Connected Experiences zoals de spellingchecker, de vertaalmodule en de Office helpfunctie aan als verwerker, en niet meer als verantwoordelijke. Er zijn 14 Connected Experiences waarvoor Microsoft verantwoordelijke blijft (de additional Connected Experiences), maar Microsoft stelt systeembeheerders van Office ProPlus in staat om het gebruik van deze Controller Connected Experiences centraal uit te zetten. Het centraal uitzetten van deze diensten voorkomt het risico dat Microsoft de werknemers om toestemming vraagt voor het verzamelen van gegevens over het gebruik van deze diensten, terwijl toestemming geen geldige grondslag is voor deze gegevensverwerking.

Sinds Office 365 ProPlus versie 1904, zoals die door Microsoft ter beschikking wordt gesteld sinds 29 april 2019, heeft Microsoft ook een keuzemogelijkheid ingebouwd voor systeembeheerders om het telemetrieniveau te minimaliseren. Microsoft biedt drie mogelijkheden: Required (noodzakelijk), Optional (optioneel) en Neither (geen van beide).

Geen verbeteringen voor Windows 10 Enterprise, Office Online en de mobiele apps

Microsoft heeft deze verbeteringen nog niet doorgevoerd in Office Online (de software die in je browser draait) en de mobiele Office apps (de apps die je op je smartphone of tablet kunt installeren). De nieuwe privacyvoorwaarden van het Rijk zijn ook (nog) niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps. Het is in Office Online niet mogelijk om het gegevensverkeer te minimaliseren. Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling. Zonder enige informatie over de doelen van deze verwerking, en zonder mogelijkheid voor gebruikers of beheerders om deze verwerking te verhinderen.

SLM Rijk adviseert de overheidsinstellingen daarom voorlopig af te zien van het gebruik van Office Online en de mobiele Office apps en te kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, genaamd Security (Beveiliging). Als de systeembeheerders van de overheidsinstellingen ook de andere adviezen opvolgen uit de rapporten, zijn er voor de overheidsinstellingen geen bekende hoge privacyrisico’s meer.

Het Rijk blijft wel in onderhandeling met Microsoft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.

Wat kunnen organisaties doen die niet bij de Rijksoverheid horen?

Voor bedrijven en organisaties buiten de Rijksoverheid geldt dat zij rekening moeten houden met hoge privacyrisico’s bij het gebruik van Office 365 ProPlus, Office Online, de mobiele Office apps en Windows 10 Enterprise. Zij kunnen zelf een aantal maatregelen nemen, maar om de hoge risico’s echt weg te nemen zouden zij zich - bij voorkeur via een vakorganisatie - tot Microsoft moeten wenden om vergelijkbare privacygaranties te bedingen als het Rijk. Het kan geen kwaad om daarbij te wijzen op het lopende onderzoek van de European Data Protection Supervisor naar de contractvoorwaarden die Microsoft aanbiedt aan de Europese instellingen. Los daarvan zouden organisaties ook een eigen DPIA kunnen uitvoeren, gebaseerd op de rapporten van het Rijk, en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens, zoals bedoeld in artikel 36 van de AVG.

Maatregelen die de organisaties zelf kunnen treffen, zijn:

·      Upgrade naar versie 1905 of hoger van Office 365 ProPlus en zet de telemetrie op het niveau ‘Neither’

·      Maak gebruik van de technische mogelijkheid om het gebruik van de Controller Connected Experiences te verbieden in Office 365 ProPlus (disable additional Connected Experiences)

·       Schakel het Customer Experience Improvement Programma (CEIP) in Office ProPlus uit

·      Zet LinkedIn-integratie uit voor Microsoft werknemeraccounts in Office ProPlus

·       Stel beleid op om werknemers te waarschuwen dat zij de mobiele Office apps en en de Controller Connected Experiences in Office Online niet mogen gebruiken, totdat de vijf hoge risico’s zijn gemitigeerd

·     Kies het laagste, minimumniveau voor de verzameling van diagnostische gegevens in Office Online en de mobiele apps zodra dat technisch mogelijk is

·      Actualiseer het interne privacybeleid voor omgang met de persoonsgegevens van werknemers met specifieke informatie voor welke doelen en onder welke omstandigheden de organisatie de verschillende soorten diagnostische gegevens uit Microsofts verschillende diensten en producten mag bekijken

·       Voer DPIA’s uit voorafgaand aan het gebruik van Workplace Analytics and Activity Reports in het Microsoft 365 admin center en voordat werknemers gebruik kunnen maken van MyAnalytics and Delve

·       Overweeg het gebruik van Customer Lockbox en Customer Key, afhankelijk van de gevoeligheid van de inhoudelijke gegevens

·       Upgrade naar versie 1903 van Windows 10 Enterprise om Intune te kunnen gebruiken in combinatie met de telemetrie op Security

·      Zet het telemetrieniveau in Windows 10 Enterprise op Security (Beveiliging), of blokkeer het telemetrieverkeer en sta gebruikers niet toe om hun activiteiten te synchroniseren via de Tijdlijnfunctionaliteit;

·     Hou rekening met wijzigingen in de geldigheid van doorgifteinstrumenten na toekomstige jurisprudentie van het Europees Hof van Justitie. Het is aan het Europees Hof van Justitie om de risico’s in te schatten van massasurveillance in de Verenigde Staten en aan de Europese wetgever om de resterende risico’s te verlagen van doorgifte van diagnostische gegevens vanuit de EU naar de VS.

Het hoe en waarom van deze aanbevelingen is toegelicht in de drie afzonderlijke DPIA’s voor SLM Rijk. Zie ook de uitgebreide Nederlandse samenvattingen van de rapporten over Office 365 ProPlus, Office Online+de mobiele apps en Windows 10 Enterprise.

Privacy Company publiceert ook een lange blog met de highlights uit deze drie rapporten.